Considerações de segurança para UE-V 2.1 SP1
Este artigo contém uma breve descrição geral de contas e grupos, ficheiros de registo e outras considerações relacionadas com segurança para o Microsoft User Experience Virtualization (UE-V) 2.1 SP1.
Considerações de segurança para a configuração ue-V
Importante
Quando criar a partilha de armazenamento de definições, limite o acesso de partilha aos utilizadores que necessitam de acesso.
Uma vez que os pacotes de definições podem conter informações pessoais, deve ter o cuidado de protegê-los e ser possível. Em geral, efetue as seguintes ações:
Restrinja a partilha apenas aos utilizadores que necessitam de acesso. Crie um grupo de segurança para os utilizadores que redirecionaram pastas numa determinada partilha e limitem o acesso apenas a esses utilizadores.
Quando criar a partilha, oculte a partilha ao colocar um $ a seguir ao nome da partilha. Esta adição oculta a partilha de browsers informais e a partilha não está visível em Os Meus Locais de Rede.
Dê apenas aos utilizadores as permissões mínimas que têm de ter. As tabelas seguintes mostram as permissões necessárias.
Defina as seguintes permissões SMB ao nível da partilha para a pasta de localização de armazenamento de definições.
Conta de utilizador Permissões recomendadas Todos Sem permissões Grupo de segurança do UE-V Controle total Defina as seguintes permissões do sistema de ficheiros NTFS para a pasta de localização de armazenamento de definições.
Conta de utilizador Permissões recomendadas Pasta Criador/Proprietário Controle total Apenas subpastas e ficheiros Administradores de Domínio Controle total Esta pasta, subpastas e ficheiros Grupo de segurança de utilizadores UE-V Listar pasta/ler dados, criar pastas/acrescentar dados Apenas esta pasta Todos Remover todas as permissões Sem permissões Defina as seguintes permissões SMB ao nível da partilha para a pasta do catálogo de modelos de definições.
Conta de utilizador Permissões recomendadas Todos Sem permissões Computadores de domínio Níveis de permissão de Ler Administradores Níveis de permissão de leitura/escrita Defina as seguintes permissões NTFS para a pasta do catálogo de modelos de definições.
Conta de utilizador Permissões recomendadas Aplicar à Criador/Proprietário Controle total Esta pasta, subpastas e ficheiros Computadores de Domínio Listar conteúdos de pastas e permissões de Leitura Esta pasta, subpastas e ficheiros Todos Sem permissões Sem permissões Administradores Controlo Total Esta pasta, subpastas e ficheiros
Utilizar o Windows Server a partir do Windows Server 2003 para alojar partilhas de ficheiros redirecionadas
Os ficheiros do pacote de definições do utilizador contêm informações pessoais que são transferidas entre o computador cliente e o servidor que armazena os pacotes de definições. Devido a este processo, deve certificar-se de que os dados estão protegidos enquanto passam pela rede.
Os dados das definições do utilizador são vulneráveis a estas potenciais ameaças: intercepção dos dados à medida que passam pela rede, adulteração dos dados à medida que passam pela rede e spoofing do servidor que aloja os dados.
A partir do Windows Server 2003, várias funcionalidades do sistema operativo Windows Server podem ajudar a proteger os dados dos utilizadores:
Kerberos – o Kerberos é standard em todas as versões do Microsoft Windows 2000 Server e Windows Server a partir do Windows Server 2003. O Kerberos garante o nível mais elevado de segurança para os recursos de rede. O NTLM autentica apenas o cliente; O Kerberos autentica o servidor e o cliente. Quando o NTLM é utilizado, o cliente não sabe se o servidor é válido. Esta diferença é importante se o cliente trocar ficheiros pessoais com o servidor, como é o caso dos Perfis de Utilizador Itinerantes. O Kerberos proporciona uma melhor segurança do que o NTLM. O Kerberos não está disponível no Microsoft Windows NT Server 4.0 ou em sistemas operativos anteriores.
IPsec – o Protocolo de Segurança ip (IPsec) fornece autenticação ao nível da rede, integridade de dados e encriptação. O IPsec garante o seguinte:
Os dados percorridos estão a salvo da modificação de dados enquanto os dados estão a ser encaminhados.
Os dados percorridos estão a salvo de intercepção, visualização ou cópia.
Os dados percorridos estão protegidos contra o acesso por parte de entidades não autenticadas.
Assinatura SMB – o protocolo de autenticação SMB (Server Message Block) suporta a autenticação de mensagens, o que impede ataques de mensagens ativas e ataques "man-in-the-middle". A assinatura SMB fornece esta autenticação ao colocar uma assinatura digital em cada SMB. Tanto o cliente como o servidor, em seguida, verifiquem a assinatura digital. Para utilizar a assinatura SMB, primeiro tem de ativá-la ou tem de a exigir no cliente SMB e no servidor SMB.
Observação
A assinatura SMB impõe uma penalização de desempenho. Não consome mais largura de banda de rede, mas utiliza mais ciclos de CPU no lado do cliente e do servidor.
Utilizar sempre o sistema de ficheiros NTFS para volumes que contêm dados de utilizador
Para a configuração mais segura, configure os servidores que alojam os ficheiros de definições UE-V para utilizar o sistema de ficheiros NTFS. Ao contrário do sistema de ficheiros FAT, o NTFS suporta listas de controlo de acesso discricionário (DACLs) e listas de controlo de acesso ao sistema (SACLs). Os DACLs e SACLs controlam quem pode efetuar operações num ficheiro e que eventos acionam o registo de ações executadas num ficheiro.
Não dependa do EFS para encriptar ficheiros de utilizador quando são transmitidos através da rede
Quando utiliza o Sistema de Encriptação de Ficheiros (EFS) para encriptar ficheiros num servidor remoto, os dados encriptados não são encriptados durante o trânsito através da rede; só fica encriptada quando é armazenada no disco.
Este processo de encriptação não se aplica quando o seu sistema inclui segurança de Protocolo Internet (IPsec) ou Criação e Controlo de Versões Distribuídos na Web (WebDAV). O IPsec encripta dados enquanto são transportados através de uma rede TCP/IP. Se o ficheiro for encriptado antes de ser copiado ou movido para uma pasta WebDAV num servidor, permanece encriptado durante a transmissão e enquanto está armazenado no servidor.
Permitir que o agente UE-V crie pastas para cada utilizador
Para garantir que o UE-V funciona da melhor forma, crie apenas a partilha de raiz no servidor e permita que o agente UE-V crie as pastas para cada utilizador. O UE-V cria estas pastas de utilizador com a segurança adequada.
Esta configuração de permissão permite que os utilizadores criem pastas para o armazenamento de definições. O agente UE-V cria e protege uma pasta de pacote de definições enquanto é executado no contexto do utilizador. Os utilizadores recebem controlo total sobre a pasta do pacote de definições. Os outros utilizadores não herdam o acesso a esta pasta. Não tem de criar e proteger diretórios de utilizadores individuais. O agente que é executado no contexto do utilizador fá-lo automaticamente.
Observação
Quando utiliza um Windows Server para a partilha de armazenamento de definições, pode configurar mais segurança. Pode configurar o UE-V para verificar se o grupo administradores local ou o utilizador atual é o proprietário da pasta onde os pacotes de definições estão armazenados. Para ativar a segurança adicional, utilize o seguinte comando:
Adicione a chave
RepositoryOwnerCheckEnabledde registo REG_DWORD aHKEY_LOCAL_MACHINE\Software\Microsoft\UEV\Agent\Configuration.Defina o valor da chave de registo como
1.
Quando esta definição de configuração estiver implementada, o agente UE-V verifica se o grupo administradores local ou o utilizador atual é o proprietário da pasta do pacote de definições. Caso contrário, o agente UE-V não concede acesso à pasta.
Se tiver de criar pastas para os utilizadores, certifique-se de que tem as permissões corretas definidas.
Não crie previamente pastas. Em vez disso, permita que o agente UE-V crie a pasta para o utilizador.
Garantir as permissões corretas para armazenar as definições do UE-V 2 num diretório raiz ou num diretório personalizado
Se redirecionar as definições ue-V para o diretório raiz de um utilizador ou para um diretório personalizado do Active Directory (AD), certifique-se de que as permissões no diretório estão definidas adequadamente para a sua organização.