Considerações de segurança para UE-V (Windows 10)
Este tópico contém uma breve visão geral de contas e grupos, arquivos de log e outras considerações relacionadas à segurança para a UE-V (User Experience Virtualization). Para obter mais informações, siga os links fornecidos aqui.
Considerações de segurança para a configuração UE-V
Importante
Ao criar o compartilhamento de armazenamento de configurações, limite o acesso de compartilhamento aos usuários que precisam de acesso.
Como pacotes de configurações podem conter informações pessoais, você deve tomar cuidado para protegê-los o máximo possível. Em geral, faça as seguintes etapas:
- Restrinja o compartilhamento apenas aos usuários que precisam de acesso. Create um grupo de segurança para usuários que redirecionaram pastas em um compartilhamento específico e limitam o acesso a apenas esses usuários.
- Ao criar o compartilhamento, esconda a ação colocando um $ após o nome do compartilhamento. Essa adição oculta o compartilhamento de navegadores informais e o compartilhamento não está visível em Minha Rede Places.
- Apenas forneça aos usuários o número mínimo de permissões que eles devem ter. As tabelas a seguir mostram as permissões necessárias.
Defina as seguintes permissões de SMB no nível do compartilhamento para a pasta de local de armazenamento de configuração.
Conta de usuário Permissões recomendadas Todos Sem permissões Grupo de segurança da UE-V Controle total Defina as seguintes permissões do sistema de arquivos NTFS para a pasta local de armazenamento de configurações.
Conta de usuário Permissões recomendadas Pasta Criador/Proprietário Sem permissões Sem permissões Administradores de Domínio Controle total Esta pasta, subpastas e arquivos Grupo de segurança de usuários UE-V Listar dados de pasta/leitura, criar pastas/acrescentar dados Somente essa pasta Todos Remover todas as permissões Sem permissões Defina as seguintes permissões de SMB no nível do compartilhamento para a pasta de catálogo de modelos de configurações.
Conta de usuário Recomendar permissões Todos Sem permissões Computadores de domínio Ler níveis de permissão Administradores Níveis de permissão de leitura/gravação Defina as seguintes permissões NTFS para a pasta de catálogo de modelos de configurações.
Conta de usuário Permissões recomendadas Aplicar à Criador/Proprietário Controle total Esta pasta, subpastas e arquivos Computadores de Domínio Listar conteúdo da pasta e permissões de leitura Esta pasta, subpastas e arquivos Todos Sem permissões Sem permissões Administradores Controle Completo Esta pasta, subpastas e arquivos
Usar o Windows Server a partir do Windows Server 2003 para hospedar compartilhamentos de arquivos redirecionados
Os arquivos de pacote de configurações do usuário contêm informações pessoais que são transferidas entre o computador cliente e o servidor que armazena os pacotes de configurações. Devido a esse processo, você deve garantir que os dados sejam protegidos enquanto ele viaja pela rede.
Os dados de configurações do usuário são vulneráveis a essas ameaças potenciais: interceptação dos dados à medida que passam pela rede, adulteração dos dados à medida que passam pela rede e falsificação do servidor que hospeda os dados.
A partir do Windows Server 2003, vários recursos do sistema operacional Windows Server podem ajudar a proteger os dados do usuário:
Kerberos - Kerberos é padrão em todas as versões do Microsoft Windows 2000 Server e Windows Server começando com o Windows Server 2001. Kerberos garante o mais alto nível de segurança aos recursos de rede. O NTLM autentica somente o cliente; Kerberos autentica o servidor e o cliente. Quando o NTLM é usado, o cliente não sabe se o servidor é válido. Essa diferença será importante se o cliente trocar arquivos pessoais com o servidor, como é o caso de Perfis de Usuário Roaming. Kerberos fornece melhor segurança do que o NTLM. Kerberos não está disponível no Microsoft Windows NT Server 4.0 ou em sistemas operacionais anteriores.
IPsec – O Protocolo de Segurança IP (IPsec) fornece autenticação, integridade de dados e criptografia em nível de rede. O IPsec garante que:
- Os dados perambulados são seguros contra modificação de dados enquanto os dados estão a caminho.
- Os dados perambulados são seguros contra interceptação, exibição ou cópia.
- Os dados perambulados estão a salvo do acesso por partes não autenticadas.
Assinatura SMB – O protocolo de autenticação SMB (Server Message Block) dá suporte à autenticação de mensagem, o que impede ataques de mensagem ativa e "homem no meio". A assinatura SMB fornece essa autenticação colocando uma assinatura digital em cada SMB. Em seguida, a assinatura digital é verificada pelo cliente e pelo servidor. Para usar a assinatura de SMB, primeiro você deve habilitá-la ou exigir isso no cliente SMB e no servidor SMB. A assinatura SMB impõe uma penalidade de desempenho. Ele não consome mais largura de banda de rede, mas usa mais ciclos de CPU no lado do cliente e do servidor.
Sempre use o sistema de arquivos NTFS para volumes que contêm dados do usuário
Para a configuração mais segura, configure servidores que hospedam os arquivos de configurações UE-V para usar o sistema de arquivos NTFS. Ao contrário do sistema de arquivos FAT, o NTFS dá suporte a DACLs (listas de controle de acesso discricionário) e listas de controle de acesso do sistema (SACLs). Os DACLs e os SACLs controlam quem pode executar operações em um arquivo e quais eventos disparam o registro em log de ações executadas em um arquivo.
Não confie no EFS para criptografar arquivos de usuário quando eles são transmitidos pela rede
Quando você usa o EFS (Encrypting File System) para criptografar arquivos em um servidor remoto, os dados criptografados não são criptografados durante o trânsito pela rede; ele só se torna criptografado quando é armazenado em disco.
Esse processo de criptografia não se aplica quando o sistema inclui a IPsec (Internet Protocol security) ou a WebDAV (Criação e Versão Distribuída da Web). O IPsec criptografa dados enquanto são transportados por uma rede TCP/IP. Se o arquivo for criptografado antes de ser copiado ou movido para uma pasta WebDAV em um servidor, ele permanecerá criptografado durante a transmissão e enquanto ele é armazenado no servidor.
Permitir que o serviço UE-V crie pastas para cada usuário
Para garantir que o UE-V funcione de forma ideal, crie apenas o compartilhamento raiz no servidor e deixe o serviço UE-V criar as pastas para cada usuário. O UE-V cria essas pastas de usuário com a segurança apropriada.
Essa configuração de permissão permite que os usuários criem pastas para armazenamento de configurações. O serviço UE-V cria e protege uma pasta de pacote de configurações enquanto é executado no contexto do usuário. Os usuários recebem controle total da pasta de pacote de configurações. Outros usuários não herdam o acesso a essa pasta. Você não precisa criar e proteger diretórios de usuário individuais. O serviço UE-V executado no contexto do usuário o faz automaticamente.
Observação
A segurança adicional pode ser configurada quando um Windows Server é usado para o compartilhamento de armazenamento de configurações. O UE-V pode ser configurado para verificar se o grupo administrador local ou o usuário atual é o proprietário da pasta em que os pacotes de configurações são armazenados. Para habilitar segurança adicional, use o seguinte comando:
- Adicione a chave de registro REG_DWORD RepositoryOwnerCheckEnabled a
HKEY_LOCAL_MACHINE\Software\Microsoft\UEV\Agent\Configuration. - Defina o valor da chave do registro como 1.
Quando essa configuração está em vigor, o serviço UE-V verifica se o grupo de administradores locais ou o usuário atual é o proprietário da pasta de pacote de configurações. Caso contrário, o serviço UE-V não concederá acesso à pasta.
Se você precisar criar pastas para os usuários, verifique se você tem as permissões corretas definidas.
Recomendamos que você não crie pastas previamente. Em vez disso, deixe o serviço UE-V criar a pasta para o usuário.
Verifique as permissões corretas para armazenar as configurações do UE-V 2 em um diretório doméstico ou diretório personalizado
Se você redirecionar as configurações ue-V para o diretório inicial de um usuário ou um diretório personalizado do Active Directory (AD), verifique se as permissões no diretório serão definidas adequadamente para sua organização.
Examine o conteúdo dos modelos de localização de configurações e controle o acesso a eles conforme necessário
Quando um modelo de local de configurações está sendo criado, o gerador UE-V usa uma consulta LDAP (Protocolo de Acesso ao Diretório Leve) para obter nome de usuário e endereço de email do usuário conectado atual. Essas informações são armazenadas no modelo como o nome do autor do modelo e o email do autor do modelo. (Nenhuma dessas informações é enviada para a Microsoft.)
Se você planeja compartilhar modelos de localização de configurações com qualquer pessoa fora da sua organização, examine todos os locais de configurações e verifique se os modelos de localização de configurações não contêm informações pessoais ou da empresa. Você pode exibir o conteúdo abrindo os arquivos de modelo de local de configurações usando qualquer visualizador XML. Veja a seguir maneiras de exibir e remover qualquer informação pessoal ou da empresa dos arquivos de modelo de localização de configurações antes de compartilhar com qualquer pessoa fora da sua empresa:
- Nome do autor do modelo – especifique um nome geral e não identificador para o nome do autor do modelo ou exclua esses dados do modelo.
- Autor do modelo Email – especifique um email de autor de modelo geral e não identificador ou exclua esses dados do modelo.
Para remover o nome do autor do modelo ou o email do autor do modelo, você pode usar o aplicativo gerador UE-V. No gerador, selecione Editar um Modelo de Localização de Configurações. Selecione o modelo de local de configurações a ser editado nos modelos usados recentemente ou Navegue até o arquivo de modelo de configurações. Selecione Avançar para continuar. Na página Propriedades, remova os dados do nome do autor do modelo ou dos campos de texto de email do autor do modelo. Salve o modelo de local de configurações.