Рекомендации по безопасности в App-V 5.1
В этой статье содержится краткий обзор учетных записей и групп, файлов журналов и других аспектов, связанных с безопасностью для Microsoft Application Virtualization (App-V) 5.1.
Важно.
App-V 5.1 не является продуктом безопасности и не предоставляет никаких гарантий для безопасной среды.
Функция PackageStoreAccessControl (PSAC) устарела
Начиная с июня 2014 г. функция PackageStoreAccessControl (PSAC), представленная в Microsoft Application Virtualization (App-V) 5.0 с пакетом обновления 2 (SP2), стала устаревшей в однопользовательской и многопользовательской средах.
Общие рекомендации по безопасности
Изучите риски безопасности. Самый серьезный риск для App-V 5.1 заключается в том, что его функциональность может быть захвачена несанкционированным пользователем, который затем может перенастроить ключевые данные на клиентах App-V 5.1. Потеря функциональности App-V 5.1 в течение короткого периода времени из-за атаки типа "отказ в обслуживании", как правило, не будет иметь катастрофических последствий.
Физическая защита компьютеров. Безопасность не завершена без физической безопасности. Любой пользователь с физическим доступом к серверу App-V 5.1 может потенциально атаковать всю клиентскую базу. Любые потенциальные физические атаки должны считаться высоким риском и соответствующим образом устраняться. Серверы App-V 5.1 должны храниться в физически защищенной серверной комнате с управляемым доступом. Защитите эти компьютеры, если администраторы физически не присутствуют, заблокировав операционную систему или используя защищенную заставку.
Примените последние обновления для системы безопасности ко всем компьютерам.
Используйте надежные пароли или парольные фразы. Всегда используйте надежные пароли с 15 или более символами для всех учетных записей администратора App-V 5.1 и App-V 5.1. Никогда не используйте пустые пароли. Дополнительные сведения об основных понятиях паролей см. в статье Пароли и политики учетных записей.
Учетные записи и группы в App-V 5.1
Для управления учетными записями пользователей рекомендуется создавать глобальные группы домена и добавлять в них учетные записи пользователей. Затем добавьте глобальные учетные записи домена в необходимые локальные группы App-V 5.1 на серверах App-V 5.1.
Примечание.
Учетные записи клиентских компьютеров App-V, которым необходимо подключиться к серверу публикации, должны быть частью локальной группы пользователей сервера публикации . По умолчанию все компьютеры в домене входят в группу Авторизованные пользователи , которая входит в локальную группу Пользователи .
Безопасность сервера App-V 5.1
Во время установки App-V 5.1 группы не создаются автоматически. Для управления операциями сервера App-V 5.1 необходимо создать следующие глобальные группы доменных служб Active Directory.
| Имя группы | Сведения |
|---|---|
| Группа администраторов управления App-V | Используется для управления сервером управления App-V 5.1. Эта группа создается во время установки сервера управления App-V 5.1. Важный: После завершения установки не существует метода создания группы с помощью консоли управления. |
| Чтение и запись базы данных для учетной записи службы управления | Предоставляет доступ на чтение и запись к базе данных управления. Эта учетная запись должна быть создана во время установки базы данных управления App-V 5.1. |
| Установка учетной записи администратора службы управления App-V | Предоставляет открытый доступ к таблице версий схемы в базе данных управления. Эта учетная запись должна быть создана во время установки базы данных управления App-V 5.1. Заметка: Это необходимо, только если база данных управления устанавливается отдельно от службы. |
| Установка учетной записи администратора службы Reporting Service App-V | Открытый доступ к таблице версий схемы в базе данных отчетов. Эта учетная запись должна быть создана во время установки базы данных отчетов App-V 5.1. Заметка: Это необходимо, только если база данных отчетов устанавливается отдельно от службы. |
Рассмотрим следующие дополнительные сведения:
Доступ к общим папкам пакета. Если общая папка существует на том же компьютере, что и сервер управления, сетевой службе требуется доступ на чтение к общей папке. Кроме того, каждый клиентский компьютер App-V должен иметь доступ на чтение к общей папке пакета.
Примечание.
В предыдущих версиях App-V общая папка пакета называлась общим ресурсом содержимого.
Регистрация серверов публикации на сервере управления. Сервер публикации должен быть зарегистрирован на сервере управления. Например, его необходимо добавить в базу данных, чтобы учетные записи компьютера сервера публикации могли вызывать API службы управления.
Безопасность пакета App-V 5.1
Ниже описано, как спланировать, как обеспечить безопасность виртуализированных пакетов.
- Если установщик приложения применяет список управления доступом (ACL) к файлу или каталогу, этот список ACL не сохраняется в пакете. При развертывании пакета, если файл или каталог изменяется пользователем, он наследует список ACL в %userprofile% или список ACL каталога целевого компьютера. Первый случай возникает, если файл или каталог не существует в виртуальной файловой системе; последний случай возникает, если файл или каталог существует в расположении виртуальной файловой системы, например %windir%.
Файлы журнала App-V 5.1
Во время установки App-V 5.1 файлы журнала установки создаются в папке %temp% пользователя установки.