适用于 Windows 的 App-V 安全注意事项
适用于:
- Windows 10
- Windows 11
本文简要概述了 Microsoft Application Virtualization (App-V) 的帐户和组、日志文件和其他与安全相关的注意事项。
重要提示
App-V 不是安全产品,也不为安全环境提供任何保证。
PackageStoreAccessControl (PSAC) 功能已弃用
自 2014 年 6 月起,Microsoft Application Virtualization (App-V) 5.0 Service Pack 2 (SP2) ) 中引入的 PackageStoreAccessControl (PSAC) 功能已在单用户和多用户环境中弃用。
一般安全注意事项
了解安全风险。 App-V 最严重的风险是未经授权的用户劫持 App-V 客户端的功能,使黑客能够在 App-V 客户端上重新配置关键数据。 相比之下,拒绝服务攻击导致 App-V 功能的短期损失不会是灾难性的。
在物理上保护计算机。 不考虑物理安全的安全策略不完整。 对 App-V 服务器具有物理访问权限的任何人都可以攻击整个客户端,因此应不一切代价防止潜在的物理攻击或盗窃。 App-V 服务器应存储在具有受控访问权限的物理安全服务器机房中。 使用操作系统或安全屏幕保护程序锁定计算机,以在管理员离开时确保计算机安全。
将最新的安全更新应用到所有计算机。
使用强密码或密码短语。 始终对所有 App-V 和 App-V 管理员帐户使用包含 15 个或更多字符的强密码。 切勿使用空白密码。 有关密码概念的详细信息,请参阅 密码策略 和 强密码。
App-V 中的帐户和组
用户帐户管理的最佳做法是创建域全局组并向其添加用户帐户。 之后,将域全局帐户添加到 App-V 服务器上的必要 App-V 本地组。
注意
需要连接到发布服务器的 App-V 客户端计算机帐户必须是发布服务器的 “用户” 本地组的一部分。 默认情况下,域中的所有计算机都是 “授权用户组 ”的一部分,该组是 “用户 ”本地组的一部分。
App-V 服务器安全性
在 App-V 安装过程中,不会自动创建任何组。 应创建以下 Active Directory 域服务全局组来管理 App-V 服务器操作。
组名称 | 详细信息 | 重要说明 |
---|---|---|
App-V 管理管理员组 | 用于管理 App-V 管理服务器。 此组是在 App-V 管理服务器安装期间创建的。 | 安装完成后,管理控制台无法创建新组。 |
管理服务帐户的数据库读/写 | 提供对管理数据库的读/写访问权限。 应在安装 App-V 管理数据库期间创建此帐户。 | |
App-V 管理服务安装管理员帐户 | 提供对管理数据库中架构版本表的公共访问。 应在安装 App-V 管理数据库期间创建此帐户。 | 仅当管理数据库与服务分开安装时,才需要此帐户。 |
App-V Reporting Service 安装管理员帐户 | 对报表数据库中架构版本表的公共访问。 应在 App-V 报告数据库安装期间创建此帐户。 | 仅当报告数据库与服务分开安装时,才需要此帐户。 |
请考虑以下附加信息:
访问包共享:如果共享与管理服务器位于同一台计算机上, 则网络 服务需要对该共享的读取访问权限。 此外,每台 App-V 客户端计算机必须具有对包共享的读取访问权限。
注意
在早期版本的 App-V 中,包共享称为内容共享。
将发布服务器注册到管理服务器:发布服务器必须注册到管理服务器。 例如,必须将其添加到数据库,以便发布服务器计算机帐户能够调用管理服务 API。
App-V 包安全性
如果应用程序安装程序将访问控制列表 (ACL) 应用于文件或目录,则该 ACL 不会保留在包中。 如果在部署包时用户修改了文件或目录,则修改后的文件或目录将继承 %userprofile% 中的 ACL,或继承目标计算机目录的 ACL。 如果虚拟文件系统位置中不存在文件或目录,则会出现前者;如果文件或目录存在于虚拟文件系统位置(如 %windir%),则会出现后者。
App-V 日志文件
在 App-V 安装过程中,会在安装用户的 %temp% 文件夹中创建安装程序日志文件。