UE-V (Windows 10) 的安全注意事项
本主题简要概述了用户体验虚拟化 (UE-V) 的帐户和组、日志文件和其他与安全相关的注意事项。 有关详细信息,请参阅此处提供的链接。
UE-V 配置的安全注意事项
重要提示
创建设置存储共享时,将共享访问权限限制为需要访问权限的用户。
由于设置包可能包含个人信息,因此应注意尽可能保护它们。 通常,执行以下步骤:
- 将共享限制为仅那些需要访问权限的用户。 Create特定共享上重定向文件夹的用户的安全组,并将访问权限限制为仅这些用户。
- 创建共享时,通过将 $ 放在共享名称后面来隐藏共享。 此添加功能会在普通浏览器中隐藏共享,并且共享在“我的网络Places中不可见。
- 仅向用户授予他们必须具有的最小权限数。 下表显示了所需的权限。
为设置存储位置文件夹设置以下共享级 SMB 权限。
用户帐户 建议的权限 所有人 无权限 UE-V 安全组 完全控制 为设置存储位置文件夹设置以下 NTFS 文件系统权限。
用户帐户 建议的权限 文件夹 创建者/所有者 无权限 无权限 域管理员 完全控制 此文件夹、子文件夹和文件 UE-V 用户的安全组 列出文件夹/读取数据,创建文件夹/追加数据 仅此文件夹 所有人 删除所有权限 无权限 为设置模板目录文件夹设置以下共享级 SMB 权限。
用户帐户 建议权限 所有人 无权限 域计算机 读取权限级别 管理员 读/写权限级别 为设置模板目录文件夹设置以下 NTFS 权限。
用户帐户 建议的权限 应用于 创建者/所有者 完全控制 此文件夹、子文件夹和文件 域计算机 列出文件夹内容和读取权限 此文件夹、子文件夹和文件 所有人 无权限 无权限 管理员 完全控制 此文件夹、子文件夹和文件
自 Windows Server 2003 起使用 Windows Server 托管重定向的文件共享
用户设置包文件包含在客户端计算机和存储设置包的服务器之间传输的个人信息。 由于此过程,应确保数据在通过网络传输时受到保护。
用户设置数据容易受到这些潜在威胁的攻击:在通过网络传输数据时截获数据,在通过网络传输数据时篡改数据,以及欺骗托管数据的服务器。
从 Windows Server 2003 起,Windows Server 操作系统的多项功能可帮助保护用户数据:
Kerberos - 从 Windows Server 2001 开始,Kerberos 是所有版本的 Microsoft Windows 2000 Server 和 Windows Server 的标准。 Kerberos 可确保网络资源的最高安全级别。 NTLM 仅对客户端进行身份验证;Kerberos 对服务器和客户端进行身份验证。 使用 NTLM 时,客户端不知道服务器是否有效。 如果客户端与服务器交换个人文件,这一差异很重要,就像漫游用户配置文件一样。 Kerberos 提供比 NTLM 更好的安全性。 Kerberos 在 Microsoft Windows NT Server 4.0 或更低版本的操作系统上不可用。
IPsec - IP 安全协议 (IPsec) 提供网络级身份验证、数据完整性和加密。 IPsec 可确保:
- 在路由数据时,漫游数据不受数据修改的影响。
- 漫游数据可以安全地进行拦截、查看或复制。
- 未经身份验证的各方不会访问漫游数据。
SMB 签名 - 服务器消息块 (SMB) 身份验证协议支持消息身份验证,从而防止活动消息和“中间人”攻击。 SMB 签名通过将数字签名放入每个 SMB 来提供此身份验证。 然后,客户端和服务器将验证数字签名。 若要使用 SMB 签名,必须先启用它,或者必须在 SMB 客户端和 SMB 服务器上要求它。 SMB 签名会施加性能损失。 它不会消耗更多网络带宽,但在客户端和服务器端使用更多的 CPU 周期。
始终对保存用户数据的卷使用 NTFS 文件系统
对于最安全的配置,请将托管 UE-V 设置文件的服务器配置为使用 NTFS 文件系统。 与 FAT 文件系统不同,NTFS 支持任意访问控制列表 (DACL) 和系统访问控制列表 (SCL) 。 DACL 和 SCL 控制谁可以对文件执行操作,以及哪些事件触发对文件执行的操作的日志记录。
在通过网络传输用户文件时,不要依赖 EFS 来加密用户文件
使用加密文件系统 (EFS) 加密远程服务器上的文件时,加密数据在通过网络传输期间不会加密;仅当存储在磁盘上时,它才会变为加密。
如果系统包含 Internet 协议安全性 (IPsec) 或 Web 分布式创作和版本控制 (WebDAV) ,则此加密过程不适用。 IPsec 在通过 TCP/IP 网络传输数据时对数据进行加密。 如果文件在复制或移动到服务器上的 WebDAV 文件夹之前已加密,则在传输期间和存储在服务器上时,该文件将保持加密状态。
让 UE-V 服务为每个用户创建文件夹
若要确保 UE-V 以最佳方式工作,请仅在服务器上创建根共享,并允许 UE-V 服务为每个用户创建文件夹。 UE-V 创建具有适当安全性的用户文件夹。
此权限配置使用户能够创建用于设置存储的文件夹。 UE-V 服务在用户上下文中运行时创建并保护设置包文件夹。 用户可完全控制其设置包文件夹。 其他用户不继承对此文件夹的访问权限。 无需创建和保护单个用户目录。 在用户上下文中运行的 UE-V 服务会自动执行该操作。
注意
当 Windows Server 用于设置存储共享时,可以配置其他安全性。 可以将 UE-V 配置为验证本地管理员组或当前用户是否是存储设置包的文件夹的所有者。 若要启用其他安全性,请使用以下命令:
- 将REG_DWORD注册表项 RepositoryOwnerCheckEnabled 添加到
HKEY_LOCAL_MACHINE\Software\Microsoft\UEV\Agent\Configuration。 - 将注册表项值设置为 1。
此配置设置到位后,UE-V 服务将验证本地管理员组或当前用户是否是设置包文件夹的所有者。 如果没有,则 UE-V 服务不会授予对文件夹的访问权限。
如果必须为用户创建文件夹,请确保设置了正确的权限。
强烈建议不要预先创建文件夹。 相反,请让 UE-V 服务为用户创建文件夹。
确保在主目录或自定义目录中存储 UE-V 2 设置的正确权限
如果将 UE-V 设置重定向到用户的主目录或自定义 Active Directory (AD) 目录,请确保为组织适当设置了目录的权限。
查看设置位置模板的内容,并根据需要控制对它们的访问
创建设置位置模板时,UE-V 生成器使用轻型目录访问协议 (LDAP) 查询来获取当前登录用户的用户名和电子邮件地址。 此信息以模板作者姓名和模板作者电子邮件的形式存储在模板中。 (不会将此信息发送到 Microsoft.)
如果计划与组织外部的任何人共享设置位置模板,则应查看所有设置位置,并确保设置位置模板不包含任何个人或公司信息。 可以通过使用任何 XML 查看器打开设置位置模板文件来查看内容。 以下是在与公司外部的任何人共享之前,可以查看和删除设置位置模板文件中的任何个人或公司信息的方法:
- 模板作者名称 - 为模板作者姓名指定一个通用的非标识名称,或从模板中排除此数据。
- 模板作者Email - 指定常规的非标识模板作者电子邮件或从模板中排除此数据。
若要删除模板作者姓名或模板作者电子邮件,可以使用 UE-V 生成器应用程序。 在生成器中,选择 “编辑设置位置模板”。 选择要从最近使用的模板编辑的设置位置模板,或浏览到设置模板文件。 选择“ 下一步 ”以继续。 在“属性”页上,从“模板作者姓名”或“模板作者电子邮件”文本字段中删除数据。 保存设置位置模板。