UE-V 2.1 SP1 的安全注意事项

本文简要概述了 Microsoft用户体验虚拟化 (UE-V) 2.1 SP1 的帐户和组、日志文件和其他与安全相关的注意事项。

UE-V 配置的安全注意事项

重要提示

创建设置存储共享时,将共享访问权限限制为需要访问权限的用户。

由于设置包可能包含个人信息,因此应注意保护它们并尽可能保护它们。 通常执行以下操作:

  • 将共享限制为仅那些需要访问权限的用户。 为在特定共享上重定向了文件夹的用户创建安全组,并将访问权限限制为仅这些用户。

  • 创建共享时,通过将 $ 放在共享名称后面来隐藏共享。 此添加功能在普通浏览器中隐藏共享,并且共享在“我的网络位置”中不可见。

  • 仅向用户授予他们必须拥有的最低权限。 下表显示了所需的权限。

    1. 为设置存储位置文件夹设置以下共享级 SMB 权限。

      用户帐户 建议的权限
      所有人 无权限
      UE-V 安全组 完全控制
    2. 为设置存储位置文件夹设置以下 NTFS 文件系统权限。

      用户帐户 建议的权限 文件夹
      创建者/所有者 完全控制 仅限子文件夹和文件
      域管理员 完全控制 此文件夹、子文件夹和文件
      UE-V 用户的安全组 列出文件夹/读取数据,创建文件夹/追加数据 仅此文件夹
      所有人 删除所有权限 无权限
    3. 为设置模板目录文件夹设置以下共享级 SMB 权限。

      用户帐户 建议权限
      所有人 无权限
      域计算机 读取权限级别
      管理员 读/写权限级别
    4. 为设置模板目录文件夹设置以下 NTFS 权限。

      用户帐户 建议的权限 应用于
      创建者/所有者 完全控制 此文件夹、子文件夹和文件
      域计算机 列出文件夹内容和读取权限 此文件夹、子文件夹和文件
      所有人 无权限 无权限
      管理员 完全控制 此文件夹、子文件夹和文件

自 Windows Server 2003 起使用 Windows Server 托管重定向的文件共享

用户设置包文件包含在客户端计算机和存储设置包的服务器之间传输的个人信息。 由于此过程,应确保数据在通过网络传输时受到保护。

用户设置数据容易受到这些潜在威胁的攻击:在通过网络传输数据时截获数据,在通过网络传输数据时篡改数据,以及欺骗托管数据的服务器。

从 Windows Server 2003 起,Windows Server 操作系统的多项功能可帮助保护用户数据:

  • Kerberos - 从 Windows Server 2003 开始,Kerberos 是所有版本的 Microsoft Windows 2000 Server 和 Windows Server 的标准版本。 Kerberos 可确保网络资源的最高安全级别。 NTLM 仅对客户端进行身份验证;Kerberos 对服务器和客户端进行身份验证。 使用 NTLM 时,客户端不知道服务器是否有效。 如果客户端与服务器交换个人文件,这一差异很重要,就像漫游用户配置文件一样。 Kerberos 提供比 NTLM 更好的安全性。 Kerberos 在 Microsoft Windows NT Server 4.0 或更低版本的操作系统上不可用。

  • IPsec - IP 安全协议 (IPsec) 提供网络级身份验证、数据完整性和加密。 IPsec 可确保以下各项:

    • 在路由数据时,漫游数据不受数据修改的影响。

    • 漫游数据可以安全地进行拦截、查看或复制。

    • 未经身份验证的各方不会访问漫游数据。

  • SMB 签名 - 服务器消息块 (SMB) 身份验证协议支持消息身份验证,从而防止活动消息和“中间人”攻击。 SMB 签名通过将数字签名放入每个 SMB 来提供此身份验证。 然后,客户端和服务器都验证数字签名。 若要使用 SMB 签名,必须先启用它,或者必须在 SMB 客户端和 SMB 服务器上要求它。

    注意

    SMB 签名会产生性能损失。 它不会消耗更多网络带宽,但在客户端和服务器端使用更多的 CPU 周期。

始终对保存用户数据的卷使用 NTFS 文件系统

对于最安全的配置,请将托管 UE-V 设置文件的服务器配置为使用 NTFS 文件系统。 与 FAT 文件系统不同,NTFS 支持任意访问控制列表 (DACL) 和系统访问控制列表 (SCL) 。 DACL 和 SCL 控制谁可以对文件执行操作,以及哪些事件触发对文件执行的操作的日志记录。

在通过网络传输用户文件时,不要依赖 EFS 来加密用户文件

使用加密文件系统 (EFS) 加密远程服务器上的文件时,加密数据在通过网络传输期间不会加密;仅当存储在磁盘上时,它才会变为加密。

如果系统包含 Internet 协议安全性 (IPsec) 或 Web 分布式创作和版本控制 (WebDAV) ,则此加密过程不适用。 IPsec 在通过 TCP/IP 网络传输数据时对数据进行加密。 如果文件在复制或移动到服务器上的 WebDAV 文件夹之前已加密,则在传输期间和存储在服务器上时,该文件将保持加密状态。

让 UE-V 代理为每个用户创建文件夹

若要确保 UE-V 以最佳方式工作,请仅在服务器上创建根共享,并允许 UE-V 代理为每个用户创建文件夹。 UE-V 创建具有适当安全性的用户文件夹。

此权限配置使用户能够创建用于设置存储的文件夹。 UE-V 代理在用户上下文中运行时创建并保护设置包文件夹。 用户可完全控制其设置包文件夹。 其他用户不继承对此文件夹的访问权限。 无需创建和保护单个用户目录。 在用户上下文中运行的代理会自动执行该操作。

注意

将 Windows Server 用于设置存储共享时,可以配置更高的安全性。 可以将 UE-V 配置为验证本地管理员组或当前用户是否是存储设置包的文件夹的所有者。 若要启用其他安全性,请使用以下命令:

  1. REG_DWORD 注册表项 RepositoryOwnerCheckEnabled 添加到 HKEY_LOCAL_MACHINE\Software\Microsoft\UEV\Agent\Configuration

  2. 将注册表项值设置为 1

此配置设置到位后,UE-V 代理将验证本地管理员组或当前用户是否是设置包文件夹的所有者。 如果没有,则 UE-V 代理不会授予对文件夹的访问权限。

如果必须为用户创建文件夹,请确保设置了正确的权限。

不要预创建文件夹。 而是让 UE-V 代理为用户创建文件夹。

确保在主目录或自定义目录中存储 UE-V 2 设置的正确权限

如果将 UE-V 设置重定向到用户的主目录或自定义 Active Directory (AD) 目录,请确保为组织适当设置了目录的权限。

UE-V 2.1 SP1 的技术参考