適用於 Windows 安全性考慮的 App-V
適用於:
- Windows 10
- Windows 11
本文包含帳戶和群組、記錄檔,以及 Microsoft Application Virtualization (App-V) 的其他安全性相關考慮的簡短概觀。
重要
App-V 不是安全性產品,也不會為安全環境提供任何保證。
PackageStoreAccessControl (PSAC) 功能已被取代
自 2014 年 6 月起生效,Microsoft Application Virtualization (App-V) 5.0 Service Pack 2 (SP2) 中引進的 PackageStoreAccessControl (PSAC) 功能在單一使用者和多用戶環境中已被取代。
一般安全性考慮
瞭解安全性風險。 App-V 的最嚴重風險是未經授權的使用者劫持App-V用戶端的功能,讓駭客能夠在App-V用戶端上重新設定密鑰數據。 相較之下,從阻斷服務攻擊短期遺失App-V功能並不會是重大的。
實際保護您的電腦。 不考慮實體安全性的安全性策略不完整。 具有 App-V 伺服器實體存取權的任何人都可能會攻擊整個用戶端基底,因此應該不計成本地防止潛在的實體攻擊或竊取。 App-V 伺服器應該儲存在具有受控制存取權的實體安全伺服器會議室中。 使用作業系統或安全螢幕保護來鎖定計算機,以在系統管理員離開時保護計算機安全。
將最新的安全性更新套用至所有計算機。
使用強密碼或傳遞片語。 針對所有 App-V 和 App-V 系統管理員帳戶,一律使用具有 15 個或更多字元的強密碼。 永遠不要使用空白密碼。 如需密碼概念的詳細資訊,請參閱 密碼原則 和 強密碼。
App-V 中的帳戶和群組
用戶帳戶管理的最佳做法是建立網域全域群組,並將用戶帳戶新增至這些群組。 之後,將網域全局帳戶新增至App-V伺服器上必要的App-V本機群組。
注意
需要連線到發佈伺服器的App-V用戶端電腦帳戶必須是發佈伺服器的 用戶 本地組的一部分。 根據預設,網域中的所有計算機都是授權 使用者 群組的一部分,這是 使用者 本機群組的一部分。
App-V 伺服器安全性
在 App-V 安裝期間不會自動建立任何群組。 您應該建立下列 Active Directory Domain Services 全域群組來管理 App-V 伺服器作業。
| 群組名稱 | 詳細資料 | 重要事項 |
|---|---|---|
| App-V 管理系統管理群組 | 用來管理 App-V 管理伺服器。 此群組會在App-V管理伺服器安裝期間建立。 | 安裝完成之後,管理主控台就無法建立新的群組。 |
| 管理服務帳戶的資料庫讀取/寫入 | 提供管理資料庫的讀取/寫入存取權。 此帳戶應該在App-V管理資料庫安裝期間建立。 | |
| App-V 管理服務安裝系統管理員帳戶 | 提供管理資料庫中架構版本數據表的公用存取權。 此帳戶應該在App-V管理資料庫安裝期間建立。 | 只有當管理資料庫與服務分開安裝時,才需要此帳戶。 |
| App-V Reporting Service 安裝系統管理員帳戶 | 報告資料庫中架構版本數據表的公用存取權。 此帳戶應該在App-V報告資料庫安裝期間建立。 | 只有在報表資料庫與服務分開安裝時,才需要此帳戶。 |
請考慮下列其他資訊:
套件共用的存取權:如果共用存在於與管理伺服器相同的計算機上, 則網路 服務需要共用的讀取許可權。 此外,每部 App-V 用戶端電腦都必須具有套件共用的讀取許可權。
注意
在舊版 App-V 中,套件共用稱為內容共用。
向 Management Server 註冊發行伺服器:發行伺服器必須向管理伺服器註冊。 例如,它必須新增至資料庫,以便發佈伺服器電腦帳戶能夠呼叫管理服務 API。
App-V 套件安全性
如果應用程式安裝程式將訪問控制清單 (ACL) 套用至檔案或目錄,則該 ACL 不會儲存在套件中。 如果使用者在部署封裝時修改檔案或目錄,修改過的檔案或目錄將會繼承 %userprofile% 中的 ACL,或繼承目標電腦目錄的 ACL。 如果檔案或目錄不存在於虛擬文件系統位置,則會發生前者;如果檔案或目錄存在於虛擬檔案系統位置,例如 %windir%,就會發生後者。
App-V 記錄檔
在 App-V 安裝期間,安裝程式記錄檔會建立在安裝使用者的 %temp% 資料夾中。