App-V 5.1 安全性考量
本文包含帳戶和群組、記錄檔,以及 Microsoft Application Virtualization (App-V) 5.1 的其他安全性相關考慮的簡短概觀。
重要
App-V 5.1 不是安全性產品,也不會為安全環境提供任何保證。
PackageStoreAccessControl (PSAC) 功能已被取代
自 2014 年 6 月起生效,Microsoft Application Virtualization (App-V) 5.0 Service Pack 2 (SP2) 中導入的 PackageStoreAccessControl (PSAC) 功能已在單一使用者和多用戶環境中淘汰。
一般安全性考慮
瞭解安全性風險。 App-V 5.1 的最嚴重風險是其功能可能會遭到未經授權的用戶攻擊,而該用戶接著可以在App-V 5.1用戶端上重新設定密鑰數據。 由於阻斷服務攻擊而在短時間內遺失App-V 5.1功能,通常不會造成重大影響。
實際保護您的電腦。 安全性不完整,沒有實體安全性。 具有 App-V 5.1 伺服器實體存取權的任何人都可能會攻擊整個用戶端基底。 任何可能的實體攻擊都必須視為高風險,並適當地降低風險。 App-V 5.1 伺服器應該儲存在具有受控制存取權的實體安全伺服器會議室中。 當系統管理員沒有實際存在時,請透過讓操作系統鎖定計算機,或使用安全的螢幕保護來保護這些計算機。
將最新的安全性更新套用至所有計算機。
使用強密碼或傳遞片語。 針對所有 App-V 5.1 和 App-V 5.1 系統管理員帳戶,一律使用具有 15 個或更多字元的強密碼。 永遠不要使用空白密碼。 如需密碼概念的詳細資訊,請參閱 帳戶密碼和原則。
App-V 5.1 中的帳戶和群組
用戶帳戶管理的最佳做法是建立網域全域群組,並將用戶帳戶新增至這些群組。 然後,將網域全局帳戶新增至 App-V 5.1 伺服器上必要的 App-V 5.1 本機群組。
注意
需要連線到發佈伺服器的App-V用戶端電腦帳戶必須是發佈伺服器的 用戶 本地組的一部分。 根據預設,網域中的所有計算機都是授權 使用者 群組的一部分,這是 使用者 本機群組的一部分。
App-V 5.1 伺服器安全性
在 App-V 5.1 安裝期間不會自動建立任何群組。 您應該建立下列 Active Directory Domain Services 全域群組來管理 App-V 5.1 伺服器作業。
| 群組名稱 | 詳細資料 |
|---|---|
| App-V 管理系統管理群組 | 用來管理 App-V 5.1 管理伺服器。 此群組會在App-V 5.1管理伺服器安裝期間建立。 重要: 完成安裝之後,沒有任何方法可以使用管理控制台建立群組。 |
| 管理服務帳戶的資料庫讀取/寫入 | 提供管理資料庫的讀取/寫入存取權。 此帳戶應該在App-V 5.1管理資料庫安裝期間建立。 |
| App-V 管理服務安裝系統管理員帳戶 | 提供管理資料庫中架構版本數據表的公用存取權。 此帳戶應該在App-V 5.1管理資料庫安裝期間建立。 注意: 只有當管理資料庫與服務分開安裝時,才需要這麼做。 |
| App-V Reporting Service 安裝系統管理員帳戶 | 報告資料庫中架構版本數據表的公用存取權。 此帳戶應該在App-V 5.1報告資料庫安裝期間建立。 注意: 只有在報表資料庫與服務分開安裝時,才需要這麼做。 |
請考慮下列其他資訊:
套件共用的存取權 - 如果共用存在於與管理伺服器相同的計算機上, 則網路 服務需要共用的讀取許可權。 此外,每部 App-V 用戶端電腦都必須具有套件共用的讀取許可權。
注意
在舊版 App-V 中,套件共用稱為內容共用。
向 Management Server 註冊發行伺服器 - 發行伺服器必須向管理伺服器註冊。 例如,它必須新增至資料庫,以便發佈伺服器電腦帳戶能夠呼叫管理服務 API。
App-V 5.1 套件安全性
下列內容將協助您規劃如何確保虛擬化套件的安全。
- 如果應用程式安裝程式將訪問控制清單 (ACL) 套用至檔案或目錄,則該 ACL 不會儲存在套件中。 部署套件時,如果使用者修改檔案或目錄,則會繼承 %userprofile% 中的 ACL,或繼承目標電腦目錄的 ACL。 如果檔案或目錄不存在於虛擬文件系統位置,則會發生先前的案例;如果檔案或目錄存在於虛擬檔案系統位置,例如 %windir%,則會發生第二種情況。
App-V 5.1 記錄檔
在 App-V 5.1 安裝期間,安裝程式記錄檔會建立在安裝使用者的 %temp% 資料夾中。