共用方式為

UE-V 2.1 SP1 的安全性考慮

  • 發行項

本文包含帳戶和群組的簡短概觀、記錄檔,以及Microsoft用戶體驗虛擬化 (UE-V) 2.1 SP1 的其他安全性相關考慮。

UE-V 組態的安全性考慮

重要

當您建立設定記憶體共用時,請將共用存取權限限限為需要存取權的使用者。

因為設定套件可能包含個人資訊,所以您應該小心保護它們並盡可能保護它們。 一般而言,請執行下列動作:

  • 將共用限制為僅限需要存取權的使用者。 為在特定共用上重新導向資料夾的使用者建立安全組,並將存取限為僅限這些使用者。

  • 當您建立共用時,請在共用名後面放置 $來隱藏共用。 此新增功能會隱藏共用,而共用不會顯示在 [我的網络位置] 中。

  • 只提供用戶必須擁有的最低許可權。 下表顯示必要的許可權。

    1. 設定記憶體位置資料夾的下列共享層級 SMB 許可權。

      用戶帳戶 建議的許可權
      所有人 沒有許可權
      UE-V 的安全組 完全控制

    2. 設定設定儲存位置資料夾的下列NTFS檔案系統許可權。

      用戶帳戶 建議的許可權 資料夾
      建立者/擁有者 完全控制 僅限子資料夾和檔案
      網域系統管理員 完全控制 此資料夾、子資料夾和檔案
      UE-V 使用者的安全組 列出資料夾/讀取資料、建立資料夾/附加資料 僅限此資料夾
      所有人 拿掉所有許可權 沒有許可權

    3. 為設定範本目錄資料夾設定下列共享層級 SMB 許可權。

      用戶帳戶 建議許可權
      所有人 沒有許可權
      網域電腦 讀取許可權等級
      管理員 讀取/寫入許可權等級

    4. 為設定範本目錄資料夾設定下列NTFS許可權。

      用戶帳戶 建議的許可權 套用至
      建立者/擁有者 完全控制 此資料夾、子資料夾和檔案
      網域電腦 列出資料夾內容和讀取許可權 此資料夾、子資料夾和檔案
      所有人 沒有許可權 沒有許可權
      管理員 完全控制 此資料夾、子資料夾和檔案

從 Windows Server 2003 開始使用 Windows Server 來裝載重新導向的檔案共用

用戶設定套件檔案包含在用戶端計算機與儲存設定套件的伺服器之間傳輸的個人資訊。 由於此程式,您應該確保資料在透過網路移動時受到保護。

用戶設定數據很容易受到這些潛在威脅:在數據通過網路時攔截數據、在數據通過網路時竄改數據,以及詐騙裝載數據的伺服器。

從 Windows Server 2003 開始,Windows Server 作業系統的數個功能可協助保護用戶數據:

  • Kerberos - 從 Windows Server 2003 開始,所有版本的 Microsoft Windows 2000 Server 和 Windows Server 上都是標準的 Kerberos。 Kerberos 可確保網路資源的最高層級安全性。 NTLM 只會驗證用戶端;Kerberos 會驗證伺服器和用戶端。 使用 NTLM 時,用戶端不知道伺服器是否有效。 如果客戶端與伺服器交換個人檔案,這個差異就很重要,就像漫遊使用者策略檔一樣。 Kerberos 提供比 NTLM 更好的安全性。 Microsoft Windows NT Server 4.0 或舊版操作系統上無法使用 Kerberos。

  • IPsec - IP 安全性通訊協定 (IPsec) 提供網路層級驗證、數據完整性和加密。 IPsec 可確保下列各項:

    • 當數據在路由中時,漫遊的數據可免於修改數據。

    • 漫遊的數據可防止攔截、檢視或複製。

    • 未經驗證的物件可以安全地存取漫遊的數據。

  • SMB 簽署 - 伺服器消息塊 (SMB) 驗證通訊協定支援訊息驗證,這可防止作用中的訊息和「中間人」攻擊。 SMB 簽署會藉由將數位簽名放入每個SMB來提供此驗證。 然後客戶端和伺服器都會驗證數字簽名。 若要使用SMB簽署,您必須先啟用它,或者必須在SMB用戶端和SMB伺服器上要求它。

    注意

    SMB 簽署會對效能造成負面影響。 它不會耗用更多的網路頻寬,但會在用戶端和伺服器端使用更多 CPU 週期。

一律針對保存用戶數據的磁碟區使用NTFS文件系統

針對最安全的組態,請將裝載 UE-V 配置檔案的伺服器設定為使用 NTFS 檔案系統。 不同於 FAT 檔案系統,NTFS 支援選擇性存取控制清單 (DACL) 和系統存取控制清單 (SACL) 。 DACL 和 SACL 可控制誰可以在檔案上執行作業,以及哪些事件會觸發檔案上所執行動作的記錄。

當使用者檔案透過網路傳輸時,請勿依賴 EFS 來加密使用者檔案

當您使用加密文件系統 (EFS) 來加密遠端伺服器上的檔案時,加密的數據不會在透過網路傳輸期間加密;只有在儲存在磁碟上時,才會加密。

當您的系統包含因特網通訊協定安全性 (IPsec) 或 WebDAV) 的 Web Distributed Authoring and Versioning (加密程式時,就不適用此加密程式。 IPsec 會在透過 TCP/IP 網路傳輸數據時加密數據。 如果檔案在複製或移至伺服器上的 WebDAV 資料夾之前已加密,則會在傳輸期間以及儲存在伺服器上時保持加密。

讓 UE-V 代理程式為每個使用者建立資料夾

若要確保 UE-V 能以最佳方式運作,請只在伺服器上建立根共用,並讓 UE-V 代理程式為每個使用者建立資料夾。 UE-V 會以適當的安全性建立這些用戶資料夾。

此許可權設定可讓使用者建立用於設定記憶體的資料夾。 UE-V 代理程式會在使用者的內容中執行時,建立及保護設定套件資料夾。 用戶可以完全掌控其設定套件資料夾。 其他使用者不會繼承此資料夾的存取權。 您不需要建立及保護個別用戶目錄。 在使用者內容中執行的代理程式會自動執行。

注意

當您針對設定記憶體共用使用 Windows Server 時,可以設定更多安全性。 您可以設定 UE-V 來確認本機 Administrators 群組或目前的使用者是儲存設定套件之資料夾的擁有者。 若要啟用額外的安全性,請使用下列命令:

  1. REG_DWORD 登入機碼 RepositoryOwnerCheckEnabled 新增至 HKEY_LOCAL_MACHINE\Software\Microsoft\UEV\Agent\Configuration

  2. 將登入機碼值設定為 1

當此組態設定就緒時,UE-V 代理程式會確認本機 Administrators 群組或目前的使用者是設定套件資料夾的擁有者。 如果沒有,UE-V 代理程式就不會授與資料夾的存取權。

如果您必須為使用者建立資料夾,請確定您已設定正確的許可權。

請勿預先建立資料夾。 相反地,讓 UE-V 代理程式為使用者建立資料夾。

確定將 UE-V 2 設定儲存在主目錄或自訂目錄中的正確許可權

如果您將 UE-V 設定重新導向至使用者的主目錄或自定義 Active Directory (AD) 目錄,請確定已為您的組織適當地設定目錄的許可權。

UE-V 2.1 SP1 的技術參考