Sicherheitsüberlegungen für UE-V 2.1 SP1

  • Artikel

Dieser Artikel enthält eine kurze Übersicht über Konten und Gruppen, Protokolldateien und andere sicherheitsbezogene Überlegungen zu Microsoft User Experience Virtualization (UE-V) 2.1 SP1.

Sicherheitsüberlegungen für die UE-V-Konfiguration

Wichtig

Wenn Sie die Speicherfreigabe für Einstellungen erstellen, beschränken Sie den Freigabezugriff auf Benutzer, die Zugriff benötigen.

Da Einstellungspakete möglicherweise personenbezogene Informationen enthalten, sollten Sie darauf achten, diese und möglich zu schützen. Führen Sie im Allgemeinen die folgenden Aktionen aus:

  • Beschränken Sie die Freigabe auf die Benutzer, die Zugriff benötigen. Erstellen Sie eine Sicherheitsgruppe für Benutzer, die Ordner auf einer bestimmten Freigabe umgeleitet haben, und beschränken Sie den Zugriff auf diese Benutzer.

  • Wenn Sie die Freigabe erstellen, blenden Sie die Freigabe aus, indem Sie ein $ hinter dem Freigabenamen setzen. Diese Ergänzung blendet die Freigabe vor gelegenheitslosen Browsern aus, und die Freigabe ist in "Meine Netzwerkorte" nicht sichtbar.

  • Erteilen Sie Benutzern nur die erforderlichen Mindestberechtigungen. In den folgenden Tabellen sind die erforderlichen Berechtigungen aufgeführt.

    1. Legen Sie die folgenden SMB-Berechtigungen auf Freigabeebene für den Einstellungsspeicherortordner fest.

      Benutzerkonto Empfohlene Berechtigungen
      Jeder Keine Berechtigungen
      Sicherheitsgruppe von UE-V Vollzugriff

    2. Legen Sie die folgenden NTFS-Dateisystemberechtigungen für den Speicherortordner für Einstellungen fest.

      Benutzerkonto Empfohlene Berechtigungen Ordner
      Ersteller/Besitzer Vollzugriff Nur Unterordner und Dateien
      Domänenadministratoren Vollzugriff Dieser Ordner, Unterordner und Dateien
      Sicherheitsgruppe von UE-V-Benutzern Ordner auflisten/Daten lesen, Ordner erstellen/Daten anfügen Nur dieser Ordner
      Jeder Entfernen aller Berechtigungen Keine Berechtigungen

    3. Legen Sie die folgenden SMB-Berechtigungen auf Freigabeebene für den Einstellungsvorlagenkatalogordner fest.

      Benutzerkonto Empfehlen von Berechtigungen
      Jeder Keine Berechtigungen
      Domänencomputer Lesen-Berechtigung Ebenen
      Administratoren Lese-/Schreibberechtigungsstufen

    4. Legen Sie die folgenden NTFS-Berechtigungen für den Katalogordner der Einstellungsvorlage fest.

      Benutzerkonto Empfohlene Berechtigungen Anwenden auf
      Ersteller/Besitzer Vollzugriff Dieser Ordner, Unterordner und Dateien
      Domänencomputer Auflisten von Ordnerinhalten und Leseberechtigungen Dieser Ordner, Unterordner und Dateien
      Jeder Keine Berechtigungen Keine Berechtigungen
      Administratoren Vollzugriff Dieser Ordner, Unterordner und Dateien

Verwenden von Windows Server ab Windows Server 2003 zum Hosten umgeleiteter Dateifreigaben

Paketdateien für Benutzereinstellungen enthalten persönliche Informationen, die zwischen dem Clientcomputer und dem Server übertragen werden, auf dem die Einstellungspakete gespeichert sind. Aufgrund dieses Prozesses sollten Sie sicherstellen, dass die Daten geschützt sind, während sie über das Netzwerk übertragen werden.

Benutzereinstellungsdaten sind anfällig für diese potenziellen Bedrohungen: Abfangen der Daten, während sie über das Netzwerk übertragen werden, Manipulation der Daten, während sie über das Netzwerk übertragen werden, und Spoofing des Servers, auf dem die Daten gehostet werden.

Ab Windows Server 2003 können verschiedene Features des Windows Server-Betriebssystems zum Schutz von Benutzerdaten beitragen:

  • Kerberos : Kerberos ist standard in allen Versionen von Microsoft Windows 2000 Server und Windows Server ab Windows Server 2003. Kerberos stellt das höchste Maß an Sicherheit für Netzwerkressourcen sicher. NTLM authentifiziert nur den Client. Kerberos authentifiziert den Server und den Client. Wenn NTLM verwendet wird, weiß der Client nicht, ob der Server gültig ist. Dieser Unterschied ist wichtig, wenn der Client persönliche Dateien mit dem Server austauscht, wie dies bei Roamingbenutzerprofilen der Fall ist. Kerberos bietet eine bessere Sicherheit als NTLM. Kerberos ist unter Microsoft Windows NT Server 4.0 oder früheren Betriebssystemen nicht verfügbar.

  • IPsec : Das IP-Sicherheitsprotokoll (IP Security Protocol, IPsec) bietet Authentifizierung, Datenintegrität und Verschlüsselung auf Netzwerkebene. IPsec stellt Folgendes sicher:

    • Roamingdaten sind sicher vor Datenänderungen, während daten unterwegs sind.

    • Roamingdaten sind sicher vor Abfangen, Anzeigen oder Kopieren.

    • Übertragene Daten sind vor dem Zugriff durch nicht authentifizierte Parteien sicher.

  • SMB-Signatur : Das SMB-Authentifizierungsprotokoll (Server Message Block) unterstützt die Nachrichtenauthentifizierung, die aktive Nachrichten und Man-in-the-Middle-Angriffe verhindert. Die SMB-Signatur ermöglicht diese Authentifizierung, indem in jedem SMB eine digitale Signatur platziert wird. Sowohl der Client als auch der Server überprüfen dann die digitale Signatur. Um die SMB-Signatur verwenden zu können, müssen Sie sie entweder entweder aktivieren oder sowohl auf dem SMB-Client als auch auf dem SMB-Server anfordern.

    Hinweis

    SMB-Signierung führt zu Leistungseinbußen. Die Netzwerkbandbreite wird nicht mehr beansprucht, es werden jedoch mehr CPU-Zyklen auf Client- und Serverseite verwendet.

Verwenden Sie immer das NTFS-Dateisystem für Volumes, die Benutzerdaten enthalten.

Um die sicherste Konfiguration zu gewährleisten, konfigurieren Sie Server, die die UE-V-Einstellungsdateien hosten, um das NTFS-Dateisystem zu verwenden. Im Gegensatz zum FAT-Dateisystem unterstützt NTFS DACLs (Discretionary Access Control Lists) und Systemzugriffssteuerungslisten (SACLs). DACLs und SACLs steuern, wer Vorgänge für eine Datei ausführen kann und welche Ereignisse die Protokollierung von Aktionen auslösen, die für eine Datei ausgeführt werden.

Verlassen Sie sich nicht auf EFS, um Benutzerdateien zu verschlüsseln, wenn sie über das Netzwerk übertragen werden.

Wenn Sie das verschlüsselnde Dateisystem (Encrypting File System, EFS) verwenden, um Dateien auf einem Remoteserver zu verschlüsseln, werden die verschlüsselten Daten während der Übertragung über das Netzwerk nicht verschlüsselt. sie wird nur verschlüsselt, wenn sie auf dem Datenträger gespeichert ist.

Dieser Verschlüsselungsprozess gilt nicht, wenn Ihr System internetprotokollsicherheit (Internet Protocol Security, IPsec) oder Web Distributed Authoring and Versioning (WebDAV) umfasst. IPsec verschlüsselt Daten, während sie über ein TCP/IP-Netzwerk übertragen werden. Wenn die Datei verschlüsselt wird, bevor sie kopiert oder in einen WebDAV-Ordner auf einem Server verschoben wird, bleibt sie während der Übertragung verschlüsselt und wird auf dem Server gespeichert.

Erstellen von Ordnern für jeden Benutzer durch den UE-V-Agent

Um sicherzustellen, dass UE-V optimal funktioniert, erstellen Sie nur die Stammfreigabe auf dem Server, und lassen Sie den UE-V-Agent die Ordner für jeden Benutzer erstellen. UE-V erstellt diese Benutzerordner mit der entsprechenden Sicherheit.

Mit dieser Berechtigungskonfiguration können Benutzer Ordner für die Einstellungsspeicherung erstellen. Der UE-V-Agent erstellt und sichert einen Einstellungspaketordner, während er im Kontext des Benutzers ausgeführt wird. Benutzer erhalten vollständige Kontrolle über ihren Einstellungspaketordner. Andere Benutzer erben keinen Zugriff auf diesen Ordner. Sie müssen keine einzelnen Benutzerverzeichnisse erstellen und schützen. Der Agent, der im Kontext des Benutzers ausgeführt wird, führt dies automatisch aus.

Hinweis

Wenn Sie eine Windows Server-Instanz für die Einstellungsspeicherfreigabe verwenden, können Sie mehr Sicherheit konfigurieren. Sie können UE-V konfigurieren, um zu überprüfen, ob entweder die lokale Administratorgruppe oder der aktuelle Benutzer der Besitzer des Ordners ist, in dem Einstellungspakete gespeichert sind. Verwenden Sie den folgenden Befehl, um zusätzliche Sicherheit zu aktivieren:

  1. Fügen Sie den registrierungsschlüsselRepositoryOwnerCheckEnabled REG_DWORD hinzu HKEY_LOCAL_MACHINE\Software\Microsoft\UEV\Agent\Configuration.

  2. Legen Sie den Registrierungsschlüsselwert auf fest 1.

Wenn diese Konfigurationseinstellung vorhanden ist, überprüft der UE-V-Agent, ob die lokale Administratorgruppe oder der aktuelle Benutzer der Besitzer des Einstellungspaketordners ist. Andernfalls gewährt der UE-V-Agent keinen Zugriff auf den Ordner.

Wenn Sie Ordner für die Benutzer erstellen müssen, stellen Sie sicher, dass Sie über die richtigen Berechtigungen verfügen.

Erstellen Sie keine Ordner vorab. Lassen Sie stattdessen den UE-V-Agent den Ordner für den Benutzer erstellen.

Sicherstellen der richtigen Berechtigungen zum Speichern von UE-V 2-Einstellungen in einem Basisverzeichnis oder einem benutzerdefinierten Verzeichnis

Wenn Sie UE-V-Einstellungen an das Basisverzeichnis eines Benutzers oder ein benutzerdefiniertes Active Directory-Verzeichnis (AD) umleiten, stellen Sie sicher, dass die Berechtigungen für das Verzeichnis entsprechend für Ihre Organisation festgelegt sind.

Technische Referenz für UE-V 2.1 SP1