UE-V 2.x のセキュリティに関する考慮事項

  • [アーティクル]

適用対象: User Experience Virtualization 2.0, User Experience Virtualization 2.1

ここでは、Microsoft User Experience Virtualization (UE-V) 2.0、2.1、2.1 SP1 のアカウントとグループ、ログ ファイル、その他のセキュリティ関連の考慮事項の概要について説明します。詳細については、記載されているリンクをクリックしてください。

UE-V 構成のセキュリティに関する考慮事項

重要

設定の保存共有を作成するときは、アクセスを必要とするユーザーのみに共有のアクセスを制限します。

設定パッケージには個人情報が含まれる場合があるため、可能な限り情報を保護するよう注意する必要があります。一般的には、次を実行します。

  • アクセスを必要とするユーザーのみに共有を制限します。特定の共有上にリダイレクトされたフォルダーを持つユーザー用にセキュリティ グループを作成し、アクセスをそのユーザーのみに制限します。

  • 共有を作成するときに、共有名の末尾に $ を付加して共有を非表示にします。これを付加することで、通常のブラウザーでは共有が非表示になり、マイ ネットワークでも共有を表示できなくなります。

  • ユーザーには、ユーザーが必要とする最小限のアクセス許可のみを付与します。次の表に、必要なアクセス許可を示します。

    1. 設定の保存場所フォルダーに次の共有レベルの (SMB) アクセス許可を設定します。

      ユーザー アカウント 推奨されるアクセス許可

      すべてのユーザー

      アクセス許可なし

      UE-V のセキュリティ グループ

      フル コントロール

    2. 設定の保存場所フォルダーに次の NTFS ファイル システム アクセス許可を設定します。

      ユーザー アカウント 推奨されるアクセス許可 フォルダー

      作成者/所有者

      アクセス許可なし

      アクセス許可なし

      ドメイン管理者

      フル コントロール

      このフォルダー、サブフォルダー、およびファイル

      UE-V ユーザーのセキュリティ グループ

      フォルダーの一覧/データの読み取り、フォルダーの作成/データの追加

      このフォルダーのみ

      すべてのユーザー

      すべてのアクセス許可の削除

      アクセス許可なし

    3. 設定テンプレート カタログ フォルダーに次の共有レベルの SMB アクセス許可を設定します。

      ユーザー アカウント 推奨されるアクセス許可

      すべてのユーザー

      アクセス許可なし

      ドメイン コンピューター

      読み取りアクセス許可レベル

      管理者

      読み取り/書き込みアクセス許可レベル

    4. 設定テンプレート カタログ フォルダーの次の NTFS アクセス許可を設定します。

      ユーザー アカウント 推奨されるアクセス許可 適用先

      作成者/所有者

      フル コントロール

      このフォルダー、サブフォルダー、およびファイル

      ドメイン コンピューター

      フォルダーの内容の一覧、および読み取りアクセス許可

      このフォルダー、サブフォルダー、およびファイル

      すべてのユーザー

      アクセス許可なし

      アクセス許可なし

      管理者

      フル コントロール

      このフォルダー、サブフォルダー、およびファイル

Windows Server 2003 以降の Windows Server によるリダイレクトされたファイル共有のホスト

ユーザー設定のパッケージ ファイルには、クライアント コンピューターと設定パッケージを保存するサーバーとの間で転送される個人情報が含まれます。そのため、このようなネットワークで転送するときはデータを保護する必要があります。

ユーザー設定データには、ネットワーク上でのデータの傍受、ネットワーク上でのデータの改ざん、データをホストするサーバーのスプーフィングなどの潜在的脅威に対して脆弱です。

Windows Server 2003 以降、Windows Server オペレーティング システムではユーザー データのセキュリティ保護に役立つ次のような機能を使用できます。

  • Kerberos - Kerberos は、Microsoft Windows 2000 Server および Windows Server 2003 以降の Windows Server のすべてのバージョンにおいて標準です。Kerberos はネットワーク リソースに対して最高レベルのセキュリティを保証します。NTLM はクライアントのみを認証しますが、Kerberos はサーバーとクライアントを認証します。NTLM を使用する場合、クライアントはサーバーが有効化どうかを認識しません。この違いは、プロファイルのローミングの場合と同様に、クライアントが個人ファイルをサーバーと交換する場合に特に重要です。Kerberos には NTLM よりも高度なセキュリティ機能があります。Microsoft Windows NT Server 4.0 以前のオペレーティング システムでは Kerberos を使用できません。

  • IPsec - IP セキュリティ プロトコル (IPsec) には、ネットワークレベルの認証、データの整合性、および暗号化の機能があります。IPsec によって、以下を確保します。

    • ローミングされるデータを、転送中のデータ変更から保護する。

    • 移動されるデータを、傍受、表示、またはコピーから保護する。

    • ローミングされるデータを、非認証パーティによるアクセスから保護する。

  • SMB 署名 - サーバー メッセージ ブロック (SMB) 認証プロトコルは、アクティブ メッセージ攻撃と "man-in-the-middle" 攻撃を回避するメッセージ認証をサポートします。SMB 署名は、デジタル署名を各 SMB に配置することで、この認証機能を実現しています。配置されたデジタル署名は、クライアントとサーバーの両方から検証されます。SMB 署名を使用するには、まず SMB クライアントと SMB サーバーの両方で SMB 署名を有効にするか、必須にする必要があります。ただし、SMB 署名を使用するとパフォーマンスが低下します。追加のネットワーク帯域幅は使用しませんが、クライアント側とサーバー側でより多くの CPU サイクルが使用されます。

ユーザー データを保存するボリュームでは常に NTFS ファイル システムを使用

構成を最高レベルのセキュリティで保護するには、UE-V 設定ファイルをホストするサーバーが NTFS ファイル システムを使用するように構成します。NTFS は FAT とは異なり、随意アクセス制御リスト (DACL) とシステム アクセス制御リスト (SACL) をサポートしています。DACL と SACL は、ファイルに対して操作を実行できるユーザー、およびファイルで実行されるアクションのログ出力をトリガーするイベントを制御します。

ネットワーク転送時のユーザー ファイルの暗号化は EFS に頼らない

暗号化ファイル システム (EFS) を使用してリモート サーバー上のファイルを暗号化する場合、暗号化対象のデータはネットワークでの転送時に暗号化されません。暗号化はディスクに保存されるときに行われます。

この暗号化プロセスは、システムにインターネット プロトコル セキュリティ (IPsec) または Web 分散オーサリングとバージョン管理 (WebDAV) が含まれる場合には適用されません。IPsec は、TCP/IP ネットワークで転送されるときはデータを暗号化します。ファイルを暗号化してからサーバー上の WebDAV フォルダーにコピーまたは移動する場合、転送中もサーバーに保存されている間も暗号化は維持されます。

UE-V Agent による各ユーザー用フォルダーの作成

UE-V が最適に動作するように、サーバーにルート共有のみを作成し、UE-V Agent で各ユーザー用フォルダーを作成します。UE-V はこれらのユーザー フォルダーを適切なセキュリティで作成します。

このアクセス許可構成では、ユーザーが設定の保存用フォルダーを作成できます。UE-V Agent は、ユーザーのコンテキストでの実行中に設定パッケージ フォルダーを作成して保護します。ユーザーには、自分の設定パッケージ フォルダーに対するフル コントロールが付与されます。他のユーザーはこのフォルダーに対するアクセスを継承しません。管理者が個々のユーザー ディレクトリを作成して保護する必要はありません。これはユーザーのコンテキストで実行されるエージェントによって自動的に実行されます。

注意

設定の保存共有に Windows Server を使用する場合、追加のセキュリティを構成できます。ローカル管理者のグループまたは現在のユーザーが設定パッケージの保存フォルダーの所有者であることを確認するように、UE-V を構成できます。追加のセキュリティを有効にするには、次のコマンドを使用します。

  1. RepositoryOwnerCheckEnabled という REG_DWORD レジストリ キーを HKEY_LOCAL_MACHINE\Software\Microsoft\UEV\Agent\Configuration に追加します。

  2. レジストリ キーの値を 1 に設定します。

この構成設定を使用すると、UE-V Agent はローカル管理者のグループまたは現在のユーザーが設定パッケージ フォルダーの所有者であることを確認します。所有者ではない場合、UE-V Agent はこのフォルダーに対するアクセスを許可しません。

管理者がユーザー用フォルダーを作成する必要がある場合は、正しいアクセス許可を設定するようにします。

フォルダーは事前に作成しないよう強くお勧めします。その代わりに UE-V Agent でユーザー用フォルダーを自動作成するようにします。

ホーム ディレクトリまたはカスタム ディレクトリに UE-V 2 設定を保存する正しいアクセス許可の設定

UE-V 設定をユーザーのホーム ディレクトリまたはカスタムの Active Directory (AD) ディレクトリにリダイレクトする場合、そのディレクトリのアクセス許可が組織に適した設定になっていることを確認します。

UE-V への提案はございますか。

こちらから提案を追加するか、提案に投票してください。UE-V の問題については、「UE-V に関する TechNet フォーラム」を利用してください。

関連項目

その他の参照情報

UE-V 2.x のテクニカル リファレンス