Considerações de Segurança para UE-V (Windows 10)

Este tópico contém uma breve descrição geral de contas e grupos, ficheiros de registo e outras considerações relacionadas com segurança para a Virtualização da Experiência do Utilizador (UE-V). Para obter mais informações, siga as ligações fornecidas aqui.

Considerações de segurança para a configuração ue-V

Uma vez que os pacotes de definições podem conter informações pessoais, deve ter o cuidado de protegê-los o máximo possível. Em geral, efetue os seguintes passos:

• Restrinja a partilha apenas aos utilizadores que necessitam de acesso. Crie um grupo de segurança para os utilizadores que redirecionaram pastas numa determinada partilha e limitem o acesso apenas a esses utilizadores.
• Quando criar a partilha, oculte a partilha ao colocar um $ a seguir ao nome da partilha. Esta adição oculta a partilha de browsers informais e a partilha não está visível em A Minha Rede Places.
• Dê apenas aos utilizadores o número mínimo de permissões que têm de ter. As tabelas seguintes mostram as permissões necessárias.

1. Defina as seguintes permissões SMB ao nível da partilha para a pasta de localização de armazenamento de definições.

   Conta de utilizador	Permissões recomendadas
   Todos	Sem permissões
   Grupo de segurança do UE-V	Controle total

2. Defina as seguintes permissões do sistema de ficheiros NTFS para a pasta de localização de armazenamento de definições.

   Conta de utilizador	Permissões recomendadas	Pasta
   Criador/Proprietário	Sem permissões	Sem permissões
   Administradores de Domínio	Controle total	Esta pasta, subpastas e ficheiros
   Grupo de segurança de utilizadores UE-V	Listar pasta/ler dados, criar pastas/acrescentar dados	Apenas esta pasta
   Todos	Remover todas as permissões	Sem permissões

3. Defina as seguintes permissões SMB ao nível da partilha para a pasta do catálogo de modelos de definições.

   Conta de utilizador	Permissões recomendadas
   Todos	Sem permissões
   Computadores de domínio	Níveis de permissão de Ler
   Administradores	Níveis de permissão de leitura/escrita

4. Defina as seguintes permissões NTFS para a pasta do catálogo de modelos de definições.

   Conta de utilizador	Permissões recomendadas	Aplicar à
   Criador/Proprietário	Controle total	Esta pasta, subpastas e ficheiros
   Computadores de Domínio	Listar conteúdos de pastas e permissões de Leitura	Esta pasta, subpastas e ficheiros
   Todos	Sem permissões	Sem permissões
   Administradores	Controlo Total	Esta pasta, subpastas e ficheiros

Utilizar Windows Server a partir do Windows Server 2003 para alojar partilhas de ficheiros redirecionadas

Os ficheiros do pacote de definições do utilizador contêm informações pessoais que são transferidas entre o computador cliente e o servidor que armazena os pacotes de definições. Devido a este processo, deve certificar-se de que os dados estão protegidos enquanto passam pela rede.

Os dados das definições do utilizador são vulneráveis a estas potenciais ameaças: intercepção dos dados à medida que passam pela rede, adulteração dos dados à medida que passam pela rede e spoofing do servidor que aloja os dados.

A partir de Windows Server 2003, várias funcionalidades do sistema operativo Windows Server podem ajudar a proteger os dados dos utilizadores:

• Kerberos – o Kerberos é standard em todas as versões do Microsoft Windows 2000 Server e Windows Server a partir do Windows Server 2001. O Kerberos garante o nível mais elevado de segurança para os recursos de rede. O NTLM autentica apenas o cliente; O Kerberos autentica o servidor e o cliente. Quando o NTLM é utilizado, o cliente não sabe se o servidor é válido. Esta diferença é importante se o cliente trocar ficheiros pessoais com o servidor, como é o caso dos Perfis de Utilizador Itinerantes. O Kerberos proporciona uma melhor segurança do que o NTLM. O Kerberos não está disponível no Microsoft Windows NT Server 4.0 ou em sistemas operativos anteriores.

• IPsec – o Protocolo de Segurança ip (IPsec) fornece autenticação ao nível da rede, integridade de dados e encriptação. O IPsec garante que:

  • Os dados percorridos estão a salvo da modificação de dados enquanto os dados estão a ser encaminhados.
  • Os dados percorridos estão a salvo de intercepção, visualização ou cópia.
  • Os dados percorridos estão protegidos contra o acesso por parte de entidades não autenticadas.

• Assinatura SMB – o protocolo de autenticação SMB (Server Message Block) suporta a autenticação de mensagens, o que impede ataques de mensagens ativas e ataques "man-in-the-middle". A assinatura SMB fornece esta autenticação ao colocar uma assinatura digital em cada SMB. Em seguida, a assinatura digital é verificada pelo cliente e pelo servidor. Para utilizar a assinatura SMB, primeiro tem de ativá-la ou tem de a exigir no cliente SMB e no servidor SMB. A assinatura SMB impõe uma penalização de desempenho. Não consome mais largura de banda de rede, mas utiliza mais ciclos de CPU no lado do cliente e do servidor.

Utilizar sempre o sistema de ficheiros NTFS para volumes que contêm dados de utilizador

Para a configuração mais segura, configure os servidores que alojam os ficheiros de definições UE-V para utilizar o sistema de ficheiros NTFS. Ao contrário do sistema de ficheiros FAT, o NTFS suporta listas de controlo de acesso discricionário (DACLs) e listas de controlo de acesso ao sistema (SACLs). Os DACLs e SACLs controlam quem pode efetuar operações num ficheiro e que eventos acionam o registo de ações executadas num ficheiro.

Não dependa do EFS para encriptar ficheiros de utilizador quando são transmitidos através da rede

Quando utiliza o Sistema de Encriptação de Ficheiros (EFS) para encriptar ficheiros num servidor remoto, os dados encriptados não são encriptados durante o trânsito através da rede; só fica encriptada quando é armazenada no disco.

Este processo de encriptação não se aplica quando o seu sistema inclui segurança de Protocolo Internet (IPsec) ou Criação e Controlo de Versões Distribuídos na Web (WebDAV). O IPsec encripta dados enquanto são transportados através de uma rede TCP/IP. Se o ficheiro for encriptado antes de ser copiado ou movido para uma pasta WebDAV num servidor, permanece encriptado durante a transmissão e enquanto está armazenado no servidor.

Permitir que o serviço UE-V crie pastas para cada utilizador

Para garantir que o UE-V funciona da melhor forma, crie apenas a partilha de raiz no servidor e permita que o serviço UE-V crie as pastas para cada utilizador. O UE-V cria estas pastas de utilizador com a segurança adequada.

Esta configuração de permissão permite que os utilizadores criem pastas para o armazenamento de definições. O serviço UE-V cria e protege uma pasta de pacote de definições enquanto é executado no contexto do utilizador. Os utilizadores recebem controlo total sobre a pasta do pacote de definições. Os outros utilizadores não herdam o acesso a esta pasta. Não tem de criar e proteger diretórios de utilizadores individuais. O serviço UE-V que é executado no contexto do utilizador fá-lo automaticamente.

1. Adicione a chave de registo REG_DWORD RepositórioOwnerCheckEnabled a HKEY_LOCAL_MACHINE\Software\Microsoft\UEV\Agent\Configuration.
2. Defina o valor da chave de registo como 1.

Quando esta definição de configuração estiver implementada, o serviço UE-V verifica se o grupo administradores local ou o utilizador atual é o proprietário da pasta do pacote de definições. Caso contrário, o serviço UE-V não concede acesso à pasta.

Se tiver de criar pastas para os utilizadores, certifique-se de que tem as permissões corretas definidas.

Recomendamos vivamente que não crie pastas previamente. Em vez disso, permita que o serviço UE-V crie a pasta para o utilizador.

Garantir as permissões corretas para armazenar as definições do UE-V 2 num diretório raiz ou num diretório personalizado

Se redirecionar as definições ue-V para o diretório raiz de um utilizador ou para um diretório personalizado do Active Directory (AD), certifique-se de que as permissões no diretório estão definidas adequadamente para a sua organização.

Reveja os conteúdos dos modelos de localização das definições e controle o acesso aos mesmos conforme necessário

Quando está a ser criado um modelo de localização de definições, o gerador UE-V utiliza uma consulta LDAP (Lightweight Directory Access Protocol) para obter o nome de utilizador e o endereço de e-mail do utilizador com sessão iniciada atual. Estas informações são armazenadas no modelo como o nome do autor do modelo e o e-mail do autor do modelo. (Nenhuma destas informações é enviada para a Microsoft.)

Se planeia partilhar modelos de localização de definições com qualquer pessoa fora da sua organização, deve rever todas as localizações das definições e certificar-se de que os modelos de localização das definições não contêm informações pessoais ou da empresa. Pode ver os conteúdos ao abrir os ficheiros de modelo de localização de definições com qualquer visualizador XML. Seguem-se formas de ver e remover quaisquer informações pessoais ou empresariais dos ficheiros de modelo de localização de definições antes de partilhar com qualquer pessoa fora da sua empresa:

• Nome do Autor do Modelo – especifique um nome geral e não identificativo para o nome do autor do modelo ou exclua estes dados do modelo.
• Email de Autor de Modelo – especifique um e-mail geral e não identificativo do autor do modelo ou exclua estes dados do modelo.

Para remover o nome do autor do modelo ou o e-mail do autor do modelo, pode utilizar a aplicação geradora UE-V. No gerador, selecione Editar um Modelo de Localização de Definições. Selecione o modelo de localização de definições a editar a partir dos modelos utilizados recentemente ou Navegue até ao ficheiro de modelo de definições. Selecione Seguinte para continuar. Na página Propriedades, remova os dados do nome do autor do modelo ou dos campos de texto de e-mail do autor do modelo. Guarde o modelo de localização das definições.

Tópicos relacionados

Referência técnica do UE-V