Sicherheit
Dieser Abschnitt enthält empfohlene Verfahren zum Sichern der Profilverwaltung. Als allgemeine Richtlinie sollten Sie die Server, auf denen sich der Benutzerspeicher befindet, sichern, um unerwünschten Zugriff auf Citrix-Benutzerprofildaten zu verhindern.
Empfehlungen zum Erstellen von sicheren Benutzerspeichern finden Sie im Artikel Create a file share for roaming user profiles auf der Microsoft TechNet-Website. Dies sind Mindestanforderungen, die einen hohen Grad an Sicherheit für einfache Operationen garantieren. Schließen Sie außerdem bei der Konfiguration des Zugriffs auf den Benutzerspeicher die Gruppe “Administratoren” mit ein, die erforderlich ist, um ein Citrix-Benutzerprofil zu ändern oder zu entfernen.
Berechtigungen
Citrix testet und empfiehlt die folgenden Berechtigungen für den Benutzerspeicher und den Speicher für plattformübergreifende Einstellungen:
- Freigabeberechtigungen: Vollzugriff auf den Stammordner des Benutzerspeichers
-
Folgende NTFS-Berechtigungen, wie zurzeit von Microsoft empfohlen:
Gruppe oder Benutzername Berechtigung Gilt für Ersteller-Besitzer Vollzugriff Nur Unterordner und Dateien Ordner auflisten / Daten lesen und Ordner erstellen / Daten anhängen Nur dieser Ordner Lokales System Vollzugriff Dieser Ordner, Unterordner und Dateien
Wenn die Vererbung nicht deaktiviert ist, ermöglichen diese Berechtigungen den Konten den Zugriff auf die Speicher. Und mit den Konten können Unterordner für Benutzerprofile erstellt und die notwendigen Lese- und Schreibvorgänge ausgeführt werden.
Über diese Mindestberechtigungen hinaus können Sie die Verwaltung vereinfachen, indem Sie eine Gruppe von Administratoren erstellen, die Vollzugriff auf Unterordner und Dateien haben. Dann können Mitglieder dieser Gruppe leichter Profile löschen (eine häufige Aufgabe bei der Problembehandlung).
Wenn Sie ein Vorlagenprofil verwenden, müssen Benutzer Lesezugriff darauf haben.
Zugriffssteuerungsliste (ACL)
Wenn Sie das Feature für plattformübergreifende Einstellungen verwenden, richten Sie die Zugriffssteuerungslisten für den Ordner, in dem die Definitionsdateien gespeichert werden, folgendermaßen ein: Lesezugriff für authentifizierte Benutzer und Lese-/Schreibzugriff für Administratoren.
Windows-Roamingprofile entfernen Administratorprivilegien automatisch von Ordnern, die Profildaten auf dem Netzwerk enthalten. Die Profilverwaltung entfernt diese Berechtigungen nicht automatisch von den Ordnern im Benutzerspeicher. Abhängig von den Sicherheitsrichtlinien Ihrer Organisation können Sie dies manuell tun.
Hinweis: Wenn eine Anwendung die Zugriffssteuerungsliste (ACL) einer Datei im Benutzerprofil ändert, werden diese Änderungen von der Profilverwaltung nicht im Benutzerspeicher repliziert. Dies entspricht dem Verhalten von Windows-Roamingprofilen.
Profilstreaming und Enterprise-Antivirenprodukte
Das Feature für gestreamte Benutzerprofile der Citrix Profilverwaltung simuliert mit erweiterten NTFS-Features fehlende Dateien in Benutzerprofilen. In dieser Hinsicht ähnelt das Feature einer Produktkategorie, die als Hierarchical Storage Manager (HSM) bekannt ist. HSMs werden typischerweise verwendet, um selten verwendete Dateien auf langsamen Massenspeichergeräten wie Magnetband oder wiederbeschreibbaren optischen Speichern zu archivieren. Wenn solche Dateien benötigt werden, fangen HSM-Treiber die erste Dateianfrage ab, unterbrechen den Prozess, der die Anforderung stellt, rufen die Datei aus dem Archivspeicher ab. Und dann kann die Dateianforderung fortgesetzt werden. Aufgrund dieser Ähnlichkeit ist der Treiber für gestreamte Benutzerprofile, upmjit.sys, als HSM-Treiber definiert.
In einer solchen Umgebung müssen Sie Antivirenprodukte so konfigurieren, dass sie HSM-Treiber erkennen, und das gleiche gilt für Treiber für gestreamte Benutzerprofile. Um sich gegen die komplexesten Bedrohungen zu schützen, müssen Antivirusprodukte einige ihrer Funktionen auf Gerätetreiberebene ausführen. Und wie HSM-Treiber arbeiten sie, indem sie Dateianforderungen abfangen, den ursprünglichen Prozess unterbrechen, die Datei scannen und dann den Prozess wieder aufnehmen.
Ein Antivirenprogramm kann leicht falsch konfiguriert werden und ein HSM-Produkt, wie der Treiber für gestreamte Benutzerprofile, unterbrechen, sodass der Abruf von Dateien aus dem Benutzerspeicher verhindert wird und die Anmeldung dadurch hängen bleibt.
Aus diesem Grund werden Enterprise-Antivirenprodukte aber üblicherweise so geschrieben, dass die Verwendung komplexer Speicherprodukte, wie HSM, berücksichtigt wird. Und sie können so konfiguriert werden, dass der Scan erst Scannen beginnt, nachdem das HSM-Produkt seine Aufgaben erledigt hat Antivirenprodukte für den privaten Gebrauch sind in dieser Hinsicht weniger entwickelt. Aus diesem Grund werden Antivirenprodukte für den privaten Gebrauch und SOHO (Small Office/Home Office) nicht mit gestreamten Benutzerprofilen unterstützt.
Um Ihr Antivirenprodukt für gestreamte Benutzerprofile zu konfigurieren, suchen Sie nach einem der folgenden Produktfeatures. Die Featurenamen sind generisch:
- Liste vertrauenswürdiger Prozesse. Kennzeichnet HSM-Produkte für das Antivirenprodukt, damit das HSM-Produkt das Abrufen der Datei abschließen kann. Das Antivirenprodukt scannt die Datei, wenn zum ersten Mal ein nicht vertrauenswürdiger Prozess darauf zugreift.
- Beim Öffnen oder bei der Statusüberprüfung nicht scannen. Konfiguriert das Antivirenprodukt, eine Datei nur zu scannen, wenn auf Daten zugegriffen wird (z. B. wenn eine Datei ausgeführt oder erstellt wird). Andere Dateizugriffstypen (z. B. wenn eine Datei geöffnet oder der Status überprüft wird) werden vom Antivirenprodukt ignoriert. HSM-Produkte werden normalerweise durch das Öffnen von Dateien oder die Überprüfung des Dateistatus ausgelöst. Das Deaktivieren von Virenscans bei diesen Operationen verhindert also potentielle Konflikte.
Citrix testet gestreamte Benutzerprofile mit Versionen führender Antivirenprodukte für den Unternehmenssektor, um sicherzustellen, dass sie mit der Profilverwaltung kompatibel sind. Zu diesen Versionen gehören u. a.:
- McAfee Virus Scan Enterprise 8.7
- Symantec Endpoint Protection 11.0
- Trend Micro OfficeScan 10
Frühere Versionen dieser Produkte wurden nicht getestet.
Wenn Sie ein Unternehmensantivirenprodukt eines anderen Herstellers verwenden, müssen Sie sicherstellen, dass es HSM-fähig ist. Und es so konfiguriert werden kann, dass HSM-Vorgänge vor dem Ausführen von Scans abgeschlossen werden können.
Bei einigen Antivirenprodukten können Administratoren Scannen-beim-Lesen oder Scannen-beim-Schreiben wählen. Bei dieser Wahl werden Leistung und Sicherheit gegeneinander abgewogen. Das Feature für gestreamte Benutzerprofile wird von dieser Wahl nicht beeinflusst.
Problembehandlung für die Profilverwaltung in Streaming- und Antivirenbereitstellungen
Wenn Probleme auftreten, z. B. hängende oder langsame Anmeldungen, kann dies an einer Fehlkonfiguration zwischen der Profilverwaltung und Ihrem Enterprise-Antivirenprodukt liegen. Versuchen Sie folgende Schritte in dieser Reihenfolge:
- Überprüfen Sie, ob Sie die aktuelle Version der Profilverwaltung haben. Ihr Problem wurde u. U. bereits gefunden und gelöst.
- Fügen Sie den Profilverwaltungsdienst (UserProfileManager.exe) der Liste der vertrauenswürdigen Prozesse für Ihr Enterprise-Antivirenprodukt hinzu.
- Deaktivieren Sie die Virenüberprüfung für HSM-Operationen wie Öffnen, Erstellen, Wiederherstellen und Statusüberprüfung. Führen Sie Virenüberprüfungen nur für Lese- und Schreib-Operationen durch.
- Deaktivieren Sie andere komplexe Virenüberprüfungsfeatures. Antivirenprodukte führen z. B. einen schnellen Scan der ersten Blöcke einer Datei aus, um den Dateityp zu ermitteln. Diese Überprüfungen suchen nach Übereinstimmungen zwischen dem Dateiinhalt und dem deklarierten Dateityp, können sich aber auf HMS-Operationen auswirken.
- Deaktivieren Sie den Suchindexdienst von Windows mindestens für die Ordner, in denen Profile auf lokalen Laufwerken gespeichert sind. Dieser Dienst führt zu unnötigen HSM-Aufrufen und es wurde festgestellt, dass er Konflikte zwischen gestreamten Benutzerprofilen und Enterprise-Antivirenprodukten auslösen kann.
Wenn keiner dieser Schritte hilft, deaktivieren Sie gestreamte Benutzerprofile (indem Sie die Einstellung Profilstreaming deaktivieren). Wenn dies funktioniert, aktivieren Sie das Feature erneut und deaktivieren Sie Ihr Enterprise-Antivirenprodukt. Wenn dies auch funktioniert, stellen Sie die Diagnoseinformationen der Profilverwaltung für den nicht funktionierenden Fall zusammen und wenden Sie sich an den technischen Support von Citrix. Sie müssen dem Support die genaue Version des Enterprise-Antivirenprodukts mitteilen.
Um die Profilverwaltung weiter verwenden zu können, dürfen Sie nicht vergessen, das Enterprise-Antivirenprodukt wieder zu aktivieren und gestreamte Benutzerprofile zu deaktivieren. Andere Features der Profilverwaltung funktionieren weiterhin in dieser Konfiguration. Nur das Streamen von Profilen ist deaktiviert.