セキュリティ
このトピックでは、Profile Managementを保護するための推奨事項について説明します。一般的には、ユーザーストアが置かれているサーバーを保護して、Citrixユーザープロファイルデータへの不要なアクセスを防ぎます。
保護されたユーザーストアの作成に関する推奨事項については、Microsoft TechNet Webサイトの「移動ユーザープロファイルのファイル共有を作成する」を参照してください。この最小限の推奨事項は、基本操作に対する高レベルのセキュリティを実現します。また、Administratorsグループがあるユーザーストアへのアクセスを構成する場合に、Citrixユーザープロファイルを変更または削除するために必要とされます。
権限
Citrixでは、ユーザーストアおよびクロスプラットフォーム設定ストアに対する次の推奨権限をテストしています:
- 権限の共有:ユーザーストアルートフォルダーのフルコントロール
-
現在Microsoftにより推奨されている次のNTFS権限:
グループまたはユーザー名 権限 適用先 作成所有者 フルコントロール サブフォルダーおよびファイルのみ フォルダーの一覧/データの読み取りおよびフォルダーの作成/データの追加 このフォルダーのみ ローカルシステム フルコントロール このフォルダー、サブフォルダーおよびファイル
継承は無効になっていないという前提で、これらの権限によりアカウントを使ってストアにアクセスできるようにします。また、ユーザーのプロファイルのサブフォルダーを作成して、必要な読み取りおよび書き込み操作を実行できるようにします。
また、サブフォルダーとファイルのみのフルコントロールを持つ管理者のグループを作成して管理作業をより簡素化できます。グループのメンバーによるプロファイル(共通のトラブルシューティングタスク)の削除がより簡単になります。
テンプレートプロファイルを使用している場合、ユーザーはそれに対する読み取りアクセスを必要とします。
ACL(Access Control List:アクセス制御一覧)
クロスプラットフォーム設定機能を使用している場合、定義ファイル保存するフォルダー上で次のようにACLsを設定します:認証ユーザーに対する読み取りアクセス、管理者に対する読み取り/書き込みアクセス。
Windows移動プロファイルは、ネットワーク上のプロファイルデータを含むフォルダーから管理者の権限を自動的に削除します。Profile Managementは、ユーザーストア内のフォルダーからこれらの特権を自動的に削除しません。組織のセキュリティポリシーに応じて、手動で削除することができます。
注:アプリケーションがユーザープロファイル内のファイルのACLを変更する場合、Profile Managementはユーザーストア内でその変更を繰り返しません。この動作は、Windowsの移動プロファイルの動作と一貫性があります。
プロファイルストリーミングおよび業務用アンチウイルス製品
Citrix Profile Managementのストリーム配信ユーザープロファイル機能は、上級のNTFS機能を使ってユーザーのプロファイルからなくなったファイルの存在をシミュレートします。この点においてこの機能は、Hierarchical Storage Managers(HSM)として知られる製品のクラスに似ています。HSMは、磁気テープや書き込み可能な光学式記憶域など、一般的には低速の大容量記憶装置上に使用頻度の低いファイルを保管するために使用されます。このようなファイルが必要な場合、HSMドライバーは最初のファイル要求を傍受してから要求の処理を一時停止し、保管記憶域からファイルをフェッチします。次に、ファイル要求の続行を許可します。これと同等の機能を持たせるため、ストリーム配信ユーザードライバーのupmjit.sysが事実上HSMドライバーとして定義されます。
このような環境では、ストリーム配信ユーザープロファイルドライバーと同じく、HSMドライバーを保護するようにアンチウイルス製品を構成します。最も危険な脅威に対する防御を実行するため、デバイスドライバーレベルでアンチウイルス製品の機能を実行する必要があります。また、HSMドライバーのように、アンチウイルス製品はファイル要求を傍受してオリジナルの処理を一時停止し、ファイルをスキャンしてから処理を再開します。
アンチウイルスプログラムは誤って構成し易く、ストリーム配信ユーザープロファイルドライバーなどHSMで割り込みが発生し、これによりユーザーストアからのファイルのフェッチが妨げられ、ログオンでハングが起こります。
さいわい、業務用アンチウイルス製品は一般的にHSMなどの高性能記憶域製品を対象としています。そのため、HSMが処理を終了するまでスキャンを遅らせるように構成できます。個人向けのアンチウイルス製品は、この点については性能が劣っています。そのため、個人向けおよび小規模個人オフィス向けのアンチウイルス製品はストリーム配信ユーザープロファイルではサポートされていません。
ストリーム配信ユーザープロファイルで使用するようにアンチウイルス製品を構成するには、次の機能のいずれかを設定します。ここで示す機能名は、汎用的な名称です:
- 信頼済みプロセス一覧。アンチウイルス製品にHSMを関連付けて、これによりHSMがファイル取得プロセスを完了できます。アンチウイルス製品は、信頼されてないプロセスにより最初にアクセスされたときにファイルをスキャンします。
- ファイルを開く場合または状態チェックの場合にスキャンしない。(ファイルの実行または作成時など)データにアクセスされたときにのみファイルをスキャンするようにアンチウイルス製品を構成します。(ファイルを開く場合またはファイルの状態をチェックする場合など)ほかの種類のファイルへのアクセスはアンチウイルス製品により無視されます。HSMは一般的にファイルを開くおよびファイル状態をチェックする操作に応じてアクティブとなるため、このような操作におけるウイルススキャンを無効にすると、衝突の発生する可能性を取り除くことができます。
Citrixではストリーム配信ユーザープロファイルを業界をリードする業務用アンチウイルス製品のバージョンでテストして、Profile Managementの互換性を確保しています。次のようなアンチウイルス製品をテストしています:
- McAfee Virus Scan Enterprise 8.7
- Symantec Endpoint Protection 11.0
- Trend Micro OfficeScan 10
これらの製品の以前のバージョンについては、テストを行っていません。
これ以外のベンダーの業務用アンチウイルス製品を使用している場合は、それがHSM対応であるか確認します。HSM対応製品は、スキャンを実行する前にHSM操作を完了するよう構成できます。
一部のアンチウイルス製品では、管理者が読み取りスキャンまたは書き込みスキャンを選択できます。この選択により、セキュリティとパフォーマンスのバランスをとります。この選択は、ストリーム配信ユーザープロファイル機能には影響しません。
ストリーミングとアンチウイルス製品の展開におけるProfile Managementのトラブルシューティング
ログオンのハングまたは時間がかかるなどの問題がある場合は、Profile Managementと業務用アンチウイルス製品間の構成に誤りがある可能性があります。次の手順を順に実行してみてください:
- Profile Managementが最新のバージョンかをチェックします。既に同じ問題が報告され、修正されている場合があります。
- Profile Managementサービス(UserProfileManager.exe)を業務用アンチウイルス製品の信頼済みプロセスの一覧に追加します。
- 開く、作成する、リストアする、または状態をチェックするなどのHSM操作でウイルスチェックをオフにします。読み取りまたは書き込み操作でのみウイルスチェックを実行します。
- ほかの上級ウイルスチェック機能をオフにします。たとえば、アンチウイルス製品がファイルの最初の数ブロックのクイックスキャンを実行して実際のファイルの種類を判別することがあります。これらのチェックは、ファイルコンテンツを宣言されたファイルの種類と一致させますが、HSM操作との衝突が発生する可能性があります。
- 最低限、プロファイルが保存されているローカルデバイス上のフォルダーでは、Windows検索インデックスサービスをオフにします。このサービスは、不必要なHSM取得の引き起こし、ストリーム配信ユーザープロファイルと業務用アンチウイルス製品間で競合を発生させます。
これらいずれによっても問題を解決できない場合は、([プロファイルストリーミング] 設定を無効にして)ストリーム配信ユーザープロファイルをオフにします。問題が解決したら、この機能を再度有効にして、業務用アンチウイルス製品を無効にします。問題がない場合は、正しく動作しない事例についてのProfile Management診断情報を収集して、Citrixテクニカルサポートに連絡しますこの場合、業務用アンチウイルス製品の正確なバージョンを知らせる必要があります。
Profile Managementを引き続き使用するには、業務用アンチウイルス製品を再度有効にして、ストリーム配信ユーザープロファイルをオフにするのを忘れないようにします。Profile Managementのそのほかの機能は、この構成で引き続き有効です。プロファイルのストリーム配信のみが無効になります。