Product Documentation

Sichern

Mar 07, 2017

Dieser Abschnitt enthält empfohlene Verfahren zum Sichern der Profilverwaltung. Als allgemeine Richtlinie sollten Sie die Server, auf denen sich der Benutzerspeicher befindet, sichern, um unerwünschten Zugriff auf Citrix Benutzerprofildaten zu verhindern.

Empfehlungen zum Erstellen von sicheren Benutzerspeichern finden Sie im Artikel Create a file share for roaming user profiles auf der Microsoft TechNet-Website. Dies sind Mindestanforderungen, die einen hohen Grad an Sicherheit für einfache Operationen garantieren. Schließen Sie bei der Konfiguration des Zugriffs auf den Benutzerspeicher die Gruppe "Administratoren" mit ein, die erforderlich ist, um ein Citrix Benutzerprofil zu ändern oder zu entfernen.

Berechtigungen

Citrix testet und empfiehlt die folgenden Berechtigungen für den Benutzerspeicher und den Speicher für plattformübergreifende Einstellungen:
  • Freigabeberechtigungen: Vollzugriff auf den Stammordner des Benutzerspeichers
  • Folgende NTFS-Berechtigungen, wie zurzeit von Microsoft empfohlen:

    Gruppe oder Benutzername

    Berechtigung

    Gilt für

    Ersteller-Besitzer

    Vollzugriff

    Nur Unterordner und Dateien

    Ordner auflisten / Daten lesen und Ordner erstellen / Daten anhängen

    Nur dieser Ordner

    Lokales System

    Vollzugriff

    Dieser Ordner, Unterordner und Dateien

Vorausgesetzt dass Vererbung nicht deaktiviert ist, können Konten mit diesen Einstellungen auf die Speicher zugreifen, Unterordner für Benutzerprofile erstellen und die notwendigen Lese- und Schreibvorgänge ausführen.

Über diese Mindestberechtigungen hinaus können Sie die Verwaltung vereinfachen, indem Sie eine Gruppe von Administratoren erstellen, die Vollzugriff auf Unterordner und Dateien haben. Hierdurch können Mitglieder dieser Gruppe leichter Profile löschen (eine häufige Aufgabe bei der Problembehandlung).

Wenn Sie ein Vorlagenprofil verwenden, müssen Benutzer Lesezugriff darauf haben.

Zugriffssteuerungsliste (ACL)

Wenn Sie das Feature für plattformübergreifende Einstellungen verwenden, richten Sie die Zugriffssteuerungslisten für den Ordner, in dem die Definitionsdateien gespeichert werden, folgendermaßen ein: Lesezugriff für authentifizierte Benutzer und Lese-/Schreibzugriff für Administratoren.

Windows-Roamingprofile entfernen Administratorprivilegien automatisch von Ordnern, die Profildaten auf dem Netzwerk enthalten. Die Profilverwaltung entfernt diese Privilegien nicht automatisch von Ordnern im Benutzerspeicher, aber je nach den Sicherheitsrichtlinien in Ihrer Organisation können Sie sie manuell entfernen.

Hinweis: Wenn eine Anwendung die Zugriffssteuerungsliste (ACL) einer Datei im Benutzerprofil ändert, werden diese Änderungen von der Profilverwaltung nicht im Benutzerspeicher repliziert. Dies entspricht dem Verhalten von Windows-Roamingprofilen.

Profilstreaming und Enterprise-Antivirenprodukte

Das Feature für gestreamte Benutzerprofile der Citrix Profilverwaltung simuliert mit erweiterten NTFS-Features fehlende Dateien in Benutzerprofilen. In dieser Hinsicht gleicht dieses Feature einer Produktklasse, die hierarchisches Speichermanagement (HSM) genannt wird; mit diesen Produkten werden üblicherweise selten genutzte Dateien auf langsamen Massenspeichergeräten, z. B. Magnetbändern oder wiederbeschreibbaren optischen Speichermedien, gespeichert. Wenn solche Dateien benötigt werden, fangen HSM-Treiber die erste Dateianfrage ab, unterbrechen den Prozess, der die Anfrage stellt, rufen die Datei aus dem Archivspeicher ab und ermöglichen die Fortsetzung der Dateianfrage. Aufgrund dieser Ähnlichkeit ist der Treiber für gestreamte Benutzerprofile, upmjit.sys, als HSM-Treiber definiert.

In einer solchen Umgebung ist es sehr wichtig, Antivirenprodukte so zu konfigurieren, dass sie HSM-Treiber erkennen, und das gleiche gilt für Treiber für gestreamte Benutzerprofile. Um Schutz vor den komplexesten Bedrohungen zu bieten, müssen Antivirenprodukte manche Funktionen auf Gerätetreiberebene ausführen. Wie HSM-Treiber fangen sie, Dateianfragen ab, setzen den Originalprozess aus, scannen die Datei und setzen die Dateiabfrage fort.

Ein Antivirenprogramm kann leicht falsch konfiguriert werden und ein HSM-Produkt, wie der Treiber für gestreamte Benutzerprofile, unterbrechen, sodass der Abruf von Dateien aus dem Benutzerspeicher verhindert wird und die Anmeldung dadurch hängen bleibt.

Aus diesem Grund werden Enterprise-Antivirenprodukte aber üblicherweise so geschrieben, dass die Verwendung komplexer Speicherprodukte, wie HSM, berücksichtigt wird, und sie erst mit dem Scannen beginnen, nachdem das HSM-Produkt seine Aufgaben erledigt hat. Hinweis: Antivirenprodukte für den Privatgebrauch i. A. nicht so hoch entwickelt. Aus diesem Grund werden Antivirenprodukte für den Privatgebrauch und SOHO (Small Office/Home Office) nicht mit gestreamten Benutzerprofilen unterstützt.

Um Ihr Antivirenprodukt für gestreamte Benutzerprofile zu konfigurieren, suchen Sie nach einem der folgenden Produktfeatures. Die Featurenamen sind generisch:
  • Liste vertrauenswürdiger Prozesse: Hiermit werden HSM-Produkte für das Antivirenprodukt gekennzeichnet, damit das HSM-Produkt das Abrufen der Datei abschließen kann. Das Antivirenprodukt scannt die Datei, wenn zum ersten Mal ein nicht vertrauenswürdiger Prozess darauf zugreift.
  • Bei Öffnen- oder Statusüberprüfungs-Operationen nicht scannen: So wird das Antivirenprodukt konfiguriert, eine Datei nur zu scannen, wenn auf Daten zugegriffen wird (z. B. wenn eine Datei ausgeführt oder erstellt wird). Andere Dateizugriffstypen (z. B. wenn eine Datei geöffnet oder der Status überprüft wird) werden vom Antivirenprodukt ignoriert. HSM-Produkte werden normalerweise durch das Öffnen von Dateien oder die Überprüfung des Dateistatus ausgelöst. Das Deaktivieren von Virenscans bei diesen Operationen verhindert also potentielle Konflikte.

Citrix testet gestreamte Benutzerprofile mit Versionen führender Antivirenprodukte für den Unternehmenssektor, um sicherzustellen, dass sie mit der Profilverwaltung kompatibel sind. Zu diesen Versionen gehören u. a.:

  • McAfee Virus Scan Enterprise 8.7
  • Symantec Endpoint Protection 11.0
  • Trend Micro OfficeScan 10

Frühere Versionen dieser Produkte wurden nicht getestet.

Wenn Sie Enterprise-Antivirenprodukte anderer Hersteller verwenden, stellen Sie sicher, dass diese HMS erkennen, d. h. dass sie so konfiguriert werden können, dass HMS-Operationen abgeschlossen werden können, bevor der Scan beginnt.

Bei einigen Antivirenprodukten können Administratoren zwischen Scannen-beim-Lesen oder Scannen-beim-Schreiben wählen. Bei dieser Wahl werden Leistung und Sicherheit gegeneinander abgewogen. Das Feature für gestreamte Benutzerprofile wird von dieser Wahl nicht beeinflusst.

Problembehandlung für die Profilverwaltung in Streaming- und Antivirenbereitstellungen

Wenn Probleme auftreten, z. B. hängende oder sehr langsame Anmeldungen, kann dies an einer Fehlkonfiguration zwischen der Profilverwaltung und Ihrem Enterprise-Antivirenprodukt liegen. Versuchen Sie folgende Schritte in dieser Reihenfolge:

  1. Überprüfen Sie, ob Sie die aktuelle Version der Profilverwaltung haben. Ihr Problem wurde u. U. bereits gefunden und gelöst.
  2. Fügen Sie den Profilverwaltungsdienst (UserProfileManager.exe) der Liste der vertrauenswürdigen Prozesse für Ihr Enterprise-Antivirenprodukt hinzu.
  3. Deaktivieren Sie die Virenüberprüfung für HSM-Operationen wie Öffnen, Erstellen, Wiederherstellen und Statusüberprüfung. Führen Sie Virenüberprüfungen nur für Lese- und Schreib-Operationen durch.
  4. Deaktivieren Sie andere komplexe Virenüberprüfungsfeatures. Antivirenprodukte führen z. B. einen schnellen Scan der ersten Blöcke einer Datei aus, um den Dateityp zu ermitteln. Diese Überprüfungen suchen nach Übereinstimmungen zwischen dem Dateiinhalt und dem deklarierten Dateityp, können sich aber auf HMS-Operationen auswirken.
  5. Deaktivieren Sie den Suchindexdienst von Windows mindestens für die Ordner, in denen Profile auf lokalen Laufwerken gespeichert sind. Dieser Dienst führt zu unnötigen HSM-Aufrufen und es wurde festgestellt, dass er Konflikte zwischen gestreamten Benutzerprofilen und Enterprise-Antivirenprodukten auslösen kann.

Wenn keiner dieser Schritte hilft, deaktivieren Sie gestreamte Benutzerprofile (indem Sie die Einstellung Profilstreaming deaktivieren). Wenn dies funktioniert, aktivieren Sie das Feature erneut und deaktivieren Sie Ihr Enterprise-Antivirenprodukt. Wenn dies auch funktioniert, stellen Sie die Diagnoseinformationen der Profilverwaltung für den nicht funktionierenden Fall zusammen und wenden Sie sich an den technischen Support von Citrix. Sie müssen dem Support die genaue Version des Enterprise-Antivirenprodukts mitteilen.

Um die Profilverwaltung weiter verwenden zu können, dürfen Sie nicht vergessen, das Enterprise-Antivirenprodukt wieder zu aktivieren und gestreamte Benutzerprofile zu deaktivieren. Andere Features der Profilverwaltung funktionieren weiterhin in dieser Konfiguration; lediglich das Streamen von Profilen ist deaktiviert.