Product Documentation

Secure

Mar 10, 2017

このトピックでは、Profile managementを保護するための推奨事項について説明します。一般的には、ユーザーストアが置かれているサーバーを保護して、Citrixユーザープロファイルデータへの不要なアクセスを防ぎます。

保護されたユーザーストアの作成に関する推奨事項については、Microsoft TechNet Webサイトの「Create a file share for roaming user profiles」を参照してください。 この推奨事項は、基本操作に対する高レベルのセキュリティを実現します。 また、Administratorsグループがあるユーザーストアへのアクセスを構成する場合は、Citrixユーザープロファイルを変更または削除するために必要とされます。

権限

ユーザーストアおよびクロスプラットフォーム設定ストアに対する次の権限をテストおよび推奨しています。
  • 権限の共有:ユーザーストアルートフォルダーのフルコントロール
  • 現在Microsoftにより推奨されている次のNTFS権限:

    グループまたはユーザー名

    Permission

    適用先

    作成所有者

    フルコントロール

    サブフォルダーおよびファイルのみ

    フォルダーの一覧/データの読み取りおよびフォルダーの作成/データの追加

    このフォルダーのみ

    ローカルシステム

    フルコントロール

    このフォルダー、サブフォルダーおよびファイル

継承は無効になってないという前提で、これらの権限によりアカウントを使ってストアにアクセスし、ユーザーのプロファイルのサブフォルダーを作成して、必要な読み取りおよび書き込み操作を実行します。

また、サブフォルダーとファイルのみのフルコントロールを持つ管理者のグループを作成して管理作業をより簡素化できます。これにより、グループのメンバーによるプロファイル(共通のトラブルシューティングタスク)の削除をより簡単にします。

テンプレートプロファイルを使用している場合、ユーザーはそれに対する読み取りアクセスを必要とします。

ACL(Access Control List:アクセス制御一覧)

クロスプラットフォーム設定機能を使用している場合、定義ファイル保存するフォルダー上で次のようにACLsを設定します:認証ユーザーに対する読み取りアクセス、管理者に対する読み取り/書き込みアクセス。

Windows移動プロファイルは、ネットワーク上のプロファイルデータを含むフォルダーから管理者の権限を自動的に削除します。 Profile managementは、ユーザーストアのフォルダーからこれらの権限を自動的に削除しませんが、組織のセキュリティポリシーによっては、これを手動で削除することができます。

注:アプリケーションがユーザープロファイル内のファイルのACLを変更する場合、Profile managementはユーザーストア内でその変更を繰り返しません。 これは、Windowsの移動プロファイルの動作と一貫性があります。

プロファイルストリーム配信および業務用アンチウィルス製品

Citrix Profile managementのストリーム配信ユーザープロファイル機能は、上級のNTFS機能を使ってユーザーのプロファイルからなくなったファイルの存在をシミュレートします。この点においてこの機能は、磁気テープや書き込み可能な光学式記憶域など、一般的には低速の大容量記憶装置上に使用頻度の低いファイルを保管するために使用される、Hierarchical Storage Managers(HSM)として知られる製品のクラスに非常によく似ています。このようなファイルが必要な場合、HSMドライバーは最初のファイル要求を傍受してから要求の処理を一時停止し、保管記憶域からファイルをフェッチして、ファイル要求の続行を許可します。これと同等の機能を持たせるため、ストリーム配信ユーザードライバーのupmjit.sysが事実上HSMドライバーとして定義されます。

このような環境では、ストリーム配信ユーザープロファイルドライバーと同じく、HSMドライバーを保護するようにアンチウィルス製品を構成することがとても重要です。最も危険な脅威に対する防御を実行するため、HSMドライバーなどのデバイスドライバーレベルでアンチウィルス製品の機能を実行し、ファイル要求を傍受してオリジナルの処理を一時停止し、ファイルをスキャンしてから処理を再開する必要があります。

アンチウィルスプログラムは誤って構成し易く、ストリーム配信ユーザープロファイルドライバーなどHSMで割り込みが発生し、これによりユーザーストアからのファイルのフェッチが妨げられ、ログオンでハングが起こります。

さいわい、業務用アンチウィルス製品は一般的にHSMなどの高性能記憶域製品を対象としていて、HSMが処理を終了するまでスキャンを遅らせるように構成できます。個人向けのアンチウィルス製品は、一般的にこの点については性能が劣っているため、個人向けおよび小規模個人オフィス向けのアンチウィルス製品はストリーム配信ユーザープロファイルではサポートされていません。

ストリーム配信ユーザープロファイルで使用するようにアンチウィルス製品を構成するには、次の機能のいずれかを設定します。ここで示す機能名は、汎用的な名称です。
  • 信頼済みプロセス一覧:アンチウィルス製品にHSMを関連付けて、これによりHSMがファイル取得プロセスを完了できます。アンチウィルス製品は、信頼されてないプロセスにより最初にアクセスされたときにファイルをスキャンします。
  • ファイルを開く場合または状態チェックの場合にスキャンしない:この機能は、(ファイルの実行または作成時など)データにアクセスされたときにのみファイルをスキャンするようにアンチウィルス製品を構成します。(ファイルを開く場合またはファイルの状態をチェックする場合など)ほかの種類のファイルへのアクセスはアンチウィルス製品により無視されます。HSMは一般的にファイルを開くおよびファイル状態をチェックする操作に応じてアクティブとなるため、このような操作におけるウィルススキャンを無効にすると、衝突の発生する可能性を取り除くことができます。

Citrixでは、ストリーム配信ユーザープロファイルを業界をリードする業務用アンチウィルス製品のバージョンでテストして、Profile managementの互換性を確保しています。次のようなアンチウィルス製品をテストしています。

  • McAfee Virus Scan Enterprise 8.7
  • Symantec Endpoint Protection 11.0
  • Trend Micro OfficeScan 10

これらの製品の以前のバージョンについては、テストを行っていません。

これ以外のベンダーの業務用アンチウィルス製品を使用している場合は、それがHSM対応であるか、つまりスキャンを実行する前にHSM操作を完了するよう構成できるかを確認する必要があります。

一部のアンチウィルス製品では、管理者が読み取りスキャンまたは書き込みスキャンのみを選択できます。この選択により、セキュリティとパフォーマンスのバランスをとります。この選択は、ストリーム配信ユーザープロファイル機能には影響しません。

ストリーム配信とアンチウィルスの展開でのProfile managementのトラブルシューティング

ログオンのハングまたは時間がかかりすぎるなどの問題がある場合は、Profile managementと業務用アンチウィルス製品間の構成に誤りがある可能性があります。次の手順を順に実行してみてください。

  1. Profile managementが最新のバージョンかをチェックします。既に同じ問題が報告され、修正されている場合があります。
  2. Profile managementサービス(UserProfileManager.exe)を業務用アンチウィルス製品の信頼済みプロセスの一覧に追加します。
  3. 開く、作成する、リストアする、または状態をチェックするなどのHSM操作でウィルスチェックをオフにします。読み取りまたは書き込み操作でのみウィルスチェックを実行します。
  4. ほかの上級ウィルスチェック機能をオフにします。たとえば、アンチウィルス製品がファイルの最初の数ブロックのクイックスキャンを実行して実際のファイルの種類を判別する可能性があります。これらのチェックは、ファイルコンテンツを宣言されたファイルの種類と一致させますが、HSM操作との衝突が発生する可能性があります。
  5. 最低限、プロファイルが保存されているローカルデバイス上のフォルダーでは、Windows検索インデックスサービスをオフにします。このサービスは、不必要なHSM取得の引き起こし、ストリーム配信ユーザープロファイルと業務用アンチウィルス製品間で競合を発生させます。

これらいずれによっても問題を解決できない場合は、([プロファイルストリーム配信]設定を無効にして)ストリーム配信ユーザープロファイルをオフにしますこれにより問題が解決したら、この機能を再度有効にして、業務用アンチウィルス製品を無効にします。これで問題がない場合は、不作用の事例についてのProfile management診断情報を収集して、Citrixテクニカルサポートに連絡します。この場合、業務用アンチウィルス製品の正確なバージョンを知らせる必要があります。

Profile managementを引き続き使用するには、業務用アンチウィルス製品を再度有効にして、ストリーム配信ユーザープロファイルをオフにするのを忘れないようにします。Profile managementのそのほかの機能は、この構成で引き続き有効です。プロファイルのストリーム配信のみが無効になります。