Product Documentation

安全

Feb 26, 2018

本主题包含为了保护 Profile Management 建议采用的最佳做法。一般来说,保护用户存储所在的服务器可以防止对 Citrix 用户配置文件数据进行不必要的访问。

可以从 Microsoft TechNet Web 站点上的 Create a file share for roaming user profiles(为漫游用户配置文件创建文件共享)一文中获取有关创建安全用户存储的建议。这是确保实现基本操作的高安全性的最低建议。此外,在配置对用户存储的访问时应包括管理员组,只有这样才能修改或删除 Citrix 用户配置文件。

权限

Citrix 经过测试后 建议用户对用户存储和跨平台设置存储具有 以下权限:
  • 共享 权限:完全控制用户存储根文件夹
  • 以下 NTFS 权限(当前由 Microsoft 建议):

    组或用户名

    权限

    适用对象

    创建者/所有者

    完全 控制

    仅子文件夹和文件

    列出 文件夹/读取数据和创建文件夹/追加数据

    仅此 文件夹

    本地系统

    完全 控制

    此 文件夹、子文件夹和文件

假定 未禁用继承功能,则这些权限将允许帐户访问 存储、为用户配置文件创建子文件夹,以及执行必要的读取 和写入操作。

除了此 最低权限之外,您还可以创建仅对子文件夹和文件具有完全控制权限的 管理员组以简化管理。这样做 可以使该组的成员更方便地删除配置文件(常见的 故障排除任务)。

如果使用 模板配置文件,用户需要具有对该文件的读取访问权限。

访问控制列表 (ACL)

如果您使用的是跨平台设置功能,应按如下所示在用于存储定义文件的文件夹上设置 ACL:向已经过身份验证的用户授予读取权限,向管理员授予读取-写入权限。

Windows 漫游配置文件将自动从网络上包含配置文件数据的文件夹中删除管理员权限。Profile Management 不会自动从用户存储中的文件夹中删除这些权限,但根据贵组织的安全策略,可以手动进行删除。

注意:如果应用程序修改了用户配置文件中某个文件的 ACL,Profile Management 不会将这些更改复制到用户存储中。这与 Windows 漫游配置文件的行为一致。

Profile Streaming 和企业防病毒产品

Citrix Profile Management 的流用户配置文件利用高级 NTFS 功能来模拟用户的配置文件中缺少的文件。在这一方面,该功能与称为 Hierarchical Storage Manager(分级存储管理器,HSM)的一类产品非常相似,这类产品通常用于将常用的文件存档到低速大容量存储设备(例如磁带或可重写光存储)上。需要使用此类文件时,HSM 驱动程序会连接第一个文件请求,挂起发出请求的进程,从存档存储中提取该文件,然后允许文件请求继续执行。考虑到这一相似性,流用户配置文件驱动程序 upmjit.sys 实际上定义为 HSM 驱动程序。

在此类环境中,配置能识别 HSM 驱动程序的防病毒产品非常重要,而流用户配置文件驱动程序也是如此。为防止遭受最复杂的威胁,防病毒产品必须在设备驱动程序级别执行某些功能,并且与 HSM 驱动程序类似,它们的工作方式也是拦截文件请求,挂起发出请求的进程,扫描文件,然后继续进行操作。

通常比较容易将防病毒程序错误地配置为中断 HSM(例如流用户配置文件驱动程序),从而阻止该程序从用户存储中提取文件,进而导致登录挂起。

幸运的是,通常在编写企业防病毒产品时会考虑到可能存在复杂的存储库产品(例如 HSM),并且可以将这些防病毒产品配置为延迟扫描,直至 HSM 完成工作。请注意,家用防病毒产品在这方面的复杂性通常较低,因此流用户配置文件不支持使用家用防病毒产品和 SoHo(小型办公环境)防病毒产品。

要将防病毒产品配置为与流用户配置文件一起使用,请查找以下产品功能之一。功能名称仅起到说明作用:
  • 可信进程列表。此功能可将 HSM 识别为防病毒产品,从而允许 HSM 完成文件检索过程。文件首次由不可信的进程访问时,防病毒产品会扫描该文件。
  • 打开或运行状态检查时不扫描。此功能将防病毒产品配置为仅在访问数据(例如,执行或创建文件)时扫描文件。防病毒产品会忽略其他类型的文件访问(例如,打开文件或检查文件状态时)。HSM 通常会激活,以响应文件打开和文件状态检查操作,因此,如果执行这些操作时禁用病毒扫描,会消除可能的冲突。

Citrix 使用企业防病毒产品的最新版本来测试流用户配置文件,以确保这些用户配置文件与 Profile Management 兼容。这些版本包括:

  • McAfee Virus Scan Enterprise 8.7
  • Symantec Endpoint Protection 11.0
  • Trend Micro OfficeScan 10

不检测这些产品的早期版本。

如果您使用的是其他供应商的企业防病毒产品,请确保该产品能识别 HSM,即,可以将该产品配置为允许在执行扫描前完成 HSM 操作。

某些防病毒产品允许管理员选择仅在读取时扫描或仅在写入时扫描。此选项可以根据安全性对性能加以平衡。流用户配置文件功能不受此选项影响。

在流和防病毒部署中对 Profile Management 进行故障排除

如果遇到登录挂起或登录时间过长等问题,则可能是 Profile Management 与企业防病毒产品之间存在错误配置。请按如下顺序尝试执行以下步骤:

  1. 检查您是否有 Profile Management 的最新版本。您遇到的问题可能已找到并得到修正。
  2. 将 Profile Management Service (UserProfileManager.exe) 添加到企业防病毒产品的可信进程列表中。
  3. 对 HSM 操作(例如打开、创建、还原或状态检查)关闭病毒检查。仅对读取或写入操作执行病毒检查。
  4. 关闭其他复杂的病毒检查功能。例如,防病毒产品可能会对文件的前几个块执行快速扫描,以确定实际文件类型。这些检查会将文件内容与声明的文件类型进行匹配,但会影响 HSM 操作。
  5. 关闭 Windows 搜索索引服务,至少为在本地驱动器上存储配置文件的文件夹执行此操作。此服务会导致执行不必要的 HSM 检索,并且已经过观察,会引起流用户配置文件与企业防病毒产品之间争用资源。

如果上述步骤均不起作用,请关闭流用户配置文件(方法是禁用 Profile Streaming 设置。)如果关闭后能正常运行,则请重新启用该功能并禁用企业防病毒产品。如果之后仍能正常运行,则请收集 Profile Management 在无法运行情况下的诊断信息,并联系 Citrix 技术支持。技术支持人员需要知晓企业防病毒产品的确切版本。

要继续使用 Profile Management,请切记要重新启用企业防病毒产品,并关闭流用户配置文件。在此配置中,Profile Management 的其他功能继续发挥作用,只有配置文件的采用流技术推送处于禁用状态。