Sichere Director-Bereitstellung
Dieser Artikel beleuchtet Bereiche, die bei der Bereitstellung und Konfiguration von Director Auswirkungen auf die Systemsicherheit haben könnten.
Director-Kommunikation
Verwenden Sie in einer Produktionsumgebung die HTTPS-Protokolle, um die Datenübertragung zwischen Director und Ihren Servern zu sichern. HTTPS verwendet TLS-Protokolle (Transport Layer Security), um eine starke Datenverschlüsselung zu gewährleisten.
Hinweis:
- Citrix® empfiehlt dringend, den Zugriff auf die Director-Konsole auf das Intranet zu beschränken.
- Citrix empfiehlt dringend, in einer Produktionsumgebung keine ungesicherten Verbindungen zu Director zu aktivieren.
- Verwenden Sie TLS 1.2 oder höher. Verwenden Sie kein älteres TLS oder SSL.
Informationen zum Sichern der Kommunikation zwischen den Webbrowsern der Benutzer und Director finden Sie unter TLS für Web Studio und Director aktivieren
Informationen zum Sichern der Kommunikation zwischen Director und Citrix Virtual Apps and Desktops-Servern (für Überwachung und Berichte) finden Sie unter Sichern des Zugriffs auf die lokale Monitor OData-API.
Um die Kommunikation zwischen Director und Citrix ADC (für Citrix Insight) zu sichern, wählen Sie beim Konfigurieren der Netzwerkanalyse den Verbindungstyp HTTPS.
Konfigurieren von Microsoft Internet Information Services (IIS)
Sie können Director mit einer eingeschränkten IIS-Konfiguration konfigurieren.
Grenzwerte für das Recycling von Anwendungspools
Director verwendet einen Anwendungspool namens Director. Sie können die folgenden Grenzwerte für das Recycling von Anwendungspools für den Anwendungspool festlegen:
- Grenze für virtuellen Speicher: 4.294.967.295
- Grenze für privaten Speicher: Die Größe des physischen Speichers des StoreFront™-Servers
- Anforderungsgrenze: 4.000.000.000
Dateinamenerweiterungen
Während der Installation konfiguriert Director die Anforderungsfilterung, sodass nur die folgenden Erweiterungen zugelassen werden:
- .
- .aspx
- .css
- .eot-Datei
- .html-Datei
- ICO-Datei
- .js
- PNG-Datei
- .svc
- .svg
- .gif
- .json
- .woff
- .woff2
- .ttf
HTTP-Verben
Während der Installation konfiguriert Director die Anforderungsfilterung so, dass nur die folgenden Verben zugelassen werden:
- GET
- POST
- HEAD
IIS-Funktionen
Director benötigt die folgenden IIS-Komponenten nicht:
- ISAPI-Erweiterungen
- CGI-Programme
- FastCGI-Programme
Sie können diese Komponenten entfernen.
.NET-Vertrauensstufe
Director erfordert, dass die .NET-Vertrauensstufe auf Volles Vertrauen festgelegt ist. Legen Sie die .NET-Vertrauensstufe nicht auf einen anderen Wert fest.
Benutzerrechte konfigurieren
Wenn Director installiert ist, werden seinem Anwendungspool die folgenden Rechte gewährt:
- Anmelderecht Als Dienst anmelden
- Berechtigungen Arbeitsspeicherkontingente für einen Prozess anpassen, Sicherheitsüberwachungen generieren und Prozessebene-Token ersetzen
Die genannten Rechte und Berechtigungen sind normales Installationsverhalten, wenn Anwendungspools erstellt werden.
Sie müssen diese Benutzerrechte nicht ändern. Diese Berechtigungen werden von Director nicht verwendet und automatisch deaktiviert.
Director-Sicherheitstrennung
Sie können beliebige Webanwendungen in derselben Webdomäne (Domänenname und Port) wie Director bereitstellen. Sicherheitsrisiken in diesen Webanwendungen können jedoch die Sicherheit Ihrer Director-Bereitstellung potenziell verringern. Wo ein höheres Maß an Sicherheitstrennung erforderlich ist, empfiehlt Citrix, Director in einer separaten Webdomäne bereitzustellen.