Sichere Bereitstellung von Director
In diesem Artikel werden Bereiche behandelt, die sich bei der Bereitstellung und Konfiguration von Director auf die Systemsicherheit auswirken können.
Kommunikation mit Director
Verwenden Sie in einer Produktionsumgebung die HTTPS-Protokolle, um den Datenaustausch zwischen Director und Ihren Servern zu sichern. HTTPS verwendet Transport Layer Security (TLS)-Protokolle, um eine starke Datenverschlüsselung bereitzustellen.
Hinweis:
- Citrix empfiehlt dringend, den Zugriff auf die Director-Konsole innerhalb des Intranetnetzwerks einzuschränken.
- Citrix empfiehlt dringend, keine ungeschützten Verbindungen mit Director in einer Produktionsumgebung zu aktivieren.
- Verwenden Sie TLS 1.2 oder höher. Verwenden Sie kein älteres TLS oder SSL.
Informationen zum Sichern der Kommunikation zwischen den Webbrowsern der Benutzer und Director finden Sie unter TLS in Web Studio und Director aktivieren.
Informationen zum Sichern der Kommunikation zwischen Director und Citrix Virtual Apps and Desktops-Servern (für Überwachung und Berichte) finden Sie unter OData-API-Zugriff auf den lokalen Monitor sichern.
Um die Kommunikation zwischen Director und Citrix ADC (für Citrix Insight) für Netzwerkanalyse konfigurieren zu sichern, wählen Sie den Verbindungstyp HTTPS aus.
Microsoft Internetinformationsdienste (IIS) konfigurieren
Sie können Director mit einer eingeschränkten IIS-Konfiguration konfigurieren.
Grenzwerte für Anwendungspoolrecycling
Director verwendet einen Anwendungspool namens Director. Sie können für den Anwendungspool die folgenden Recycling-Grenzwerte festlegen:
- Virtuelles Arbeitsspeicherlimit: 4.294.967.295
- Privates Arbeitsspeicherlimit: Die Größe des physischen Speichers des StoreFront-Servers
- Anforderungslimit: 4.000.000.000
Dateinamenerweiterungen
Während der Installation konfiguriert Director die Anforderungsfilterung so, dass nur die folgenden Erweiterungen zugelassen werden:
- .
- .aspx
- .css
- .eot
- .html
- .ico
- .js
- .png
- .svc
- .svg
- .gif
- .json
- .woff
- .woff2
- .ttf
HTTP-Verben
Während der Installation konfiguriert Director die Anforderungsfilterung so, dass nur die folgenden Verben zulässig sind:
- GET
- POST
- HEAD
IIS-Features
Director benötigt die folgenden IIS-Komponenten nicht:
- ISAPI-Erweiterungen
- CGI-Programme
- FastCGI-Programme
Sie können diese Komponenten entfernen.
.NET-Vertrauensebene
Director erfordert, dass die .NET-Vertrauensebene auf Volles Vertrauen gesetzt wird. Legen Sie für die .NET-Vertrauensstufe keinen anderen Wert fest.
Benutzerrechte konfigurieren
Wenn Director installiert ist, wird seinem Anwendungspool Folgendes gewährt:
- Als Dienst anmelden-Anmelderecht
- Anpassen von Speicherkontingenten für einen Prozess, Generieren von Sicherheitsüberwachungen und Ersetzen eines Tokens auf Prozessebene
Die Zuweisung der Berechtigungen ist normales Installationsverhalten beim Erstellen von Anwendungspools.
Sie brauchen die Benutzerrechte nicht zu ändern. Diese Privilegien werden von Director nicht verwendet und werden automatisch deaktiviert.
Isolierung der Director-Sicherheit
Sie können beliebige Webanwendungen in der Webdomäne (Domänenname und Port) von Director bereitstellen. Allerdings können Sicherheitsrisiken in den Webanwendungen die Sicherheit der Director-Bereitstellung beeinträchtigen. Ist höhere Sicherheit erforderlich, empfiehlt Citrix die Bereitstellung von Director in einer getrennten Webdomäne.