Sichern Sie Ihre StoreFront-Bereitstellung
Dieser Artikel beleuchtet Bereiche, die sich auf die Systemsicherheit bei der Bereitstellung und Konfiguration von StoreFront auswirken können.
Endbenutzerauthentifizierung
Normalerweise müssen sich Endbenutzer entweder direkt bei StoreFront oder bei einem Citrix Gateway vor StoreFront authentifizieren. Weitere Informationen zu den verfügbaren Authentifizierungsmethoden finden Sie unter Authentifizierung.
Kommunikation mit Endbenutzern
Citrix empfiehlt, die Kommunikation zwischen den Geräten der Benutzer und StoreFront mithilfe von HTTPS zu sichern. Dadurch wird sichergestellt, dass Passwörter und andere Daten, die zwischen Client und StoreFront gesendet werden, verschlüsselt sind. Darüber hinaus können reine HTTP-Verbindungen durch verschiedene Angriffe, wie z. B. Man-in-the-Middle-Angriffe, kompromittiert werden, insbesondere wenn Verbindungen von unsicheren Standorten wie öffentlichen Wi-Fi-Hotspots hergestellt werden. Ohne die entsprechende IIS-Konfiguration verwendet StoreFront HTTP für die Kommunikation.
Je nach Konfiguration können Benutzer über ein Gateway oder einen Lastenausgleich auf StoreFront zugreifen. Sie können die HTTPS-Verbindung am Gateway oder Lastenausgleich beenden. In diesem Fall empfiehlt Citrix jedoch weiterhin, die Verbindungen zwischen dem Gateway oder Lastenausgleich und StoreFront mithilfe von HTTPS zu sichern.
Informationen zum Aktivieren von HTTPS, Deaktivieren von HTTP und Aktivieren von HSTS finden Sie unter Sichern von StoreFront mit HTTPS.
Auf Ihrem NetScaler Gateway oder dem virtuellen Server des Lastenausgleichs können Sie konfigurieren, welche TLS-Versionen aktiviert sind. Es wird empfohlen, ältere TLS-Versionen als 1.2 zu deaktivieren.
Auf StoreFront-Servern bestimmen Windows und IIS, welche TLS-Versionen für eingehende Verbindungen zugelassen sind. Es wird empfohlen, ältere TLS-Versionen als 1.2 zu deaktivieren. Unter Windows Server 2022 können Sie IIS so konfigurieren, dass TLS 1.0 und 1.1 für Clientverbindungen deaktiviert werden, siehe Sichern von StoreFront mit HTTPS. Auf allen Windows-Serverversionen können Sie TLS 1.0 und 1.1 mithilfe von Gruppenrichtlinien oder Windows-Registrierungseinstellungen deaktivieren, siehe Microsoft-Dokumentation.
Ältere Versionen von Citrix Receiver können keine Verbindung mit TLS 1.2 herstellen. Weitere Informationen finden Sie unter CTX232266.
Kommunikation mit Delivery Controllern
Citrix empfiehlt die Verwendung des HTTPS-Protokolls, um die Datenübertragung zwischen StoreFront und Ihren Citrix Virtual Apps and Desktops Delivery Controllern zu sichern. Weitere Informationen finden Sie unter HTTPS auf Delivery Controllern aktivieren. Informationen zum Konfigurieren von StoreFront für die Verwendung von HTTPS finden Sie unter Ressourcenfeeds für Citrix Virtual Apps and Desktops hinzufügen und Citrix Gateway-Appliance hinzufügen. Falls die Zertifikate kompromittiert werden, können Sie die Überprüfung der Zertifikatsperrliste (CRL) verwenden. StoreFront verwendet TLS 1.2 oder höher für die Kommunikation mit Delivery Controllern.
Es wird empfohlen, den Delivery Controller und StoreFront so zu konfigurieren, dass nur vertrauenswürdige StoreFront-Server mit dem Delivery Controller kommunizieren können. Siehe Sicherheitsschlüssel verwalten.
Kommunikation mit Cloud Connectors
Citrix empfiehlt die Verwendung des HTTPS-Protokolls, um die Datenübertragung zwischen StoreFront und Ihren Cloud Connectors zu sichern. Siehe HTTPS-Konfiguration. Informationen zur Konfiguration von StoreFront finden Sie unter Ressourcen-Feeds für Citrix Desktops as a Service hinzufügen und Citrix Gateway-Appliance hinzufügen. Falls die Zertifikate kompromittiert werden, können Sie die Überprüfung der Zertifikatsperrliste (CRL-Prüfung) verwenden. StoreFront verwendet TLS 1.2 oder höher für die Kommunikation mit Cloud Connectors.
Es wird empfohlen, DaaS und StoreFront so zu konfigurieren, dass nur vertrauenswürdige StoreFront-Server mit den Cloud Connectors kommunizieren können. Weitere Informationen finden Sie unter Sicherheitsschlüssel verwalten.
Kommunikation mit dem Federated Authentication Service
Informationen zur Kommunikation zwischen StoreFront und Federated Authentication Service (FAS)-Servern finden Sie unter Federated Authentication Service – Sicherheits- und Netzwerkkonfiguration.
Remotezugriff
Citrix empfiehlt nicht, Ihren StoreFront-Server direkt dem Internet auszusetzen. Citrix empfiehlt die Verwendung eines Citrix Gateways, um Authentifizierung und Zugriff für Remote-Benutzer bereitzustellen.
Härtung von Microsoft Internet Information Services (IIS)
Sie können StoreFront mit einer eingeschränkten IIS-Konfiguration konfigurieren. Beachten Sie, dass dies nicht die Standard-IIS-Konfiguration ist.
Dateinamenerweiterungen
Sie können die Anforderungsfilterung verwenden, um Listen zulässiger Dateierweiterungen zu konfigurieren und nicht aufgelistete Dateinamenerweiterungen zu verbieten. Siehe IIS-Dokumentation.
StoreFront erfordert die folgenden Dateinamenerweiterungen:
- . (leere Erweiterung)
- .appcache
- Die Erweiterung .aspx
- .cr
- .css-Endung
- .dtd-Endung
- .gif
- .htm
- .html
- .ica®
- .ico
- .jpg
- .js
- .png
- .svg
- .txt
- .xml
Wenn der Download oder das Upgrade der Citrix Workspace-App für eine Store-Website aktiviert ist, benötigt StoreFront auch diese Dateinamenerweiterungen:
- .dmg
- .exe
Wenn die Citrix Workspace-App für HTML5 aktiviert ist, benötigt StoreFront auch diese Dateinamenerweiterungen:
- .eot
- .ttf
- .woff-Datei
- .wasm-Datei
Verben
Sie können die Anforderungsfilterung verwenden, um eine Liste zulässiger Verben zu konfigurieren und nicht aufgelistete Verben zu verbieten. Siehe IIS-Dokumentation.
- GET
- POST
- HEAD
Nicht-ASCII-Zeichen in URLs
Wenn Sie sicherstellen, dass der Store-Name und der Website-Name nur ASCII-Zeichen verwenden, enthalten StoreFront-URLs keine ASCII-Zeichen. Sie können die Anforderungsfilterung verwenden, um Nicht-ASCII-Zeichen zu verbieten. Siehe IIS-Dokumentation.
MIME-Typen
Sie können OS-Shell-MIME-Typen entfernen, die den folgenden Dateierweiterungen entsprechen:
- .exe-Datei
- .dll-Datei
- .com-Datei
- .bat-Datei
- Der .csh
Siehe IIS-Dokumentation.
X-Powered-By-Header entfernen
Standardmäßig enthält IIS auf Serverebene einen Header X-Powered-By mit dem Wert ASP.NET. StoreFront entfernt diesen Header auf allen StoreFront-Websites. Sie können den Header auch auf Serverebene entfernen, was für alle Websites auf dem Server gilt. Siehe IIS-Dokumentation zu benutzerdefinierten Headern.
Server-Header mit IIS-Version entfernen
Standardmäßig meldet IIS die IIS-Version, indem es einen Server-Header hinzufügt. Sie können IIS so konfigurieren, dass dieser Header entfernt wird. Siehe IIS-Dokumentation zur Anforderungsfilterung.
StoreFront-Website auf eine separate Partition verschieben
Sie können die StoreFront-Websites auf einer separaten Partition von den Systemdateien hosten. Innerhalb von IIS müssen Sie die Standardwebsite verschieben oder eine separate Website auf der entsprechenden Partition erstellen, bevor Sie Ihre StoreFront-Bereitstellung erstellen.
IIS-Funktionen
Eine Liste der von StoreFront installierten und verwendeten IIS-Funktionen finden Sie unter Systemanforderungen. Sie können andere IIS-Funktionen entfernen.
Obwohl StoreFront ISAPI-Filter nicht direkt verwendet, wird die Funktion von ASP.NET benötigt und kann daher nicht deinstalliert werden.
Handlerzuordnungen
StoreFront benötigt die folgenden Handlerzuordnungen. Sie können andere Handlerzuordnungen entfernen.
- ExtensionlessUrlHandler-Integrated-4.0
- PageHandlerFactory-Integrated-4.0
- StaticFile
Siehe IIS Handler-Dokumentation.
ISAPI-Filter
StoreFront benötigt keine ISAPI-Filter. Sie können alle ISAPI-Filter entfernen. ASP.NET erfordert jedoch die ISAPI-Windows-Funktion. Siehe IIS ISAPI-Filter-Dokumentation.
.NET-Autorisierungsregeln
Standardmäßig ist auf IIS-Servern die „.NET-Autorisierungsregel“ auf „Alle Benutzer zulassen“ eingestellt. Standardmäßig erbt die von StoreFront verwendete Website diese Konfiguration.
Wenn Sie die .NET-Autorisierungsregel auf Serverebene entfernen oder ändern, müssen Sie die Regeln auf der von StoreFront verwendeten Website überschreiben, um eine Zulassungsregel für „Alle Benutzer“ hinzuzufügen und alle anderen Regeln zu entfernen.
Retail-Modus
Sie können den Retail-Modus aktivieren, siehe IIS-Dokumentation.
Anwendungspools
StoreFront erstellt die folgenden Anwendungspools:
- Citrix Configuration API
- Citrix Delivery Services Authentication
- Citrix Delivery Services Resources
- und Citrix Receiver™ für Web
Ändern Sie nicht die von jeder IIS-Anwendung verwendeten Anwendungspools oder die Identität jedes Pools. Wenn Sie mehrere Sites verwenden, ist es nicht möglich, jede Site so zu konfigurieren, dass sie separate Anwendungspools verwendet.
Unter den Recycling-Einstellungen können Sie das Leerlauf-Timeout des Anwendungspools und das Limit für den virtuellen Speicher festlegen. Beachten Sie, dass beim Recycling des Anwendungspools „Citrix Receiver für Web“ Benutzer, die über einen Webbrowser angemeldet sind, abgemeldet werden. Daher ist er standardmäßig so eingestellt, dass er täglich um 02:00 Uhr recycelt wird, um Störungen zu minimieren. Wenn Sie eine der Recycling-Einstellungen ändern, kann dies dazu führen, dass Benutzer zu anderen Tageszeiten abgemeldet werden.
Standard-IIS-Startseite
Sie können Dateien iisstart.htm, welcome.png aus c:\inetpub\wwwroot löschen.
Erforderliche Einstellungen
- Ändern Sie nicht die IIS-Authentifizierungseinstellungen. StoreFront verwaltet die Authentifizierung und konfiguriert Verzeichnisse der StoreFront-Site mit den entsprechenden Authentifizierungseinstellungen.
- Wählen Sie für den StoreFront-Server unter SSL-Einstellungen nicht Clientzertifikate: Erforderlich aus. Die StoreFront-Installation konfiguriert die entsprechenden Seiten der StoreFront-Site mit dieser Einstellung.
- StoreFront benötigt Cookies für den Sitzungsstatus und andere Funktionen. In bestimmten Verzeichnissen muss unter Sitzungsstatus, Cookie-Einstellungen, Modus auf Cookies verwenden eingestellt sein.
- StoreFront erfordert, dass die .NET-Vertrauensstufe auf Volles Vertrauen eingestellt ist. Stellen Sie die .NET-Vertrauensstufe nicht auf einen anderen Wert ein.
Dienste
Die StoreFront-Installation erstellt die folgenden Windows-Dienste:
- Citrix Konfigurationsreplikation (NT SERVICE\CitrixConfigurationReplication)
- Citrix Clusterbeitritt (NT SERVICE\CitrixClusterService)
- Citrix Peer-Auflösung (NT SERVICE\Citrix Peer Resolution Service)
- Citrix Anmeldeinformations-Wallet (NT SERVICE\CitrixCredentialWallet)
- Citrix Abonnementsspeicher (NT SERVICE\CitrixSubscriptionsStore)
- Citrix Standarddomänendienste (NT SERVICE\CitrixDefaultDomainService)
Diese Konten melden sich als Network Service an. Ändern Sie diese Konfiguration nicht.
Wenn Sie die eingeschränkte Kerberos-Delegierung von StoreFront für XenApp 6.5 konfigurieren, wird zusätzlich der Dienst Citrix StoreFront Protocol Transition (NT SERVICE\CitrixStoreFrontProtocolTransition) erstellt. Dieser Dienst wird als NT AUTHORITY\SYSTEM ausgeführt. Ändern Sie diese Konfiguration nicht.
Zuweisung von Benutzerrechten
Das Ändern der Zuweisung von Benutzerrechten gegenüber den Standardeinstellungen kann zu Problemen mit StoreFront führen. Insbesondere:
-
Microsoft IIS wird als Teil der StoreFront-Installation aktiviert. Microsoft IIS gewährt der integrierten Gruppe IIS_IUSRS das Anmelde-Recht Als Stapelverarbeitungsauftrag anmelden und das Privileg Nach der Authentifizierung eines Clients die Identität annehmen. Dies ist ein normales Installationsverhalten von Microsoft IIS. Ändern Sie diese Benutzerrechte nicht. Weitere Informationen finden Sie in der Microsoft-Dokumentation.
-
Wenn Sie StoreFront installieren, werden Anwendungspools erstellt, denen IIS die Benutzerrechte Als Dienst anmelden, Arbeitsspeicherkontingente für einen Prozess anpassen, Sicherheitsüberwachungen generieren und Ein Token auf Prozessebene ersetzen gewährt.
-
Um eine Bereitstellung zu erstellen oder zu ändern, muss der Administrator die Rechte Dateien und Verzeichnisse wiederherstellen haben.
-
Damit ein Server einer Servergruppe beitreten kann, muss die Gruppe Administratoren die Rechte Dateien und Verzeichnisse wiederherstellen, Auf diesen Computer vom Netzwerk aus zugreifen und Überwachungs- und Sicherheitsprotokoll verwalten haben.
-
Damit sich Benutzer mit Benutzername und Kennwort (direkt oder über ein Gateway) anmelden können, müssen sie die Rechte Lokale Anmeldung zulassen haben, es sei denn, Sie haben StoreFront so konfiguriert, dass Kennwörter über den Delivery Controller validiert werden.
Dies ist keine vollständige Liste, und es können weitere Benutzerzugriffsrechte erforderlich sein.
Gruppenmitgliedschaften konfigurieren
Wenn Sie eine StoreFront-Servergruppe konfigurieren, werden die folgenden Dienste zur Sicherheitsgruppe „Administratoren“ hinzugefügt:
- Citrix Configuration Replication (NT SERVICE\CitrixConfigurationReplication)
- Citrix Cluster Join (NT SERVICE\CitrixClusterService). Dieser Dienst ist nur auf Servern sichtbar, die Teil einer Gruppe sind, und wird nur ausgeführt, während der Beitritt läuft.
Diese Gruppenmitgliedschaften sind erforderlich, damit StoreFront ordnungsgemäß funktioniert, um:
- Zertifikate zu erstellen, zu exportieren, zu importieren und zu löschen sowie Zugriffsrechte dafür festzulegen
- Die Windows-Registrierung zu lesen und zu schreiben
- Microsoft .NET Framework-Assemblies im Global Assembly Cache (GAC) hinzuzufügen und zu entfernen
- Auf den Ordner Programme\Citrix\<StoreFrontLocation> zuzugreifen
- IIS-Anwendungspool-Identitäten und IIS-Webanwendungen hinzuzufügen, zu ändern und zu entfernen
- Lokale Sicherheitsgruppen und Firewallregeln hinzuzufügen, zu ändern und zu entfernen
- Windows-Dienste und PowerShell-Snap-Ins hinzuzufügen und zu entfernen
- Microsoft Windows Communication Framework (WCF)-Endpunkte zu registrieren
Bei Updates für StoreFront kann sich diese Liste der Vorgänge ohne vorherige Ankündigung ändern.
Die StoreFront-Installation erstellt auch die folgenden lokalen Sicherheitsgruppen:
- CitrixClusterMembers
- CitrixCWServiceReadUsers
- CitrixCWServiceWriteUsers
- CitrixDelegatedAuthenticatorUsers
- CitrixDelegatedDirectoryClaimFactoryUsers
- CitrixPNRSReplicators
- CitrixPNRSUsers
- CitrixStoreFrontAdministrators
- CitrixSubscriptionServerUsers
- CitrixSubscriptionsStoreServiceUsers
- CitrixSubscriptionsSyncUsers
StoreFront verwaltet die Mitgliedschaft dieser Sicherheitsgruppen. Sie werden für die Zugriffssteuerung innerhalb von StoreFront verwendet und nicht auf Windows-Ressourcen wie Dateien und Ordner angewendet. Ändern Sie diese Gruppenmitgliedschaften nicht.
NTLM
Wenn Sie Favoriten über die lokale ESENT-Datenbank aktiviert haben, verwendet StoreFront NTLM, wenn Favoriten zwischen Servern in einer Servergruppe synchronisiert werden. Wenn Sie NTLM deaktivieren, können Favoriten nicht synchronisiert werden. Dies kann mit StoreFront 2203 CU7 oder höher behoben werden. Alternativ können Sie eine SQL Server-Datenbank verwenden.
StoreFront verwendet NTLM, wenn Anmeldeinformationen zwischen Servern in einer Servergruppe synchronisiert werden. Wenn NTLM deaktiviert ist, müssen sich Benutzer möglicherweise erneut authentifizieren, wenn der Lastenausgleichsserver wechselt, mit dem der Benutzer verbunden ist. Dies kann mit StoreFront CU7 oder höher behoben werden. Dies kann durch die Verwendung von Sticky Load Balancing gemildert werden. Beachten Sie, dass für den Webbrowser-Zugriff immer Sticky Load Balancing erforderlich ist.
Wenn sich Benutzer mit der Domänen-Pass-Through-Authentifizierung authentifizieren, verwendet IIS standardmäßig Kerberos, falls möglich, andernfalls fällt es auf NTLM zurück. Wenn sich ein Lastenausgleichsserver vor StoreFront befindet, fällt es immer auf NTLM zurück.
Sie können den Server so konfigurieren, dass er nur NTLMv2 verwendet und NTLMv1 ablehnt. Weitere Informationen finden Sie in der Microsoft-Dokumentation. In Windows Server 2025 und höher wurde NTLMv1 entfernt, sodass immer NTLMv2 verwendet wird.
Zertifikate in StoreFront
Serverzertifikate
Serverzertifikate werden für die Maschinenidentifikation und die Transport Layer Security (TLS)-Transportsicherheit in StoreFront verwendet. Wenn Sie sich entscheiden, die ICA-Dateisignierung zu aktivieren, kann StoreFront auch Zertifikate verwenden, um ICA-Dateien digital zu signieren.
Weitere Informationen finden Sie unter Kommunikation zwischen Endbenutzern und StoreFront und ICA-Dateisignierung.
Zertifikate für die Tokenverwaltung
Authentifizierungsdienste und Stores benötigen jeweils Zertifikate für die Tokenverwaltung. StoreFront generiert ein selbstsigniertes Zertifikat, wenn ein Authentifizierungsdienst oder Store erstellt wird. Von StoreFront generierte selbstsignierte Zertifikate sollten nicht für andere Zwecke verwendet werden.
Citrix Delivery Services-Zertifikate
StoreFront speichert eine Reihe von Zertifikaten in einem benutzerdefinierten Windows-Zertifikatspeicher (Citrix Delivery Services). Der Citrix Configuration Replication-Dienst, der Citrix Credential Wallet-Dienst und der Citrix Subscriptions Store-Dienst verwenden diese Zertifikate. Jeder StoreFront-Server in einem Cluster verfügt über eine Kopie dieser Zertifikate. Diese Dienste verlassen sich nicht auf TLS für sichere Kommunikationen, und diese Zertifikate werden nicht als TLS-Serverzertifikate verwendet. Diese Zertifikate werden erstellt, wenn ein StoreFront-Store erstellt oder StoreFront installiert wird. Ändern Sie den Inhalt dieses Windows-Zertifikatspeichers nicht.
Codesignaturzertifikate
StoreFront enthält eine Reihe von PowerShell-Skripten (.ps1) im Ordner in <InstallDirectory>\Scripts. Die Standardinstallation von StoreFront verwendet diese Skripte nicht. Sie vereinfachen die Konfigurationsschritte für spezifische und seltene Aufgaben. Diese Skripte sind signiert, wodurch StoreFront die PowerShell-Ausführungsrichtlinie unterstützen kann. Wir empfehlen die Richtlinie AllSigned. (Die Richtlinie Restricted wird nicht unterstützt, da dies die Ausführung von PowerShell-Skripten verhindert.) StoreFront ändert die PowerShell-Ausführungsrichtlinie nicht.
Obwohl StoreFront kein Codesignaturzertifikat im Speicher für vertrauenswürdige Herausgeber installiert, kann Windows das Codesignaturzertifikat dort automatisch hinzufügen. Dies geschieht, wenn das PowerShell-Skript mit der Option Immer ausführen ausgeführt wird. (Wenn Sie die Option Nie ausführen auswählen, wird das Zertifikat dem Speicher für nicht vertrauenswürdige Zertifikate hinzugefügt, und StoreFront-PowerShell-Skripte werden nicht ausgeführt.) Sobald das Codesignaturzertifikat dem Speicher für vertrauenswürdige Herausgeber hinzugefügt wurde, wird dessen Ablauf von Windows nicht mehr überprüft. Sie können dieses Zertifikat aus dem Speicher für vertrauenswürdige Herausgeber entfernen, nachdem die StoreFront-Aufgaben abgeschlossen wurden.
StoreFront-Sicherheitstrennung
Wenn Sie Webanwendungen auf Ihrem StoreFront-Server in derselben Webdomäne (Domänenname und Port) wie StoreFront bereitstellen, könnten Sicherheitsrisiken in diesen Webanwendungen potenziell die Sicherheit Ihrer StoreFront-Bereitstellung beeinträchtigen. Wo ein höheres Maß an Sicherheitstrennung erforderlich ist, empfiehlt Citrix, StoreFront in einer separaten Webdomäne bereitzustellen.
ICA-Downloads
ICA-Dateien enthalten die Informationen zum Herstellen einer Verbindung zu VDAs und oft zum einmaligen Anmelden ohne weitere Authentifizierung. Stellen Sie daher sicher, dass ICA-Dateien geschützt sind. Bei hybriden Starts können ICA-Dateien je nach Konfiguration auf das Gerät des Benutzers heruntergeladen werden. Es wird empfohlen, ICA-Downloads zu deaktivieren. Weitere Informationen finden Sie unter Workspace-App-Bereitstellung.
Signieren von ICA-Dateien
StoreFront bietet die Möglichkeit, ICA-Dateien digital mithilfe eines angegebenen Zertifikats auf dem Server zu signieren, damit Versionen der Citrix Workspace-App, die diese Funktion unterstützen, überprüfen können, ob die Datei aus einer vertrauenswürdigen Quelle stammt. ICA-Dateien können mit jedem vom Betriebssystem des StoreFront-Servers unterstützten Hash-Algorithmus signiert werden, einschließlich SHA-1 und SHA-256. Weitere Informationen finden Sie unter Signieren von ICA-Dateien aktivieren.
Benutzerkennwort ändern
Sie können Benutzern, die sich über einen Webbrowser mit Active Directory-Domänenanmeldeinformationen anmelden, ermöglichen, ihre Kennwörter zu ändern, entweder jederzeit oder nur, wenn sie abgelaufen sind. Dies macht jedoch sensible Sicherheitsfunktionen für jeden zugänglich, der auf einen der Stores zugreifen kann, die den Authentifizierungsdienst verwenden. Wenn Ihre Organisation eine Sicherheitsrichtlinie hat, die Benutzerkennwortänderungsfunktionen nur für den internen Gebrauch vorsieht, stellen Sie sicher, dass keiner der Stores von außerhalb Ihres Unternehmensnetzwerks zugänglich ist. Wenn Sie den Authentifizierungsdienst erstellen, verhindert die Standardkonfiguration, dass Benutzer ihre Kennwörter ändern, selbst wenn diese abgelaufen sind. Weitere Informationen finden Sie unter Benutzern das Ändern ihrer Kennwörter ermöglichen.
Anpassungen
Um die Sicherheit zu erhöhen, schreiben Sie keine Anpassungen, die Inhalte oder Skripte von Servern laden, die nicht unter Ihrer Kontrolle stehen. Kopieren Sie den Inhalt oder das Skript in den benutzerdefinierten Ordner der Website, in dem Sie die Anpassungen vornehmen. Wenn StoreFront für HTTPS-Verbindungen konfiguriert ist, stellen Sie sicher, dass alle Links zu benutzerdefinierten Inhalten oder Skripten ebenfalls HTTPS verwenden.
Sicherheits-Header
Beim Anzeigen einer Store-Website über einen Webbrowser gibt StoreFront die folgenden sicherheitsrelevanten Header zurück, die Einschränkungen für den Webbrowser festlegen.
| Header-Name | Wert | Beschreibung |
|---|---|---|
content-security-policy |
frame-ancestors 'none' |
Dies verhindert, dass andere Websites eine StoreFront-Website in einen Frame einbetten, wodurch Clickjacking-Angriffe vermieden werden. StoreFront verwendet Inline-Skripte und -Stile, daher ist es nicht möglich, eine Content-Security-Policy zu verwenden, die diese blockiert. StoreFront-Websites zeigen nur von Administratoren konfigurierte Inhalte an und keine vom Benutzer eingegebenen Inhalte, daher ist es nicht notwendig, Inline-Skripte zu blockieren. |
X-Content-Type-Options |
nosniff |
Dies verhindert MIME-Typ-Sniffing. |
X-Frame-Options |
deny |
Dies verhindert, dass andere Websites StoreFront-Websites in einen Frame einbetten, wodurch Clickjacking-Angriffe vermieden werden. Es wird durch content-security-policy bis frame-ancestors 'none' obsolet, wird aber von einigen älteren Browsern verstanden, die content-security-policy nicht unterstützen. |
X-XSS-Protection |
1; mode=block |
Wird von einigen Browsern verwendet, um XSS-Angriffe (Cross-Site-Scripting) zu mindern |
Cookies
StoreFront verwendet mehrere Cookies. Einige der beim Betrieb der Website verwendeten Cookies sind die folgenden:
| Cookie | Beschreibung |
|---|---|
ASP.NET_SessionId |
Verfolgt die Benutzersitzung einschließlich des Authentifizierungsstatus. Hat HttpOnly gesetzt. |
CtxsAuthId |
Um Session-Fixation-Angriffe zu verhindern, verfolgt StoreFront zusätzlich mit diesem Cookie, ob der Benutzer authentifiziert ist. Es hat HttpOnly gesetzt. |
CsrfToken |
Wird verwendet, um Cross-Site-Request-Forgery über das Standardmuster Cookie-to-header token zu verhindern. Der Server setzt ein Token im Cookie. Der Client liest das Token aus dem Cookie und fügt es in der Abfragezeichenfolge oder einem Header in nachfolgenden Anfragen ein. Dieses Cookie muss HttpOnly nicht gesetzt haben, damit das Client-JavaScript es lesen kann. |
CtxsDeviceId |
Identifiziert das Gerät. Hat HttpOnly gesetzt. |
StoreFront setzt eine Reihe weiterer Cookies, um den Benutzerstatus zu verfolgen. Einige davon müssen von JavaScript gelesen werden und haben daher HttpOnly nicht gesetzt. Diese Cookies enthalten keine Informationen zur Authentifizierung oder andere vertrauliche Informationen.
Wenn der Client über HTTPS verbunden ist, setzt er das Attribut secure beim Erstellen oder Aktualisieren von Cookies.
Zusätzliche Sicherheitsinformationen
Hinweis:
Diese Informationen können sich jederzeit und ohne vorherige Ankündigung ändern.
Ihre Organisation möchte möglicherweise aus regulatorischen Gründen Sicherheitsüberprüfungen von StoreFront durchführen. Die vorstehenden Konfigurationsoptionen können dazu beitragen, einige Ergebnisse in Sicherheitsüberprüfungsberichten zu eliminieren.
Wenn sich ein Gateway zwischen dem Sicherheitsscanner und StoreFront befindet, können sich bestimmte Ergebnisse eher auf das Gateway als auf StoreFront selbst beziehen. Sicherheitsüberprüfungsberichte unterscheiden diese Ergebnisse (z. B. TLS-Konfiguration) normalerweise nicht. Aus diesem Grund können technische Beschreibungen in Sicherheitsüberprüfungsberichten irreführend sein.
In diesem Artikel
- Endbenutzerauthentifizierung
- Kommunikation mit Endbenutzern
- Kommunikation mit Delivery Controllern
- Kommunikation mit Cloud Connectors
- Kommunikation mit dem Federated Authentication Service
- Remotezugriff
- Härtung von Microsoft Internet Information Services (IIS)
- Dienste
- Zuweisung von Benutzerrechten
- Gruppenmitgliedschaften konfigurieren
- NTLM
- Zertifikate in StoreFront
- StoreFront-Sicherheitstrennung
- ICA-Downloads
- Signieren von ICA-Dateien
- Benutzerkennwort ändern
- Anpassungen
- Sicherheits-Header
- Cookies
- Zusätzliche Sicherheitsinformationen