Product Documentation

Sichern der StoreFront-Bereitstellung

Jul 07, 2016

In diesem Abschnitt werden Bereiche behandelt, die sich bei der Bereitstellung und Konfiguration von StoreFront auf die Systemsicherheit auswirken können.

Zertifikate in StoreFront

Serverzertifikate werden verwendet, um Maschinen zu identifizieren und um die Übertragungssicherheit in StoreFront zu gewährleisten. Wenn Sie die ICA-Dateisignierung aktivieren, kann StoreFront auch Zertifikate verwenden, um ICA-Dateien digital zu signieren.

Sowohl die Authentifizierungsdienste als auch Stores benötigen Zertifikate für die Tokenverwaltung. StoreFront generiert ein selbstsigniertes Zertifikat, wenn ein Authentifizierungsdienst oder Store erstellt wird. Von StoreFront generierte, selbstsignierte Zertifikate sollten für keinen anderen Zweck verwendet werden.

Zum Aktivieren der e-mail-basierten Kontenermittlung für Benutzer, die Citrix Receiver auf einem Gerät zum ersten Mal installieren, müssen Sie ein gültiges Serverzertifikat auf dem StoreFront-Server installieren. Des Weiteren muss die vollständige Kette zum Stammzertifikat gültig sein. Um optimale Benutzerfreundlichkeit zu erzielen, installieren Sie ein Zertifikat mit dem Eintrag discoverReceiver.domain für Antragsteller oder Alternativer Antragstellername, wobei domain die Microsoft Active Directory-Domäne ist, die die E-Mail-Konten der Benutzer enthält. Obwohl Sie ein Zertifikat mit Platzhalterzeichen für die Domäne verwenden können, die die E-Mail-Konten der Benutzer enthält, müssen Sie zunächst sicherstellen, dass die Bereitstellung solcher Zertifikate von den Sicherheitsrichtlinien Ihres Unternehmens zugelassen wird. Sie können andere Zertifikate für die Domäne mit den Benutzer-E-Mail-Konten verwenden, den Benutzern wird jedoch bei der ersten Verbindungsherstellung von Citrix Receiver mit dem StoreFront-Server eine Warnung bezüglich des Zertifikats angezeigt. Die e-mail-basierte Kontenermittlung kann nicht mit anderen Zertifikatidentitäten verwendet werden. Weitere Informationen finden Sie unter Konfigurieren der e-mail-basierten Kontenermittlung.

Wenn Benutzer ihre Konten selbst durch Eingeben der Store-URLs in Citrix Receiver konfigurieren, statt über die e-mail-basierte Kontenermittlung, muss das Zertifikat auf dem StoreFront-Server nur für diesen Server gültig sein und eine gültige Kette zum Stammzertifikat haben.

StoreFront-Kommunikation

Citrix empfiehlt für Produktionsumgebungen die Verwendung von IPsec (Internet Protocol Security) oder von HTTPS-Protokollen zum Schutz der Datenübertragung zwischen StoreFront und Ihren Servern. IPsec bietet eine Reihe von Standarderweiterungen des Internetprotokolls, die authentifizierte und verschlüsselte Kommunikation mit Datenintegrität und Schutz vor Wiedergabeangriffen bieten. Da IPsec ein Protokollsatz der Vermittlungsschicht ist, können Protokolle höherer Stufen es unverändert verwenden. HTTPS verwendet Secure Sockets Layer (SSL) und Transport Layer Security (TLS) für eine starke Datenverschlüsselung.

SSL-Relay kann verwendet werden, um den Datenverkehr zwischen StoreFront und XenApp-Servern zu schützen. SSL-Relay ist eine Standardkomponente von XenApp, die die Hostauthentifizierung und Datenverschlüsselung übernimmt.

Citrix empfiehlt, die Kommunikation zwischen StoreFront und Benutzergeräten mit NetScaler Gateway und HTTPS zu schützen. Damit HTTPS verwendet werden kann, müssen die Microsoft Internet Information Services (IIS)-Instanz, auf der der Authentifizierungsdienst gehostet wird, und damit verknüpfte Stores für HTTPS konfiguriert sein. Wenn die entsprechende IIS-Konfiguration nicht verfügbar ist, verwendet StoreFront HTTP für die Kommunikation. Citrix empfiehlt dringend, keine ungeschützten Benutzerverbindungen mit StoreFront in einer Produktionsumgebung zu aktivieren.

Hinweis: SSL 2.0 ist in IIS standardmäßig aktiviert. Da dieses Protokoll inzwischen veraltet ist, empfiehlt Citrix, SSL 2.0 auf StoreFront-Servern zu deaktivieren. Weitere Informationen zum Deaktivieren von Protokollen in IIS finden Sie unter http://support.microsoft.com/kb/187498.

Isolierung der StoreFront-Sicherheit

Falls Sie Webanwendungen in derselben Webdomäne (Domänenname und Port) wie StoreFront bereitstellen, können die mit diesen Webanwendungen verbundenen Sicherheitsrisiken eventuell auch die Sicherheit der StoreFront-Bereitstellung negativ beeinflussen. Ist höhere Sicherheit erforderlich, empfiehlt Citrix die Bereitstellung von StoreFront in einer getrennten Webdomäne.

ICA-Dateisignierung

In StoreFront können ICA-Dateien digital mit einem auf dem Server angegebenen Zertifikat signiert werden, damit Citrix Receiver-Versionen, die dieses Feature unterstützen, sicherstellen können, dass die Datei aus einer vertrauenswürdigen Quelle stammt. ICA-Dateien können mit einem Hashalgorithmus signiert werden, der von dem auf dem StoreFront-Server ausgeführten Betriebssystem unterstützt wird, z. B. SHA-1 und SHA-256. Weitere Informationen finden Sie unter Aktivieren der ICA-Dateisignierung.

Benutzerseitige Kennwortänderung

Sie können Benutzern von Receiver für Web-Sites, die sich mit Active Directory-Domänenanmeldeinformationen anmelden, gestatten, ihre Kennwörter zu ändern, und zwar entweder jederzeit oder nur, wenn sie abgelaufen sind. Dadurch werden jedoch vertrauliche Sicherheitsfunktionen für alle Personen offengelegt, die auf einen der Stores, die diesen Authentifizierungsdienst verwenden, zugreifen können. Wenn Ihr Unternehmen eine Sicherheitsrichtlinie hat, die Funktionen zur Änderung des Kennworts nur zur internen Verwendung reserviert, stellen Sie sicher, dass auf keinen der Stores von außerhalb des Unternehmensnetzwerks zugegriffen werden kann. Beim Erstellen des Authentifizierungsdiensts verhindert die Standardkonfiguration, dass Benutzer von Receiver für Web-Sites ihre Kennwörter ändern, selbst wenn die Kennwörter abgelaufen sind. Weitere Informationen finden Sie unter Optimieren der Benutzererfahrung.