Sichern Sie Ihre StoreFront-Bereitstellung

Dieser Artikel beleuchtet Bereiche, die bei der Bereitstellung und Konfiguration von StoreFront Auswirkungen auf die Systemsicherheit haben können.

Endbenutzerauthentifizierung

Normalerweise müssen sich Endbenutzer entweder direkt bei StoreFront oder bei einem Citrix Gateway vor StoreFront authentifizieren. Weitere Informationen zu den verfügbaren Authentifizierungsmethoden finden Sie unter Authentifizierung.

Kommunikation mit Endbenutzern

Citrix empfiehlt, die Kommunikation zwischen den Geräten der Benutzer und StoreFront mithilfe von HTTPS zu sichern. Dadurch wird sichergestellt, dass Passwörter und andere Daten, die zwischen dem Client und StoreFront gesendet werden, verschlüsselt sind. Darüber hinaus können unverschlüsselte HTTP-Verbindungen durch verschiedene Angriffe, wie z. B. Man-in-the-Middle-Angriffe, kompromittiert werden, insbesondere wenn Verbindungen von unsicheren Standorten wie öffentlichen Wi-Fi-Hotspots hergestellt werden. Ohne die entsprechende IIS-Konfiguration verwendet StoreFront HTTP für die Kommunikation.

Je nach Konfiguration können Benutzer über ein Gateway oder einen Lastenausgleich auf StoreFront zugreifen. Sie können die HTTPS-Verbindung am Gateway oder Lastenausgleich beenden. In diesem Fall empfiehlt Citrix jedoch weiterhin, die Verbindungen zwischen dem Gateway oder Lastenausgleich und StoreFront mithilfe von HTTPS zu sichern.

Informationen zum Aktivieren von HTTPS, Deaktivieren von HTTP und Aktivieren von HSTS finden Sie unter Sichern von StoreFront mit HTTPS.

Auf Ihrem NetScaler Gateway oder dem virtuellen Server des Lastenausgleichs können Sie konfigurieren, welche TLS-Versionen aktiviert sind. Es wird empfohlen, ältere TLS-Versionen vor 1.2 zu deaktivieren.

Auf StoreFront-Servern bestimmen Windows und IIS, welche TLS-Versionen für eingehende Verbindungen zugelassen sind. Es wird empfohlen, ältere TLS-Versionen vor 1.2 zu deaktivieren. Unter Windows Server 2025 sind TLS 1.0 und 1.1 standardmäßig deaktiviert. Unter Windows Server 2022 können Sie IIS so konfigurieren, dass TLS 1.0 und 1.1 für Clientverbindungen deaktiviert werden. Weitere Informationen finden Sie unter Sichern von StoreFront mit HTTPS. Auf allen Windows-Serverversionen können Sie TLS 1.0 und 1.1 mithilfe von Gruppenrichtlinien oder Windows-Registrierungseinstellungen deaktivieren. Weitere Informationen finden Sie in der Microsoft-Dokumentation.

Ältere Versionen von Citrix Receiver können keine Verbindung über TLS 1.2 herstellen. Weitere Informationen finden Sie unter CTX232266.

Kommunikation mit Delivery Controllern

Citrix empfiehlt die Verwendung des HTTPS-Protokolls, um die Datenübertragung zwischen StoreFront und Ihren Citrix Virtual Apps and Desktops Delivery Controllern zu sichern. Weitere Informationen finden Sie unter HTTPS auf Delivery Controllern aktivieren. Informationen zum Konfigurieren von StoreFront für die Verwendung von HTTPS finden Sie unter Sites für Citrix Virtual Apps and Desktops hinzufügen und Citrix Gateway-Appliance hinzufügen. Falls die Zertifikate kompromittiert werden, können Sie die Überprüfung der Zertifikatsperrliste (CRL) verwenden. StoreFront verwendet TLS 1.2 oder höher für die Kommunikation mit Delivery Controllern.

Es wird empfohlen, den Delivery Controller und StoreFront so zu konfigurieren, dass nur vertrauenswürdige StoreFront-Server mit dem Delivery Controller kommunizieren können. Weitere Informationen finden Sie unter Sicherheitsschlüssel verwalten.

Kommunikation mit Cloud Connectors

Citrix empfiehlt die Verwendung des HTTPS-Protokolls, um die Datenübertragung zwischen StoreFront und Ihren Cloud Connectors zu sichern. Weitere Informationen finden Sie unter HTTPS-Konfiguration. Informationen zum Konfigurieren von StoreFront finden Sie unter Sites für Citrix Desktops as a Service hinzufügen und Citrix Gateway-Appliance hinzufügen. Falls die Zertifikate kompromittiert werden, können Sie die Überprüfung der Zertifikatsperrliste (CRL) verwenden. StoreFront verwendet TLS 1.2 oder höher für die Kommunikation mit Cloud Connectors.

Es wird empfohlen, DaaS und StoreFront so zu konfigurieren, dass nur vertrauenswürdige StoreFront-Server mit den Cloud Connectors kommunizieren können. Weitere Informationen finden Sie unter Sicherheitsschlüssel verwalten.

Kommunikation mit dem Federated Authentication Service

Informationen zur Kommunikation zwischen StoreFront- und Federated Authentication Service (FAS)-Servern finden Sie unter Federated Authentication Service – Sicherheits- und Netzwerkkonfiguration.

Remotezugriff

Citrix empfiehlt nicht, Ihren StoreFront-Server direkt dem Internet auszusetzen. Citrix empfiehlt die Verwendung eines Citrix Gateways, um Authentifizierung und Zugriff für Remote-Benutzer bereitzustellen.

Härtung von Microsoft Internet Information Services (IIS)

Sie können StoreFront mit einer eingeschränkten IIS-Konfiguration konfigurieren. Beachten Sie, dass dies nicht die Standard-IIS-Konfiguration ist.

Dateinamenerweiterungen

Sie können die Anforderungsfilterung verwenden, um Listen zulässiger Dateinamenerweiterungen zu konfigurieren und nicht aufgelistete Dateinamenerweiterungen zu verbieten. Weitere Informationen finden Sie in der IIS-Dokumentation.

StoreFront erfordert die folgenden Dateinamenerweiterungen:

• . (leere Erweiterung)
• .appcache
• .aspx
• .cr
• .css
• .dtd
• .gif
• .htm
• .html
• .ica®
• .ico
• .jpg
• .js
• .png
• .svg
• .txt
• .xml

Wenn der Download oder das Upgrade der Citrix Workspace-App für eine Store-Website aktiviert ist, benötigt StoreFront auch diese Dateinamenerweiterungen:

• .dmg
• .exe

Wenn die Citrix Workspace-App für HTML5 aktiviert ist, benötigt StoreFront auch diese Dateinamenerweiterungen:

• .eot
• .ttf
• .woff
• .wasm

Verben

Sie können die Anforderungsfilterung verwenden, um eine Liste zulässiger Verben zu konfigurieren und nicht aufgelistete Verben zu verbieten. Weitere Informationen finden Sie in der IIS-Dokumentation.

• GET
• POST
• HEAD

Nicht-ASCII-Zeichen in URLs

Wenn Sie sicherstellen, dass der Store-Name und der Website-Name nur ASCII-Zeichen verwenden, enthalten StoreFront-URLs keine Nicht-ASCII-Zeichen. Sie können die Anforderungsfilterung verwenden, um Nicht-ASCII-Zeichen zu verbieten. Weitere Informationen finden Sie in der IIS-Dokumentation.

MIME-Typen

Sie können OS-Shell-MIME-Typen entfernen, die den folgenden Dateinamenerweiterungen entsprechen:

• .exe
• .dll
• .com
• .bat
• .csh

Weitere Informationen finden Sie in der IIS-Dokumentation.

X-Powered-By-Header entfernen

Standardmäßig enthält IIS einen Header X-Powered-By mit dem Wert ASP.NET. Sie können IIS so konfigurieren, dass dieser Header entfernt wird. Weitere Informationen finden Sie in der IIS-Dokumentation zu benutzerdefinierten Headern.

Server-Header mit IIS-Version entfernen

Standardmäßig meldet IIS die IIS-Version, indem ein Server-Header hinzugefügt wird. Sie können IIS so konfigurieren, dass dieser Header entfernt wird. Weitere Informationen finden Sie in der IIS-Dokumentation zur Anforderungsfilterung.

StoreFront-Website auf eine separate Partition verschieben

Sie können die StoreFront-Websites auf einer separaten Partition von den Systemdateien hosten. Innerhalb von IIS müssen Sie die Standard-Website verschieben oder eine separate Site auf der entsprechenden Partition erstellen, bevor Sie Ihre StoreFront-Bereitstellung erstellen.

IIS-Funktionen

Eine Liste der von StoreFront installierten und verwendeten IIS-Funktionen finden Sie unter Systemanforderungen. Sie können andere IIS-Funktionen entfernen.

Obwohl StoreFront ISAPI-Filter nicht direkt verwendet, wird die Funktion von ASP.NET benötigt und kann daher nicht deinstalliert werden.

Handler-Zuordnungen

StoreFront erfordert die folgenden Handler-Zuordnungen. Sie können andere Handler-Zuordnungen entfernen.

• ExtensionlessUrlHandler-Integrated-4.0
• PageHandlerFactory-Integrated-4.0
• StaticFile

Weitere Informationen finden Sie in der IIS-Handler-Dokumentation.

ISAPI-Filter

StoreFront benötigt keine ISAPI-Filter. Sie können alle ISAPI-Filter entfernen. ASP.NET erfordert jedoch die ISAPI-Windows-Funktion. Weitere Informationen finden Sie in der IIS-ISAPI-Filter-Dokumentation.

.NET-Autorisierungsregeln

Standardmäßig haben IIS-Server die „.NET-Autorisierungsregel“ auf „Alle Benutzer zulassen“ gesetzt. Standardmäßig erbt die von StoreFront verwendete Website diese Konfiguration.

Wenn Sie die .NET-Autorisierungsregel auf Serverebene entfernen oder ändern, müssen Sie die Regeln auf der von StoreFront verwendeten Website überschreiben, um eine Zulassungsregel für „Alle Benutzer“ hinzuzufügen und alle anderen Regeln zu entfernen.

Einzelhandelsmodus

Sie können den Einzelhandelsmodus aktivieren. Weitere Informationen finden Sie in der IIS-Dokumentation.

Anwendungspools

StoreFront erstellt die folgenden Anwendungspools:

• Citrix Configuration Api
• Citrix Delivery Services Authentication
• Citrix Delivery Services Resources
• und Citrix Receiver™ für Web

Ändern Sie nicht die von jeder IIS-Anwendung verwendeten Anwendungspools oder die Identität jedes Pools. Wenn Sie mehrere Sites verwenden, ist es nicht möglich, jede Site so zu konfigurieren, dass sie separate Anwendungspools verwendet.

Unter den Recycling-Einstellungen können Sie das Leerlauf-Timeout des Anwendungspools und das Limit für den virtuellen Speicher festlegen. Beachten Sie, dass beim Recycling des Anwendungspools „Citrix Receiver für Web“ Benutzer, die über einen Webbrowser angemeldet sind, abgemeldet werden. Daher ist er standardmäßig so eingestellt, dass er jeden Tag um 02:00 Uhr recycelt wird, um Unterbrechungen zu minimieren. Wenn Sie eine der Recycling-Einstellungen ändern, kann dies dazu führen, dass Benutzer zu anderen Tageszeiten abgemeldet werden.

Standard-IIS-Startseite

Sie können die Dateien iisstart.htm, welcome.png aus c:\inetpub\wwwroot löschen.

Erforderliche Einstellungen

• Ändern Sie die IIS-Authentifizierungseinstellungen nicht. StoreFront verwaltet die Authentifizierung und konfiguriert die Verzeichnisse der StoreFront-Site mit den entsprechenden Authentifizierungseinstellungen.
• Wählen Sie für den StoreFront-Server unter SSL-Einstellungen nicht Clientzertifikate: Erforderlich aus. Die StoreFront-Installation konfiguriert die entsprechenden Seiten der StoreFront-Site mit dieser Einstellung.
• StoreFront benötigt Cookies für den Sitzungsstatus und andere Funktionen. In bestimmten Verzeichnissen muss unter Sitzungsstatus, Cookie-Einstellungen, Modus die Option Cookies verwenden festgelegt sein.
• StoreFront erfordert, dass die .NET-Vertrauensstufe auf Volle Vertrauenswürdigkeit gesetzt ist. Legen Sie die .NET-Vertrauensstufe nicht auf einen anderen Wert fest.

Dienste

Die StoreFront-Installation erstellt die folgenden Windows-Dienste:

• Citrix Configuration Replication (NT SERVICE\CitrixConfigurationReplication)
• Citrix Cluster Join (NT SERVICE\CitrixClusterService)
• Citrix Peer Resolution (NT SERVICE\Citrix Peer Resolution Service)
• Citrix Credential Wallet (NT SERVICE\CitrixCredentialWallet)
• Citrix Subscriptions Store (NT SERVICE\CitrixSubscriptionsStore)
• Citrix Default Domain Services (NT SERVICE\CitrixDefaultDomainService)

Diese Konten melden sich als Network Service an. Ändern Sie diese Konfiguration nicht.

Wenn Sie die eingeschränkte Kerberos-Delegierung von StoreFront für XenApp 6.5 konfigurieren, wird zusätzlich der Dienst Citrix StoreFront Protocol Transition (NT SERVICE\CitrixStoreFrontProtocolTransition) erstellt. Dieser Dienst wird als NT AUTHORITY\SYSTEM ausgeführt. Ändern Sie diese Konfiguration nicht.

Zuweisung von Benutzerrechten

Das Ändern der Zuweisung von Benutzerrechten gegenüber den Standardeinstellungen kann zu Problemen mit StoreFront führen. Insbesondere:

• Microsoft IIS wird als Teil der StoreFront-Installation aktiviert. Microsoft IIS gewährt der integrierten Gruppe IIS_IUSRS das Anmelde-Recht Als Stapelverarbeitungsauftrag anmelden und das Privileg Einen Client nach der Authentifizierung imitieren. Dies ist ein normales Verhalten der Microsoft IIS-Installation. Ändern Sie diese Benutzerrechte nicht. Weitere Informationen finden Sie in der Microsoft-Dokumentation.

• Wenn Sie StoreFront installieren, werden Anwendungspools erstellt, denen IIS die Benutzerrechte Als Dienst anmelden, Arbeitsspeicherkontingente für einen Prozess anpassen, Sicherheitsüberwachungen generieren und Ein Prozessstufentoken ersetzen gewährt.

• Um eine Bereitstellung zu erstellen oder zu ändern, muss der Administrator die Rechte Dateien und Verzeichnisse wiederherstellen besitzen.

• Damit ein Server einer Servergruppe beitreten kann, muss die Gruppe Administratoren die Rechte Dateien und Verzeichnisse wiederherstellen, Auf diesen Computer vom Netzwerk aus zugreifen und Sicherheitsüberwachungsprotokoll verwalten besitzen.

• Damit sich Benutzer mit Benutzername und Kennwort authentifizieren können (direkt oder über ein Gateway), müssen sie die Rechte zum Lokalen Anmelden zulassen besitzen, es sei denn, Sie haben StoreFront so konfiguriert, dass Kennwörter über den Delivery Controller validiert werden.

Dies ist keine umfassende Liste, und es können weitere Benutzerzugriffsrechte erforderlich sein.

Konfigurieren von Gruppenmitgliedschaften

Wenn Sie eine StoreFront-Servergruppe konfigurieren, werden die folgenden Dienste zur Sicherheitsgruppe Administratoren hinzugefügt:

• Citrix Configuration Replication (NT SERVICE\CitrixConfigurationReplication)
• Citrix Cluster Join (NT SERVICE\CitrixClusterService). Dieser Dienst ist nur auf Servern sichtbar, die Teil einer Gruppe sind, und wird nur ausgeführt, während der Beitritt im Gange ist.

Diese Gruppenmitgliedschaften sind erforderlich, damit StoreFront ordnungsgemäß funktioniert, um:

• Zertifikate zu erstellen, zu exportieren, zu importieren und zu löschen sowie Zugriffsrechte darauf festzulegen
• Die Windows-Registrierung zu lesen und zu schreiben
• Microsoft .NET Framework-Assemblys im Global Assembly Cache (GAC) hinzuzufügen und zu entfernen
• Auf den Ordner Program Files\Citrix\<StoreFrontLocation> zuzugreifen
• IIS-Anwendungspool-Identitäten und IIS-Webanwendungen hinzuzufügen, zu ändern und zu entfernen
• Lokale Sicherheitsgruppen und Firewallregeln hinzuzufügen, zu ändern und zu entfernen
• Windows-Dienste und PowerShell-Snap-Ins hinzuzufügen und zu entfernen
• Microsoft Windows Communication Framework (WCF)-Endpunkte zu registrieren

Bei Updates von StoreFront kann sich diese Liste der Vorgänge ohne vorherige Ankündigung ändern.

Die StoreFront-Installation erstellt auch die folgenden lokalen Sicherheitsgruppen:

• CitrixClusterMembers
• CitrixCWServiceReadUsers
• CitrixCWServiceWriteUsers
• CitrixDelegatedAuthenticatorUsers
• CitrixDelegatedDirectoryClaimFactoryUsers
• CitrixPNRSReplicators
• CitrixPNRSUsers
• CitrixStoreFrontAdministrators
• CitrixSubscriptionServerUsers
• CitrixSubscriptionsStoreServiceUsers
• CitrixSubscriptionsSyncUsers

StoreFront verwaltet die Mitgliedschaft dieser Sicherheitsgruppen. Sie werden für die Zugriffssteuerung innerhalb von StoreFront verwendet und nicht auf Windows-Ressourcen wie Dateien und Ordner angewendet. Ändern Sie diese Gruppenmitgliedschaften nicht.

NTLM

Wenn Sie Favoriten über die lokale ESENT-Datenbank aktiviert haben, verwendet StoreFront möglicherweise NTLM, wenn Favoriten in einer Servergruppe synchronisiert werden. Wenn Sie NTLM deaktivieren, schlägt die Synchronisierung der Favoriten möglicherweise fehl. Alternativ können Sie eine SQL Server-Datenbank verwenden.

Wenn sich Benutzer mit Domänen-Pass-Through-Authentifizierung authentifizieren, verwendet IIS standardmäßig Kerberos, falls möglich, andernfalls fällt es auf NTLM zurück. Wenn sich ein Load Balancer vor StoreFront befindet, fällt es immer auf NTLM zurück.

Sie können den Server so konfigurieren, dass er nur NTLMv2 verwendet und NTLMv1 ablehnt. Siehe Microsoft-Dokumentation. In Windows Server 2025 und höher wurde NTLMv1 entfernt, sodass NTLMv2 immer verwendet wird.

Zertifikate in StoreFront

Serverzertifikate

Serverzertifikate werden für die Maschinenidentifikation und die Transport Layer Security (TLS)-Transportsicherheit in StoreFront verwendet. Wenn Sie sich entscheiden, die ICA-Dateisignierung zu aktivieren, kann StoreFront auch Zertifikate verwenden, um ICA-Dateien digital zu signieren.

Weitere Informationen finden Sie unter Kommunikation zwischen Endbenutzern und StoreFront und ICA-Dateisignierung.

Zertifikate für die Tokenverwaltung

Authentifizierungsdienste und Stores benötigen jeweils Zertifikate für die Tokenverwaltung. StoreFront generiert ein selbstsigniertes Zertifikat, wenn ein Authentifizierungsdienst oder Store erstellt wird. Von StoreFront generierte selbstsignierte Zertifikate sollten nicht für andere Zwecke verwendet werden.

Citrix Delivery Services-Zertifikate

StoreFront speichert eine Reihe von Zertifikaten in einem benutzerdefinierten Windows-Zertifikatspeicher (Citrix Delivery Services). Der Citrix Configuration Replication-Dienst, der Citrix Credential Wallet-Dienst und der Citrix Subscriptions Store-Dienst verwenden diese Zertifikate. Jeder StoreFront-Server in einem Cluster verfügt über eine Kopie dieser Zertifikate. Diese Dienste verlassen sich nicht auf TLS für sichere Kommunikationen, und diese Zertifikate werden nicht als TLS-Serverzertifikate verwendet. Diese Zertifikate werden erstellt, wenn ein StoreFront-Store erstellt oder StoreFront installiert wird. Ändern Sie den Inhalt dieses Windows-Zertifikatspeichers nicht.

Codesignaturzertifikate

StoreFront enthält eine Reihe von PowerShell-Skripten (.ps1) im Ordner <InstallDirectory>\Scripts. Die Standard-StoreFront-Installation verwendet diese Skripte nicht. Sie vereinfachen die Konfigurationsschritte für spezifische und seltene Aufgaben. Diese Skripte sind signiert, wodurch StoreFront die PowerShell-Ausführungsrichtlinie unterstützen kann. Wir empfehlen die Richtlinie AllSigned. (Die Richtlinie Restricted wird nicht unterstützt, da dies die Ausführung von PowerShell-Skripten verhindert.) StoreFront ändert die PowerShell-Ausführungsrichtlinie nicht.

Obwohl StoreFront kein Codesignaturzertifikat im Speicher für vertrauenswürdige Herausgeber installiert, kann Windows das Codesignaturzertifikat dort automatisch hinzufügen. Dies geschieht, wenn das PowerShell-Skript mit der Option Immer ausführen ausgeführt wird. (Wenn Sie die Option Nie ausführen auswählen, wird das Zertifikat dem Speicher für nicht vertrauenswürdige Zertifikate hinzugefügt, und StoreFront-PowerShell-Skripte werden nicht ausgeführt.) Sobald das Codesignaturzertifikat dem Speicher für vertrauenswürdige Herausgeber hinzugefügt wurde, wird dessen Ablaufdatum von Windows nicht mehr überprüft. Sie können dieses Zertifikat nach Abschluss der StoreFront-Aufgaben aus dem Speicher für vertrauenswürdige Herausgeber entfernen.

StoreFront-Sicherheitstrennung

Wenn Sie Webanwendungen auf Ihrem StoreFront-Server im selben Webdomain (Domainname und Port) wie StoreFront bereitstellen, könnten Sicherheitsrisiken in diesen Webanwendungen potenziell die Sicherheit Ihrer StoreFront-Bereitstellung beeinträchtigen. Wo ein höheres Maß an Sicherheitstrennung erforderlich ist, empfiehlt Citrix, StoreFront in einer separaten Webdomain bereitzustellen.

ICA-Downloads

ICA-Dateien enthalten die Informationen zum Verbinden mit VDAs und oft zum einmaligen Anmelden ohne weitere Authentifizierung. Stellen Sie daher sicher, dass ICA-Dateien geschützt sind. Bei hybriden Starts können ICA-Dateien je nach Konfiguration auf das Gerät des Benutzers heruntergeladen werden. Es wird empfohlen, ICA-Downloads zu deaktivieren. Weitere Informationen finden Sie unter Starteinstellungen.

ICA-Dateisignierung

StoreFront bietet die Möglichkeit, ICA-Dateien digital mit einem angegebenen Zertifikat auf dem Server zu signieren, sodass Versionen der Citrix Workspace-App, die diese Funktion unterstützen, überprüfen können, ob die Datei aus einer vertrauenswürdigen Quelle stammt. ICA-Dateien können mit jedem Hash-Algorithmus signiert werden, der vom Betriebssystem des StoreFront-Servers unterstützt wird, einschließlich SHA-1 und SHA-256. Weitere Informationen finden Sie unter ICA-Dateisignierung aktivieren.

App-Schutz

Sie können den App-Schutz verwenden, um Bildschirmaufnahmen und Screenlogger zu verhindern. Bei hybriden Starts ist der App-Schutz standardmäßig deaktiviert. Um ihn zu aktivieren, siehe App-Schutz.

Benutzerkennwort ändern

Sie können Benutzern, die sich über einen Webbrowser mit Active Directory-Domänenanmeldeinformationen anmelden, ermöglichen, ihre Kennwörter jederzeit oder nur bei Ablauf zu ändern. Dies setzt jedoch sensible Sicherheitsfunktionen jedem offen, der auf einen der Stores zugreifen kann, die den Authentifizierungsdienst verwenden. Wenn Ihre Organisation eine Sicherheitsrichtlinie hat, die Kennwortänderungsfunktionen für Benutzer nur für den internen Gebrauch reserviert, stellen Sie sicher, dass keiner der Stores von außerhalb Ihres Unternehmensnetzwerks zugänglich ist. Wenn Sie den Authentifizierungsdienst erstellen, verhindert die Standardkonfiguration, dass Benutzer ihre Kennwörter ändern, selbst wenn diese abgelaufen sind. Weitere Informationen finden Sie unter Benutzern ermöglichen, ihre Kennwörter zu ändern.

Anpassungen

Um die Sicherheit zu erhöhen, blockiert die Content Security Policy Skripte von anderen Servern. Beim Schreiben von Anpassungen platzieren Sie Skripte im custom-Ordner der Website. Wenn StoreFront für HTTPS-Verbindungen konfiguriert ist, stellen Sie sicher, dass alle Links zu benutzerdefinierten Inhalten oder Skripten ebenfalls HTTPS verwenden.

Sicherheits-Header

Beim Anzeigen einer Store-Website über einen Webbrowser gibt StoreFront die folgenden sicherheitsrelevanten Header zurück, die Einschränkungen für den Webbrowser festlegen.

Cookies

StoreFront verwendet mehrere Cookies. Einige der Cookies, die beim Betrieb der Website verwendet werden, sind die folgenden:

StoreFront setzt eine Reihe weiterer Cookies, um den Benutzerstatus zu verfolgen, von denen einige von JavaScript gelesen werden müssen und daher kein HttpOnly gesetzt haben. Diese Cookies enthalten keine Informationen zur Authentifizierung oder andere vertrauliche Informationen.

Wenn der Client über HTTPS verbunden ist, setzt er das secure-Attribut beim Erstellen oder Aktualisieren von Cookies.

Zusätzliche Sicherheitsinformationen

Hinweis:

Diese Informationen können sich jederzeit und ohne vorherige Ankündigung ändern.

Ihre Organisation möchte möglicherweise aus regulatorischen Gründen Sicherheitsüberprüfungen von StoreFront durchführen. Die vorstehenden Konfigurationsoptionen können dazu beitragen, einige Feststellungen in Sicherheitsüberprüfungsberichten zu eliminieren.

Wenn sich ein Gateway zwischen dem Sicherheitsscanner und StoreFront befindet, können sich bestimmte Feststellungen auf das Gateway und nicht auf StoreFront selbst beziehen. Sicherheitsüberprüfungsberichte unterscheiden diese Feststellungen (z. B. TLS-Konfiguration) normalerweise nicht. Aus diesem Grund können technische Beschreibungen in Sicherheitsüberprüfungsberichten irreführend sein.