Sichern Sie Ihre StoreFront-Bereitstellung
Dieser Artikel hebt Bereiche hervor, die sich bei der Bereitstellung und Konfiguration von StoreFront auf die Systemsicherheit auswirken können.
Endbenutzerauthentifizierung
Normalerweise müssen sich Endbenutzer entweder direkt bei StoreFront oder bei einem Citrix Gateway vor StoreFront authentifizieren. Weitere Informationen zu verfügbaren Authentifizierungsmethoden finden Sie unter Authentifizierung.
Kommunikation mit Endbenutzern
Citrix empfiehlt, die Kommunikation zwischen den Geräten der Benutzer und StoreFront mithilfe von HTTPS zu sichern. Dadurch wird sichergestellt, dass Passwörter und andere Daten, die zwischen Client und StoreFront gesendet werden, verschlüsselt sind. Darüber hinaus können unverschlüsselte HTTP-Verbindungen durch verschiedene Angriffe, wie z. B. Man-in-the-Middle-Angriffe, kompromittiert werden, insbesondere wenn Verbindungen von unsicheren Standorten wie öffentlichen WLAN-Hotspots hergestellt werden. Ohne die entsprechende IIS-Konfiguration verwendet StoreFront HTTP für die Kommunikation.
Je nach Konfiguration können Benutzer über ein Gateway oder einen Lastausgleich auf StoreFront zugreifen. Sie können die HTTPS-Verbindung am Gateway oder Lastausgleich beenden. In diesem Fall empfiehlt Citrix jedoch weiterhin, die Verbindungen zwischen dem Gateway oder Lastausgleich und StoreFront mithilfe von HTTPS zu sichern.
Um HTTPS zu aktivieren, HTTP zu deaktivieren und HSTS zu aktivieren, siehe Sichern von StoreFront mit HTTPS.
Auf Ihrem NetScaler Gateway oder virtuellen Lastausgleichsserver können Sie konfigurieren, welche TLS-Versionen aktiviert sind. Es wird empfohlen, ältere TLS-Versionen vor 1.2 zu deaktivieren.
Auf StoreFront-Servern bestimmen Windows und IIS, welche TLS-Versionen für eingehende Verbindungen zugelassen sind. Es wird empfohlen, ältere TLS-Versionen vor 1.2 zu deaktivieren. Unter Windows Server 2025 sind TLS 1.0 und 1.1 standardmäßig deaktiviert. Unter Windows Server 2022 können Sie IIS so konfigurieren, dass TLS 1.0 und 1.1 für Clientverbindungen deaktiviert werden; siehe Sichern von StoreFront mit HTTPS. Auf allen Windows-Serverversionen können Sie TLS 1.0 und 1.1 mithilfe von Gruppenrichtlinien oder Windows-Registrierungseinstellungen deaktivieren; siehe Microsoft-Dokumentation.
Ältere Versionen von Citrix Receiver können keine Verbindung über TLS 1.2 herstellen; weitere Details finden Sie unter CTX232266.
Kommunikation mit Delivery Controllern
Citrix empfiehlt die Verwendung des HTTPS-Protokolls, um Daten zu sichern, die zwischen StoreFront und Ihren Citrix Virtual Apps and Desktops Delivery Controllern übertragen werden. Weitere Informationen finden Sie unter HTTPS auf Delivery Controllern aktivieren. Um StoreFront für die Verwendung von HTTPS zu konfigurieren, siehe Sites für Citrix Virtual Apps and Desktops hinzufügen und Citrix Gateway-Appliance hinzufügen. Falls die Zertifikate kompromittiert sind, können Sie die Überprüfung der Zertifikatsperrliste (CRL) verwenden. StoreFront verwendet TLS 1.2 oder höher zur Kommunikation mit Delivery Controllern.
Es wird empfohlen, den Delivery Controller und StoreFront so zu konfigurieren, dass nur vertrauenswürdige StoreFront-Server mit dem Delivery Controller kommunizieren können; siehe Sicherheitsschlüssel verwalten.
Kommunikation mit Cloud Connectors
Citrix empfiehlt die Verwendung des HTTPS-Protokolls, um die Datenübertragung zwischen StoreFront und Ihren Cloud Connectors zu sichern. Siehe HTTPS-Konfiguration. Informationen zur Konfiguration von StoreFront finden Sie unter Sites für Citrix Desktops as a Service hinzufügen und Citrix Gateway-Appliance hinzufügen. Falls die Zertifikate kompromittiert werden, können Sie die Überprüfung der Zertifikatsperrliste (CRL-Prüfung) verwenden. StoreFront verwendet TLS 1.2 oder höher zur Kommunikation mit Cloud Connectors.
Es wird empfohlen, DaaS und StoreFront so zu konfigurieren, dass nur vertrauenswürdige StoreFront-Server mit den Cloud Connectors kommunizieren können. Weitere Informationen finden Sie unter Sicherheitsschlüssel verwalten.
Kommunikation mit dem Federated Authentication Service
Informationen zur Kommunikation zwischen StoreFront und Federated Authentication Service (FAS)-Servern finden Sie unter Federated Authentication Service – Sicherheit und Netzwerkkonfiguration.
Remotezugriff
Citrix empfiehlt nicht, Ihren StoreFront-Server direkt dem Internet auszusetzen. Citrix empfiehlt die Verwendung eines Citrix Gateways, um Authentifizierung und Zugriff für Remote-Benutzer bereitzustellen.
Härtung von Microsoft Internet Information Services (IIS)
Sie können StoreFront mit einer eingeschränkten IIS-Konfiguration konfigurieren. Beachten Sie, dass dies nicht die Standard-IIS-Konfiguration ist.
Dateinamenerweiterungen
Sie können die Anforderungsfilterung verwenden, um eine Liste zulässiger Dateierweiterungen zu konfigurieren und nicht gelistete Dateinamenerweiterungen zu verbieten. Siehe IIS-Dokumentation.
StoreFront erfordert die folgenden Dateinamenerweiterungen:
- . (leere Erweiterung)
- Appcache
- ASPX
- .cr
- .css-Datei
- .dtd-Datei
- .gif
- .htm
- .HTML
- .ICA®
- .ico
- .jpg
- .js
- .PNG
- .SVG
- .txt-Endung
- .xml-Endung
Wenn der Download oder das Upgrade der Citrix Workspace-App für eine Store-Website aktiviert ist, benötigt StoreFront auch diese Dateinamenerweiterungen:
- .dmg-Datei
- Dateiendung .exe
Wenn die Citrix Workspace-App für HTML5 aktiviert ist, benötigt StoreFront auch diese Dateinamenerweiterungen:
- Dateiendung .eot
- Dateiendung .ttf
- Dateiendung .woff
- Dateiendung .wasm
Verben
Sie können die Anforderungsfilterung verwenden, um eine Liste zulässiger Verben zu konfigurieren und nicht gelistete Verben zu verbieten. Siehe IIS-Dokumentation.
- GET
- POST
- HEAD
Nicht-ASCII-Zeichen in URLs
Wenn Sie sicherstellen, dass der Store-Name und der Website-Name nur ASCII-Zeichen verwenden, enthalten StoreFront-URLs keine ASCII-Zeichen. Sie können die Anforderungsfilterung verwenden, um Nicht-ASCII-Zeichen zu verbieten. Siehe IIS-Dokumentation.
MIME-Typen
Sie können OS-Shell-MIME-Typen entfernen, die den folgenden Dateierweiterungen entsprechen:
- .exe-Datei
- .DLL
- .COM
- .bat
- .csh
Siehe IIS-Dokumentation.
X-Powered-By-Header entfernen
Standardmäßig enthält IIS auf Serverebene einen Header X-Powered-By mit dem Wert ASP.NET. StoreFront entfernt diesen Header auf allen StoreFront-Websites. Sie können den Header auch auf Serverebene entfernen, was für alle Websites auf dem Server gilt. Siehe IIS Custom Headers documentation.
Server-Header mit IIS-Version entfernen
Standardmäßig meldet IIS die IIS-Version durch Hinzufügen eines Server-Headers. Sie können IIS so konfigurieren, dass dieser Header entfernt wird. Siehe IIS request filtering documentation.
StoreFront-Website auf eine separate Partition verschieben
Sie können die StoreFront-Websites auf einer separaten Partition von den Systemdateien hosten. Innerhalb von IIS müssen Sie die Standard-Website verschieben oder eine separate Website auf der entsprechenden Partition erstellen, bevor Sie Ihre StoreFront-Bereitstellung erstellen.
IIS-Funktionen
Eine Liste der von StoreFront installierten und verwendeten IIS-Funktionen finden Sie unter Systemanforderungen. Sie können andere IIS-Funktionen entfernen.
Obwohl StoreFront ISAPI-Filter nicht direkt verwendet, ist die Funktion für ASP.NET erforderlich und kann daher nicht deinstalliert werden.
Handlerzuordnungen
StoreFront erfordert die folgenden Handlerzuordnungen. Sie können andere Handlerzuordnungen entfernen.
- ExtensionlessUrlHandler-Integrated-4.0
- PageHandlerFactory-Integrated-4.0
- StaticFile
Siehe IIS-Handler-Dokumentation.
ISAPI-Filter
StoreFront benötigt keine ISAPI-Filter. Sie können alle ISAPI-Filter entfernen. ASP.NET erfordert jedoch die ISAPI-Windows-Funktion. Siehe IIS ISAPI-Filter-Dokumentation.
.NET-Autorisierungsregeln
Standardmäßig ist auf IIS-Servern die „.NET-Autorisierungsregel“ auf „Alle Benutzer zulassen“ eingestellt. Standardmäßig erbt die von StoreFront verwendete Website diese Konfiguration.
Wenn Sie die .NET-Autorisierungsregel auf Serverebene entfernen oder ändern, müssen Sie die Regeln auf der von StoreFront verwendeten Website überschreiben, um eine Zulassungsregel für „Alle Benutzer“ hinzuzufügen und alle anderen Regeln zu entfernen.
Retail-Modus
Sie können den Retail-Modus aktivieren, siehe IIS-Dokumentation.
Anwendungspools
StoreFront erstellt die folgenden Anwendungspools:
- Citrix Configuration Api
- Citrix Delivery Services Authentication
- Citrix Delivery Services Resources
- und Citrix Receiver™ für Web
Ändern Sie nicht die von jeder IIS-Anwendung verwendeten Anwendungspools oder die Identität jedes Pools. Wenn Sie mehrere Sites verwenden, ist es nicht möglich, jede Site so zu konfigurieren, dass sie separate Anwendungspools verwendet.
Unter den Recycling-Einstellungen können Sie das Leerlauf-Timeout des Anwendungspools und das Limit für den virtuellen Speicher festlegen. Beachten Sie, dass beim Recycling des Anwendungspools „Citrix Receiver for Web“ Benutzer, die über einen Webbrowser angemeldet sind, abgemeldet werden. Daher ist er standardmäßig so eingestellt, dass er täglich um 02:00 Uhr recycelt wird, um Störungen zu minimieren. Wenn Sie eine der Recycling-Einstellungen ändern, kann dies dazu führen, dass Benutzer zu anderen Tageszeiten abgemeldet werden.
Standard-IIS-Startseite
Sie können Dateien iisstart.htm, welcome.png aus c:\inetpub\wwwroot löschen.
Erforderliche Einstellungen
- Ändern Sie nicht die IIS-Authentifizierungseinstellungen. StoreFront verwaltet die Authentifizierung und konfiguriert Verzeichnisse der StoreFront-Site mit den entsprechenden Authentifizierungseinstellungen.
- Wählen Sie für den StoreFront-Server unter SSL-Einstellungen nicht Clientzertifikate: Erforderlich aus. Die StoreFront-Installation konfiguriert die entsprechenden Seiten der StoreFront-Site mit dieser Einstellung.
- StoreFront benötigt Cookies für den Sitzungsstatus und andere Funktionen. In bestimmten Verzeichnissen muss unter Sitzungsstatus, Cookie-Einstellungen, Modus auf Cookies verwenden eingestellt sein.
- StoreFront erfordert, dass die .NET-Vertrauensstufe auf Volles Vertrauen eingestellt ist. Stellen Sie die .NET-Vertrauensstufe nicht auf einen anderen Wert ein.
Dienste
Die StoreFront-Installation erstellt die folgenden Windows-Dienste:
- Citrix Konfigurationsreplikation (NT SERVICE\CitrixConfigurationReplication)
- Citrix Cluster-Beitritt (NT SERVICE\CitrixClusterService)
- Citrix Peer-Auflösung (NT SERVICE\Citrix Peer Resolution Service)
- Citrix Credential Wallet (NT SERVICE\CitrixCredentialWallet)
- Citrix Abonnementsspeicher (NT SERVICE\CitrixSubscriptionsStore)
- Citrix Standarddomänendienste (NT SERVICE\CitrixDefaultDomainService)
Diese Konten melden sich als Network Service an. Ändern Sie diese Konfiguration nicht.
Wenn Sie die eingeschränkte Kerberos-Delegierung von StoreFront für XenApp 6.5 konfigurieren, wird zusätzlich der Dienst Citrix StoreFront Protocol Transition (NT SERVICE\CitrixStoreFrontProtocolTransition) erstellt. Dieser Dienst wird als NT AUTHORITY\SYSTEM ausgeführt. Ändern Sie diese Konfiguration nicht.
Zuweisung von Benutzerrechten
Das Ändern der Zuweisung von Benutzerrechten gegenüber den Standardeinstellungen kann zu Problemen mit StoreFront führen. Insbesondere:
-
Microsoft IIS wird als Teil der StoreFront-Installation aktiviert. Microsoft IIS gewährt der integrierten Gruppe IIS_IUSRS das Anmelde-Recht Als Stapelverarbeitungsauftrag anmelden und das Privileg Einen Client nach der Authentifizierung imitieren. Dies ist ein normales Installationsverhalten von Microsoft IIS. Ändern Sie diese Benutzerrechte nicht. Weitere Informationen finden Sie in der Microsoft-Dokumentation.
-
Wenn Sie StoreFront installieren, werden Anwendungspools erstellt, denen IIS die Benutzerrechte Als Dienst anmelden, Arbeitsspeicherkontingente für einen Prozess anpassen, Sicherheitsüberwachungen generieren und Ein Token auf Prozessebene ersetzen gewährt.
-
Um eine Bereitstellung zu erstellen oder zu ändern, muss der Administrator die Rechte Dateien und Verzeichnisse wiederherstellen besitzen.
-
Damit ein Server einer Servergruppe beitreten kann, muss die Gruppe Administratoren die Rechte Dateien und Verzeichnisse wiederherstellen, Auf diesen Computer vom Netzwerk aus zugreifen und Überwachungs- und Sicherheitsprotokoll verwalten besitzen.
-
Damit sich Benutzer mit Benutzername- und Kennwortauthentifizierung (direkt oder über ein Gateway) anmelden können, müssen sie die Rechte für Lokale Anmeldung zulassen besitzen, es sei denn, Sie haben StoreFront so konfiguriert, dass Kennwörter über den Delivery Controller validiert werden.
Dies ist keine umfassende Liste, und andere Benutzerzugriffsrechte können erforderlich sein.
Gruppenmitgliedschaften konfigurieren
Wenn Sie eine StoreFront-Servergruppe konfigurieren, werden die folgenden Dienste der Sicherheitsgruppe Administratoren hinzugefügt:
- Citrix Configuration Replication (NT SERVICE\CitrixConfigurationReplication)
- Citrix Cluster Join (NT SERVICE\CitrixClusterService). Dieser Dienst ist nur auf Servern sichtbar, die Teil einer Gruppe sind, und wird nur ausgeführt, während der Beitritt läuft.
Diese Gruppenmitgliedschaften sind erforderlich, damit StoreFront ordnungsgemäß funktioniert, um:
- Zertifikate erstellen, exportieren, importieren und löschen sowie Zugriffsrechte dafür festlegen
- Die Windows-Registrierung lesen und schreiben
- Microsoft .NET Framework-Assemblys im Global Assembly Cache (GAC) hinzufügen und entfernen
- Auf den Ordner Program Files\Citrix\<StoreFrontLocation> zugreifen
- IIS-Anwendungspool-Identitäten und IIS-Webanwendungen hinzufügen, ändern und entfernen
- Lokale Sicherheitsgruppen und Firewallregeln hinzufügen, ändern und entfernen
- Windows-Dienste und PowerShell-Snap-Ins hinzufügen und entfernen
- Microsoft Windows Communication Framework (WCF)-Endpunkte registrieren
Bei Updates für StoreFront kann sich diese Liste der Vorgänge ohne vorherige Ankündigung ändern.
Die StoreFront-Installation erstellt auch die folgenden lokalen Sicherheitsgruppen:
- CitrixClusterMembers
- CitrixCWServiceReadUsers
- CitrixCWServiceWriteUsers
- CitrixDelegatedAuthenticatorUsers
- CitrixDelegatedDirectoryClaimFactoryUsers
- CitrixPNRSReplicators
- CitrixPNRSUsers
- CitrixStoreFrontAdministrators
- CitrixSubscriptionServerUsers
- CitrixSubscriptionsStoreServiceUsers
- CitrixSubscriptionsSyncUsers
StoreFront verwaltet die Mitgliedschaft dieser Sicherheitsgruppen. Sie werden für die Zugriffssteuerung innerhalb von StoreFront verwendet und nicht auf Windows-Ressourcen wie Dateien und Ordner angewendet. Ändern Sie diese Gruppenmitgliedschaften nicht.
NTLM
Wenn Sie Favoriten über die lokale ESENT-Datenbank aktiviert haben, verwendet StoreFront möglicherweise NTLM, wenn Favoriten in einer Servergruppe synchronisiert werden. Wenn Sie NTLM deaktivieren, schlägt die Synchronisierung der Favoriten möglicherweise fehl. Alternativ können Sie eine SQL Server-Datenbank verwenden.
Wenn sich Benutzer mit Domänen-Pass-Through-Authentifizierung authentifizieren, verwendet IIS standardmäßig Kerberos, falls möglich, andernfalls wird auf NTLM zurückgegriffen. Befindet sich ein Lastenausgleich vor StoreFront, wird immer auf NTLM zurückgegriffen.
Sie können den Server so konfigurieren, dass er nur NTLMv2 verwendet und NTLMv1 ablehnt; siehe Microsoft-Dokumentation. In Windows Server 2025 und höher wurde NTLMv1 entfernt, sodass immer NTLMv2 verwendet wird.
Zertifikate in StoreFront
Serverzertifikate
Serverzertifikate werden für die Maschinenidentifikation und die Transportsicherheit (Transport Layer Security, TLS) in StoreFront verwendet. Wenn Sie die ICA-Dateisignierung aktivieren, kann StoreFront Zertifikate auch zum digitalen Signieren von ICA-Dateien verwenden.
Weitere Informationen finden Sie unter Kommunikation zwischen Endbenutzern und StoreFront und ICA-Dateisignierung.
Zertifikate für die Tokenverwaltung
Authentifizierungsdienste und Stores benötigen jeweils Zertifikate für die Tokenverwaltung. StoreFront generiert ein selbstsigniertes Zertifikat, wenn ein Authentifizierungsdienst oder Store erstellt wird. Von StoreFront generierte selbstsignierte Zertifikate sollten nicht für andere Zwecke verwendet werden.
Citrix Delivery Services-Zertifikate
StoreFront speichert eine Reihe von Zertifikaten in einem benutzerdefinierten Windows-Zertifikatspeicher (Citrix Delivery Services). Der Citrix Configuration Replication-Dienst, der Citrix Credential Wallet-Dienst und der Citrix Subscriptions Store-Dienst verwenden diese Zertifikate. Jeder StoreFront-Server in einem Cluster verfügt über eine Kopie dieser Zertifikate. Diese Dienste verlassen sich nicht auf TLS für sichere Kommunikationen, und diese Zertifikate werden nicht als TLS-Serverzertifikate verwendet. Diese Zertifikate werden erstellt, wenn ein StoreFront-Store erstellt oder StoreFront installiert wird. Ändern Sie den Inhalt dieses Windows-Zertifikatspeichers nicht.
Codesignaturzertifikate
StoreFront enthält eine Reihe von PowerShell-Skripten (.ps1) im Ordner unter <InstallDirectory>\Scripts. Die Standardinstallation von StoreFront verwendet diese Skripte nicht. Sie vereinfachen die Konfigurationsschritte für spezifische und seltene Aufgaben. Diese Skripte sind signiert, wodurch StoreFront die PowerShell-Ausführungsrichtlinie unterstützen kann. Wir empfehlen die Richtlinie AllSigned. (Die Richtlinie Restricted wird nicht unterstützt, da dies die Ausführung von PowerShell-Skripten verhindert.) StoreFront ändert die PowerShell-Ausführungsrichtlinie nicht.
Obwohl StoreFront kein Codesignaturzertifikat im Speicher für vertrauenswürdige Herausgeber installiert, kann Windows das Codesignaturzertifikat dort automatisch hinzufügen. Dies geschieht, wenn das PowerShell-Skript mit der Option Immer ausführen ausgeführt wird. (Wenn Sie die Option Nie ausführen auswählen, wird das Zertifikat dem Speicher für nicht vertrauenswürdige Zertifikate hinzugefügt, und StoreFront-PowerShell-Skripte werden nicht ausgeführt.) Sobald das Codesignaturzertifikat dem Speicher für vertrauenswürdige Herausgeber hinzugefügt wurde, wird dessen Ablaufdatum von Windows nicht mehr überprüft. Sie können dieses Zertifikat aus dem Speicher für vertrauenswürdige Herausgeber entfernen, nachdem die StoreFront-Aufgaben abgeschlossen wurden.
Sicherheitstrennung von StoreFront
Wenn Sie Webanwendungen auf Ihrem StoreFront-Server in derselben Webdomäne (Domänenname und Port) wie StoreFront bereitstellen, könnten Sicherheitsrisiken in diesen Webanwendungen die Sicherheit Ihrer StoreFront-Bereitstellung potenziell verringern. Wo ein höheres Maß an Sicherheitstrennung erforderlich ist, empfiehlt Citrix, StoreFront in einer separaten Webdomäne bereitzustellen.
ICA-Downloads
ICA-Dateien enthalten die Informationen zum Herstellen einer Verbindung zu VDAs und oft auch zum einmaligen Anmelden bei diesen ohne weitere Authentifizierung. Stellen Sie daher sicher, dass ICA-Dateien geschützt sind. Bei Hybrid-Starts können ICA-Dateien je nach Konfiguration auf das Gerät des Benutzers heruntergeladen werden. Es wird empfohlen, ICA-Downloads zu deaktivieren. Weitere Informationen finden Sie unter Starteinstellungen.
Signieren von ICA-Dateien
StoreFront bietet die Möglichkeit, ICA-Dateien digital mit einem angegebenen Zertifikat auf dem Server zu signieren, sodass Versionen der Citrix Workspace-App, die diese Funktion unterstützen, überprüfen können, ob die Datei aus einer vertrauenswürdigen Quelle stammt. ICA-Dateien können mit jedem Hash-Algorithmus signiert werden, der vom Betriebssystem des StoreFront-Servers unterstützt wird, einschließlich SHA-1 und SHA-256. Weitere Informationen finden Sie unter ICA-Dateisignierung aktivieren.
App-Schutz
Sie können App Protection verwenden, um Bildschirmaufnahmen und Screen Logger zu verhindern. Bei Hybrid-Starts ist App Protection standardmäßig deaktiviert. Informationen zum Aktivieren finden Sie unter App Protection.
Benutzerkennwort ändern
Sie können Benutzern, die sich über einen Webbrowser mit Active Directory-Domänenanmeldeinformationen anmelden, erlauben, ihre Kennwörter jederzeit oder nur bei Ablauf zu ändern. Dies setzt jedoch sensible Sicherheitsfunktionen jedem aus, der auf einen der Stores zugreifen kann, die den Authentifizierungsdienst verwenden. Wenn Ihre Organisation eine Sicherheitsrichtlinie hat, die Funktionen zur Änderung von Benutzerkennwörtern nur für den internen Gebrauch reserviert, stellen Sie sicher, dass keiner der Stores von außerhalb Ihres Unternehmensnetzwerks zugänglich ist. Wenn Sie den Authentifizierungsdienst erstellen, verhindert die Standardkonfiguration, dass Benutzer ihre Kennwörter ändern, selbst wenn diese abgelaufen sind. Weitere Informationen finden Sie unter Benutzern das Ändern ihrer Kennwörter ermöglichen.
Anpassungen
Zur Erhöhung der Sicherheit blockiert die Content Security Policy Skripte von anderen Servern. Wenn Sie Anpassungen schreiben, platzieren Sie Skripte im Ordner custom der Website. Wenn StoreFront für HTTPS-Verbindungen konfiguriert ist, stellen Sie sicher, dass alle Links zu benutzerdefinierten Inhalten oder Skripten ebenfalls HTTPS verwenden.
Sicherheits-Header
Beim Anzeigen einer Store-Website über einen Webbrowser gibt StoreFront die folgenden sicherheitsrelevanten Header zurück, die Einschränkungen für den Webbrowser festlegen.
| Header-Name | Wert | Beschreibung |
|---|---|---|
content-security-policy |
frame-ancestors 'none' |
Dies verhindert, dass andere Websites StoreFront-Websites in einem Frame einbetten, wodurch Clickjacking-Angriffe vermieden werden. Zusätzlich enthält die HTML-Seite ein meta-Tag mit einem content-security-policy, das Skriptquellen einschränkt, um XSS-Angriffe zu mindern. |
X-Content-Type-Options |
nosniff |
Dies verhindert das Schnüffeln von MIME-Typen. |
X-Frame-Options |
deny |
Dies verhindert, dass andere Websites StoreFront-Websites in einem Frame einbetten, wodurch Clickjacking-Angriffe vermieden werden. Es wird durch content-security-policy bis frame-ancestors 'none' obsolet, wird aber von einigen älteren Browsern verstanden, die content-security-policy nicht unterstützen. |
Cookies
StoreFront verwendet mehrere Cookies. Einige der bei der Nutzung der Website verwendeten Cookies sind die folgenden:
| Cookie | Beschreibung |
|---|---|
ASP.NET_SessionId |
Verfolgt die Benutzersitzung einschließlich des Authentifizierungsstatus. Hat HttpOnly gesetzt. |
CtxsAuthId |
Um Session-Fixation-Angriffe zu verhindern, verfolgt StoreFront zusätzlich, ob der Benutzer mit diesem Cookie authentifiziert ist. Es ist HttpOnly gesetzt. |
CsrfToken |
Wird verwendet, um Cross-Site-Request-Forgery über das Standardmuster Cookie-to-header token zu verhindern. Der Server setzt ein Token im Cookie. Der Client liest das Token aus dem Cookie und fügt das Token in die Abfragezeichenfolge oder einen Header in nachfolgenden Anfragen ein. Dieses Cookie muss HttpOnly nicht gesetzt haben, damit das Client-JavaScript es lesen kann. |
CtxsDeviceId |
Identifiziert das Gerät. Hat HttpOnly gesetzt. |
StoreFront setzt eine Reihe weiterer Cookies, um den Benutzerstatus zu verfolgen, von denen einige von JavaScript gelesen werden müssen und daher HttpOnly nicht gesetzt haben. Diese Cookies enthalten keine Informationen zur Authentifizierung oder andere vertrauliche Informationen.
Wenn der Client über HTTPS verbunden ist, wird das Attribut secure beim Erstellen oder Aktualisieren von Cookies gesetzt.
Zusätzliche Sicherheitsinformationen
Hinweis:
Diese Informationen können sich jederzeit und ohne Vorankündigung ändern.
Ihre Organisation möchte möglicherweise aus regulatorischen Gründen Sicherheitsüberprüfungen von StoreFront durchführen. Die vorangegangenen Konfigurationsoptionen können dazu beitragen, einige Ergebnisse in Sicherheitsüberprüfungsberichten zu eliminieren.
Wenn sich ein Gateway zwischen dem Sicherheitsscanner und StoreFront befindet, können sich bestimmte Ergebnisse eher auf das Gateway als auf StoreFront selbst beziehen. Sicherheitsüberprüfungsberichte unterscheiden diese Ergebnisse (z. B. TLS-Konfiguration) normalerweise nicht. Aus diesem Grund können technische Beschreibungen in Sicherheitsüberprüfungsberichten irreführend sein.
In diesem Artikel
- Endbenutzerauthentifizierung
- Kommunikation mit Endbenutzern
- Kommunikation mit Delivery Controllern
- Kommunikation mit Cloud Connectors
- Kommunikation mit dem Federated Authentication Service
- Remotezugriff
- Härtung von Microsoft Internet Information Services (IIS)
- Dienste
- Zuweisung von Benutzerrechten
- Gruppenmitgliedschaften konfigurieren
- NTLM
- Zertifikate in StoreFront
- Sicherheitstrennung von StoreFront
- ICA-Downloads
- Signieren von ICA-Dateien
- App-Schutz
- Benutzerkennwort ändern
- Anpassungen
- Sicherheits-Header
- Cookies
- Zusätzliche Sicherheitsinformationen