Sichern der StoreFront-Bereitstellung

Hinweis:

Informationen zu den Produktnamenänderungen finden Sie unter Neue Features.

In diesem Artikel werden Bereiche behandelt, die sich bei der Bereitstellung und Konfiguration von StoreFront auf die Systemsicherheit auswirken können.

Konfigurieren von Microsoft Internetinformationsdienste (IIS)

Sie können StoreFront mit einer eingeschränkten IIS-Konfiguration konfigurieren. Dies ist jedoch nicht die IIS-Standardkonfiguration.

Dateinamenerweiterungen

Sie können nicht aufgeführte Dateinamenerweiterungen ausschließen.

StoreFront benötigt die folgenden Dateinamenerweiterungen beim Filtern der Anforderungen:

  • . (leere Erweiterung)
  • .appcache
  • .aspx
  • .cr
  • .css
  • .dtd
  • .gif
  • .htm
  • .html
  • .ica
  • .ico
  • .jpg
  • .js
  • .png
  • .svg
  • .txt
  • .xml

Ist Download oder Upgrade der Citrix Workspace-App für Citrix Receiver für Web aktiviert, sind für StoreFront außerdem diese Dateinamenerweiterung erforderlich:

  • .dmg
  • .exe

Ist die Citrix Workspace-App für HTML5 (zuvor “Citrix Receiver für HTML5”) aktiviert, sind für StoreFront zusätzlich diese Dateinamenerweiterung erforderlich:

  • .eot
  • .ttf
  • .woff

MIME-Typen

Sie können die MIME-Typen für die folgenden Dateitypen entfernen:

  • .exe
  • .dll
  • .com
  • .bat
  • .csh

Anforderungsfilterung

StoreFront benötigt die folgenden HTTP-Verben beim Filtern der Anforderungen: Sie können nicht aufgeführte Verben ausschließen.

  • GET
  • POST
  • HEAD

Andere Microsoft IIS-Einstellungen

Für StoreFront ist Folgendes nicht erforderlich:

  • ISAPI-Filter
  • ISAPI-Erweiterungen
  • CGI-Programme
  • FastCGI-Programme

Wichtig:

  • Konfigurieren Sie keine IIS-Autorisierungsregeln. StoreFront unterstützt die direkte Authentifizierung und verwendet oder unterstützt keine IIS-Authentifizierung.
  • Wählen Sie in den SSL-Einstellungen für die StoreFront-Site nicht Clientzertifikate: Erforderlich aus. Die StoreFront-Installation konfiguriert die entsprechenden Seiten der StoreFront-Site mit dieser Einstellung.
  • StoreFront benötigt Cookies. Die Verwendung Cookies muss ausgewählt sein. Wählen Sie nicht die Einstellung “cookieless”/URI verwenden.
  • StoreFront erfordert volles Vertrauen. Legen Sie jedoch nicht die globale .NET-Vertrauensebene auf “Hoch” oder niedriger fest.
  • StoreFront unterstützt nicht einen separaten Anwendungspool für jede Site. Ändern Sie diese Siteeinstellungen nicht. Sie können jedoch das Leerlauftimeouts für den Anwendungspools und die Menge des virtuellen Speichers festlegen, die ein Anwendungspool verbraucht.

Konfigurieren von Benutzerrechten

Wenn Sie StoreFront installieren, werden den Anwendungspools die Anmeldeberechtigung Anmelden als Dienst und die Privilegien Anpassen von Speicherkontingenten für einen Prozess, Generieren von Sicherheitsüberwachungen und Ersetzen eines Tokens auf Prozessebene zugewiesen. Dies ist normales Installationsverhalten beim Erstellen von Anwendungspools.

Sie brauchen die Benutzerrechte nicht zu ändern. Diese Privilegien werden von StoreFront nicht verwendet und werden automatisch deaktiviert.

Bei der StoreFront-Installation werden die folgenden Windows-Dienste erstellt:

  • Citrix Konfigurationsreplikationsdienst (NT SERVICE\CitrixConfigurationReplication)
  • Citrix Clusterbeitrittsdienst (NT SERVICE\CitrixClusterService)
  • Citrix Peerauflösungsdienst (NT SERVICE\Citrix Peer Resolution Service)
  • Citrix Credential Wallet-Dienst (NT SERVICE\CitrixCredentialWallet)
  • Citrix Abonnementstoredienst (NT SERVICE\CitrixSubscriptionsStore)
  • Citrix Standarddomänendienste (NT SERVICE\CitrixDefaultDomainService)

Wenn Sie für StoreFront die eingeschränkte Kerberos-Delegierung für XenApp 6.5 konfigurieren, wird der Citrix StoreFront-Protokollübergangsdienst (NT SERVICE\SYSTEM) erstellt. Dieser Dienst benötigt ein Privileg, dass normalweise Windows-Diensten nicht gewährt wird.

Konfigurieren von Diensteinstellungen

Die die oben im Abschnitt “Konfigurieren von Benutzerrechten” aufgelisteten Windows-Dienste für StoreFront verwenden beim Anmelden die Identität “Netzwerkdienst”. Der StoreFront-Protokollübergangsdienst meldet sich als “SYSTEM” an. Ändern Sie diese Konfiguration nicht.

Konfigurieren der Gruppenmitgliedschaften

Die StoreFront-Installation fügt die folgenden Dienste der Adminstratorsicherheitsgruppe hinzu:

  • Citrix Konfigurationsreplikationsdienst (NT SERVICE\CitrixConfigurationReplication)
  • Citrix Clusterbeitrittsdienst (NT SERVICE\CitrixClusterService)

Diese Gruppenmitgliedschaften sind erforderlich damit StoreFront korrekt funktioniert:

  • Erstellen, Exportieren, Importieren, Löschen und Festlegen der Zugriffsberechtigungen von Zertifikaten
  • Lesen und Schreiben der Windows-Registrierung
  • Hinzufügen und Entfernen von Microsoft .NET Framework-Assemblys im globalen Assemblycache (GAC)
  • Zugriff auf den Ordner Programme\Citrix\<StoreFrontSpeicherort>
  • Hinzufügen, Bearbeiten und Entfernen von App-Poolidentitäten und IIS-Webanwendungen
  • Hinzufügen, Bearbeiten und Entfernen von lokalen Sicherheitsgruppen und Firewallregeln
  • Hinzufügen und Entfernen von Windows-Diensten und PowerShell-Snap-Ins
  • Registrieren von Microsoft Windows Communication Framework (WCF)-Endpunkten

Bei Updates zu StoreFront kann sich diese Liste der Operationen ohne Ankündigung ändern.

Die StoreFront-Installation erstellt außerdem die folgenden lokalen Sicherheitsgruppen:

  • CitrixClusterMembers
  • CitrixCWServiceReadUsers
  • CitrixCWServiceWriteUsers
  • CitrixDelegatedAuthenticatorUsers
  • CitrixDelegatedDirectoryClaimFactoryUsers
  • CitrixPNRSUsers
  • CitrixStoreFrontPTServiceUsers
  • CitrixSubscriptionServerUsers
  • CitrixSubscriptionsStoreServiceUsers
  • CitrixSubscriptionsSyncUsers

StoreFront verwaltet die Mitgliedschaft in diesen Sicherheitsgruppen. Sie werden für die Zugriffssteuerung in StoreFront verwendet und nicht auf Windows-Ressourcen wie Ordner und Dateien angewendet. Bearbeiten Sie diese Gruppenmitgliedschaften nicht.

Zertifikate in StoreFront

Serverzertifikate

Serverzertifikate werden zur Identifikation der Maschinen und für die TLS-Transportsicherheit in StoreFront verwendet. Wenn Sie die ICA-Dateisignierung aktivieren, kann StoreFront auch Zertifikate verwenden, um ICA-Dateien digital zu signieren.

Zum Aktivieren der e-mail-basierten Kontenermittlung für Benutzer, die die Citrix Workspace-App auf einem Gerät zum ersten Mal installieren, müssen Sie ein gültiges Serverzertifikat auf dem StoreFront-Server installieren. Des Weiteren muss die vollständige Kette zum Stammzertifikat gültig sein. Um optimale Benutzerfreundlichkeit zu erzielen, installieren Sie ein Zertifikat mit dem Eintrag discoverReceiver.domain für Antragsteller oder Alternativer Antragstellername, wobei “domain” die Microsoft Active Directory-Domäne ist, die die E-Mail-Konten der Benutzer enthält. Obwohl Sie ein Zertifikat mit Platzhalterzeichen für die Domäne verwenden können, die die E-Mail-Konten der Benutzer enthält, müssen Sie zunächst sicherstellen, dass die Bereitstellung solcher Zertifikate von den Sicherheitsrichtlinien Ihres Unternehmens zugelassen wird. Sie können andere Zertifikate für die Domäne mit den Benutzer-E-Mail-Konten verwenden, den Benutzern wird jedoch bei der ersten Verbindungsherstellung zwischen Citrix Workspace-App und StoreFront-Server eine Warnung bezüglich des Zertifikats angezeigt. Die e-mail-basierte Kontenermittlung kann nicht mit anderen Zertifikatidentitäten verwendet werden. Weitere Informationen finden Sie unter Konfigurieren der e-mail-basierten Kontenermittlung.

Wenn die Benutzer ihre Konten statt über die e-mail-basierte Kontenermittlung selbst durch Eingeben der Store-URLs in der Citrix Workspace-App konfigurieren, darf das Zertifikat auf dem StoreFront-Server nur für diesen Server gültig sein und muss eine gültige Kette zum Stammzertifikat haben.

Tokenverwaltungszertifikate

Sowohl die Authentifizierungsdienste als auch Stores benötigen Zertifikate für die Tokenverwaltung. StoreFront generiert ein selbstsigniertes Zertifikat, wenn ein Authentifizierungsdienst oder Store erstellt wird. Von StoreFront generierte, selbstsignierte Zertifikate sollten für keinen anderen Zweck verwendet werden.

Citrix Delivery Services-Zertifikate

StoreFront hält eine Reihe von Zertifikaten in einem benutzerdefinierten Windows-Zertifikatspeicher (Citrix Delivery Services). Der Citrix Konfigurationsreplikationsdienst, der Citrix Credential Wallet-Dienst und der Citrix Abonnementstoredienst verwenden diese Zertifikate. Jeder StoreFront-Server in einem Cluster hat eine Kopie dieser Zertifikate. Diese Dienste verwenden nicht TLS für die sichere Kommunikation und diese Zertifikate werden nicht als TLS-Serverzertifikate verwendet. Diese Zertifikate werden erstellt, wenn ein StoreFront-Store erstellt oder wenn StoreFront installiert wird. Ändern Sie den Inhalt dieses Windows-Zertifikatspeichers nicht.

Codesignaturzertifikate

StoreFront enthält eine Reihe von PowerShell-Skripts (.ps1) im Ordner <Installationsverzeichnis>\Scripts. Die Standardinstallation von StoreFront verwendet diese Skripts nicht. Sie vereinfachen Konfigurationsschritte für bestimmte, seltene Aufgaben. Diese Skripts sind signiert, so dass StoreFront eine PowerShell-Ausführungsrichtlinie unterstützen kann. Wir empfehlen die Richtlinie AllSigned. (Die Richtlinie Eingeschränkt wird nicht unterstützt, da sie das Ausführen von PowerShell-Skripts verhindert.) StoreFront ändert die PowerShell-Ausführungsrichtlinie nicht.

Obwohl StoreFront kein Codesignaturzertifikat in der Aufstellung der vertrauenswürdigen Herausgeber installiert, kann Windows dort automatisch das Codesignaturzertifikat hinzufügen. Dies geschieht, wenn das PowerShell-Skript mit der Option Immer ausführen ausgeführt wird. (Wenn Sie die Option Nie ausführen wählen, wird das Zertifikat der Aufstellung der nicht vertrauenswürdigen Zertifikate hinzugefügt, und die PowerShell-Skripts von StoreFront werden nicht ausgeführt.) Nachdem das Codesignaturzertifikat der Aufstellung der vertrauenswürdigen Herausgeber hinzugefügt wurde, wird das Ablaufen nicht mehr von Windows geprüft. Sie können dieses Zertifikat aus der Aufstellung der vertrauenswürdigen Herausgeber entfernen, nachdem die StoreFront-Aufgaben abgeschlossen wurden.

StoreFront-Kommunikation

Citrix empfiehlt für Produktionsumgebungen die Verwendung von IPsec (Internet Protocol Security) oder von HTTPS-Protokollen zum Schutz der Datenübertragung zwischen StoreFront und Ihren Servern. IPsec bietet eine Reihe von Standarderweiterungen des Internetprotokolls, die authentifizierte und verschlüsselte Kommunikation mit Datenintegrität und Schutz vor Wiedergabeangriffen bieten. Da IPsec ein Protokollsatz der Vermittlungsschicht ist, können Protokolle höherer Stufen es unverändert verwenden. HTTPS verwendet Secure Sockets Layer (SSL) und Transport Layer Security (TLS) für eine starke Datenverschlüsselung.

SSL-Relay kann verwendet werden, um den Datenverkehr zwischen StoreFront und Citrix Virtual Apps-Servern zu schützen. SSL-Relay ist eine Standardkomponente von Citrix Virtual Apps, die die Hostauthentifizierung und Datenverschlüsselung übernimmt.

Citrix empfiehlt, die TLS 1.0- und 1.1-Unterstützung auf dem Webserver zu deaktivieren, der StoreFront hostet. Sie sollten dies über Gruppenrichtlinienobjekte erzwingen, die die erforderlichen Registrierungseinstellungen auf dem StoreFront-Server erstellen, um ältere Protokolle wie TLS 1.0 und TLS 1.1 zu deaktivieren. Siehe auch die Microsoft-Referenz TLS/SSL Settings.

Citrix empfiehlt, die Kommunikation zwischen StoreFront und Benutzergeräten mit Citrix Gateway und HTTPS zu schützen. Damit HTTPS verwendet werden kann, müssen die Microsoft Internet Information Services (IIS)-Instanz, auf der der Authentifizierungsdienst gehostet wird, und damit verknüpfte Stores für HTTPS konfiguriert sein. Wenn die entsprechende IIS-Konfiguration nicht verfügbar ist, verwendet StoreFront HTTP für die Kommunikation. Citrix empfiehlt dringend, keine ungeschützten Benutzerverbindungen mit StoreFront in einer Produktionsumgebung zu aktivieren.

Isolierung der StoreFront-Sicherheit

Falls Sie Webanwendungen in derselben Webdomäne (Domänenname und Port) wie StoreFront bereitstellen, können die mit diesen Webanwendungen verbundenen Sicherheitsrisiken eventuell auch die Sicherheit der StoreFront-Bereitstellung negativ beeinflussen. Ist höhere Sicherheit erforderlich, empfiehlt Citrix die Bereitstellung von StoreFront in einer getrennten Webdomäne.

ICA-Dateisignierung

In StoreFront können ICA-Dateien digital mit einem auf dem Server angegebenen Zertifikat signiert werden, damit Citrix Workspace-App-Versionen, die dieses Feature unterstützen, sicherstellen können, dass die Datei aus einer vertrauenswürdigen Quelle stammt. ICA-Dateien können mit einem Hashalgorithmus signiert werden, der von dem auf dem StoreFront-Server ausgeführten Betriebssystem unterstützt wird, z. B. SHA-1 und SHA-256. Weitere Informationen finden Sie unter Aktivieren der ICA-Dateisignierung.

Benutzerseitige Kennwortänderung

Sie können Benutzern von Receiver für Web-Sites, die sich mit Active Directory-Domänenanmeldeinformationen anmelden, gestatten, ihre Kennwörter zu ändern, und zwar entweder jederzeit oder nur, wenn sie abgelaufen sind. Dadurch werden jedoch vertrauliche Sicherheitsfunktionen für alle Personen offengelegt, die auf einen der Stores, die diesen Authentifizierungsdienst verwenden, zugreifen können. Wenn Ihr Unternehmen eine Sicherheitsrichtlinie hat, die Funktionen zur Änderung des Kennworts nur zur internen Verwendung reserviert, stellen Sie sicher, dass auf keinen der Stores von außerhalb des Unternehmensnetzwerks zugegriffen werden kann. Beim Erstellen des Authentifizierungsdiensts verhindert die Standardkonfiguration, dass Benutzer von Receiver für Web-Sites ihre Kennwörter ändern, selbst wenn die Kennwörter abgelaufen sind. Weitere Informationen finden Sie unter Optimieren der Benutzererfahrung.

Anpassungen

Erstellen Sie aus Sicherheitsgründen keine Anpassungen, mit denen Inhalte oder Skripts von Servern geladen werden, die nicht Ihrer Kontrolle unterstehen. Kopieren Sie den Inhalt bzw. das Skript in den benutzerdefinierten Citrix Receiver für Web-Site-Ordner, wo Sie die Anpassungen erstellen. Wenn StoreFront für HTTPS-Verbindungen konfiguriert ist, müssen alle Links zu benutzerdefinierten Inhalten und Skripts ebenfalls HTTPS verwenden.