Sichern der StoreFront-Bereitstellung

In diesem Artikel werden Bereiche behandelt, die sich bei der Bereitstellung und Konfiguration von StoreFront auf die Systemsicherheit auswirken können.

Konfigurieren von Microsoft Internetinformationsdienste (IIS)

Sie können StoreFront mit einer eingeschränkten IIS-Konfiguration konfigurieren. Dies ist jedoch nicht die IIS-Standardkonfiguration.

Dateinamenerweiterungen

Sie können nicht aufgeführte Dateinamenerweiterungen ausschließen.

StoreFront benötigt die folgenden Dateinamenerweiterungen beim Filtern der Anforderungen:

  • . (leere Erweiterung)
  • .appcache
  • .aspx
  • .cr
  • .css
  • .dtd
  • .gif
  • .htm
  • .html
  • .ica
  • .ico
  • .jpg
  • .js
  • .png
  • .svg
  • .txt
  • .xml

Ist Download oder Upgrade der Citrix Workspace-App für Citrix Receiver für Web aktiviert, sind für StoreFront außerdem diese Dateinamenerweiterung erforderlich:

  • .dmg
  • .exe

Ist die Citrix Workspace-App für HTML5 aktiviert, sind für StoreFront zusätzlich diese Dateinamenerweiterung erforderlich:

  • .eot
  • .ttf
  • .woff

MIME-Typen

Sie können die MIME-Typen für die folgenden Dateitypen entfernen:

  • .exe
  • .dll
  • .com
  • .bat
  • .csh

Anforderungsfilterung

StoreFront benötigt die folgenden HTTP-Verben beim Filtern der Anforderungen: Sie können nicht aufgeführte Verben ausschließen.

  • GET
  • POST
  • HEAD

Andere Microsoft IIS-Einstellungen

Für StoreFront ist Folgendes nicht erforderlich:

  • ISAPI-Filter
  • ISAPI-Erweiterungen
  • CGI-Programme
  • FastCGI-Programme

Wichtig:

  • Konfigurieren Sie keine IIS-Autorisierungsregeln. StoreFront unterstützt die direkte Authentifizierung und verwendet oder unterstützt keine IIS-Authentifizierung.
  • Wählen Sie in den SSL-Einstellungen für die StoreFront-Site nicht Clientzertifikate: Erforderlich aus. Die StoreFront-Installation konfiguriert die entsprechenden Seiten der StoreFront-Site mit dieser Einstellung.
  • StoreFront benötigt Cookies. Die Verwendung Cookies muss ausgewählt sein. Wählen Sie nicht die Einstellung “cookieless”/URI verwenden.
  • StoreFront erfordert volles Vertrauen. Legen Sie jedoch nicht die globale .NET-Vertrauensebene auf “Hoch” oder niedriger fest.
  • StoreFront unterstützt nicht einen separaten Anwendungspool für jede Site. Ändern Sie diese Siteeinstellungen nicht. Sie können jedoch das Leerlauftimeouts für den Anwendungspools und die Menge des virtuellen Speichers festlegen, die ein Anwendungspool verbraucht.

Konfigurieren von Benutzerrechten

Hinweis:

Microsoft IIS wird im Rahmen der StoreFront-Installation aktiviert. Microsoft IIS gewährt die Anmeldeberechtigung Als Batchauftrag anmelden und das Privileg Annehmen der Clientidentität nach Authentifizierung für die integrierte Gruppe “IIS_IUSRS”. Dies ist normales Microsoft IIS-Installationsverhalten. Ändern Sie diese Benutzerrechte nicht. Weitere Informationen finden Sie in der Microsoft-Dokumentation.

Wenn Sie StoreFront installieren, werden den Anwendungspools die Anmeldeberechtigung Anmelden als Dienst und die Privilegien Anpassen von Speicherkontingenten für einen Prozess, Generieren von Sicherheitsüberwachungen und Ersetzen eines Tokens auf Prozessebene zugewiesen. Dies ist normales Installationsverhalten beim Erstellen von Anwendungspools. Die Anwendungspools sind Citrix Configuration API, Citrix Delivery Services-Ressourcen, Citrix Delivery Services-Authentifizierung und Citrix Receiver für Web.

Sie brauchen die Benutzerrechte nicht zu ändern. Diese Privilegien werden von StoreFront nicht verwendet und werden automatisch deaktiviert.

Bei der StoreFront-Installation werden die folgenden Windows-Dienste erstellt:

  • Citrix Konfigurationsreplikationsdienst (NT SERVICE\CitrixConfigurationReplication)
  • Citrix Clusterbeitrittsdienst (NT SERVICE\CitrixClusterService)
  • Citrix Peerauflösungsdienst (NT SERVICE\Citrix Peer Resolution Service)
  • Citrix Credential Wallet-Dienst (NT SERVICE\CitrixCredentialWallet)
  • Citrix Abonnementstoredienst (NT SERVICE\CitrixSubscriptionsStore)
  • Citrix Standarddomänendienste (NT SERVICE\CitrixDefaultDomainService)

Wenn Sie für StoreFront die eingeschränkte Kerberos-Delegierung für XenApp 6.5 konfigurieren, wird der Citrix StoreFront-Protokollübergangsdienst (NT SERVICE\SYSTEM) erstellt. Dieser Dienst benötigt ein Privileg, dass normalweise Windows-Diensten nicht gewährt wird.

Konfigurieren von Diensteinstellungen

Die die oben im Abschnitt “Konfigurieren von Benutzerrechten” aufgelisteten Windows-Dienste für StoreFront verwenden beim Anmelden die Identität “Netzwerkdienst”. Der Citrix StoreFront-Protokollübergangsdienst meldet sich als “SYSTEM” an. Ändern Sie diese Konfiguration nicht.

Konfigurieren der Gruppenmitgliedschaften

Wenn Sie eine StoreFront-Servergruppe konfigurieren, werden der Sicherheitsgruppe “Administratoren” die folgenden Dienste hinzugefügt:

  • Citrix Konfigurationsreplikationsdienst (NT SERVICE\CitrixConfigurationReplication)
  • Citrix Cluster Join (NT SERVICE\CitrixClusterService) . Dieser Dienst wird nur auf Servern angezeigt, die Teil einer Gruppe sind, und wird nur während des Beitritts ausgeführt.

Diese Gruppenmitgliedschaften sind erforderlich damit StoreFront korrekt funktioniert:

  • Erstellen, Exportieren, Importieren, Löschen und Festlegen der Zugriffsberechtigungen von Zertifikaten
  • Lesen und Schreiben der Windows-Registrierung
  • Hinzufügen und Entfernen von Microsoft .NET Framework-Assemblys im globalen Assemblycache (GAC)
  • Zugriff auf den Ordner Programme\Citrix\<StoreFrontSpeicherort>
  • Hinzufügen, Bearbeiten und Entfernen von App-Poolidentitäten und IIS-Webanwendungen
  • Hinzufügen, Bearbeiten und Entfernen von lokalen Sicherheitsgruppen und Firewallregeln
  • Hinzufügen und Entfernen von Windows-Diensten und PowerShell-Snap-Ins
  • Registrieren von Microsoft Windows Communication Framework (WCF)-Endpunkten

Bei Updates zu StoreFront kann sich diese Liste der Operationen ohne Ankündigung ändern.

Die StoreFront-Installation erstellt außerdem die folgenden lokalen Sicherheitsgruppen:

  • CitrixClusterMembers
  • CitrixCWServiceReadUsers
  • CitrixCWServiceWriteUsers
  • CitrixDelegatedAuthenticatorUsers
  • CitrixDelegatedDirectoryClaimFactoryUsers
  • CitrixPNRSUsers
  • CitrixStoreFrontPTServiceUsers
  • CitrixSubscriptionServerUsers
  • CitrixSubscriptionsStoreServiceUsers
  • CitrixSubscriptionsSyncUsers

StoreFront verwaltet die Mitgliedschaft in diesen Sicherheitsgruppen. Sie werden für die Zugriffssteuerung in StoreFront verwendet und nicht auf Windows-Ressourcen wie Ordner und Dateien angewendet. Bearbeiten Sie diese Gruppenmitgliedschaften nicht.

Zertifikate in StoreFront

Serverzertifikate

Serverzertifikate werden zur Identifikation der Maschinen und für die TLS-Transportsicherheit in StoreFront verwendet. Wenn Sie die ICA-Dateisignierung aktivieren, kann StoreFront auch Zertifikate verwenden, um ICA-Dateien digital zu signieren.

Zum Aktivieren der e-mail-basierten Kontenermittlung für Benutzer, die die Citrix Workspace-App auf einem Gerät zum ersten Mal installieren, müssen Sie ein gültiges Serverzertifikat auf dem StoreFront-Server installieren. Des Weiteren muss die vollständige Kette zum Stammzertifikat gültig sein. Um optimale Benutzerfreundlichkeit zu erzielen, installieren Sie ein Zertifikat mit dem Eintrag discoverReceiver.domain für Antragsteller oder Alternativer Antragstellername, wobei “domain” die Microsoft Active Directory-Domäne ist, die die E-Mail-Konten der Benutzer enthält. Obwohl Sie ein Zertifikat mit Platzhalterzeichen für die Domäne verwenden können, die die E-Mail-Konten der Benutzer enthält, müssen Sie zunächst sicherstellen, dass die Bereitstellung solcher Zertifikate von den Sicherheitsrichtlinien Ihres Unternehmens zugelassen wird. Sie können andere Zertifikate für die Domäne mit den Benutzer-E-Mail-Konten verwenden, den Benutzern wird jedoch bei der ersten Verbindungsherstellung zwischen Citrix Workspace-App und StoreFront-Server eine Warnung bezüglich des Zertifikats angezeigt. Die e-mail-basierte Kontenermittlung kann nicht mit anderen Zertifikatidentitäten verwendet werden. Weitere Informationen finden Sie unter Konfigurieren der e-mail-basierten Kontenermittlung.

Wenn die Benutzer ihre Konten statt über die e-mail-basierte Kontenermittlung selbst durch Eingeben der Store-URLs in der Citrix Workspace-App konfigurieren, darf das Zertifikat auf dem StoreFront-Server nur für diesen Server gültig sein und muss eine gültige Kette zum Stammzertifikat haben.

Tokenverwaltungszertifikate

Sowohl die Authentifizierungsdienste als auch Stores benötigen Zertifikate für die Tokenverwaltung. StoreFront generiert ein selbstsigniertes Zertifikat, wenn ein Authentifizierungsdienst oder Store erstellt wird. Von StoreFront generierte, selbstsignierte Zertifikate sollten für keinen anderen Zweck verwendet werden.

Citrix Delivery Services-Zertifikate

StoreFront hält eine Reihe von Zertifikaten in einem benutzerdefinierten Windows-Zertifikatspeicher (Citrix Delivery Services). Der Citrix Konfigurationsreplikationsdienst, der Citrix Credential Wallet-Dienst und der Citrix Abonnementstoredienst verwenden diese Zertifikate. Jeder StoreFront-Server in einem Cluster hat eine Kopie dieser Zertifikate. Diese Dienste verwenden nicht TLS für die sichere Kommunikation und diese Zertifikate werden nicht als TLS-Serverzertifikate verwendet. Diese Zertifikate werden erstellt, wenn ein StoreFront-Store erstellt oder wenn StoreFront installiert wird. Ändern Sie den Inhalt dieses Windows-Zertifikatspeichers nicht.

Codesignaturzertifikate

StoreFront enthält eine Reihe von PowerShell-Skripts (.ps1) im Ordner <Installationsverzeichnis>\Scripts. Die Standardinstallation von StoreFront verwendet diese Skripts nicht. Sie vereinfachen Konfigurationsschritte für bestimmte, seltene Aufgaben. Diese Skripts sind signiert, so dass StoreFront eine PowerShell-Ausführungsrichtlinie unterstützen kann. Wir empfehlen die Richtlinie AllSigned. (Die Richtlinie Eingeschränkt wird nicht unterstützt, da sie das Ausführen von PowerShell-Skripts verhindert.) StoreFront ändert die PowerShell-Ausführungsrichtlinie nicht.

Obwohl StoreFront kein Codesignaturzertifikat in der Aufstellung der vertrauenswürdigen Herausgeber installiert, kann Windows dort automatisch das Codesignaturzertifikat hinzufügen. Dies geschieht, wenn das PowerShell-Skript mit der Option Immer ausführen ausgeführt wird. (Wenn Sie die Option Nie ausführen wählen, wird das Zertifikat der Aufstellung der nicht vertrauenswürdigen Zertifikate hinzugefügt, und die PowerShell-Skripts von StoreFront werden nicht ausgeführt.) Nachdem das Codesignaturzertifikat der Aufstellung der vertrauenswürdigen Herausgeber hinzugefügt wurde, wird das Ablaufen nicht mehr von Windows geprüft. Sie können dieses Zertifikat aus der Aufstellung der vertrauenswürdigen Herausgeber entfernen, nachdem die StoreFront-Aufgaben abgeschlossen wurden.

StoreFront-Kommunikation

Citrix empfiehlt für Produktionsumgebungen die Verwendung von IPsec (Internet Protocol Security) oder von HTTPS-Protokollen zum Schutz der Datenübertragung zwischen StoreFront und Ihren Servern. IPsec bietet eine Reihe von Standarderweiterungen des Internetprotokolls, die authentifizierte und verschlüsselte Kommunikation mit Datenintegrität und Schutz vor Wiedergabeangriffen bieten. Da IPsec ein Protokollsatz der Vermittlungsschicht ist, können Protokolle höherer Stufen es unverändert verwenden. HTTPS verwendet Secure Sockets Layer (SSL) und Transport Layer Security (TLS) für eine starke Datenverschlüsselung.

SSL-Relay kann verwendet werden, um den Datenverkehr zwischen StoreFront und Citrix Virtual Apps-Servern zu schützen. SSL-Relay ist eine Standardkomponente von Citrix Virtual Apps, die die Hostauthentifizierung und Datenverschlüsselung übernimmt.

Citrix empfiehlt, die TLS 1.0- und 1.1-Unterstützung auf dem Webserver zu deaktivieren, der StoreFront hostet. Sie sollten dies über Gruppenrichtlinienobjekte erzwingen, die die erforderlichen Registrierungseinstellungen auf dem StoreFront-Server erstellen, um ältere Protokolle wie TLS 1.0 und TLS 1.1 zu deaktivieren. Siehe TLS/SSL-Einstellungen in der Microsoft-Dokumentation.

Citrix empfiehlt, die Kommunikation zwischen StoreFront und Benutzergeräten mit Citrix Gateway und HTTPS zu schützen. Damit HTTPS verwendet werden kann, erfordert StoreFront, dass die Microsoft Internet Information Services (IIS)-Instanz, auf der der Authentifizierungsdienst gehostet wird, und damit verknüpfte Stores für HTTPS konfiguriert ist. Wenn die entsprechende IIS-Konfiguration nicht verfügbar ist, verwendet StoreFront HTTP für die Kommunikation. Citrix empfiehlt dringend, keine ungeschützten Benutzerverbindungen mit StoreFront in einer Produktionsumgebung zu aktivieren.

Isolierung der StoreFront-Sicherheit

Falls Sie Webanwendungen in derselben Webdomäne (Domänenname und Port) wie StoreFront bereitstellen, können die mit diesen Webanwendungen verbundenen Sicherheitsrisiken eventuell auch die Sicherheit der StoreFront-Bereitstellung negativ beeinflussen. Ist höhere Sicherheit erforderlich, empfiehlt Citrix die Bereitstellung von StoreFront in einer getrennten Webdomäne.

ICA-Dateisignierung

In StoreFront können ICA-Dateien digital mit einem auf dem Server angegebenen Zertifikat signiert werden, damit Citrix Workspace-App-Versionen, die dieses Feature unterstützen, sicherstellen können, dass die Datei aus einer vertrauenswürdigen Quelle stammt. ICA-Dateien können mit einem Hashalgorithmus signiert werden, der von dem auf dem StoreFront-Server ausgeführten Betriebssystem unterstützt wird, z. B. SHA-1 und SHA-256. Weitere Informationen finden Sie unter Aktivieren der ICA-Dateisignierung.

Benutzerseitige Kennwortänderung

Sie können Benutzern von Receiver für Web-Sites, die sich mit Active Directory-Domänenanmeldeinformationen anmelden, gestatten, ihre Kennwörter zu ändern, und zwar entweder jederzeit oder nur, wenn sie abgelaufen sind. Dadurch werden jedoch vertrauliche Sicherheitsfunktionen für alle Personen offengelegt, die auf einen der Stores, die diesen Authentifizierungsdienst verwenden, zugreifen können. Wenn Ihr Unternehmen eine Sicherheitsrichtlinie hat, die Funktionen zur Änderung des Kennworts nur zur internen Verwendung reserviert, stellen Sie sicher, dass auf keinen der Stores von außerhalb des Unternehmensnetzwerks zugegriffen werden kann. Beim Erstellen des Authentifizierungsdiensts verhindert die Standardkonfiguration, dass Benutzer von Receiver für Web-Sites ihre Kennwörter ändern, selbst wenn die Kennwörter abgelaufen sind. Weitere Informationen finden Sie unter Optimieren der Benutzererfahrung.

Ändern der Basis-URL des StoreFront-Servers von HTTP in HTTPS

Wenn Sie die Kommunikation zwischen StoreFront und Benutzergeräten mit HTTPS sichern möchten, müssen Sie Microsoft Internetinformationsdienste (IIS) für HTTPS konfigurieren. Wenn Sie Citrix StoreFront installieren und konfigurieren, ohne zuvor ein SSL-Zertifikat zu installieren und zu konfigurieren, verwendet StoreFront HTTP für die Kommunikation.

Wenn Sie später ein SSL-Zertifikat installieren und konfigurieren, verwenden Sie das folgende Verfahren, um sicherzustellen, dass StoreFront und StoreFront-Dienste HTTPS-Verbindungen verwenden.

Beispiel:

Alt-Text

Vor dem Ändern der Basis-URL in HTTPS:

Alt-Text

Nach dem Ändern der Basis-URL in HTTPS:

Alt-Text

  1. Konfigurieren von Microsoft Internetinformationsdienste (IIS) für HTTPS auf dem StoreFront-Server:

    1. Importieren Sie mit der IIS-Verwaltungskonsole ein SSL-Serverzertifikat, das von der Microsoft Active Directory-Domänenzertifizierungsstelle signiert wurde.
    2. Fügen Sie der Standardwebsite eine IIS-Bindung über HTTPS (443) hinzu.

    Ausführliche Anweisungen finden Sie unter CTX200292.

  2. Klicken Sie in der Citrix StoreFront-Verwaltungskonsole links auf Servergruppe.
  3. Klicken Sie im Aktionsbereich auf Basis-URL ändern.
  4. Geben Sie die Basis-URL ein und klicken Sie auf OK.

Anpassungen

Erstellen Sie aus Sicherheitsgründen keine Anpassungen, mit denen Inhalte oder Skripts von Servern geladen werden, die nicht Ihrer Kontrolle unterstehen. Kopieren Sie den Inhalt bzw. das Skript in den benutzerdefinierten Citrix Receiver für Web-Site-Ordner, wo Sie die Anpassungen erstellen. Wenn StoreFront für HTTPS-Verbindungen konfiguriert ist, müssen alle Links zu benutzerdefinierten Inhalten und Skripts ebenfalls HTTPS verwenden.

Weitere Sicherheitsinformationen

Hinweis:

Diese Informationen können jederzeit und ohne vorherige Ankündigung geändert werden.

Sicherheitsprüfungen an StoreFront können zur Erfüllung gesetzlicher oder anderer Auflagen erforderlich sein. Die o. g. Konfigurationsoptionen können zu dazu beitragen, dass einige Sicherheitsprobleme vermieden werden.

Gibt es ein Gateway zwischen der Sicherheitsprüfung und StoreFront, können sich bestimmte Befunde im Prüfbericht auf das Gateway anstelle von StoreFront beziehen. Sicherheitsprüfberichte unterscheiden hier normalerweise nicht (Beispiel: TLS-Konfiguration). Aus diesem Grund können technische Beschreibungen in Sicherheitsprüfberichten irreführend sein.

Beachten Sie beim Lesen von Sicherheitsprüfberichten Folgendes:

  • HTML-Seiten in StoreFront sind ggf. nicht gegen Clickjacking geschützt (durch die Inhaltssicherheitsrichtlinie oder “X-Frame-Options”-Header). Diese HTML-Seiten bestehen jedoch nur aus statischem Inhalt und sind nicht Clickjacking-anfällig.

  • Die Version von Microsoft IIS und die Verwendung von ASP.NET sind in HTTP-Headern sichtbar. Diese Informationen gehen jedoch bereits aus dem Vorhandensein von StoreFront hervor, da es auf dieser Technologien basiert.

  • Beim Starten von Anwendungen und Desktops verwendet StoreFront ein Token zum Schutz vor websiteübergreifender Anforderungsfälschung (CSRF). Das Token wird als Cookie in einer Antwort ohne Secure- oder HTTPOnly-Markierung gesendet. Wenn das Token später in einer Anforderung gesendet wird, ist es in der Abfragezeichenfolge einer URL enthalten. In StoreFront wird diese Art der Authentifizierung von HTTP-Anforderungen jedoch nicht verwendet.

  • StoreFront verwendet die Open Source-Komponente jQuery. Eine verwendete Version ist jQuery 1.3.2. Laut Open Source-Projekt jQuery wurde in jQuery 1.12.0 eine Änderung vorgenommen, um potenzielle Schwachstellen in einer bestimmten Form domänenübergreifender Anfragen zu beseitigen. Die Änderung zielt nicht auf eine Schwachstelle in jQuery selbst, sondern auf einen potenziellen Missbrauch durch Anwendungslogik ab. Die relevante Citrix Anwendungslogik in dem Receiver für Web-Feature, das von NetScaler und StoreFront genutzt wird, verwendet diese Art domänenübergreifende Anforderung nicht und ist nicht von der Schwachstelle betroffen. Für sie ist die Änderung nicht relevant.

    Diese Änderung wurde aus Kompatibilitätsgründen in jQuery 1.12.3 entfernt. Da sie nicht für die Citrix Anwendungslogik relevant war, hat ihre Entfernung keine Auswirkungen auf die Versionen von NetScaler und StoreFront, die jQuery 1.12.4 verwenden.