Product Documentation

Sichere Bereitstellung von Director

Jun 20, 2017

In diesem Artikel werden Bereiche behandelt, die sich bei der Bereitstellung und Konfiguration von Director auf die Systemsicherheit auswirken können.

Konfigurieren von Microsoft Internetinformationsdienste (IIS)

Sie können Director mit einer eingeschränkten IIS-Konfiguration konfigurieren. Dies ist jedoch nicht die IIS-Standardkonfiguration.

Dateinamenerweiterungen

Sie können nicht aufgeführte Dateinamenerweiterungen ausschließen.

Director benötigt die Dateinamenerweiterungen bei der Anforderungsfilterung:

  • .aspx
  • .css
  • .html
  • .js
  • .png
  • .svc

Director benötigt die folgenden HTTP-Verben bei der Anforderungsfilterung. Sie können nicht aufgeführte Verben ausschließen.

  • GET
  • POST
  • HEAD

Director erfordert Folgendes nicht:

  • ISAPI-Filter
  • ISAPI-Erweiterungen
  • CGI-Programme
  • FastCGI-Programme

Important

  • Director erfordert volles Vertrauen. Legen Sie jedoch nicht die globale .NET-Vertrauensebene auf "Hoch" oder niedriger fest.
  • Director hat einen separaten Anwendungspool. Zum Ändern der Director-Einstellungen wählen Sie die Director-Site und führen Sie die Änderungen durch.

Konfigurieren von Benutzerrechten

Wenn Director installiert wird, werden den Anwendungspools die Anmeldeberechtigung "Anmelden als Dienst" und die Privilegien "Anpassen von Speicherkontingenten für einen Prozess", "Generieren von Sicherheitsüberwachungen" und "Ersetzen eines Tokens auf Prozessebene" zugewiesen. Dies ist normales Installationsverhalten beim Erstellen von Anwendungspools.

Sie brauchen die Benutzerrechte nicht zu ändern. Diese Privilegien werden von Director nicht verwendet und werden automatisch deaktiviert.

Kommunikation mit Director

Citrix empfiehlt für Produktionsumgebungen die Verwendung von IPsec (Internet Protocol Security) oder von HTTPS-Protokollen zum Schutz der Datenübertragung zwischen Director und Ihren Servern. IPsec bietet eine Reihe von Standarderweiterungen des Internetprotokolls, die authentifizierte und verschlüsselte Kommunikation mit Datenintegrität und Schutz vor Wiedergabeangriffen bieten. Da IPsec ein Protokollsatz der Vermittlungsschicht ist, können Protokolle höherer Stufen es unverändert verwenden. HTTPS verwendet die Transport Layer Security (TLS), um eine sichere Datenverschlüsselung zu erzielen.

Hinweis: Citrix empfiehlt dringend, keine ungeschützten Verbindungen mit Director in einer Produktionsumgebung zu aktivieren.

Hinweis: Die von Director ausgehende sichere Kommunikation erfordert die separate Konfiguration für jede Verbindung.

Hinweis: SSL wird nicht empfohlen. Verwenden Sie stattdessen TLS.

Hinweis: Sie müssen die Kommunikation mit NetScaler plus TLS und nicht IPsec schützen.

Informationen zum Schützen der Kommunikation zwischen Director und XenApp-/XenDesktop-Servern (für die Überwachung und Berichte) finden Sie unter Schützen von Endpunkten mit TLS.

Informationen zum Schützen der Kommunikation zwischen Director und NetScaler (für NetScaler Insight) finden Sie unter Konfigurieren der Netzwerkanalyse.

Informationen zum Schützen der Kommunikation zwischen Director und Lizenzserver finden Sie unter Schützen der License Administration Console.

Isolierung der Director-Sicherheit

Falls Sie Webanwendungen in derselben Webdomäne (Domänenname und Port) wie Director bereitstellen, können die mit diesen Webanwendungen verbundenen Sicherheitsrisiken eventuell auch die Sicherheit der Director-Bereitstellung negativ beeinflussen. Ist höhere Sicherheit erforderlich, empfiehlt Citrix die Bereitstellung von Director in einer getrennten Webdomäne.