Product Documentation

Sicherheits- und Netzwerkkonfiguration für den Verbundauthentifizierungsdienst

Jun 20, 2017

Der Citrix Verbundauthentifizierungsdienst (Federated Authentication Service, FAS) ist eng in Microsoft Active Directory und die Microsoft-Zertifizierungsstelle integriert. Es ist wichtig, das System richtig zu verwalten und zu schützen. Hierfür muss, wie bei Domänencontrollern oder anderen wichtige Infrastrukturkomponenten auch, eine geeignete Sicherheitsrichtlinie entwickelt werden.  

Dieses Dokument enthält eine Übersicht über die Sicherheitsfragen, die Sie bei der FAS-Bereitstellung berücksichtigen sollten. Außerdem finden Sie hier eine Übersicht über die Features, die Ihnen beim Schutz der Infrastruktur helfen können.

Netzwerkarchitektur

Die folgende Abbildung zeigt die wichtigsten Komponenten und Sicherheitsgrenzen einer FAS-Bereitstellung.

Der FAS-Server gilt zusammen mit der Zertifizierungsstelle und dem Domänencontroller als Teil der sicherheitskritischen Infrastruktur. In einer Verbundumgebung haben NetScaler und StoreFront eine Vertrauensstellung zur Durchführung der Benutzerauthentifizierung. Andere XenApp- und XenDesktop-Komponenten werden von einer FAS-Implementierung nicht betroffen.

localized image

Firewall und Netzwerksicherheit

Die Kommunikation zwischen NetScaler, StoreFront und den Delivery Controller-Komponenten muss durch TLS über Port 443 geschützt werden.Der StoreFront-Server führt nur ausgehende Verbindungen durch und NetScaler Gateway darf nur Verbindungen über das Internet mit HTTPS-Port 443 akzeptieren.

Der StoreFront-Server kontaktiert den FAS-Server über Port 80 unter Verwendung von beidseitig authentifiziertem Kerberos.Bei der Authentifizierung werden die Kerberos-HOST/fqdn-Identität des FAS-Servers und die Kerberos-Computerkontoidentität des StoreFront-Servers verwendet.Dadurch wird ein Anmeldehandle für die einmalige Verwendung erstellt, das der Citrix Virtual Delivery Agent (VDA) zur Anmeldung des Benutzers benötigt.

Wenn eine HDX-Sitzung mit dem VDA verbunden wird, kontaktiert der VDA außerdem den FAS-Server über Port 80.Bei der Authentifizierung werden die Kerberos-HOST/fqdn-Identität des FAS-Servers und die Kerberos-Computeridentität des VDAs verwendet.Außerdem muss der VDA das Anmeldeinformations-Handle übergeben, um auf Zertifikat und privaten Schlüssel zugreifen zu können.

Die Microsoft-Zertifizierungsstelle akzeptiert Kommunikation mit einem Kerberos-authentifizierten DCOM, das zur Verwendung eines festen TCP-Ports konfiguriert werden kann.Die Zertifizierungsstelle erfordert außerdem, dass der FAS-Server ein durch ein vertrauenswürdiges Enrollment Agent-Zertifikat signiertes CMC-Paket übergibt.

Server

Firewallports

Verbundauthentifizierungsdienst

(eingehend) Kerberos über HTTP von StoreFront und VDAs

(ausgehend) DCOM an Microsoft-Zertifizierungsstelle

NetScaler

(eingehend) HTTPS von Clientmaschinen

(ein-/ausgehend) HTTPS an/von StoreFront-Server

(ausgehend) HDX an VDA

StoreFront

(eingehend) HTTPS von NetScaler

(ausgehend) HTTPS an Delivery Controller

(ausgehend) Kerberos HTTP an FAS

Delivery Controller

(eingehend) HTTPS von StoreFront-Server

(ein/ausgehend) Kerberos über HTTP von VDAs

VDA

(ein/ausgehend) Kerberos über HTTP von Delivery Controller

(eingehend) HDX von NetScaler Gateway

(ausgehend) Kerberos HTTP an FAS

Microsoft-Zertifizierungsstelle

(eingehend) DCOM und signiert von FAS

 

Verwaltungsaufgaben

Die Verwaltung der Umgebung lässt sich in folgende Zuständigkeiten aufgliedern:

Name

Aufgaben

Unternehmensadministrator

Installation und Schutz von Zertifikatvorlagen in der Gesamtstruktur

Domänenadministrator

Konfiguration der Gruppenrichtlinieneinstellungen

Zertifizierungsstellenadministrator

Konfigurieren der Zertifizierungsstelle

FAS-Administrator

Installieren und konfigurieren des FAS-Servers

StoreFront-/NetScaler-Administrator

Konfigurieren der Benutzerauthentifizierung

XenDesktop-Administrator

Konfigurieren von VDAs und Controllern

Jeder Administrator ist für verschiedene Aspekte des allgemeinen Sicherheitsmodells zuständig, sodass ein Defense-in-Depth-Schutz des Systems möglich ist.

Gruppenrichtlinieneinstellungen

Vertrauenswürdige FAS-Maschinen werden anhand einer über die Gruppenrichtlinie konfigurierten Nachschlagetabelle mit Indexnummer -> FQDN identifiziert. Beim Herstellen einer Verbindung mit dem FAS-Server prüfen Clients dessen HOST\ Kerberos-Identität. Alle Server, die auf den FAS-Server zugreifen, müssen die gleiche FQDN-Konfiguration für denselben Index haben, ansonsten stellen StoreFront und VDAs möglicherweise eine Verbindung mit verschiedenen FAS-Servern her.  

Zur Vermeidung von Konfigurationsfehlern empfiehlt Citrix die Anwendung einer einzelnen Richtlinie auf alle Maschinen in der Umgebung. Vorsicht beim Bearbeiten der Liste der FAS-Server, insbesondere wenn Sie Einträge entfernen oder umsortieren.

Die Steuerung dieses Gruppenrichtlinienobjekts sollte auf FAS-Administratoren (und/oder Domänenadministratoren) beschränkt werden, die FAS-Server installieren und außer Betrieb nehmen. Die Wiederverwendung von Maschinen-FQDNs kurz nach der Außerbetriebnahme eines FAS-Servers ist zu vermeiden.

Zertifikatvorlagen

Zertifikatvorlagen werden gesamtstrukturübergreifend vom Administrator installiert.Es gibt vier wichtige Sicherheitsüberlegungen.

Installation von Registrierungsstellenvorlagen

Das FAS-Installationsprogramm bietet zwei Arten von Zertifikatvorlagen: Registrierungsstellenzertifikate und die Vorlage für die Smartcard-Anmeldung. 

Bei der Ausführung wird nur die die Vorlage für die Smartcard-Anmeldung benötigt. Die Registrierungsstellenzertifikate brauchen also entweder nicht installiert werden (d. h. sie müssen manuell mit über eine eigene Offline-ZS ausgestellt werden) oder sie können nach der Autorisierung des FAS-Servers deaktiviert werden.

Anwendungsrichtlinien-OID

Registrierungsstellenzertifikate werden durch eine Zertifikatanforderungs-Agent-OID in den Erweiterungen der erweiterten Schlüsselverwendung identifiziert.Wenn die Möglichkeit besteht, dass die OID von einem anderen System verwendet wird, kann sie in eine komplett benutzerdefinierte OID geändert werden.

localized image

Zugriffssteuerungsliste (ACL)

Jede Vorlage hat eine ACL, die festlegt, welche Benutzer und Computer Zertifikate ausstellen können.

Citrix empfiehlt, die ACL so zu konfigurieren, dass nur die Computerkonten der FAS-Server Zertifikate anfordern können.Dies kann über Netzwerkfirewallrichtlinien weiter eingeschränkt werden.

localized image

Einschränkungen bezüglich Antragstellernamen, Erweiterungen und Pfad

Standardantragstellername und Erweiterungen können mit den standardmäßigen RFC 5280-Features konfiguriert werden, um festzulegen, für welche Zwecke ausgestellte Zertifikate verwendet werden können. Damit bietet sich eine einfache Möglichkeit der Steuerung, wofür die über die Public Key-Infrastruktur (PKI) ausgestellten Zertifikate verwendet werden können.

ZS-Verwaltung

Der ZS-Administrator ist für die Konfiguration des ZS-Servers und des von diesem für das Ausstellerzertifikat verwendeten privaten Schlüssels verantwortlich.

Veröffentlichen von Vorlagen

Damit eine Zertifizierungsstelle Zertifikate basierend auf einer vom Unternehmensadministrator bereitgestellten Vorlage ausstellen kann, muss der ZS-Administrator die Vorlage veröffentlichen. 

Eine einfache Sicherheitsmaßnahme besteht darin, die Registrierungsstellenzertifikate nur zu veröffentlichen, wenn die FAS-Server installiert werden, oder ein Ausstellungsverfahren vorzuschreiben, das komplett offline ist.In beiden Fällen darf nur der ZS-Administrator Registrierungsstellenzertifikate autorisieren und er muss eine Richtlinie für die Autorisierung von FAS-Servern haben.

Firewalleinstellungen

Im Allgemeinen kann der ZS-Administrator auch die Firewalleinstellungen der Zertifizierungsstelle festlegen und somit eingehende Verbindungen steuern.Der ZS-Administrator kann DCOM TCP- und Firewallregeln so konfigurieren, dass nur FAS-Server Zertifikate anfordern können.

Eingeschränkte Registrierung

Standardmäßig kann jeder Eigentümer eines Registrierungsstellenzertifikats beliebigen Benutzern ein Zertifikat auf der Basis einer Zertifikatvorlage, die Zugriff ermöglicht, ausstellen.Dies sollte auf eine Gruppe von Benutzern ohne Privilegien über die ZS-Eigenschaft "Registrierungs-Agents einschränken" eingeschränkt werden.

localized image

Richtlinienmodule und Überwachung

In komplexeren Bereitstellungen können benutzerdefinierte Sicherheitsmodule verwendet werden, um die Zertifikatausstellung zu verfolgen und zu unterbinden.

FAS-Verwaltung

Der FAS hat mehrere Sicherheitsfeatures.

Einschränken von StoreFront, Benutzern und VDAs über eine Zugriffssteuerungsliste

Im Zentrum des FAS-Sicherheitsmodells liegt die Steuerung des Zugriffs auf Funktionen durch Kerberos-Konten:

Zugriffsvektor

Beschreibung

StoreFront (IdP)

Diese Kerberos-Konten können deklarieren, dass ein Benutzer korrekt authentifiziert wurde.Bei Gefährdung eines dieser Konten können Zertifikate erstellt und für durch die FAS-Konfiguration zugelassene Benutzer verwendet werden.

VDAs (vertrauende Seite)

Dies sind die Maschinen, die auf Zertifikate und private Schlüssel zugreifen dürfen.Zusätzlich ist ein vom IdP abgerufenes Anmelde-Handle erforderlich, sodass ein gefährdetes VDA-Konto in dieser Gruppe nur geringe Möglichkeiten für einen Angriff auf das System hat.

Benutzer

Hierdurch wird gesteuert, welche Benutzer vom IdP bestätigt werden können.Es besteht eine Überschneidung mit den ZS-Optionen "Registrierungs-Agents einschränken". 

Im Allgemeinen sollten nur nicht-privilegierte Benutzerkonten in diese Liste aufgenommen werden. Dies verhindert, dass ein gefährdetes StoreFront-Konto Privilegien auf eine höhere Verwaltungsebene übertragen kann.Vor allem Domänenadministratorkonten dürfen keine Berechtigung durch diese ACL erhalten.

Konfigurieren von Regeln

Regeln sind nützlich, wenn mehrere eigenständige XenApp- oder XenDesktop-Bereitstellungen die gleiche FAS-Serverinfrastruktur verwenden.Jede Regel hat eigene Konfigurationsoptionen, wobei insbesondere separate Zugriffssteuerungslisten konfiguriert werden können.

Konfigurieren von Zertifizierungsstellen und Vorlagen

Für verschiedene Zugriffsrechte können verschiedene Zertifikatvorlagen und Zertifizierungsstellen konfiguriert werden.In komplexen Konfigurationen werden ggf. abhängig von der Umgebung weniger oder leistungsfähigere Zertifikate verwendet.Beispiel: Als extern identifizierte Benutzer können ein Zertifikat mit weniger Berechtigungen als interne Benutzer haben.

Sitzungsinterne und Authentifizierungszertifikate

Der FAS-Administrator kann festlegen, ob das für die Authentifizierung verwendete Zertifikat in der Sitzung eines Benutzers verwendet werden kann.Damit kann beispielsweise festgelegt werden, dass nur Signaturzertifikate sitzungsintern zur Verfügung stehen und die leistungsfähigeren Anmeldezertifikate nur bei der Anmeldung.

Schutz privater Schlüssel und Schlüssellänge

Der FAS-Administrator kann den FAS so konfigurieren, dass private Schlüssel in einem Hardwaresicherheitsmodul (HSM) oder einem Trusted Platform Module (TPM) gespeichert werden.Citrix empfiehlt, zumindest den privaten Schlüssel des Registrierungsstellenzertifikats durch Speicherung in einem TPM zu schützen. Diese Option kann im Offline-Verfahren für die Zertifikatanforderung gewählt werden. 

Auch die privaten Schlüssel für Benutzerzertifikate können in einem TPM oder HSM gespeichert werden.Alle Schlüssel müssen als nicht exportierbar generiert werden und eine Länge von mindestens 2048 Bit haben.

Ereignisprotokolle

Der FAS-Server bietet detaillierte Konfigurations- und Laufzeit-Ereignisprotokolle, die für die Überwachung und Angriffserkennung verwendet werden können.

Verwaltungszugriff und Verwaltungstools

Der FAS umfasst Features und Tools zur Remoteverwaltung (unter gegenseitiger Kerberos-Authentifizierung).Mitglieder der lokalen Administratorgruppe haben Vollzugriff auf die FAS-Konfiguration. Diese Liste muss sorgfältig gepflegt werden. 

XenApp-, XenDesktop- und VDA-Administratoren

Generell ändert die Verwendung des FAS nichts am Sicherheitsmodell für Delivery Controller- und VDA-Administratoren, da das FAS-Anmeldeinformations-Handle direkt das Active Directory-Kennwort ersetzt. Controller- und VDA-Administratorgruppen dürfen nur vertrauenswürdige Benutzer enthalten. Es müssen Überwachungs- und Ereignisprotokolle geführt werden.

Allgemeine Windows-Serversicherheit

Für alle Server müssen sämtliche Patches installiert sein und Standardfirewall- und Antivirensoftware zur Verfügung stehen. Sicherheitskritische Infrastrukturserver müssen an einem sicheren physischen Standort sein, Optionen für Datenträgerverschlüsselung und die Wartung virtueller Maschinen müssen sorgfältig gewählt werden.

Überwachungs- und Ereignisprotokolle müssen sicher auf einem Remotecomputer gespeichert werden.

Der RDP-Zugriff muss auf autorisierte Administratoren beschränkt werden. Soweit möglich sollten Benutzerkonten eine Smartcard-Anmeldung erfordern. Dies gilt insbesondere für Zertifizierungsstellen- und Domänenadministratorkonten.

Verwandte Informationen