Sicherheitsempfehlungen

Session Recording wird in einem sicheren Netzwerk bereitgestellt und von Administratoren aufgerufen, und ist als solches sicher. Die sofort einsatzbereite Bereitstellung ist einfach, und Sicherheitsfunktionen wie digitale Signierung und Verschlüsselung können optional konfiguriert werden.

Die Kommunikation zwischen den Session Recording-Komponenten erfolgt über Internet Information Services (IIS) und Microsoft Message Queuing (MSMQ). IIS stellt die Webdienst-Kommunikationsverbindung zwischen den Session Recording-Komponenten bereit. MSMQ bietet einen zuverlässigen Datentransportmechanismus zum Senden aufgezeichneter Sitzungsdaten vom Session Recording Agent an den Session Recording Server.

Warnung:

Eine falsche Bearbeitung der Registrierung kann schwerwiegende Probleme verursachen, die eine Neuinstallation des Betriebssystems erforderlich machen können. Citrix® kann nicht garantieren, dass Probleme, die aus der falschen Verwendung des Registrierungs-Editors resultieren, behoben werden können. Verwenden Sie den Registrierungs-Editor auf eigenes Risiko. Sichern Sie die Registrierung unbedingt, bevor Sie sie bearbeiten.

Beachten Sie bei der Planung Ihrer Bereitstellung diese Sicherheitsempfehlungen:

• Stellen Sie sicher, dass Sie die verschiedenen Administratorrollen im Unternehmensnetzwerk, im Session Recording-System oder auf einzelnen Maschinen ordnungsgemäß isolieren. Andernfalls können Sicherheitsbedrohungen auftreten, die die Systemfunktionalität beeinträchtigen oder das System missbrauchen können. Wir empfehlen, dass Sie verschiedenen Personen oder Konten unterschiedliche Administratorrollen zuweisen. Erlauben Sie allgemeinen Sitzungsbenutzern keine Administratorrechte für das VDA-System.
  • XenApp- und XenDesktop®-Administratoren gewähren Benutzern von veröffentlichten Apps oder Desktops keine lokale VDA-Administratorrolle. Wenn die lokale Administratorrolle eine Anforderung ist, schützen Sie die Session Recording Agent-Komponenten mithilfe von Windows-Mechanismen oder Drittanbieterlösungen.
  • Weisen Sie den Session Recording-Datenbankadministrator und den Session Recording-Richtlinienadministrator separat zu.
  • Wir empfehlen, allgemeinen Sitzungsbenutzern keine VDA-Administratorrechte zuzuweisen, insbesondere bei Verwendung von Remote PC Access.
  • Das lokale Administratorkonto des Session Recording Servers muss streng geschützt werden.
  • Kontrollieren Sie den Zugriff auf Maschinen, auf denen der Session Recording Player installiert ist. Wenn ein Benutzer nicht für die Player-Rolle autorisiert ist, gewähren Sie diesem Benutzer keine lokale Administratorrolle für eine Player-Maschine. Deaktivieren Sie den anonymen Zugriff.
  • Wir empfehlen die Verwendung einer physischen Maschine als Speicherserver für Session Recording.

• Session Recording zeichnet grafische Sitzungsaktivitäten unabhängig von der Sensibilität der Daten auf. Unter bestimmten Umständen können sensible Daten (einschließlich, aber nicht beschränkt auf Benutzeranmeldeinformationen, Datenschutzinformationen und Bildschirme von Drittanbietern) unbeabsichtigt aufgezeichnet werden. Ergreifen Sie die folgenden Maßnahmen, um Risiken zu vermeiden:

  • Deaktivieren Sie Core-Speicherabbilder für VDAs, es sei denn, es handelt sich um spezifische Fehlerbehebungsfälle.

    So deaktivieren Sie den Kernspeicherabbild:

    1. Klicken Sie mit der rechten Maustaste auf Arbeitsplatz und wählen Sie dann Eigenschaften.
    2. Klicken Sie auf die Registerkarte Erweitert und klicken Sie dann unter Starten und Wiederherstellen auf Einstellungen.
    3. Wählen Sie unter Debuginformationen schreiben die Option (keine).

    Siehe den Microsoft-Artikel unter https://support.microsoft.com/de-de/kb/307973.

  • Sitzungsbesitzer benachrichtigen die Teilnehmer, dass Onlinebesprechungen und Software für die Remoteunterstützung aufgezeichnet werden könnten, wenn eine Desktopsitzung aufgezeichnet wird.

  • Stellen Sie sicher, dass Anmeldeinformationen oder Sicherheitsinformationen nicht in allen lokalen und Webanwendungen erscheinen, die innerhalb des Unternehmens veröffentlicht oder verwendet werden. Andernfalls werden sie von der Sitzungsaufzeichnung erfasst.

  • Schließen Sie alle Anwendungen, die vertrauliche Informationen preisgeben könnten, bevor Sie zu einer Remote-ICA®-Sitzung wechseln.

  • Wir empfehlen nur automatische Authentifizierungsmethoden (z. B. Single Sign-On, Smartcard) für den Zugriff auf veröffentlichte Desktops oder Software-as-a-Service (SaaS)-Anwendungen.

• Die Sitzungsaufzeichnung ist auf bestimmte Hardware und Hardwareinfrastruktur (z. B. Unternehmensnetzwerkgeräte, Betriebssystem) angewiesen, um ordnungsgemäß zu funktionieren und Sicherheitsanforderungen zu erfüllen. Ergreifen Sie Maßnahmen auf den Infrastrukturebenen, um Schäden oder Missbrauch dieser Infrastrukturen zu verhindern und die Funktion der Sitzungsaufzeichnung sicher und zuverlässig zu gestalten.
  • Schützen und halten Sie die Netzwerkinfrastruktur, die die Sitzungsaufzeichnung unterstützt, ordnungsgemäß verfügbar.
  • Wir empfehlen die Verwendung einer Sicherheitslösung eines Drittanbieters oder eines Windows-Mechanismus zum Schutz der Komponenten der Sitzungsaufzeichnung. Zu den Komponenten der Sitzungsaufzeichnung gehören:
    • Auf dem Sitzungsaufzeichnungsserver
      • Prozesse: SsRecStoragemanager.exe und SsRecAnalyticsService.exe
      • Dienste: CitrixSsRecStorageManager und CitrixSsRecAnalyticsService
      • Alle Dateien im Installationsordner des Session Recording Servers
      • Registrierungsschlüsselwerte unter HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartAuditor\Server
    • Auf dem Session Recording Agent
      • Prozess: SsRecAgent.exe
      • Dienst: CitrixSmAudAgent
      • Alle Dateien im Installationsordner des Session Recording Agent
      • Registrierungsschlüsselwerte unter HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartAuditor\Agent
• Legen Sie die Zugriffssteuerungsliste (ACL) für Message Queuing (MSMQ) auf dem Session Recording Server fest, um VDA- oder VDI-Maschinen einzuschränken, die MSMQ-Daten an den Session Recording Server senden können, und um zu verhindern, dass nicht autorisierte Maschinen Daten an den Session Recording Server senden.

1. Installieren Sie die Serverfunktion Verzeichnisdienstintegration auf jedem Session Recording Server und jeder VDA- oder VDI-Maschine, auf der die Sitzungsaufzeichnung aktiviert ist. Starten Sie anschließend den Message Queuing-Dienst neu.

2. Öffnen Sie im Windows-Menü Start auf jedem Session Recording Server Verwaltung > Computerverwaltung.

3. Öffnen Sie Dienste und Anwendungen > Message Queuing > Private Warteschlangen.

4. Klicken Sie auf die private Warteschlange citrixsmauddata, um die Seite Eigenschaften zu öffnen und die Registerkarte Sicherheit auszuwählen.

   

5. Fügen Sie die Computer oder Sicherheitsgruppen der VDAs hinzu, die MSMQ-Daten an diesen Server senden, und erteilen Sie ihnen die Berechtigung Nachricht senden.

   

• Schützen Sie das Ereignisprotokoll für den Sitzungsaufzeichnungsserver und die Sitzungsaufzeichnungs-Agents ordnungsgemäß. Wir empfehlen die Verwendung einer Windows- oder Drittanbieter-Remoteprotokollierungslösung, um das Ereignisprotokoll zu schützen oder das Ereignisprotokoll an den Remoteserver umzuleiten.
• Stellen Sie sicher, dass Server, auf denen die Sitzungsaufzeichnungskomponenten ausgeführt werden, physisch gesichert sind. Wenn möglich, sperren Sie diese Computer in einem sicheren Raum ein, zu dem nur autorisiertes Personal direkten Zugang hat.
• Isolieren Sie Server, auf denen die Sitzungsaufzeichnungskomponenten ausgeführt werden, in einem separaten Subnetz oder einer separaten Domäne.
• Schützen Sie die aufgezeichneten Sitzungsdaten vor Benutzern, die auf andere Server zugreifen, indem Sie eine Firewall zwischen dem Sitzungsaufzeichnungsserver und anderen Servern installieren.
• Halten Sie den Sitzungsaufzeichnungs-Administrationsserver und die SQL-Datenbank mit den neuesten Sicherheitsupdates von Microsoft auf dem neuesten Stand.
• Beschränken Sie die Anmeldung von Nicht-Administratoren an der Administrationsmaschine.
• Beschränken Sie streng, wer berechtigt ist, Änderungen an der Aufzeichnungsrichtlinie vorzunehmen und aufgezeichnete Sitzungen anzuzeigen.
• Installieren Sie digitale Zertifikate, verwenden Sie die Dateisignierungsfunktion der Sitzungsaufzeichnung und richten Sie TLS-Kommunikation in IIS ein.
• Konfigurieren Sie MSMQ so, dass HTTPS als Transportprotokoll verwendet wird. Dazu stellen Sie das in den Sitzungsaufzeichnungs-Agent-Eigenschaften aufgeführte MSMQ-Protokoll auf HTTPS ein. Weitere Informationen finden Sie unter Problembehandlung bei MSMQ.

• Verwenden Sie TLS 1.1 oder TLS 1.2 (empfohlen) und deaktivieren Sie SSLv2, SSLv3, TLS 1.0 auf dem Sitzungsaufzeichnungsserver und der Sitzungsaufzeichnungsdatenbank. Weitere Informationen finden Sie im Microsoft-Artikel unter https://support.microsoft.com/default.aspx?scid=kb;en-us;187498.

  Deaktivieren Sie RC4-Cipher-Suites für TLS auf dem Sitzungsaufzeichnungsserver und der Sitzungsaufzeichnungsdatenbank:

1. Navigieren Sie mit dem Microsoft Gruppenrichtlinien-Editor zu Computerkonfiguration > Administrative Vorlagen > Netzwerk > SSL-Konfigurationseinstellungen.
2. Setzen Sie die Richtlinie SSL-Cipher-Suite-Reihenfolge auf Aktiviert. Standardmäßig ist diese Richtlinie auf Nicht konfiguriert eingestellt.
3. Entfernen Sie alle RC4-Cipher-Suites.

• Verwenden Sie den Wiedergabeschutz. Der Wiedergabeschutz ist eine Funktion der Sitzungsaufzeichnung, die aufgezeichnete Dateien verschlüsselt, bevor sie auf den Sitzungsaufzeichnungs-Player heruntergeladen werden. Standardmäßig ist diese Option aktiviert und befindet sich in den Sitzungsaufzeichnungsserver-Eigenschaften.
• Befolgen Sie die NSIT-Richtlinien für kryptografische Schlüssellängen und kryptografische Algorithmen.
• Konfigurieren Sie die TLS 1.2-Unterstützung für die Sitzungsaufzeichnung.
  • Wir empfehlen die Verwendung von TLS 1.2 als Kommunikationsprotokoll, um die End-to-End-Sicherheit der Komponenten der Sitzungsaufzeichnung zu gewährleisten. So konfigurieren Sie die TLS 1.2-Unterstützung der Sitzungsaufzeichnung:
    1. Melden Sie sich an dem Computer an, auf dem der Sitzungsaufzeichnungsserver gehostet wird. Installieren Sie die entsprechende SQL Server-Clientkomponente und den Treiber, und legen Sie eine starke Kryptografie für .NET Framework (Version 4 oder höher) fest.
    1. Installieren Sie den Microsoft ODBC Driver 11 (oder eine höhere Version) für SQL Server.
    2. Wenden Sie das neueste Hotfix-Rollup von .NET Framework an.
    3. Installieren Sie ADO.NET - SqlClient basierend auf Ihrer Version von .NET Framework. Weitere Informationen finden Sie unter https://support.microsoft.com/de-de/kb/3135244.
    4. Fügen Sie einen DWORD-Wert SchUseStrongCrypto = 1 unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NetFramework\v4.0.30319 und HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NetFramework\v4.0.30319 hinzu.
    5. Starten Sie den Computer neu. 2. Melden Sie sich an dem Computer an, auf dem die Richtlinienkonsole für die Sitzungsaufzeichnung gehostet wird. Wenden Sie das neueste Hotfix-Rollup von .NET Framework an und legen Sie eine starke Kryptografie für .NET Framework (Version 4 oder höher) fest. Die Methode zum Festlegen einer starken Kryptografie ist dieselbe wie in den Unterschritten 1-d und 1-e. Sie können diese Schritte überspringen, wenn Sie die Richtlinienkonsole für die Sitzungsaufzeichnung auf demselben Computer wie den Sitzungsaufzeichnungsserver installieren möchten.

Informationen zum Konfigurieren der TLS 1.2-Unterstützung für SQL Server mit Versionen vor 2016 finden Sie unter https://support.microsoft.com/de-de/kb/3135244. Um TLS 1.2 zu verwenden, konfigurieren Sie HTTPS als Kommunikationsprotokoll für die Komponenten der Sitzungsaufzeichnung.

Informationen zum Konfigurieren der Sicherheitsfunktionen der Sitzungsaufzeichnung finden Sie unter Konfigurieren der Sicherheitsfunktionen der Sitzungsaufzeichnung.