Product Documentation

Sichere Bereitstellung von Director

Jul 08, 2016

In diesem Artikel werden Bereiche behandelt, die sich bei der Bereitstellung und Konfiguration von Director auf die Systemsicherheit auswirken können.

Konfigurieren von Microsoft Internetinformationsdienste (IIS)

Sie können Director mit einer eingeschränkten IIS-Konfiguration konfigurieren. Dies ist jedoch nicht die IIS-Standardkonfiguration.

Dateinamenerweiterungen

Sie können nicht aufgeführte Dateinamenerweiterungen ausschließen.

Director benötigt die Dateinamenerweiterungen bei der Anforderungsfilterung:

  • .aspx
  • .css
  • .html
  • .js
  • .png

Director benötigt die folgenden HTTP-Verben bei der Anforderungsfilterung. Sie können nicht aufgeführte Verben ausschließen.

  • GET
  • POST
  • HEAD

Director erfordert Folgendes nicht:

  • ISAPI-Filter
  • ISAPI-Erweiterungen
  • CGI-Programme
  • FastCGI-Programme

Important

  • Director erfordert volles Vertrauen. Legen Sie jedoch nicht die globale .NET-Vertrauensebene auf "Hoch" oder niedriger fest.
  • Director unterhält einen separaten Anwendungspool. Um die Director-Einstellungen zu ändern, wählen Sie die Director-Site und führen Sie die Änderungen durch.

Konfigurieren von Benutzerrechten

Wenn Director installiert wird, werden den Anwendungspools die Anmeldeberechtigung "Anmelden als Dienst" und die Privilegien "Anpassen von Speicherkontingenten für einen Prozess", "Generieren von Sicherheitsüberwachungen" und "Ersetzen eines Tokens auf Prozessebene" zugewiesen. Dies ist normales Installationsverhalten beim Erstellen von Anwendungspools.

Sie brauchen die Benutzerrechte nicht zu ändern. Diese Privilegien werden von Director nicht verwendet und werden automatisch deaktiviert.

Zertifikate in Director:

  • Zur Verwendung von HTTPS können vertrauenswürdige Zertifikate konfiguriert und verwendet werden.

Kommunikation mit Director

Citrix empfiehlt für Produktionsumgebungen die Verwendung von IPsec (Internet Protocol Security) oder von HTTPS-Protokollen zum Schutz der Datenübertragung zwischen Director und Ihren Servern. IPsec bietet eine Reihe von Standarderweiterungen des Internetprotokolls, die authentifizierte und verschlüsselte Kommunikation mit Datenintegrität und Schutz vor Wiedergabeangriffen bieten. Da IPsec ein Protokollsatz der Vermittlungsschicht ist, können Protokolle höherer Stufen es unverändert verwenden. HTTPS verwendet Secure Sockets Layer (SSL) und Transport Layer Security (TLS) für eine starke Datenverschlüsselung.

TLS-Relay kann verwendet werden, um den Datenverkehr zwischen Director und XenApp-/XenDesktop-Servern zu schützen. Weitere Informationen finden Sie in folgendem Blogbeitrag: Securing Citrix Director: OData Interface through TLS.

Citrix empfiehlt, die Kommunikation zwischen Director und Benutzergeräten mit NetScaler Gateway und HTTPS zu schützen. Damit HTTPS verwendet werden kann, muss die Microsoft Internet Information Services (IIS)-Instanz, auf der der Authentifizierungsdienst gehostet wird, für HTTPS konfiguriert sein. Wenn die entsprechende IIS-Konfiguration nicht verfügbar ist, verwendet Director HTTP für die Kommunikation. Citrix empfiehlt dringend, keine ungeschützten Benutzerverbindungen mit Director in einer Produktionsumgebung zu aktivieren.

Isolierung der Director-Sicherheit

Falls Sie Webanwendungen in derselben Webdomäne (Domänenname und Port) wie Director bereitstellen, können die mit diesen Webanwendungen verbundenen Sicherheitsrisiken eventuell auch die Sicherheit der Director-Bereitstellung negativ beeinflussen. Ist höhere Sicherheit erforderlich, empfiehlt Citrix die Bereitstellung von Director in einer getrennten Webdomäne.