Product Documentation

Sicherheitsempfehlungen

Jul 08, 2016

Die Sitzungsaufzeichnung ist für die Bereitstellung in einem sicheren Netzwerk und den Zugriff durch Administratoren konzipiert und ist daher sicher. Die Standardbereitstellung ist einfach, und Sicherheitsfunktionen, z. B. digitale Signatur und Verschlüsselung, können optional konfiguriert werden.

Die Komponenten der Sitzungsaufzeichnung kommunizieren über die Internetinformationsdienste (IIS) und Microsoft Message Queuing (MSMQ). Internetinformationsdienste stellen die Webdienste-Kommunikationsverbindung zwischen jeder Komponente der Sitzungsaufzeichnung bereit. MSMQ bietet eine zuverlässige Datentransportmethode zum Senden von Sitzungsaufzeichnungsdaten vom Sitzungsaufzeichnungsagent zum Sitzungsaufzeichnungsserver.

Berücksichtigen Sie diese Sicherheitsempfehlungen bei der Planung der Bereitstellung:

  • Die verschiedenen Administratorrollen im Unternehmensnetzwerk, in der Sitzungsaufzeichnung und auf einzelnen Maschinen müssen ordnungsgemäß isoliert werden. Andernfalls besteht Gefahr durch Sicherheitsbedrohungen Gefahr für den Systembetrieb und das System kann zweckentfremdet verwendet werden. Citrix empfiehlt die Zuweisung verschiedener Administratorrollen an verschiedene Personen oder Konten, normale Sitzungsbenutzer sollten keine Administratorberechtigungen für das VDA-System erhalten.
    • Administratoren von XenApp und XenDesktop dürfen keinem Benutzer von veröffentlichten Anwendungen oder Desktops die lokale Administratorrolle für den VDA zuweisen. Wird die lokale Administratorrolle benötigt, schützen Sie die Komponenten des Sitzungsaufzeichnungsagents über Windows-Methoden oder die Lösung eines anderen Herstellers.
    • Weisen Sie die Administratorrollen für die Datenbank und die Richtlinie der Sitzungsaufzeichnung separat zu.
    • Citrix empfiehlt, dass Sie VDA-Administratorrechte nicht allgemeinen Sitzungsbenutzern zuweisen, besonders, wenn Remote-PC-Zugriff verwendet wird.
    • Das lokale Administratorkonto des Sitzungsaufzeichnungsservers muss streng geschützt werden.
    • Steuern Sie den Zugriff auf Maschinen, auf denen der Sitzungsaufzeichnungsplayer installiert ist. Hat ein Benutzer keine Playerrollenberechtigung, weisen Sie ihm für keinerlei Player-Maschinen eine lokale Administratorrolle zu. Deaktivieren Sie den anonymen Zugriff.
    • Citrix empfiehlt die Verwendung einer physischen Maschine als Speicherserver für die Sitzungsaufzeichnung.
  • Die Sitzungsaufzeichnung zeichnet Grafikaktivitäten ohne Berücksichtigung des Datenschutzes auf. Unter bestimmten Umständen können sensible Daten (z. B. Benutzeranmeldeinformationen, persönliche Daten oder Bildschirme von Drittanbietern) unbeabsichtigt aufgezeichnet werden. Ergreifen Sie folgende Maßnahmen, um ein Risiko zu vermeiden:

+ Deaktivieren Sie das Kernspeicherabbild für VDA-Maschinen, es sei denn, es wird zur Problembehandlung benötigt.

Zum Deaktivieren des Kernspeicherabbilds gehen Sie folgendermaßen vor:

1. Klicken Sie mit der rechten Maustaste auf "Arbeitsplatz" und dann auf "Eigenschaften".
2. Klicken Sie auf die Registerkarte "Erweitert" und dann unter "Starten und Wiederherstellen" auf "Einstellungen".
3. Wählen Sie für "Debuginformationen speichern" die Option "Keine".

Weitere Informationen finden Sie in dem Microsoft-Artikel https://support.microsoft.com/en-us/kb/307973.

+ Stellen Sie sicher, dass keine in veröffentlichten lokalen und Webanwendungen oder unternehmensintern verwendeten Anmelde- und Sicherheitsinformationen angezeigt werden, ansonsten werden diese durch die Sitzungsaufzeichnung aufgezeichnet.

+ Die Benutzer müssen vor Beginn einer ICA-Sitzung jede Anwendung schließen, in der u. U. vertrauliche Informationen angezeigt werden.

+ Sitzungseigentümer müssen die Teilnehmer darauf aufmerksam machen, dass Software von Online-Meetings und Remoteunterstützung im Rahmen einer Desktopsitzungsaufzeichnung aufgezeichnet werden kann.

+ Lassen für veröffentlichte Desktops und Anwendungen nur automatische Authentifizierungsmethoden (z. B. per Single Sign-On oder Smartcard) zu.

  • Zur ordnungsgemäßen Funktion und zur Erfüllung von Sicherheitsanforderungen bei der Sitzungsaufzeichnung ist eine spezifische Hardware/-infrastruktur (z. B. Unternehmensnetzwerkgeräte, Betriebssystem) erforderlich. Sorgen Sie auf Infrastrukturebene dafür, dass diese Elemente weder beschädigt noch missbraucht werden können und dass die Sitzungsaufzeichnung sicher und zuverlässig ausgeführt wird.
    • Schützen und Sie die für die Sitzungsaufzeichnung verwendete Netzwerkinfrastruktur und sorgen Sie für deren zuverlässige Verfügbarkeit.
    • Citrix empfiehlt die Verwendung der Sicherheitslösung eines Drittanbieters oder von Windows-Mechanismen zum Schutz der Sitzungsaufzeichnungskomponenten. Die Sitzungsaufzeichnung umfasst folgende Komponenten:
      • Auf dem Sitzungsaufzeichnungsserver
        • Prozesse: SsRecStoragemanager.exe und SsRecAnalyticsService.exe
        • Dienste: CitrixSsRecStorageManager und CitrixSsRecAnalyticsService
        • Alle Dateien im Installationsordner des Sitzungsaufzeichnungsservers
        • Registrierungsschlüssel in HKLM\Software\Citrix\SmartAuditor\Server
      • Auf dem Sitzungsaufzeichnungsagent
        • Prozess: SsRecAgent.exe
        • Dienst: CitrixSmAudAgent
        • Alle Dateien im Installationsordner des Sitzungsaufzeichnungsagents
        • Registrierungsschlüssel in HKLM\Software\Citrix\SmartAuditor\Agent
  • Schränken Sie über die Zugriffssteuerungsliste (ACL) für Message Queuing (MSMQ) auf dem Sitzungsaufzeichnungsserver VDA- und VDI-Maschinen ein, die MSMQ-Daten an den Sitzungsaufzeichnungsserver senden können, und blockieren Sie das Senden von Daten an den Sitzungsaufzeichnungsserver durch unbefugte Maschinen.

1) Installieren Sie das Serverfeature Directory Service Integration auf jeder Sitzungsaufzeichnungsserver- und VDA- oder VDI-Maschine, auf der die Sitzungsaufzeichnung aktiviert ist, und starten Sie den Message Queuing-Dienst neu.

2) Öffnen Sie auf jedem Sitzungsaufzeichnungsserver über das Windows-Startmenü Verwaltungstools > Computerverwaltung.

3) Öffnen Sie Dienste und Anwendungen > Message Queuing > Private Warteschlangen.

4) Klicken Sie auf die private Warteschlange citrixsmauddata, um die Seite Eigenschaften zu öffnen, und wählen Sie die Registerkarte Sicherheit.

localized image

5) Fügen Sie die Computer bzw. Sicherheitsgruppen der VDA-Maschinen, die MSMQ-Daten an diesen Server senden, hinzu und erteilen Sie diesen die Berechtigung zum Senden von Nachrichten.

localized image
  • Schützen Sie das Ereignisprotokoll des Sitzungsaufzeichnungsservers und des Sitzungsaufzeichnungsagents. Citrix empfiehlt die Verwendung einer Remoteprotokollierungslösung eines Drittanbieters oder eines entsprechenden Windows-Features zum Schutz des Ereignisprotokolls oder dessen Umleitung auf einen Remoteserver.
  • Stellen Sie sicher, dass Server mit Sitzungsaufzeichnungskomponenten physisch gesichert sind. Schließen Sie diese Computer falls möglich in einem sicheren Raum ein, zu dem nur autorisierte Person direkten Zugang haben.
  • Isolieren Sie Server mit Sitzungsaufzeichnungskomponenten in einem separaten Subnetz oder einer separaten Domäne.
  • Installieren Sie eine Firewall zwischen dem Sitzungsaufzeichnungsserver und den anderen Servern, um die aufgezeichneten Sitzungsdaten vor Benutzern zu schützen, die auf andere Server zugreifen.
  • Halten Sie den Verwaltungsserver und die SQL-Datenbank für die Sitzungsaufzeichnung durch Installation der aktuellen Sicherheitsupdates von Microsoft auf dem neuesten Stand.
  • Verhindern Sie, dass Personen ohne Administratorberechtigung sich beim Verwaltungscomputer anmelden.
  • Schränken Sie genau ein, welche Benutzer die Aufzeichnungsrichtlinien ändern und Sitzungsaufzeichnungen anzeigen können.
  • Installieren Sie digitale Zertifikate, verwenden Sie die Funktion zur Dateisignatur der Sitzungsaufzeichnung und richten Sie die TLS-Kommunikation in IIS ein.
  • Legen Sie im Dialogfeld Sitzungsaufzeichnungsagent - Eigenschaften für MSMQ die Verwendung von HTTPS als Transportprotokoll fest. Weitere Informationen finden Sie unter Problembehandlung bei MSMQ.
  • Verwenden Sie TSL 1.0 und deaktivieren Sie die Verschlüsselungsverfahren SSLv2, SSLv3 und RC4 auf dem Sitzungsaufzeichnungsserver und in der Datenbank für die Sitzungsaufzeichnung. Weitere Informationen finden Sie in der Microsoft-Artikeln http://support.microsoft.com/default.aspx?scid=kb;en-us;187498 und http://support.microsoft.com/kb/245030/en-us.
  • Verwenden Sie den Wiedergabeschutz. Der Wiedergabeschutz ist eine Funktion der Sitzungsaufzeichnung, mit der aufgezeichnete Dateien vor dem Download zum Sitzungsaufzeichnungsplayer verschlüsselt werden. Diese Option ist in der Standardeinstellung aktiviert und befindet sich in den Eigenschaften des Sitzungsaufzeichnungsservers.
  • Stellen Sie die Sitzungsaufzeichnung nicht in einer öffentlichen Cloud, z. B. Amazon Web Services (AWS), bereit.
  • Folgen Sie den Anleitungen von NSIT für die Länge der Kryptografieschlüssel und den Kryptografiealgorithmen.

Weitere Informationen über die Konfiguration der Sitzungsaufzeichnungsfeatures finden Sie unter http://support.citrix.com/article/CTX200868.