Proteger la implementación de Director

En este artículo se muestran las áreas que pueden afectar a la seguridad del sistema durante la implementación y la configuración de Director.

Configurar Microsoft Internet Information Services (IIS)

Director puede configurarse con una configuración restringida de IIS.

Extensiones de nombre de archivo

Puede prohibir extensiones de nombre de archivo no incluidas en la lista.

Director requiere estas extensiones de nombre de archivo en la opción Filtro de solicitudes:

  • .aspx
  • .css
  • .html
  • .js
  • .png
  • .svc
  • .gif
  • .json
  • .woff
  • .woff2
  • .ttf

Director requiere los siguientes verbos de HTTP en Filtro de solicitudes. Puede prohibir los verbos que no se encuentren en la lista.

  • GET
  • POST
  • HEAD

Director no requiere:

  • Filtros de ISAPI
  • Extensiones ISAPI
  • Programas CGI
  • Programas FastCGI

Importante:

  • Director requiere Plena confianza. No configure el nivel de confianza de .NET con un nivel Alto o inferior.
  • Director mantiene un grupo de aplicaciones separado. Para modificar los parámetros de Director, seleccione el sitio de Director y modifíquelos.

Configurar derechos de usuario

Cuando Director está instalado, a sus grupos de aplicaciones se les concede lo siguiente:

  • Derecho de Iniciar sesión como un servicio
  • Privilegios Ajustar las cuotas de memoria para un proceso, Generar auditorías de seguridad y Reemplazar un símbolo (token) de nivel de proceso

Los derechos y privilegios mencionados representan el comportamiento normal de instalación cuando se crean los grupos de aplicaciones.

No es necesario que cambie estos derechos de usuario. Estos privilegios no se usan en Director y están inhabilitados automáticamente.

Comunicaciones de Director

En un entorno de producción, utilice el protocolo de seguridad de Internet (IPsec) o protocolos HTTPS para proteger la transferencia de los datos entre Director y los servidores.

IPsec es un conjunto de extensiones estándar para el protocolo de Internet. Proporciona comunicaciones autenticadas y cifradas con integridad de datos y protección contra reproducción. Puesto que IPsec es un conjunto de protocolos de capa de red, los protocolos con niveles más elevados pueden utilizarlo sin necesidad de realizar ninguna modificación. HTTPS utiliza el protocolo Transport Layer Security (TLS) para brindar un cifrado de datos avanzado.

Nota:

  • Citrix recomienda no habilitar conexiones a Director que no sean seguras en un entorno de producción.
  • Para proteger las comunicaciones desde Director, se requiere una configuración aparte para cada conexión.
  • No se recomienda usar el protocolo SSL. En su lugar, use el protocolo TLS, que es más seguro.
  • Proteja las comunicaciones con Citrix ADC mediante TLS, no IPsec.

Para proteger las comunicaciones entre Director y los servidores Citrix Virtual Apps and Desktops (para supervisión e informes), consulte Data Access Security.

Para proteger las comunicaciones entre Director y Citrix ADC (para Citrix Insight), consulte Configurar el análisis de red.

Para proteger las comunicaciones entre Director y el servidor de licencias, consulte Proteger License Administration Console.

Separar la seguridad de Director

Puede implementar cualquier aplicación web en el mismo dominio web (nombre de dominio y puerto) que Director. Sin embargo, los riesgos de seguridad en esas aplicaciones web podrían reducir la seguridad de la implementación de Director. Cuando se necesita un mayor nivel de seguridad es necesario separarlos: Citrix recomienda implementar Director en un dominio web aparte.