Product Documentation

Implementación segura de Director

Feb 14, 2017

En este artículo se muestran las áreas que pueden afectar a la seguridad del sistema durante la implementación y la configuración de Director.

Configuración de Microsoft Internet Information Services (IIS)

Director puede configurarse con una configuración restringida de IIS. Esta no es la configuración predeterminada de IIS.

Extensiones de nombres de archivo

Puede prohibir extensiones de nombre de archivo no incluidas en la lista.

Director requiere estas extensiones de nombre de archivo en la opción Filtro de solicitudes:

  • .aspx
  • .css
  • .html
  • .js
  • .png
  • .svc

Director requiere los siguientes verbos de HTTP en Filtro de solicitudes. Puede prohibir los verbos que no se encuentren en la lista.

  • GET
  • POST
  • HEAD

Director no requiere:

  • Filtros de ISAPI
  • Extensiones ISAPI
  • Programas CGI
  • Programas FastCGI

Important

  • Director requiere Plena confianza. No configure el nivel de confianza de .NET con un nivel Alto o inferior.
  • Director mantiene un grupo de aplicaciones separado. Para modificar los parámetros de Director, seleccione el sitio de Director y modifíquelos.

Configuración de derechos de usuario

Cuando se instala Director, sus grupos de aplicaciones reciben el derecho de Iniciar sesión como un servicio, y los privilegios siguientes: Ajustar las cuotas de la memoria para un proceso, Generar auditorías de seguridad y Reemplazar un símbolo (token) de nivel de proceso. Este es el comportamiento normal de instalación cuando se crean los grupos de aplicaciones.

No es necesario que cambie estos derechos de usuario. Estos privilegios no se usan en Director y están inhabilitados automáticamente.

Comunicaciones de Director

En un entorno de producción, Citrix recomienda el uso del protocolo IPsec o los protocolos HTTPS para proteger la transferencia de los datos entre Director y los servidores. IPsec es un conjunto de extensiones estándar para el protocolo de Internet. Proporciona comunicaciones autenticadas y cifradas con integridad de datos y protección contra reproducción. Como IPsec es un conjunto de protocolos de capa de red, los protocolos con niveles más elevados pueden utilizarlo sin realizar ninguna modificación. HTTPS utiliza protocolos SSL y TLS para proporcionar un cifrado de datos avanzado.

Citrix recomienda encarecidamente no habilitar conexiones de usuario a Director que no sean seguras en un entorno de producción.

Nota: Para conseguir comunicaciones seguras desde Director se requiere una configuración aparte para cada conexión.

Nota: No se recomienda usar el protocolo SSL.  Use TLS en su lugar.

Nota: Debe proteger la seguridad de las comunicaciones con NetScaler usando TLS, no IPsec.

Para proteger las comunicaciones entre Director y los servidores XenApp/XenDesktop (para supervisión e informes), consulte Protección de puntos finales mediante TLS.

Para proteger las comunicaciones entre Director y NetScaler (para NetScaler Insight), consulte Configuración del análisis de red.

Para proteger las comunicaciones entre Director y el servidor de licencias, consulte Seguridad de License Administration Console.

Separación de la seguridad de Director

Si implementa aplicaciones Web en el mismo dominio Web (nombre de dominio y puerto) que Director, cualquier posible problema de seguridad de esas aplicaciones Web podrían afectar a su vez a la seguridad de la implementación de Director. Cuando se necesita un mayor nivel de seguridad es necesario separarlos: Citrix recomienda implementar Director en un dominio Web aparte.