Product Documentation

Implementación segura de Director

Jul 07, 2016

En este artículo se muestran las áreas que pueden afectar a la seguridad del sistema durante la implementación y la configuración de Director.

Configuración de Microsoft Internet Information Services (IIS).

Director puede configurarse con una configuración restringida de IIS. Esta no es la configuración predeterminada de IIS.

Extensiones de nombres de archivo

Puede prohibir extensiones de nombre de archivo no incluidas en la lista.

Director requiere estas extensiones de nombre de archivo en la opción Filtro de solicitudes:

  • .aspx
  • .css
  • .html
  • .js
  • .png

Director requiere los siguientes verbos de HTTP en Filtro de solicitudes. Puede prohibir los verbos que no se encuentren en la lista.

  • GET
  • POST
  • HEAD

Director no requiere:

  • Filtros de ISAPI
  • Extensiones ISAPI
  • Programas CGI
  • Programas FastCGI

Important

  • Director requiere Plena confianza. No configure el nivel de confianza de .NET con un nivel Alto o inferior.
  • Director mantiene un grupo de aplicaciones separado. Para modificar los parámetros de Director, seleccione el sitio de Director y modifíquelos.

Configuración de derechos de usuario

Cuando se instala Director, sus grupos de aplicaciones reciben el derecho de Iniciar sesión como un servicio, y los privilegios siguientes: Ajustar las cuotas de la memoria para un proceso, Generar auditorías de seguridad y Reemplazar un símbolo (token) de nivel de proceso. Este es el comportamiento normal de instalación cuando se crean los grupos de aplicaciones.

No es necesario que cambie estos derechos de usuario. Estos privilegios no se usan en Director y están inhabilitados automáticamente.

Certificados en Director:

  • Para usar HTTPS se pueden configurar y utilizar certificados de confianza.

Comunicaciones de Director

En un entorno de producción, Citrix recomienda el uso del protocolo IPsec o los protocolos HTTPS para proteger la transferencia de los datos entre Director y los servidores. IPsec es un conjunto de extensiones estándar para el protocolo de Internet. Proporciona comunicaciones autenticadas y cifradas con integridad de datos y protección contra reproducción. Como IPsec es un conjunto de protocolos de capa de red, los protocolos con niveles más elevados pueden utilizarlo sin realizar ninguna modificación. HTTPS utiliza protocolos SSL y TLS para proporcionar un cifrado de datos avanzado.

El Traspaso TLS se puede usar para proteger el tráfico de datos entre Director y los servidores XenApp/XenDesktop. Para obtener más información, consulte el artículo de blog Securing Citrix Director: OData Interface through TLS.

Citrix recomienda proteger la comunicación entre los dispositivos de los usuarios y Director mediante NetScaler Gateway y HTTPS. Para utilizar HTTPS, Director requiere que la sesión de Microsoft Internet Information Services (IIS) que aloja el servicio de autenticación esté configurada para HTTPS. Sin una configuración de IIS adecuada, Director utiliza HTTP para las comunicaciones. Citrix recomienda encarecidamente no habilitar conexiones de usuario no seguras a Director en un entorno de producción.

Separación de la seguridad de Director

Si implementa aplicaciones Web en el mismo dominio Web (nombre de dominio y puerto) que Director, cualquier posible problema de seguridad de esas aplicaciones Web podrían afectar a su vez a la seguridad de la implementación de Director. Cuando se necesita un mayor nivel de seguridad es necesario separarlos: Citrix recomienda implementar Director en un dominio Web aparte.