Sécuriser le déploiement de Director
Cet article dresse la liste des domaines susceptibles d’avoir un impact sur la sécurité du système lors du déploiement et de la configuration de Director.
Communications Director
Dans un environnement de production, utilisez les protocoles HTTPS pour sécuriser les données transitant entre Director et vos serveurs. HTTPS utilise les protocoles TLS (Transport Layer Security) pour fournir un cryptage de données renforcé.
Remarque :
- Citrix recommande fortement de restreindre l’accès à la console Director au sein du réseau intranet.
- Citrix vous recommande de ne pas autoriser les connexions non sécurisées à Director dans un environnement de production.
- Utilisez TLS 1.2 ou supérieur. N’utilisez pas les protocoles TLS ou SSL d’ancienne génération.
Pour sécuriser les communications entre les navigateurs Web des utilisateurs et Director, reportez-vous à la section Activer TLS sur Web Studio et Director
Pour sécuriser les communications entre Director et les serveurs Citrix Virtual Apps and Desktops (pour la surveillance et les rapports), reportez-vous à la section Sécurisation de l’accès à l’API OData Monitor sur site.
Pour sécuriser les communications entre Director et Citrix ADC (pour Citrix Insight), lorsque vous Configurez l’analyse réseau, choisissez un type de connexion HTTPS.
Configurer Microsoft Internet Information Services (IIS)
Vous pouvez configurer Director avec une configuration IIS limitée.
Limites de recyclage du pool d’applications
Director utilise un pool d’applications appelé Director. Vous pouvez définir les limites de recyclage du pool d’applications suivantes sur le pool d’applications :
- Limite de mémoire virtuelle : 4 294 967 295
- Limite de mémoire privée : taille de la mémoire physique du serveur StoreFront
- Nombre limite de demandes : 4 000 000 000
Extensions de nom de fichier
Lors de l’installation, Director configure le filtrage des demandes pour autoriser uniquement les extensions suivantes :
- .
- .aspx
- .css
- .eot
- .html
- .ico
- .js
- .png
- .svc
- .svg
- .gif
- .json
- .woff
- .woff2
- .ttf
Verbes HTTP
Lors de l’installation, Director configure le filtrage des demandes pour autoriser uniquement les verbes suivants :
- GET
- POST
- HEAD
Fonctionnalités IIS
Director ne nécessite pas les composants IIS suivants :
- Extensions ISAPI
- Programmes CGI
- Programmes FastCGI
Vous pouvez supprimer ces composants.
Niveau de confiance .NET
Director nécessite que le niveau de confiance .NET ** soit défini sur **Confiance totale. Ne définissez pas le niveau de confiance .NET sur une autre valeur.
Configurer les droits des utilisateurs
Lorsque Director est installé, son pool d’applications se voit attribuer les éléments suivants :
- Droit d’ouverture de session Ouvrir une session en tant que service
- Privilèges Ajuster les quotas de mémoire pour un processus, Générer des audits de sécuritéet Remplacer un jeton de niveau processus
Les droits et privilèges mentionnés sont un comportement d’installation normal lors de la création de pools d’applications.
Vous n’avez pas besoin de changer ces droits d’utilisateur. Ces privilèges ne sont pas utilisés par Director et sont automatiquement désactivés.
Séparation de la sécurité de Director
Vous pouvez déployer n’importe quelle application Web dans le même domaine Web (nom de domaine et port) que Director. Toutefois, tout risque de sécurité dans ces applications Web peut potentiellement réduire la sécurité de votre déploiement Director. Lorsqu’un degré plus important de séparation de la sécurité est nécessaire, Citrix recommande de déployer Director dans un domaine Web distinct.