Citrix Virtual Apps and Desktops

Sécuriser le déploiement de Director

Cet article dresse la liste des domaines susceptibles d’avoir un impact sur la sécurité du système lors du déploiement et de la configuration de Director.

Communications Director

Dans un environnement de production, utilisez les protocoles HTTPS pour sécuriser les données transitant entre Director et vos serveurs. HTTPS utilise les protocoles TLS (Transport Layer Security) pour fournir un cryptage de données renforcé.

Remarque :

  • Citrix recommande fortement de restreindre l’accès à la console Director au sein du réseau intranet.
  • Citrix vous recommande de ne pas autoriser les connexions non sécurisées à Director dans un environnement de production.
  • Utilisez TLS 1.2 ou supérieur. N’utilisez pas les protocoles TLS ou SSL d’ancienne génération.

Pour sécuriser les communications entre les navigateurs Web des utilisateurs et Director, reportez-vous à la section Activer TLS sur Web Studio et Director

Pour sécuriser les communications entre Director et les serveurs Citrix Virtual Apps and Desktops (pour la surveillance et les rapports), reportez-vous à la section Sécurisation de l’accès à l’API OData Monitor sur site.

Pour sécuriser les communications entre Director et Citrix ADC (pour Citrix Insight), lorsque vous Configurez l’analyse réseau, choisissez un type de connexion HTTPS.

Configurer Microsoft Internet Information Services (IIS)

Vous pouvez configurer Director avec une configuration IIS limitée.

Limites de recyclage du pool d’applications

Director utilise un pool d’applications appelé Director. Vous pouvez définir les limites de recyclage du pool d’applications suivantes sur le pool d’applications :

  • Limite de mémoire virtuelle : 4 294 967 295
  • Limite de mémoire privée : taille de la mémoire physique du serveur StoreFront
  • Nombre limite de demandes : 4 000 000 000

Extensions de nom de fichier

Lors de l’installation, Director configure le filtrage des demandes pour autoriser uniquement les extensions suivantes :

  • .
  • .aspx
  • .css
  • .eot
  • .html
  • .ico
  • .js
  • .png
  • .svc
  • .svg
  • .gif
  • .json
  • .woff
  • .woff2
  • .ttf

Verbes HTTP

Lors de l’installation, Director configure le filtrage des demandes pour autoriser uniquement les verbes suivants :

  • GET
  • POST
  • HEAD

Fonctionnalités IIS

Director ne nécessite pas les composants IIS suivants :

  • Extensions ISAPI
  • Programmes CGI
  • Programmes FastCGI

Vous pouvez supprimer ces composants.

Niveau de confiance .NET

Director nécessite que le niveau de confiance .NET ** soit défini sur **Confiance totale. Ne définissez pas le niveau de confiance .NET sur une autre valeur.

Configurer les droits des utilisateurs

Lorsque Director est installé, son pool d’applications se voit attribuer les éléments suivants :

  • Droit d’ouverture de session Ouvrir une session en tant que service
  • Privilèges Ajuster les quotas de mémoire pour un processus, Générer des audits de sécuritéet Remplacer un jeton de niveau processus

Les droits et privilèges mentionnés sont un comportement d’installation normal lors de la création de pools d’applications.

Vous n’avez pas besoin de changer ces droits d’utilisateur. Ces privilèges ne sont pas utilisés par Director et sont automatiquement désactivés.

Séparation de la sécurité de Director

Vous pouvez déployer n’importe quelle application Web dans le même domaine Web (nom de domaine et port) que Director. Toutefois, tout risque de sécurité dans ces applications Web peut potentiellement réduire la sécurité de votre déploiement Director. Lorsqu’un degré plus important de séparation de la sécurité est nécessaire, Citrix recommande de déployer Director dans un domaine Web distinct.

Sécuriser le déploiement de Director