Session Recording 2103

セキュリティの推奨事項

Session Recordingは、セキュアなネットワーク上に展開され管理者によりアクセスされそのことを前提にセキュリティを維持するコンポーネントです。デフォルトの構成はシンプルなシステムです。デジタル署名や暗号化などのセキュリティ機能はオプションで設定できます。

Session Recordingコンポーネント間の通信は、インターネットインフォメーションサービス(IIS)とMicrosoftメッセージキュー(MSMQ)を通じて実現されます。IISにより、各Session Recordingコンポーネント間のWebサービスの通信リンクが提供されます。MSMQにより、Session Recording AgentからSession Recordingサーバーへセッションの録画データを送信するための、信頼できるデータ伝送メカニズムが提供されます。

警告:

レジストリエディターの使用を誤ると、深刻な問題が発生する可能性があり、オペレーティングシステムの再インストールが必要になる場合もあります。レジストリエディターの誤用による障害に対して、シトリックスでは一切責任を負いません。レジストリエディターは、お客様の責任と判断の範囲でご使用ください。また、レジストリファイルのバックアップを作成してから、レジストリを編集してください。

展開計画を立てるときに、セキュリティに関する次の推奨事項について検討します:

  • 社内ネットワーク、Session Recording、または個々のマシンで各種管理者の役割を適切に分離する。このようにしないと、セキュリティ上の脅威にさらされ、システム機能が影響を受けたり、システムが不正利用されたりする可能性があります。ユーザーやアカウントごとに異なる管理者の役割(ロール)を割り当てることをお勧めします。一般のセッションユーザーにVDAシステムの管理者権限を持たせないようにしてください。
    • Citrix Virtual Apps and Desktops管理者は、VDAローカル管理者の役割を、公開アプリケーションまたはデスクトップのユーザーに付与しないでください。ローカル管理者の役割が必要な場合は、Windowsのメカニズムまたはサードパーティ製のソリューションを使用して、Session Recording Agentコンポーネントを保護します。
    • Session Recordingデータベース管理者とSession Recordingポリシー管理者を別々に割り当てます。
    • VDA管理者権限を一般的なセッションユーザーに、特にリモートPCアクセスを使用している場合には割り当てないことをお勧めします。
    • Session Recordingサーバーのローカル管理者アカウントは、厳格に保護する必要があります。
    • Session Recording Playerがインストールされたマシンへのアクセスを制御します。ユーザーがSession Recording Playerの役割を許可されていない場合、そのユーザーにはどのSession Recording Playerマシンのローカル管理者の役割も付与しないようにしてください。匿名アクセスを無効にしてください。
    • Session Recordingのストレージサーバーには、物理マシンを使用することをお勧めします。
  • Session Recordingでは、データの機密性にかかわらず、セッショングラフィックスアクティビティが録画されます。特定の状況においては、機密データ(ユーザーの資格情報、プライバシー情報、サードパーティの画面など。ただしこれらに限定されるものではありません)が誤って録画される場合があります。このリスクを回避するには、以下の措置を講じます:
    • 特定のトラブルシューティングの場合を除き、VDAのコアメモリダンプを無効にします。 コアメモリダンプを無効にするには、以下の手順に従います:
      1.[マイコンピューター] を右クリックし、[プロパティ] を選択します。
      2.[詳細設定] タブをクリックし、[起動と回復][設定] をクリックします。
      3.[デバッグ情報の書き込み][(なし)] を選択します。
      Microsoftの記事(https://support.microsoft.com/en-us/kb/307973)を参照してください。
    • セッションの所有者は、デスクトップセッションが録画されている場合は、オンライン会議とMicrosoft Remote Assistanceソフトウェアが録画される可能性があることを出席者に知らせます。
    • ログオン資格情報またはセキュリティ情報が、社内で公開または使用されるすべてのローカルアプリケーションとWebアプリケーションに表示されないようにします。そうしない場合、そのような情報がSession Recordingで録画されます。
    • リモートICAセッションに切り替える前に、機密情報を公開する可能性のあるアプリケーションをすべて閉じます。
    • 公開デスクトップまたはSoftware as a Service(SaaS)アプリケーションへのアクセスには、自動認証方法(シングルサインオン、スマートカードなど)のみをお勧めします。
  • Session Recordingは、正常に機能し、セキュリティニーズを満たす上で、特定のハードウェアとハードウェアインフラストラクチャ(社内ネットワークデバイス、オペレーティングシステムなど)に依存しています。インフラストラクチャレベルで対策を講じることでこうしたインフラストラクチャの損傷と不正利用を防ぎ、Session Recording機能の安全性と信頼性を確保します。
    • Session Recordingをサポートするネットワークインフラストラクチャを適切に保護し、利用可能な状態を維持します。
    • サードパーティ製のセキュリティソリューションまたはWindowsのメカニズムを使用して、Session Recordingコンポーネントを保護することをお勧めします。Session Recordingコンポーネントには以下が含まれます:
      • Session Recordingサーバー上
        • プロセス:SsRecStoragemanager.exeおよびSsRecAnalyticsService.exe
        • サービス:CitrixSsRecStorageManagerおよびCitrixSsRecAnalyticsService
        • Session Recordingサーバーのインストールフォルダーにあるすべてのファイル
        • HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartAuditor\Serverにあるレジストリ値
      • Session Recording Agent上
        • プロセス:SsRecAgent.exe
        • サービス:CitrixSmAudAgent
        • Session Recording Agentのインストールフォルダーにあるすべてのファイル
        • HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartAuditor\Agentにあるレジストリ値
  • Session RecordingサーバーでMessage Queuing(MSMQ)のアクセス制御リスト(ACL)を設定することで、MSMQデータをSession Recordingサーバーに送信できるVDAまたはVDIマシンを制限し、許可のないマシンがデータをSession Recordingサーバーに送信できないようにします。

    1. 各Session Recordingサーバー、およびSession Recordingが有効になっているVDAまたはVDIマシンに、サーバー機能のDirectory Service Integrationをインストールします。次にMessage Queuingサービスを再起動します。
    2. 各Session RecordingサーバーのWindowsの [スタート] メニューから、[管理ツール] > [コンピューターの管理] の順に開きます。
    3. [サービスとアプリケーション]>[メッセージキュー]>[専用キュー] の順に開きます。
    4. citrixsmauddata専用キューをクリックして [プロパティ] ページを開き、[セキュリティ] タブをクリックします。

      コンピューターの管理の[セキュリティ]タブの画像

    5. MSMQデータをこのサーバーに送信するVDAのコンピューターまたはセキュリティグループを追加し、メッセージを送信する権限を付与します。

      メッセージを送信する権限付与の画像

  • Session RecordingサーバーとSession Recording Agentのイベントログを適切に保護する。Windowsまたはサードパーティ製のリモートログソリューションを使用してイベントログを保護するか、イベントログをリモートサーバーにリダイレクトすることが推奨されます。
  • Session Recordingコンポーネントが動作するサーバーを物理的に保護する。可能であれば、権限を持つ人のみが入室できる安全なサーバー室にコンピューターを設置します。
  • Session Recordingコンポーネントが動作するサーバーを別のサブネットまたはドメインに分離する。
  • Session Recordingサーバーとほかのサーバーの間にファイアウォールを設置し、ほかのサーバーにアクセスするユーザーからセッションの録画データを保護する。
  • Microsoftからの最新のセキュリティアップデートにより、Session Recording AdministrationサーバーおよびSQLデータベースを最新に保ちます。
  • 管理者以外の人が管理マシンにログオンできないように制限する。
  • 録画ポリシーの変更およびセッションの録画ファイルの表示を行う権限を持つユーザーを厳しく制限する。
  • デジタル証明書をインストールし、Session Recordingのファイル署名機能を使用し、IISでTLS通信をセットアップする。
  • MSMQの通信でHTTPSが使用されるように設定する。そのためには、[Session Recording Agentのプロパティ] に表示されるMSMQプロトコルをHTTPSに設定します。詳しくは、「MSMQのトラブルシューティング」を参照してください。
  • TLS 1.1またはTLS 1.2(推奨)を使いSSLv2、SSLv3、およびTLS 1.0をSession RecordingサーバーとSession Recordingデータベースで無効にします。

  • Session RecordingサーバーとSession Recordingデータベースで、TLS用のRC4暗号スイートを無効にする。

    1. Microsoftのグループポリシーエディターを使用して、[コンピューターの構成]>[管理用テンプレート]>[ネットワーク]>[SSL構成設定] に移動します。
    2. [SSL暗号の順位] ポリシーを [有効] に設定します。デフォルトでは、このポリシーは [未構成] に設定されています。  
    3. RC4暗号スイートをすべて削除します。
  • 再生データの保護機能を使用する。再生データの保護はSession Recordingの機能の1つで、これにより、Session Recording Playerにダウンロードされる前に、セッションの録画ファイルが暗号化されます。このオプションは [Session Recordingサーバーのプロパティ] にあり、デフォルトで有効に設定されます。
  • 暗号化キー長および暗号化アルゴリズムのNSITガイダンスに従います。
  • TLS 1.2のSession Recordingサポートを構成します。

    Session Recordingコンポーネントのエンドツーエンドセキュリティを確実にするためには、通信プロトコルとしてTLS 1.2を使用されることをお勧めします。

    TLS 1.2のSession Recordingサポートを構成するには:

    1. Session Recordingサーバーをホストするマシンにログオンします。適切なSQL Serverクライアントコンポーネントとドライバーをインストールし、.NET Framework(バージョン4以降)に対して強固な暗号を設定します。
      1. Microsoft ODBC Driver for SQL Serverバージョン11以降をインストールします。
      2. .NETフレームワークの最新のホットフィックスロールアップを適用します。
      3. 使用している.NETフレームワークのバージョンに基づいてADO.NET - SqlClientをインストールします。詳しくは、https://support.microsoft.com/en-us/kb/3135244を参照してください。
      4. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NetFramework\v4.0.30319およびHKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NetFramework\v4.0.30319の下に、DWORD値SchUseStrongCrypto=1を追加します。
      5. マシンを再起動してください。
    2. Session Recordingポリシーコンソールをホストするマシンにログオンします。.NET Frameworkの最新のホットフィックスロールアップを適用し、.NET Framework(バージョン4以上)に対して強固な暗号を設定します。強固な暗号を設定する方法は、下位手順1-4および1-5と同じです。Session Recordingサーバーと同じコンピューターでSession Recordingポリシーコンソールをインストールするように選択している場合は、これらの手順を実行する必要はありません。

2016より前のバージョンのSQL Serverに対するTLS 1.2サポートを構成するには、https://support.microsoft.com/en-us/kb/3135244を参照してください。TLS 1.2を使用するには、HTTPSを、Session Recordingコンポーネントのための通信プロトコルとして構成します。

セキュリティの推奨事項

この記事の概要