StoreFrontの展開を保護する
この記事では、StoreFrontの展開と構成時にシステムセキュリティに影響を与える可能性のある領域に焦点を当てています。
エンドユーザー認証
通常、エンドユーザーはStoreFrontに直接、またはStoreFrontの前面にあるCitrix Gatewayに対して認証を行う必要があります。利用可能な認証方法の詳細については、「認証」を参照してください。
エンドユーザーとの通信
Citrixは、ユーザーデバイスとStoreFront間の通信をHTTPSを使用して保護することを推奨しています。これにより、クライアントとStoreFront間で送信されるパスワードやその他のデータが暗号化されます。さらに、特に公共のWi-Fiホットスポットなどの安全でない場所から接続が行われる場合、平文のHTTP接続は、中間者攻撃などのさまざまな攻撃によって危険にさらされる可能性があります。適切なIIS構成がない場合、StoreFrontは通信にHTTPを使用します。
構成によっては、ユーザーはゲートウェイまたはロードバランサーを介してStoreFrontにアクセスする場合があります。HTTPS接続はゲートウェイまたはロードバランサーで終端できます。ただし、この場合でもCitrixは、ゲートウェイまたはロードバランサーとStoreFront間の接続をHTTPSを使用して保護することを推奨しています。
HTTPSを有効にし、HTTPを無効にしてHSTSを有効にするには、「HTTPSでStoreFrontを保護する」を参照してください。
NetScaler Gatewayまたはロードバランサーの仮想サーバーで、有効にするTLSバージョンを構成できます。TLS 1.2より前のレガシーTLSバージョンは無効にすることをお勧めします。
StoreFrontサーバーでは、WindowsとIISが受信接続に許可されるTLSバージョンを決定します。TLS 1.2より古いレガシーTLSバージョンは無効にすることをお勧めします。Windows Server 2025では、TLS 1.0および1.1はデフォルトで無効になっています。Windows Server 2022では、クライアント接続に対してTLS 1.0および1.1を無効にするようにIISを構成できます。「HTTPSでStoreFrontを保護する」を参照してください。すべてのWindowsサーバーバージョンで、グループポリシーまたはWindowsレジストリ設定を使用してTLS 1.0および1.1を無効にできます。「Microsoftドキュメント」を参照してください。
以前のバージョンのCitrix ReceiverはTLS 1.2を使用して接続できません。詳細については、「CTX232266」を参照してください。
デリバリーコントローラーとの通信
Citrixは、StoreFrontとCitrix Virtual Apps and DesktopsのDelivery Controller間で渡されるデータを保護するためにHTTPSプロトコルを使用することを推奨しています。詳細については、「Delivery ControllerでHTTPSを有効にする」を参照してください。StoreFrontでHTTPSを使用するように構成するには、「Citrix Virtual Apps and Desktopsのサイトを追加する」および「Citrix Gatewayアプライアンスを追加する」を参照してください。証明書が侵害された場合は、「証明書失効リスト (CRL) の確認」を使用できます。StoreFrontは、Delivery Controllerとの通信にTLS 1.2以降を使用します。
信頼できるStoreFrontサーバーのみがDelivery Controllerと通信できるように、Delivery ControllerとStoreFrontを構成することをお勧めします。「セキュリティキーの管理」を参照してください。
クラウドコネクターとの通信
Citrix は、StoreFront と Cloud Connector 間で渡されるデータを保護するために HTTPS プロトコルを使用することを推奨します。「HTTPS の構成」(/ja-jp/citrix-cloud/citrix-cloud-resource-locations/citrix-cloud-connector/installation.html#https-configuration) を参照してください。StoreFront を構成するには、「Citrix Desktops as a Service のサイトを追加する」(/ja-jp/storefront/current-release/stores/sites#add-sites-for-citrix-desktops-as-a-service) および「Citrix Gateway アプライアンスを追加する」(/ja-jp/storefront/current-release/integrate-with-citrix-gateway-and-citrix-adc/configure-citrix-gateway#add-citrix-gateway-appliance) を参照してください。証明書が侵害された場合は、「証明書失効リスト (CRL) の確認」(/ja-jp/storefront/current-release/secure/certificate-revocation-list-checking) を使用できます。StoreFront は、Cloud Connector との通信に TLS 1.2 以降を使用します。
信頼できる StoreFront サーバーのみが Cloud Connector と通信できるように、DaaS と StoreFront を構成することをお勧めします。詳しくは、「セキュリティキーの管理」(/ja-jp/citrix-daas/manage-deployment/security-keys.html) を参照してください。
フェデレーション認証サービスとの通信
StoreFront とフェデレーション認証サービス (FAS) サーバー間の通信については、「フェデレーション認証サービス - セキュリティとネットワーク構成」(/ja-jp/federated-authentication-service/current-release/config-manage/security.html) を参照してください。
リモートアクセス
Citrix は、StoreFront サーバーをインターネットに直接公開することはお勧めしません。Citrix は、リモートユーザーの認証とアクセスを提供するために Citrix Gateway を使用することを推奨します。
マイクロソフト インターネット インフォメーション サービス (IIS) の強化
制限された IIS 構成で StoreFront を構成できます。これはデフォルトの IIS 構成ではないことに注意してください。
ファイル名拡張子
要求フィルタリングを使用して、許可されるファイル拡張子のリストを構成し、リストにないファイル名拡張子を禁止できます。IIS ドキュメント を参照してください。
StoreFront には、次のファイル名拡張子が必要です。
- . (空白の拡張子)
- .appcache
- .aspx
- .cr
- .シーエスエス
- .ディーティーディー
- .ジーアイエフ
- .エイチティーエム
- .エイチティーエムエル
- .アイシーエー®
- .アイシーオー
- .ジェイペグ
- .js
- .ピーエヌジー
- .エスブイジー
- .ティーエックスティー
- .エックスエムエル
ストアWebサイトでCitrix Workspaceアプリのダウンロードまたはアップグレードが有効になっている場合、StoreFrontでは、次のファイル名拡張子も必要です。
- .ディーエムジー
- .エグゼ
HTML5向けCitrix Workspaceアプリが有効になっている場合、StoreFrontには以下のファイル名拡張子も必要です。
- .イーオーティー
- .ティーティーエフ
- .ウォフ
- .ワズム
動詞
要求フィルタリングを使用して、許可される動詞のリストを構成し、リストにない動詞を禁止できます。IIS documentationを参照してください。
- GET
- ポスト
- ヘッド
URL内の非アスキー文字
ストア名とWebサイト名にASCII文字のみを使用するようにすれば、StoreFrontのURLにはASCII文字が含まれません。要求フィルタリングを使用して、非ASCII文字を禁止できます。IIS documentationを参照してください。
MIMEタイプ
以下のファイル拡張子に対応するOSシェルMIMEタイプを削除できます。
- .exe ファイル
- .dll ファイル
- .com ファイル
- .bat ファイル
- .csh ファイル
詳細については、IISドキュメントを参照してください。
X-Powered-By ヘッダーを削除する
デフォルトでは、IISはサーバーレベルで値 ASP.NET のヘッダー X-Powered-By を含みます。StoreFrontは、すべてのStoreFront Webサイトでこのヘッダーを削除します。サーバー上のすべてのWebサイトに適用されるサーバーレベルでヘッダーを削除することもできます。詳細については、IISカスタムヘッダーのドキュメントを参照してください。
IISバージョンを含むServerヘッダーの削除
デフォルトでは、IISは Server ヘッダーを追加することでIISバージョンを報告します。このヘッダーを削除するようにIISを構成できます。詳細については、IIS要求フィルタリングのドキュメントを参照してください。
StoreFront Webサイトを別のパーティションに移動する
StoreFront Webサイトをシステムファイルとは別のパーティションでホストできます。IIS内で、StoreFront展開を作成する前に、Default Web Siteを適切なパーティションに移動するか、別のサイトを作成する必要があります。
IIS機能
StoreFrontによってインストールおよび使用されるIIS機能のリストについては、システム要件を参照してください。その他のIIS機能は削除できます。
StoreFrontはISAPIフィルターを直接使用しませんが、この機能はASP.NETで必要とされるため、アンインストールできません。
ハンドラーマッピング
StoreFrontには以下のハンドラーマッピングが必要です。その他のハンドラーマッピングは削除できます。
- エクステンションレスURLハンドラー-インテグレーテッド-4.0
- ページハンドラーファクトリー-インテグレーテッド-4.0
- 静的ファイル
IISハンドラーのドキュメントを参照してください。
ISAPIフィルター
StoreFrontはISAPIフィルターを必要としません。すべてのISAPIフィルターを削除できます。ただし、ASP.NETにはISAPI Windows機能が必要です。IIS ISAPIフィルターのドキュメントを参照してください。
.NET承認規則
デフォルトでは、IISサーバーの「.NET承認規則」は「すべてのユーザーを許可」に設定されています。デフォルトでは、StoreFrontが使用するWebサイトはこの構成を継承します。
サーバーレベルで.NET承認規則を削除または変更した場合、StoreFrontが使用するWebサイトの規則を上書きして、「すべてのユーザー」に対する許可規則を追加し、その他の規則をすべて削除する必要があります。
リテールモード
リテールモードを有効にできます。IISドキュメントを参照してください。
アプリケーションプール
StoreFrontは以下のアプリケーションプールを作成します。
- シトリックス構成API
- シトリックス デリバリーサービス認証
- シトリックス デリバリーサービス リソース
- および Citrix レシーバー™ for ウェブ
各IISアプリケーションが使用するアプリケーションプール、または各プールのIDを変更しないでください。複数のサイトを使用している場合、各サイトを個別のアプリケーションプールを使用するように構成することはできません。
リサイクル設定では、アプリケーションプールのアイドルタイムアウトと仮想メモリ制限を設定できます。「Citrix Receiver for Web」アプリケーションプールがリサイクルされると、Webブラウザ経由でログインしているユーザーがログアウトされるため、中断を最小限に抑えるために、デフォルトでは毎日02:00にリサイクルされるように設定されています。リサイクル設定を変更すると、ユーザーが日中の他の時間にログオフされる可能性があります。
デフォルトのIISランディングページ
c:\inetpub\wwwrootからファイルiisstart.htm、welcome.pngを削除できます。
必要な設定
- IIS認証設定を変更しないでください。StoreFrontは認証を管理し、StoreFrontサイトのディレクトリを適切な認証設定で構成します。
- StoreFrontサーバーのSSL設定で、クライアント証明書: 必須を選択しないでください。StoreFrontのインストールにより、StoreFrontサイトの適切なページがこの設定で構成されます。
- StoreFrontは、セッション状態およびその他の機能のためにCookieを必要とします。特定のディレクトリでは、セッション状態、Cookie設定の下にあるモードをCookieを使用に設定する必要があります。
- StoreFrontでは、.NET信頼レベルを完全信頼に設定する必要があります。.NET信頼レベルを他の値に設定しないでください。
サービス
StoreFrontのインストールにより、以下のWindowsサービスが作成されます。
- Citrix Configuration Replication (NT SERVICE\CitrixConfigurationReplication)
- Citrix Cluster Join (NT SERVICE\CitrixClusterService)
- シトリックス ピア解決 (NT SERVICE\シトリックス ピア解決サービス)
- Citrix 資格情報ウォレット (NT SERVICE\Citrix 資格情報ウォレット)
- シトリックス サブスクリプション ストア (NT サービス\シトリックスサブスクリプションストア)
- シトリックス デフォルト ドメイン サービス (NT サービス\シトリックスデフォルトドメインサービス)
これらのアカウントはNetwork Serviceとしてログオンします。この構成を変更しないでください。
XenApp 6.5 用に StoreFront の Kerberos 制限付き委任を構成すると、Citrix StoreFront プロトコル遷移サービス (NT SERVICE\CitrixStoreFrontProtocolTransition) が追加で作成されます。このサービスは NT AUTHORITY\SYSTEM として実行されます。この構成は変更しないでください。
ユーザー権限の割り当て
ユーザー権限の割り当てをデフォルトから変更すると、StoreFront で問題が発生する可能性があります。特に、
-
StoreFront のインストールの一部として Microsoft IIS が有効になります。Microsoft IIS は、組み込みグループ IIS_IUSRS にログオン権限 バッチ ジョブとしてログオン と特権 認証後にクライアントを偽装 を付与します。これは通常の Microsoft IIS のインストール動作です。これらのユーザー権限を変更しないでください。詳細については、Microsoft のドキュメントを参照してください。
-
StoreFront をインストールすると、アプリケーションプールが作成され、IIS はユーザー権限として サービスとしてログオン、プロセスのメモリ クォータの調整、セキュリティ監査の生成、および プロセス レベル トークンの置き換え を付与します。
-
展開を作成または変更するには、管理者は ファイルとディレクトリの復元 の権限を持っている必要があります。
-
サーバーがサーバーグループに参加するには、Administrators グループは ファイルとディレクトリの復元、ネットワークからこのコンピューターにアクセス、および 監査とセキュリティ ログの管理 の権限を持っている必要があります。
-
ユーザーがユーザー名とパスワード認証 (直接またはゲートウェイ経由) でログオンするには、ローカルでのログオンを許可 する権限が必要です。ただし、StoreFront を構成してデリバリーコントローラー経由でパスワードを検証する場合は除きます。
これは包括的なリストではなく、他のユーザーアクセス権が必要になる場合があります。
グループメンバーシップの構成
StoreFrontサーバーグループを構成すると、次のサービスがAdministratorsセキュリティグループに追加されます。
- Citrix Configuration Replication (NT SERVICE\CitrixConfigurationReplication)
- Citrix Cluster Join (NT SERVICE\CitrixClusterService)。このサービスは、グループの一部であるサーバーでのみ表示され、結合が進行中の間のみ実行されます。
これらのグループメンバーシップは、StoreFrontが正しく動作するために必要です。
- 証明書の作成、エクスポート、インポート、削除、およびそれらに対するアクセス許可の設定
- Windowsレジストリの読み取りと書き込み
- グローバルアセンブリキャッシュ (GAC) 内のMicrosoft .NET Frameworkアセンブリの追加と削除
- Access the folder Program Files\Citrix\<StoreFrontLocation>
- IISアプリケーションプールIDとIIS Webアプリケーションの追加、変更、削除
- ローカルセキュリティグループとファイアウォールルールの追加、変更、削除
- WindowsサービスとPowerShellスナップインの追加と削除
- マイクロソフト ウィンドウズ コミュニケーション フレームワーク (WCF) エンドポイントを登録します
StoreFrontの更新では、この操作リストは予告なく変更される場合があります。
StoreFront のインストールでは、以下のローカルセキュリティグループも作成されます。
- Citrix クラスターメンバー
- シトリックスCWサービス読み取りユーザー
- シトリックスCWサービス書き込みユーザー
- Citrix 委任認証ユーザー
- Citrix 委任ディレクトリクレームファクトリーユーザー
- シトリックスピーエヌアールエスレプリケーター
- シトリックスピーエヌアールエスユーザー
- シトリックスストアフロント管理者
- Citrix サブスクリプションサーバーユーザー
- Citrix サブスクリプションストアサービスユーザー
- Citrix サブスクリプション同期ユーザー
StoreFront はこれらのセキュリティグループのメンバーシップを維持します。これらは StoreFront 内のアクセス制御に使用され、ファイルやフォルダーなどの Windows リソースには適用されません。これらのグループメンバーシップを変更しないでください。
エヌティーエルエム
ローカルの ESENT データベースを使用して「お気に入り」を有効にしている場合、StoreFront はサーバーグループで「お気に入り」を同期する際に NTLM を使用する可能性があります。NTLM を無効にすると、「お気に入り」の同期に失敗する可能性があります。代わりに、SQL Server データベースを使用できます。
ユーザーがドメインパススルー認証を使用して認証する場合、IISはデフォルトで可能な場合はKerberosを使用し、そうでない場合はNTLMにフォールバックします。StoreFrontの前にロードバランサーがある場合、常にNTLMにフォールバックします。
サーバーをNTLMv2のみを使用し、NTLMv1を拒否するように構成できます。詳細については、Microsoftドキュメントを参照してください。Windows Server 2025以降では、NTLMv1は削除されているため、常にNTLMv2が使用されます。
ストアフロントの証明書
サーバー証明書
サーバー証明書は、StoreFrontにおけるマシンの識別とトランスポート層セキュリティ (TLS) トランスポートセキュリティに使用されます。ICAファイル署名を有効にすることにした場合、StoreFrontは証明書を使用してICAファイルにデジタル署名することもできます。
詳細については、エンドユーザーとStoreFront間の通信およびICAファイル署名を参照してください。
トークン管理証明書
認証サービスとストアはそれぞれ、トークン管理のために証明書を必要とします。StoreFrontは、認証サービスまたはストアが作成されると、自己署名証明書を生成します。StoreFrontによって生成された自己署名証明書は、他の目的で使用しないでください。
シトリックス デリバリーサービス 証明書
StoreFrontは、カスタムのWindows証明書ストア (Citrix Delivery Services) に複数の証明書を保持しています。Citrix Configuration Replicationサービス、Citrix Credential Walletサービス、およびCitrix Subscriptions Storeサービスはこれらの証明書を使用します。クラスター内の各StoreFrontサーバーは、これらの証明書のコピーを保持しています。これらのサービスは安全な通信のためにTLSに依存しておらず、これらの証明書はTLSサーバー証明書としては使用されません。これらの証明書は、StoreFrontストアが作成されるか、StoreFrontがインストールされるときに作成されます。このWindows証明書ストアの内容を変更しないでください。
コード署名証明書
StoreFrontには、<InstallDirectory>\Scriptsフォルダーに複数のPowerShellスクリプト (.ps1) が含まれています。デフォルトのStoreFrontインストールではこれらのスクリプトは使用されません。これらは、特定のまれなタスクの構成手順を簡素化します。これらのスクリプトは署名されており、StoreFrontがPowerShell実行ポリシーをサポートできるようにします。AllSignedポリシーを推奨します。(Restrictedポリシーは、PowerShellスクリプトの実行を妨げるため、サポートされていません。)StoreFrontはPowerShell実行ポリシーを変更しません。
StoreFrontはコード署名証明書を信頼された発行元ストアにインストールしませんが、Windowsはコード署名証明書を自動的にそこに追加できます。これは、PowerShellスクリプトがAlways runオプションで実行されたときに発生します。(Never runオプションを選択した場合、証明書は信頼されていない証明書ストアに追加され、StoreFront PowerShellスクリプトは実行されません。)コード署名証明書が信頼された発行元ストアに追加されると、その有効期限はWindowsによってチェックされなくなります。StoreFrontタスクが完了した後、この証明書を信頼された発行元ストアから削除できます。
StoreFrontのセキュリティ分離
StoreFrontと同じWebドメイン(ドメイン名とポート)でStoreFrontサーバーにWebアプリケーションをデプロイする場合、それらのWebアプリケーションのセキュリティリスクがStoreFrontデプロイメントのセキュリティを低下させる可能性があります。より高度なセキュリティ分離が必要な場合は、CitrixはStoreFrontを別のWebドメインにデプロイすることを推奨します。
ICAダウンロード
ICAファイルには、VDAに接続し、多くの場合、追加認証なしでシングルサインオンするための情報が含まれています。したがって、ICAファイルが保護されていることを確認してください。ハイブリッド起動の場合、構成によっては、ICAファイルがユーザーのデバイスにダウンロードされることがあります。ICAダウンロードを無効にすることをお勧めします。詳細については、「起動設定」を参照してください。
ICAファイル署名
StoreFrontは、サーバー上の指定された証明書を使用してICAファイルにデジタル署名するオプションを提供します。これにより、この機能をサポートするバージョンのCitrix Workspaceアプリは、ファイルが信頼できるソースから発信されたものであることを検証できます。ICAファイルは、SHA-1およびSHA-256を含む、StoreFrontサーバーで実行されているオペレーティングシステムがサポートする任意のハッシュアルゴリズムを使用して署名できます。詳細については、「ICAファイル署名を有効にする」を参照してください。
アプリ保護
画面キャプチャやスクリーンロガーを防ぐために、アプリ保護を使用できます。ハイブリッド起動の場合、アプリ保護はデフォルトで無効になっています。有効にするには、「アプリ保護」を参照してください。
ユーザーのパスワード変更
Active Directoryドメイン資格情報を使用してWebブラウザ経由でログオンするユーザーが、いつでも、または有効期限が切れた場合にのみパスワードを変更できるようにすることができます。ただし、これにより、認証サービスを使用するストアにアクセスできるすべてのユーザーに機密性の高いセキュリティ機能が公開されます。組織に、ユーザーのパスワード変更機能を内部使用のみに限定するセキュリティポリシーがある場合は、企業ネットワークの外部からストアにアクセスできないようにしてください。認証サービスを作成すると、デフォルトの構成では、有効期限が切れていてもユーザーがパスワードを変更できないようになっています。詳細については、「ユーザーがパスワードを変更できるようにする」を参照してください。
カスタマイズ
セキュリティを強化するため、コンテンツセキュリティポリシーは他のサーバーからのスクリプトをブロックします。カスタマイズを作成する際は、スクリプトをWebサイトのcustomフォルダーに配置してください。StoreFrontがHTTPS接続用に構成されている場合、カスタムコンテンツまたはスクリプトへのリンクもHTTPSを使用していることを確認してください。
セキュリティヘッダー
WebブラウザでストアのWebサイトを表示すると、StoreFrontはWebブラウザに制限を課す以下のセキュリティ関連ヘッダーを返します。
| ヘッダー名 | 値 | 説明文 |
|---|---|---|
content-security-policy |
frame-ancestors 'none' |
これにより、他のサイトがフレーム内にStoreFrontウェブサイトを埋め込むことを防ぎ、クリックジャッキング攻撃を回避します。さらに、HTMLページには、XSS攻撃を軽減するためにスクリプトソースを制限するcontent-security-policyを含むmetaタグが含まれています。 |
X-Content-Type-Options |
nosniff |
これにより、MIMEタイプスニッフィングが回避されます。 |
X-Frame-Options |
deny |
これにより、他のサイトがフレーム内にStoreFrontウェブサイトを埋め込むことを防ぎ、クリックジャッキング攻撃を回避します。これはcontent-security-policyからframe-ancestors 'none'によって廃止されましたが、content-security-policyをサポートしない一部の古いブラウザでは理解されます。 |
クッキー
StoreFrontはいくつかのクッキーを使用します。ウェブサイトの運用で使用されるクッキーの一部は次のとおりです。
| クッキー | 説明文 |
|---|---|
ASP.NET_SessionId |
認証ステータスを含むユーザーのセッションを追跡します。HttpOnlyが設定されています。 |
CtxsAuthId |
セッション固定攻撃を防ぐため、StoreFrontはさらに、このCookieを使用してユーザーが認証されているかどうかを追跡します。HttpOnlyが設定されています。 |
CsrfToken |
標準的なCookie-to-header tokenパターンを介したクロスサイトリクエストフォージェリを防ぐために使用されます。サーバーはCookieにトークンを設定します。クライアントはCookieからトークンを読み取り、後続のリクエストでクエリ文字列またはヘッダーにトークンを含めます。クライアントのJavaScriptが読み取れるように、このCookieにはHttpOnlyが設定されていない必要があります。 |
CtxsDeviceId |
デバイスを識別します。HttpOnlyが設定されています。 |
StoreFrontは、ユーザーの状態を追跡するために他のいくつかのCookieを設定します。そのうちのいくつかはJavaScriptで読み取る必要があるため、HttpOnlyは設定されていません。これらのCookieには、認証またはその他の機密情報に関連する情報は含まれていません。
クライアントがHTTPS経由で接続する場合、Cookieを作成または更新する際に、secure属性を設定します。
追加のセキュリティ情報
注:
この情報は、予告なくいつでも変更される場合があります。
組織は、規制上の理由からStoreFrontのセキュリティスキャンを実行したい場合があります。前述の構成オプションは、セキュリティスキャンレポートの一部の検出結果を排除するのに役立ちます。
セキュリティスキャナーとStoreFrontの間にゲートウェイがある場合、特定の検出結果はStoreFront自体ではなくゲートウェイに関連している可能性があります。セキュリティスキャンレポートでは、通常、これらの検出結果(たとえば、TLS構成)を区別しません。このため、セキュリティスキャンレポートの技術的な説明は誤解を招く可能性があります。