Citrix Virtual Apps and Desktops

Implantação segura do Director

Este artigo destaca áreas que podem ter impacto na segurança do sistema ao implantar e configurar o Director.

Configurar Serviços de Informações da Internet (IIS) da Microsoft

Você pode configurar o Director com uma configuração restrita do IIS. Observe que essa não é a configuração padrão do IIS.

Limites de reciclagem do pool de aplicativos

Você pode definir os seguintes limites de reciclagem do pool de aplicativos:

  • Limite de memória virtual: 4.294.967.295
  • Limite de memória privada: o tamanho da memória física do servidor StoreFront
  • Limite de solicitação: 4.000.000.000

Extensões de nome de arquivo

Você pode cancelar a permissão de extensões de nome de arquivo não listadas.

O Director requer estas extensões de nome de arquivo na Filtragem de Solicitações:

  • .aspx
  • .css
  • .html
  • .js
  • .png
  • .svc
  • .woff
  • .woff2
  • .gif
  • .eot
  • .svg
  • .ttf
  • .json
  • . (para redirecionamentos)

O Director requer os seguintes verbos HTTP na Filtragem de Solicitações. Você pode cancelar a permissão de verbos não listados.

  • GET
  • POST
  • HEAD

O Director não requer:

  • Filtros ISAPI
  • Extensões ISAPI
  • Programas CGI
  • Programas FastCGI

Importante:

  • O Director requer Confiança Total. Não defina o nível de confiança .NET global como Alto ou inferior.
  • O Director mantém um pool de aplicativos separado. Para modificar as configurações do Director, selecione o Site do Director e modifique-o.

Configurar direitos de usuário

Quando o Director é instalado, seus pools de aplicativos recebem o direito de login. Faça login como um serviço e os privilégios Ajuste as cotas de memória para um processo, gere auditorias de segurança e substitua um token no nível do processo. Esse é um comportamento normal de instalação quando os pools de aplicativos são criados.

Você não precisa alterar esses direitos de usuário. Esses privilégios não são usados pelo Director e são desativados automaticamente.

Comunicações do Director

Em um ambiente de produção, a Citrix recomenda o uso dos protocolos IPsec ou HTTPS para proteger a passagem de dados entre o Director e seus servidores. O IPsec é um conjunto de extensões padrão para o protocolo de internet que fornece comunicações autenticadas e criptografadas com integridade de dados e proteção contra reprodução. Como o IPsec é um conjunto de protocolos de camada de rede, protocolos de nível superior podem usá-lo sem modificação. O HTTPS usa os protocolos TLS (Transport Layer Security) para fornecer criptografia de dados forte.

Observação:

  • A Citrix recomenda que você não ative conexões não seguras ao Director em um ambiente de produção.
  • As comunicações seguras do Director exigem configuração para cada conexão separadamente.
  • O protocolo SSL não é recomendado. Em vez disso, use o protocolo TLS mais seguro.
  • Você deve proteger as comunicações com o Citrix ADC usando TLS, não IPsec.

Para proteger as comunicações entre servidores do Citrix Virtual Apps and Desktops e Director (para monitoramento e relatórios), consulte Data Access Security.

Para proteger as comunicações entre o Director e o Citrix ADC (para Citrix Insight), consulte Configurar análise de rede.

Para proteger as comunicações entre o Director e o servidor de licenças, consulte Secure the License Administration Console.

Separação de segurança do Director

Se você implantar qualquer aplicativo da Web no mesmo domínio da Web (nome de domínio e porta) do Director, qualquer risco de segurança nesses aplicativos da Web poderá reduzir potencialmente a segurança da implantação do Director. Quando um maior grau de separação de segurança é necessário, a Citrix recomenda que você implante o Director em um domínio da Web separado.

Implantação segura do Director