Product Documentation

安全性建议

Feb 23, 2016

Session Recording 可以部署在一个安全网络中,并由管理员进行访问,因此,Session Recording 非常安全。 即开即用部署设计为简单易用,且具有可选择性配置的数字签名和加密等安全功能。

Session Recording 组件之间的通信通过 Internet Information Services (IIS) 以及 Microsoft 消息队列 (MSMQ) 实现。 IIS 在每个 Session Recording 组件之间提供网络服务通信链接。 MSMQ 提供了可靠的数据传输机制,可用于从 Session Recording Agent 向 Session Recording Server 发送录制的会话数据。

规划部署时,请考虑如下安全性建议:

  • 确保运行 Session Recording 组件的服务器在物理上是安全的。 如有可能,请将这些计算机锁在一个安全的房间内,只有授权人员能够直接取用。
  • 隔离在单独子网或域上运行 Session Recording 组件的服务器。
  • 在 Session Recording Server 与其他服务器之间安装防火墙,防止访问其他服务器的用户访问录制的会话数据。
  • 安装 Microsoft 提供的最新安全更新,保持 Session Recording Admin Server 和 SQL 数据库为最新版本。
  • 限制非管理员登录到管理计算机。
  • 严格限制授权人员更改录制策略及查看录制的会话。
  • 安装数字证书,使用 Session Recording 文件签名功能,并在 IIS 中设置 TLS 通信。
  • 通过将 Session Recording Agent Properties 对话框中列出的 MSMQ 协议设置为 HTTS,设置 MSMQ 使用 HTTPS 作为传输协议。 有关详细信息,请参阅 MSMQ 故障排除
  • 在 Session Recording Server 和 Session Recording 数据库上使用 TLS 1.2 并禁用 SSLv2、SSLv3 和 RC4 密码。 有关详细信息,请参阅 Microsoft 文章 http://support.microsoft.com/default.aspx?scid=kb;en-us;187498http://support.microsoft.com/kb/245030/zh-cn
  • 使用播放保护功能。 播放保护是一项 Session Recording 功能,在文件下载到 Session Recording Player 前对文件进行加密。 默认情况下,此选项处于启用状态,且位于“Session Recording Server Properties”中。
  • 请勿在 Amazon Web Service (AWS) 等公有云上部署 Session Recording。
  • 按照加密密钥长度和加密算法的 NSIT 指南进行操作。

有关配置 Session Recording 功能的信息,请参阅 http://support.citrix.com/article/CTX200868

安装证书

在安装了 Session Recording Server 的计算机上,IIS Web 服务器在从 Session Recording Agent、Session Recording Player 或 Session Recording 策略控制台建立 TLS 连接时,将其服务器证书发送至客户端。 收到服务器证书后,Session Recording Agent、Session Recording Player 或策略控制台会确定颁发该证书的证书颁发机构 (CA) 以及客户端是否信任该 CA。 如果客户端不信任该 CA,证书将被拒绝,并且将在 Session Recording Agent 的应用程序事件日志中记录错误,或者在 Session Recording Player 或策略控制台中向用户显示一条错误消息。

服务器证书是通过收集服务器相关信息并请求 CA 为该服务器颁发证书来安装的。 请求服务器证书时必须指定正确的信息,并确保正确指定服务器的名称。 如果使用完全限定的域名 (FQDN) 连接客户端(Session Recording Agent、Session Recording Player 以及策略控制台),则指定给 CA 的证书信息必须使用服务器的 FQDN 而非 NetBIOS 名称。 如果指定 NetBIOS 名称,请勿在请求服务器证书时指定 FQDN。 将服务器证书安装到本地服务器的证书存储中。 在每个连接的客户端上安装颁发的 CA 证书。

您的组织可能拥有私有 CA 来颁发可与 Session Recording 一起使用的服务器证书。 如果您使用私有 CA,请确保每台客户端设备上均安装有颁发的 CA 证书。 有关使用证书以及证书颁发机构的信息,请参阅 Microsoft 文档。 或者,某些公司和组织目前担当 CA 的角色,包括 VeriSign、Baltimore、Entrust 及其各自的附属机构。

所有证书都拥有一个由 CA 定义的过期日期。 要查找该过期日期,请查看证书的属性。 请确保在过期日期之前续订证书,以防止 Session Recording 中产生任何错误。

默认情况下,Session Recording 安装会配置为使用 HTTPS,您需要使用 CA 颁发的服务器证书来配置默认 Web 站点。 如果需要有关在 IIS 中安装服务器证书的说明,请查阅 IIS 文档。