Sicherheit und Netzwerkkonfiguration

Der Federated Authentication Service (FAS) ist eng in Microsoft Active Directory und die Microsoft-Zertifizierungsstelle integriert. Es ist unerlässlich, sicherzustellen, dass das System angemessen verwaltet und gesichert wird und eine Sicherheitsrichtlinie zu entwickeln, wie Sie es für einen Domänencontroller oder eine andere kritische Infrastruktur tun würden.

Dieses Dokument bietet einen Überblick über Sicherheitsaspekte, die bei der Bereitstellung von FAS zu berücksichtigen sind. Es bietet auch einen Überblick über verfügbare Funktionen, die zur Sicherung Ihrer Infrastruktur beitragen können.

Netzwerkarchitektur

Das folgende Diagramm zeigt die Hauptkomponenten und Sicherheitsgrenzen, die in einer FAS-Bereitstellung verwendet werden.

Der FAS-Server sollte zusammen mit der Zertifizierungsstelle und dem Domänencontroller als Teil der sicherheitskritischen Infrastruktur behandelt werden. In einer föderierten Umgebung sind Citrix Gateway und Citrix StoreFront Komponenten, denen die Durchführung der Benutzerauthentifizierung anvertraut wird; andere Citrix Virtual Apps and Desktops™-Komponenten sind von der Einführung von FAS nicht betroffen.

Firewall und Netzwerksicherheit

Die Kommunikation zwischen Citrix Gateway, StoreFront und den Delivery Controller™-Komponenten sollte durch TLS über Port 443 geschützt werden. Der StoreFront-Server stellt nur ausgehende Verbindungen her, und das Citrix Gateway sollte nur Verbindungen über das Internet über HTTPS-Port 443 akzeptieren.

Der StoreFront-Server kontaktiert den FAS-Server über Port 80 unter Verwendung von gegenseitig authentifiziertem Kerberos. Die Authentifizierung verwendet die Kerberos HOST/FQDN-Identität des FAS-Servers und die Kerberos-Computeraccount-Identität des StoreFront-Servers. Dadurch wird ein einmalig verwendbares „Anmeldeinformations-Handle“ generiert, das vom Citrix Virtual Delivery Agent (VDA) benötigt wird, um den Benutzer anzumelden.

Wenn eine HDX-Sitzung mit dem VDA verbunden ist, kontaktiert der VDA den FAS-Server ebenfalls über Port 80. Die Authentifizierung verwendet die Kerberos HOST/FQDN-Identität des FAS-Servers und die Kerberos-Computeridentität des VDA. Zusätzlich muss der VDA das „Anmeldeinformations-Handle“ bereitstellen, um auf das Zertifikat und den privaten Schlüssel zuzugreifen.

• Die Microsoft-Zertifizierungsstelle akzeptiert die Kommunikation über Kerberos-authentifiziertes DCOM, das für die Verwendung eines festen TCP-Ports konfiguriert werden kann. Die Zertifizierungsstelle verlangt zusätzlich, dass der FAS-Server ein CMC-Paket bereitstellt, das von einem vertrauenswürdigen Registrierungsagentenzertifikat signiert ist.

  • Server

    Firewall-Ports

  • |————————–|——————————————————|

  • Federated Authentication Service	[eingehend] Kerberos über HTTP von StoreFront™ und VDAs, [ausgehend] DCOM zur Microsoft-Zertifizierungsstelle
    Citrix Gateway	[eingehend] HTTPS von Clientcomputern, [eingehend/ausgehend] HTTPS zu/von StoreFront-Server, [ausgehend] HDX zu VDA
    StoreFront	[eingehend] HTTPS von Citrix Gateway, [ausgehend] HTTPS zu Delivery Controller, [ausgehend] Kerberos HTTP zu FAS
    Delivery Controller	[eingehend] HTTPS von StoreFront-Server, [eingehend/ausgehend] Kerberos über HTTP von VDAs
    VDA	[eingehend/ausgehend] Kerberos über HTTP von Delivery Controller, [eingehend] HDX von Citrix Gateway, [ausgehend] Kerberos HTTP zu FAS
    Microsoft-Zertifizierungsstelle	[eingehend] DCOM & signiert von FAS

Verbindungen zwischen Citrix Federated Authentication Service und Citrix Cloud™

Die Konsole und FAS greifen jeweils über das Benutzerkonto und das Netzwerkdienstkonto auf die folgenden Adressen zu.

• FAS-Verwaltungskonsole, unter dem Benutzerkonto
  • *.cloud.com
  • *.citrixworkspacesapi.net
  • Adressen, die von einem Drittanbieter-Identitätsanbieter benötigt werden, falls dieser in Ihrer Umgebung verwendet wird
  • FAS-Dienst, unter dem Netzwerkdienstkonto: *.citrixworkspacesapi.net

Wenn Ihre Umgebung Proxyserver umfasst, konfigurieren Sie den Benutzerproxy mit den Adressen für die FAS-Verwaltungskonsole. Stellen Sie außerdem sicher, dass die Adresse für das Netzwerkdienstkonto mit netsh oder einem ähnlichen Tool konfiguriert wird.

Administratoraufgaben

• Die Administration der Umgebung kann in die folgenden Gruppen unterteilt werden:

  • Name	Verantwortlichkeit

  • Unternehmensadministrator	Zertifikatvorlagen in der Gesamtstruktur installieren und sichern
    Domänenadministrator	Gruppenrichtlinieneinstellungen konfigurieren
    Zertifizierungsstellenadministrator	Zertifizierungsstelle konfigurieren
    FAS-Administrator	FAS-Server installieren und konfigurieren
    StoreFront/Citrix Gateway-Administrator	Benutzerauthentifizierung konfigurieren
    Citrix Virtual Desktops™-Administrator	VDAs und Controller konfigurieren

Jeder Administrator steuert verschiedene Aspekte des gesamten Sicherheitsmodells, was einen mehrschichtigen Sicherheitsansatz (Defense-in-Depth) zur Sicherung des Systems ermöglicht.

Gruppenrichtlinieneinstellungen

Vertrauenswürdige FAS-Computer werden durch eine Nachschlagetabelle von „Indexnummer -> FQDN“ identifiziert, die über Gruppenrichtlinien konfiguriert wird. Beim Kontakt mit einem FAS-Server überprüfen Clients die Kerberos-Identität HOST\<fqdn\> des FAS-Servers. Alle Server, die auf den FAS-Server zugreifen, müssen identische FQDN-Konfigurationen für denselben Index aufweisen; andernfalls können StoreFront und VDAs unterschiedliche FAS-Server kontaktieren.

Um Fehlkonfigurationen zu vermeiden, empfiehlt Citrix, dass eine einzige Richtlinie auf alle Computer in der Umgebung angewendet wird. Seien Sie vorsichtig, wenn Sie die Liste der FAS-Server ändern, insbesondere beim Entfernen oder Neuanordnen von Einträgen.

Die Kontrolle über dieses GPO sollte auf FAS-Administratoren (und/oder Domänenadministratoren) beschränkt sein, die FAS-Server installieren und außer Betrieb nehmen. Achten Sie darauf, einen Computer-FQDN-Namen nicht kurz nach der Außerbetriebnahme eines FAS-Servers wiederzuverwenden.

• Zertifikatvorlagen

Wenn Sie die mit FAS gelieferte Zertifikatvorlage Citrix_SmartcardLogon nicht verwenden möchten, können Sie eine Kopie davon ändern. Die folgenden Änderungen werden unterstützt.

Zertifikatvorlage umbenennen

Wenn Sie Citrix_SmartcardLogon umbenennen möchten, um Ihrem organisationsinternen Vorlagenbenennungsstandard zu entsprechen, müssen Sie:

• Erstellen Sie eine Kopie der Zertifikatvorlage und benennen Sie sie um, um Ihrem organisationsinternen Vorlagenbenennungsstandard zu entsprechen.
• Verwenden Sie FAS-PowerShell-Befehle zur Administration von FAS anstelle der administrativen Benutzeroberfläche. (Die administrative Benutzeroberfläche ist nur für die Verwendung mit den standardmäßigen Citrix-Vorlagennamen vorgesehen.)
  • Verwenden Sie entweder das Microsoft MMC-Snap-In „Zertifikatvorlagen“ oder den Befehl Publish-FasMsTemplate, um Ihre Vorlage zu veröffentlichen, und
  • Verwenden Sie den Befehl New-FasCertificateDefinition, um FAS mit dem Namen Ihrer Vorlage zu konfigurieren.

Allgemeine Eigenschaften ändern

Sie können den Gültigkeitszeitraum in der Zertifikatvorlage ändern.

Ändern Sie nicht den Verlängerungszeitraum. FAS ignoriert diese Einstellung in der Zertifikatvorlage. FAS erneuert das Zertifikat automatisch nach der Hälfte seines Gültigkeitszeitraums.

Eigenschaften der Anforderungsbehandlung ändern

Ändern Sie diese Eigenschaften nicht. FAS ignoriert diese Einstellungen in der Zertifikatvorlage. FAS deaktiviert immer Export des privaten Schlüssels zulassen und deaktiviert Mit demselben Schlüssel erneuern.

Eigenschaften der Kryptografie ändern

Ändern Sie diese Eigenschaften nicht. FAS ignoriert diese Einstellungen in der Zertifikatvorlage.

Informationen zu den entsprechenden Einstellungen, die FAS bereitstellt, finden Sie unter Schutz des privaten Schlüssels.

Eigenschaften der Schlüsselbestätigung ändern

Ändern Sie diese Eigenschaften nicht. FAS unterstützt keine Schlüsselbestätigung.

Eigenschaften der ersetzten Vorlagen ändern

Ändern Sie diese Eigenschaften nicht. FAS unterstützt keine ersetzenden Vorlagen.

Eigenschaften der Erweiterungen ändern

Sie können diese Einstellungen an Ihre Organisationsrichtlinien anpassen.

Hinweis: Ungeeignete Erweiterungseinstellungen können Sicherheitsprobleme verursachen oder zu unbrauchbaren Zertifikaten führen.

Sicherheitseigenschaften ändern

Citrix empfiehlt, diese Einstellungen so zu ändern, dass die Berechtigungen Lesen und Registrieren nur für die Computerkonten der FAS-Server zugelassen werden. Für den FAS-Dienst sind keine weiteren Berechtigungen erforderlich. Wie bei anderen Zertifikatvorlagen möchten Sie jedoch möglicherweise:

• Administratoren das Lesen oder Schreiben der Vorlage erlauben
• authentifizierten Benutzern das Lesen der Vorlage

Eigenschaften des Antragstellernamens ändern

• Citrix empfiehlt, diese Eigenschaften nicht zu ändern.

• Die Vorlage hat Aus diesen Active Directory-Informationen erstellen ausgewählt, wodurch die Zertifizierungsstelle die SID des Benutzers in eine Zertifikaterweiterung aufnimmt. Dies bietet eine starke Zuordnung zum Active Directory-Konto des Benutzers.

Servereigenschaften ändern

Obwohl Citrix dies nicht empfiehlt, können Sie diese Einstellungen bei Bedarf an Ihre Organisationsrichtlinien anpassen.

Eigenschaften der Ausstellungsanforderungen ändern

Ändern Sie diese Einstellungen nicht. Diese Einstellungen sollten wie abgebildet sein:

Kompatibilitätseigenschaften ändern

Sie können diese Einstellungen ändern. Die Einstellung muss mindestens Windows Server 2003-CAs (Schemaversion 2) sein. FAS unterstützt jedoch nur Windows Server 2008 und spätere CAs. Wie oben erläutert, ignoriert FAS auch die zusätzlichen Einstellungen, die durch Auswahl von Windows Server 2008-CAs (Schemaversion 3) oder Windows Server 2012-CAs (Schemaversion 4) verfügbar sind.

Verwaltung der Zertifizierungsstelle

Der Administrator der Zertifizierungsstelle ist für die Konfiguration des Zertifizierungsstellenservers und des privaten Schlüssels des ausstellenden Zertifikats verantwortlich, den dieser verwendet.

Veröffentlichen von Vorlagen

Damit eine Zertifizierungsstelle Zertifikate basierend auf einer vom Unternehmensadministrator bereitgestellten Vorlage ausstellen kann, muss der Administrator der Zertifizierungsstelle diese Vorlage veröffentlichen.

Eine einfache Sicherheitspraxis besteht darin, nur die Zertifikatvorlagen der Registrierungsstelle zu veröffentlichen, wenn FAS-Server installiert werden, oder auf einen vollständig Offline-Ausstellungsprozess zu bestehen. In beiden Fällen sollte der Administrator der Zertifizierungsstelle die vollständige Kontrolle über die Autorisierung von Zertifikatanforderungen der Registrierungsstelle behalten und eine Richtlinie für die Autorisierung von FAS-Servern haben.

Firewalleinstellungen

Im Allgemeinen hat der Administrator der Zertifizierungsstelle auch die Kontrolle über die Netzwerk-Firewalleinstellungen der Zertifizierungsstelle, was die Kontrolle über eingehende Verbindungen ermöglicht. Der Administrator der Zertifizierungsstelle kann DCOM-TCP- und Firewallregeln so konfigurieren, dass nur FAS-Server Zertifikate anfordern können.

Eingeschränkte Registrierung

Standardmäßig kann jeder Inhaber eines Registrierungsstellenzertifikats Zertifikate für jeden Benutzer ausstellen, der eine beliebige Zertifikatvorlage verwendet, die den Zugriff erlaubt. Dies sollte auf eine Gruppe nicht privilegierter Benutzer beschränkt werden, indem die Eigenschaft “Registrierungsagenten einschränken” der Zertifizierungsstelle verwendet wird.

Richtlinienmodule und Überwachung

Für erweiterte Bereitstellungen können benutzerdefinierte Sicherheitsmodule verwendet werden, um die Zertifikatausstellung zu verfolgen und zu unterbinden.

FAS-Verwaltung

FAS verfügt über mehrere Sicherheitsfunktionen.

StoreFront, Benutzer und VDAs über eine ACL einschränken

Im Mittelpunkt des FAS-Sicherheitsmodells steht die Steuerung, welche Kerberos-Konten auf Funktionen zugreifen können:

Regeln konfigurieren

Regeln sind nützlich, wenn mehrere unabhängige Citrix Virtual Apps™- oder Citrix Virtual Desktops-Bereitstellungen dieselbe FAS-Serverinfrastruktur verwenden. Jede Regel verfügt über einen separaten Satz von Konfigurationsoptionen; insbesondere können die ACLs unabhängig voneinander konfiguriert werden.

Zertifizierungsstelle und Vorlagen konfigurieren

Für unterschiedliche Zugriffsrechte können verschiedene Zertifikatvorlagen und Zertifizierungsstellen konfiguriert werden. Erweiterte Konfigurationen können je nach Umgebung weniger oder leistungsfähigere Zertifikate verwenden. Beispielsweise können als “extern” identifizierte Benutzer ein Zertifikat mit weniger Berechtigungen als “interne” Benutzer haben.

In-Session- und Authentifizierungszertifikate

Der FAS-Administrator kann steuern, ob das zur Authentifizierung verwendete Zertifikat in der Benutzersitzung verfügbar ist. Dies könnte beispielsweise verwendet werden, um nur “Signatur”-Zertifikate in der Sitzung verfügbar zu machen, wobei das leistungsfähigere “Anmelde”-Zertifikat nur bei der Anmeldung verwendet wird.

Schutz des privaten Schlüssels und Schlüssellänge

Der FAS-Administrator kann FAS so konfigurieren, dass private Schlüssel in einem Hardware-Sicherheitsmodul (HSM) oder Trusted Platform Module (TPM) gespeichert werden. Citrix empfiehlt, dass mindestens der private Schlüssel des Registrierungsstellenzertifikats durch Speicherung in einem TPM geschützt wird; diese Option wird als Teil des “Offline”-Zertifikatsanforderungsprozesses bereitgestellt.

Ebenso können private Schlüssel von Benutzerzertifikaten in einem TPM oder HSM gespeichert werden. Alle Schlüssel sollten als “nicht exportierbar” generiert werden und eine Länge von mindestens 2048 Bit haben.

Ereignisprotokolle

Der FAS-Server stellt detaillierte Konfigurations- und Laufzeitereignisprotokolle bereit, die für Auditing und Intrusion Detection verwendet werden können.

Administrativer Zugriff und Verwaltungstools

FAS umfasst Funktionen und Tools für die Remote-Verwaltung (gegenseitig authentifiziertes Kerberos). Mitglieder der “Gruppe der lokalen Administratoren” haben die volle Kontrolle über die FAS-Konfiguration. Diese Liste sollte sorgfältig gepflegt werden.

Citrix Virtual Apps-, Citrix Virtual Desktops- und VDA-Administratoren

Im Allgemeinen ändert die Verwendung von FAS das Sicherheitsmodell der Delivery Controller- und VDA-Administratoren nicht, da der FAS-“Anmeldeinformations-Handle” einfach das “Active Directory-Passwort” ersetzt. Controller- und VDA-Administrationsgruppen sollten nur vertrauenswürdige Benutzer enthalten. Auditing und Ereignisprotokolle sollten gepflegt werden.

Allgemeine Windows-Server-Sicherheit

Alle Server sollten vollständig gepatcht sein und über eine Standard-Firewall- und Antivirensoftware verfügen. Sicherheitskritische Infrastrukturserver sollten an einem physisch sicheren Ort aufbewahrt werden, wobei auf Festplattenverschlüsselung und Wartungsoptionen für virtuelle Maschinen geachtet werden sollte.

Auditing und Ereignisprotokolle sollten sicher auf einem Remote-Computer gespeichert werden.

Der RDP-Zugriff sollte auf autorisierte Administratoren beschränkt sein. Wo immer möglich, sollten Benutzerkonten eine Smartcard-Anmeldung erfordern, insbesondere für Zertifizierungsstellen- und Domänenadministratorkonten.

Verwandte Informationen

• Installieren und Konfigurieren ist die primäre Referenz für die FAS-Installation und -Konfiguration.
• FAS-Architekturen werden im Artikel Bereitstellungsarchitekturen vorgestellt.
• Weitere “How-to”-Artikel werden im Artikel Erweiterte Konfiguration vorgestellt.