Sicherheit und Netzwerkkonfiguration

Der Federated Authentication Service (FAS) ist eng in Microsoft Active Directory und die Microsoft-Zertifizierungsstelle integriert. Stellen Sie sicher, dass das System angemessen verwaltet und gesichert wird, indem Sie eine Sicherheitsrichtlinie entwickeln, wie Sie es für einen Domänencontroller oder eine andere kritische Infrastruktur tun würden.

Dieses Dokument bietet einen Überblick über Sicherheitsaspekte, die bei der Bereitstellung von FAS zu berücksichtigen sind. Es bietet auch einen Überblick über verfügbare Funktionen, die bei der Sicherung Ihrer Infrastruktur hilfreich sein können.

Netzwerkarchitektur

Das folgende Diagramm zeigt die Hauptkomponenten und Sicherheitsgrenzen, die in einer FAS-Bereitstellung verwendet werden.

Der FAS-Server ist Teil der sicherheitskritischen Infrastruktur, zusammen mit der Zertifizierungsstelle und dem Domänencontroller. In einer föderierten Umgebung sind Citrix Gateway und Citrix StoreFront Komponenten, die die Benutzerauthentifizierung durchführen. Andere Citrix Virtual Apps and Desktops™-Komponenten sind von der Einführung von FAS unberührt.

Firewall- und Netzwerksicherheit

TLS über Port 443 schützt die Kommunikation zwischen Citrix Gateway, StoreFront und den Delivery Controller™-Komponenten. Der StoreFront-Server stellt nur ausgehende Verbindungen her, und das Citrix Gateway akzeptiert nur Verbindungen über das Internet über HTTPS-Port 443.

Der StoreFront-Server kontaktiert den FAS-Server über Port 80 unter Verwendung von gegenseitig authentifiziertem Kerberos. Die Authentifizierung verwendet die Kerberos HOST/FQDN-Identität des FAS-Servers und die Kerberos-Maschinenkonto-Identität des StoreFront-Servers. Diese Authentifizierungsmethode generiert ein einmalig verwendbares “Anmelde-Handle”, das vom Citrix Virtual Delivery Agent (VDA) benötigt wird, um den Benutzer anzumelden.

Wenn eine HDX-Sitzung mit dem VDA verbunden ist, kontaktiert der VDA den FAS-Server ebenfalls über Port 80. Die Authentifizierung verwendet die Kerberos HOST/FQDN-Identität des FAS-Servers und die Kerberos-Maschinenidentität des VDA. Außerdem muss der VDA das “Anmelde-Handle” bereitstellen, um auf das Zertifikat und den privaten Schlüssel zuzugreifen.

• Die Microsoft-Zertifizierungsstelle akzeptiert die Kommunikation über Kerberos-authentifiziertes DCOM, das für die Verwendung eines festen TCP-Ports konfiguriert werden kann. Die Zertifizierungsstelle erfordert, dass der FAS-Server ein CMC-Paket bereitstellt, das von einem vertrauenswürdigen Registrierungsagenten-Zertifikat signiert ist.

  • Server

    Firewall-Ports

  • |————————–|——————————————————|

  • Federated Authentication Service

    [in] Kerberos über HTTP von StoreFront™ und VDAs, [out] DCOM zur Microsoft-Zertifizierungsstelle

  • Citrix Gateway

    [in] HTTPS von Client-Maschinen, [in/out] HTTPS zu/von StoreFront-Server, [out] HDX zum VDA

  • StoreFront	[in] HTTPS von Citrix Gateway, [out] HTTPS zum Delivery Controller, [out] Kerberos HTTP zu FAS
    Delivery Controller	[in] HTTPS vom StoreFront-Server, [in/out] Kerberos über HTTP von VDAs
    VDA	[in/out] Kerberos über HTTP vom Delivery Controller, [in] HDX von Citrix Gateway, [out] Kerberos HTTP zu FAS
    Microsoft-Zertifizierungsstelle	[in] DCOM & signiert von FAS

Verbindungen zwischen Citrix Federated Authentication Service und Citrix Cloud™

Die Konsole und FAS greifen über das Benutzerkonto bzw. das Netzwerkdienstkonto auf die folgenden Adressen zu.

-  FAS-Verwaltungskonsole, unter dem Benutzerkonto
-  `*.cloud.com`
-  `*.citrixworkspacesapi.net`
-  Adressen, die von einem Drittanbieter-Identitätsanbieter benötigt werden, falls dieser in Ihrer Umgebung verwendet wird

• FAS-Dienst, unter dem Netzwerkdienstkonto:
  • *.citrixworkspacesapi.net
  • *.citrixnetworkapi.net

Wenn Ihre Umgebung Proxyserver umfasst, konfigurieren Sie den Benutzerproxy mit den Adressen für die FAS-Verwaltungskonsole. Stellen Sie außerdem sicher, dass die Adresse für das Netzwerkdienstkonto mit netsh oder einem ähnlichen Tool konfiguriert ist.

Sicherheitsaspekte

FAS verfügt über ein Registrierungsstellen-Zertifikat, das es ihm ermöglicht, autonom Zertifikate für Ihre Domänenbenutzer auszustellen. Es hilft bei der Entwicklung und Implementierung einer Sicherheitsrichtlinie zum Schutz von FAS-Servern und zur Einschränkung ihrer Berechtigungen.

Delegierte Registrierungsagenten

FAS stellt Benutzerzertifikate aus, indem es als Registrierungsagent fungiert. Die Microsoft-Zertifizierungsstelle ermöglicht es Ihnen, Registrierungsagenten, Zertifikatvorlagen und Benutzer einzuschränken, für die die Registrierungsagenten Zertifikate ausstellen können.

Sie können das angegebene Dialogfeld verwenden, um sicherzustellen, dass:

-  Die Liste der *Registrierungsagenten* nur FAS-Server enthält.

• Die Liste der Zertifikatvorlagen nur die FAS-Vorlagen enthält.
• Die Berechtigungsliste Benutzer enthält, die berechtigt sind, FAS zu verwenden. Es wird beispielsweise empfohlen, keine Zertifikate an Administratoren oder die Gruppe der geschützten Benutzer auszustellen.

Access Control List-Konfiguration

Wie im Abschnitt Regeln konfigurieren beschrieben, müssen Sie eine Liste von StoreFront-Servern konfigurieren. Diese StoreFront-Server bestätigen Benutzeridentitäten gegenüber FAS, wenn Zertifikate ausgestellt werden. Ebenso können Sie einschränken, welchen Benutzern Zertifikate ausgestellt werden und an welchen VDA-Maschinen sie sich authentifizieren können. Diese Funktion ergänzt alle standardmäßigen Active Directory- oder Zertifizierungsstellen-Sicherheitsfunktionen, die Sie konfigurieren.

• Firewall-Einstellungen

  • Die gesamte Kommunikation zu FAS-Servern verwendet gegenseitig authentifizierte Windows Communication Foundation (WCF) Kerberos-Netzwerkverbindungen über Port 80.

Überwachung des Ereignisprotokolls

FAS und der VDA schreiben Informationen in das Windows-Ereignisprotokoll. Dieses Protokoll kann zur Überwachung und für Auditinformationen verwendet werden. Der Abschnitt Ereignisprotokolle listet Ereignisprotokolleinträge auf, die generiert werden können.

Hardware-Sicherheitsmodule

Alle privaten Schlüssel, einschließlich der von FAS ausgestellten Benutzerzertifikatschlüssel, werden als nicht exportierbare private Schlüssel vom Netzwerkdienstkonto gespeichert. FAS unterstützt die Verwendung eines kryptografischen Hardware-Sicherheitsmoduls, falls Ihre Sicherheitsrichtlinie dies erfordert.

Eine kryptografische Konfiguration auf niedriger Ebene ist über die PowerShell-Befehle verfügbar. Für private Schlüssel von FAS-Autorisierungszertifikaten und Benutzerzertifikatschlüssel können unterschiedliche Einstellungen verwendet werden. Weitere Informationen finden Sie unter Schutz privater Schlüssel.

Administratoraufgaben

Die Verwaltung der Umgebung kann in die folgenden Gruppen unterteilt werden:

• StoreFront-/Citrix Gateway-Administrator

  Benutzerauthentifizierung konfigurieren

• Citrix Virtual Desktops™-Administrator

  VDAs und Controller konfigurieren

Jeder Administrator steuert verschiedene Aspekte des gesamten Sicherheitsmodells, was einen Defense-in-Depth-Ansatz zur Sicherung des Systems ermöglicht.

Gruppenrichtlinieneinstellungen

Vertrauenswürdige FAS-Maschinen werden über eine Nachschlagetabelle von „Indexnummer -> FQDN“ identifiziert, die über Gruppenrichtlinien konfiguriert wird. Beim Kontaktieren eines FAS-Servers überprüfen Clients die Kerberos-Identität des FAS-Servers HOST\<fqdn>. Alle Server, die auf den FAS-Server zugreifen, müssen identische FQDN-Konfigurationen für denselben Index aufweisen; andernfalls können StoreFront und VDAs unterschiedliche FAS-Server kontaktieren.

Citrix empfiehlt, eine einzige Richtlinie auf alle Maschinen in der Umgebung anzuwenden, um Fehlkonfigurationen zu vermeiden. Seien Sie vorsichtig, wenn Sie die Liste der FAS-Server ändern, insbesondere beim Entfernen oder Neuanordnen von Einträgen.

Die Kontrolle über dieses GPO muss auf FAS-Administratoren (und/oder Domänenadministratoren) beschränkt sein, die FAS-Server installieren und außer Betrieb nehmen. Achten Sie darauf, einen FQDN-Namen einer Maschine nicht kurz nach der Außerbetriebnahme eines FAS-Servers wiederzuverwenden.

Zertifikatvorlagen

Wenn Sie die mit FAS gelieferte Zertifikatvorlage Citrix_SmartcardLogon nicht verwenden möchten, können Sie eine Kopie davon ändern. Die folgenden Änderungen werden unterstützt.

Eine Zertifikatvorlage umbenennen

Wenn Sie die Citrix_SmartcardLogon umbenennen möchten, um sie an Ihren organisationsinternen Vorlagen-Benennungsstandard anzupassen, müssen Sie:

• Erstellen Sie eine Kopie der Zertifikatvorlage und benennen Sie diese um, um sie an Ihren organisationsinternen Vorlagen-Benennungsstandard anzupassen.
• Verwenden Sie FAS-PowerShell-Befehle zur Verwaltung von FAS anstelle der administrativen Benutzeroberfläche. (Die administrative Benutzeroberfläche ist nur für die Verwendung mit den Citrix-Standardvorlagennamen vorgesehen.)
  • Verwenden Sie entweder das Microsoft MMC-Snap-In für Zertifikatvorlagen oder den Befehl Publish-FasMsTemplate, um Ihre Vorlage zu veröffentlichen, und
  • Verwenden Sie den Befehl New-FasCertificateDefinition, um FAS mit dem Namen Ihrer Vorlage zu konfigurieren.

Allgemeine Eigenschaften ändern

Standardmäßig beträgt die Lebensdauer eines Benutzerzertifikats sieben Tage. Sie können den Gültigkeitszeitraum in der Zertifikatvorlage ändern.

Ändern Sie den Verlängerungszeitraum nicht. FAS ignoriert diese Einstellung in der Zertifikatvorlage. FAS erneuert das Zertifikat automatisch nach der Hälfte seiner Gültigkeitsdauer.

Eigenschaften der Anforderungsbehandlung ändern

Ändern Sie diese Eigenschaften nicht. FAS ignoriert diese Einstellungen in der Zertifikatvorlage. FAS deaktiviert immer Privaten Schlüssel exportieren zulassen und deaktiviert Mit demselben Schlüssel erneuern.

Kryptografie-Eigenschaften ändern

Ändern Sie diese Eigenschaften nicht. FAS ignoriert diese Einstellungen in der Zertifikatvorlage.

Siehe Schutz des privaten Schlüssels für äquivalente Einstellungen, die FAS bereitstellt.

Eigenschaften der Schlüsselbestätigung ändern

Ändern Sie diese Eigenschaften nicht. FAS unterstützt keine Schlüsselbestätigung.

Eigenschaften der ersetzten Vorlagen ändern

Ändern Sie diese Eigenschaften nicht. FAS unterstützt keine ersetzenden Vorlagen.

Erweiterungseigenschaften ändern

Sie können diese Einstellungen an Ihre Organisationsrichtlinie anpassen.

Hinweis:

Ungeeignete Erweiterungseinstellungen können Sicherheitsprobleme verursachen oder zu unbrauchbaren Zertifikaten führen.

Sicherheitseigenschaften ändern

• Citrix empfiehlt, diese Einstellungen so zu ändern, dass die Berechtigungen Lesen und Registrieren nur für die Computerkonten der FAS-Server zugelassen werden. Der FAS-Dienst benötigt keine weiteren Berechtigungen. Wie bei anderen Zertifikatvorlagen können Sie jedoch:

• Administratoren das Lesen oder Schreiben der Vorlage erlauben
• authentifizierten Benutzern das Lesen der Vorlage erlauben

Eigenschaften des Antragstellernamens ändern

Citrix empfiehlt, diese Eigenschaften nicht zu ändern.

Die Vorlage hat Aus diesen Active Directory-Informationen erstellen ausgewählt, wodurch die Zertifizierungsstelle die SID des Benutzers in eine Zertifikaterweiterung aufnimmt, was eine starke Zuordnung zum Active Directory-Konto des Benutzers ermöglicht.

Servereigenschaften ändern

Obwohl Citrix dies nicht empfiehlt, können Sie diese Einstellungen bei Bedarf an Ihre Organisationsrichtlinie anpassen.

Eigenschaften der Ausstellungsanforderungen ändern

Ändern Sie diese Einstellungen nicht. Diese Einstellungen müssen wie abgebildet sein:

Kompatibilitätseigenschaften ändern

Sie können diese Einstellungen ändern. Die Einstellung muss mindestens Windows Server 2003 CAs (Schemaversion 2) sein. FAS unterstützt jedoch nur Windows Server 2008 und spätere CAs. Außerdem ignoriert FAS, wie oben erläutert, die zusätzlichen Einstellungen, die durch Auswahl von Windows Server 2008 CAs (Schemaversion 3) oder Windows Server 2012 CAs (Schemaversion 4) verfügbar sind.

Verwaltung der Zertifizierungsstelle

Der Administrator der Zertifizierungsstelle ist für die Konfiguration des Zertifizierungsstellenservers und des privaten Schlüssels des ausstellenden Zertifikats verantwortlich, den dieser verwendet.

Vorlagen veröffentlichen

Damit eine Zertifizierungsstelle Zertifikate auf der Grundlage einer vom Unternehmensadministrator bereitgestellten Vorlage ausstellen kann, muss der Administrator der Zertifizierungsstelle diese Vorlage zur Veröffentlichung auswählen.

Eine einfache Sicherheitspraxis besteht darin, nur die Zertifikatvorlagen der Registrierungsstelle zu veröffentlichen, wenn FAS-Server installiert werden, oder auf einem vollständig Offline-Ausstellungsprozess zu bestehen. In beiden Fällen muss der Administrator der Zertifizierungsstelle die vollständige Kontrolle über die Autorisierung von Zertifikatsanfragen der Registrierungsstelle behalten und eine Richtlinie für die Autorisierung von FAS-Servern haben.

Firewall-Einstellungen

Der Administrator der Zertifizierungsstelle hat die Kontrolle über die Netzwerk-Firewall-Einstellungen der Zertifizierungsstelle und kann so eingehende Verbindungen steuern. Der Administrator der Zertifizierungsstelle kann DCOM TCP- und Firewall-Regeln so konfigurieren, dass nur FAS-Server Zertifikate anfordern können.

Eingeschränkte Registrierung

Standardmäßig kann jeder Inhaber eines Zertifikats der Registrierungsstelle Zertifikate für jeden Benutzer ausstellen, wobei jede Zertifikatvorlage verwendet werden kann, die Zugriff erlaubt. Diese Ausstellung von Zertifikaten muss auf eine Gruppe nicht privilegierter Benutzer beschränkt werden, indem die Eigenschaft “Registrierungsagenten einschränken” der Zertifizierungsstelle verwendet wird.

Richtlinienmodule und Überwachung

Für erweiterte Bereitstellungen können benutzerdefinierte Sicherheitsmodule verwendet werden, um die Zertifikatsausstellung zu verfolgen und zu verhindern.

FAS-Administration

FAS verfügt über mehrere Sicherheitsfunktionen.

StoreFront, Benutzer und VDAs über eine ACL einschränken

Im Mittelpunkt des FAS-Sicherheitsmodells steht die Kontrolle darüber, welche Kerberos-Konten auf Funktionen zugreifen können:

Regeln konfigurieren

Regeln sind nützlich, wenn mehrere unabhängige Citrix Virtual Apps™- oder Citrix Virtual Desktops-Bereitstellungen dieselbe FAS-Serverinfrastruktur verwenden. Jede Regel verfügt über einen separaten Satz von Konfigurationsoptionen; insbesondere können die Kerberos-Zugriffskontrolllisten (ACLs) unabhängig voneinander konfiguriert werden.

Zertifizierungsstelle und Vorlagen konfigurieren

Für unterschiedliche Zugriffsrechte können unterschiedliche Zertifikatvorlagen und CAs konfiguriert werden. Erweiterte Konfigurationen können je nach Umgebung weniger oder leistungsfähigere Zertifikate verwenden. Beispielsweise können als “extern” identifizierte Benutzer ein Zertifikat mit weniger Privilegien als “interne” Benutzer haben.

In-Session- und Authentifizierungszertifikate

Der FAS-Administrator kann steuern, ob das zur Authentifizierung verwendete Zertifikat in der Benutzersitzung verfügbar ist. Beispielsweise kann ein Benutzer nur “Signatur”-Zertifikate in der Sitzung verfügbar haben, wobei das leistungsfähigere “Anmelde”-Zertifikat nur bei der Anmeldung verwendet wird.

Schutz des privaten Schlüssels und Schlüssellänge

Der FAS-Administrator kann FAS so konfigurieren, dass private Schlüssel in einem Hardware-Sicherheitsmodul (HSM) oder Trusted Platform Module (TPM) gespeichert werden. Citrix empfiehlt, dass zumindest der private Schlüssel des FAS-Autorisierungszertifikats durch Speicherung in einem TPM geschützt wird.

Ebenso können private Schlüssel von Benutzerzertifikaten in einem TPM oder HSM gespeichert werden. Alle Schlüssel müssen als nicht exportierbar generiert werden und bei Verwendung von RSA mindestens 2048 Bit lang sein.

Hinweis:

Obwohl FAS Benutzerzertifikatsschlüssel in einem TPM oder HSM generieren und speichern kann, kann die Hardware für große Bereitstellungen zu langsam oder in der Größe eingeschränkt sein.

Weitere Informationen finden Sie unter Schutz des privaten Schlüssels.

Ereignisprotokolle

Der FAS-Server bietet detaillierte Konfigurations- und Laufzeit-Ereignisprotokolle, die zur Überwachung und Erkennung von Eindringversuchen verwendet werden können.

Administrativer Zugriff und Verwaltungstools

FAS umfasst Funktionen für die Remote-Administration (gegenseitig authentifiziertes Kerberos) und Tools. Mitglieder der “Lokalen Administratorengruppe” haben die volle Kontrolle über die FAS-Konfiguration. Die FAS-Konfiguration muss ordnungsgemäß gewartet werden.

Citrix Virtual Apps-, Citrix Virtual Desktops- und VDA-Administratoren

Die Verwendung von FAS ändert das Sicherheitsmodell der Delivery Controller- und VDA-Administratoren nicht, da der FAS-“Anmeldeinformations-Handle” einfach das “Active Directory-Passwort” ersetzt. Controller- und VDA-Administrationsgruppen dürfen nur vertrauenswürdige Benutzer enthalten. Überwachungs- und Ereignisprotokolle müssen gepflegt werden.

Allgemeine Windows-Server-Sicherheit

Alle Server müssen vollständig gepatcht sein und über standardmäßige Firewall- und Antivirensoftware verfügen. Sicherheitskritische Infrastrukturserver müssen an einem physisch sicheren Ort aufbewahrt werden, wobei auf Festplattenverschlüsselung und Wartungsoptionen für virtuelle Maschinen geachtet werden muss.

Überwachungs- und Ereignisprotokolle müssen sicher auf einem Remote-Computer gespeichert werden.

Der RDP-Zugriff muss auf autorisierte Administratoren beschränkt sein. Citrix empfiehlt die Smartcard-Anmeldung für Benutzerkonten, insbesondere für Zertifizierungsstellen- und Domänenadministratorkonten.

Verwandte Informationen

• Installation und Konfiguration ist die primäre Referenz für die FAS-Installation und -Konfiguration.
• FAS-Architekturen werden im Artikel Bereitstellungsarchitekturen vorgestellt.
• Weitere “How-to”-Artikel werden im Artikel Erweiterte Konfiguration vorgestellt.