Sicherheit und Netzwerkkonfiguration

Der Federated Authentication Service (FAS) ist eng in Microsoft Active Directory und die Microsoft-Zertifizierungsstelle integriert. Stellen Sie sicher, dass das System angemessen verwaltet und gesichert wird, indem Sie eine Sicherheitsrichtlinie entwickeln, wie Sie es für einen Domänencontroller oder eine andere kritische Infrastruktur tun würden.

Dieses Dokument bietet einen Überblick über Sicherheitsaspekte, die bei der Bereitstellung von FAS zu berücksichtigen sind. Es bietet auch einen Überblick über verfügbare Funktionen, die zur Sicherung Ihrer Infrastruktur beitragen können.

Netzwerkarchitektur und Sicherheit

Das folgende Diagramm zeigt die Hauptkomponenten und Sicherheitsgrenzen, die in einer FAS-Bereitstellung verwendet werden.

Der FAS-Server ist zusammen mit der Zertifizierungsstelle und dem Domänencontroller Teil der sicherheitskritischen Infrastruktur. In einer föderierten Umgebung sind Citrix Gateway und Citrix StoreFront Komponenten, die die Benutzerauthentifizierung durchführen. Andere Komponenten von Citrix Virtual Apps and Desktops™ bleiben von der Einführung von FAS unberührt.

| Server | Verbindungen | |————————–|——————————————————|

• Federated Authentication Service

  [eingehend] HTTP mit Kerberos-Sicherheit von StoreFront™ und VDAs, [ausgehend] DCOM zur Microsoft-Zertifizierungsstelle

• Citrix Gateway

  [eingehend] HTTPS von Client-Maschinen, [eingehend/ausgehend] HTTPS zu/von StoreFront-Server, [ausgehend] HDX zu VDA

• StoreFront

  [eingehend] HTTPS von Citrix Gateway, [ausgehend] HTTPS zu Delivery Controller™, [ausgehend] HTTP mit Kerberos-Sicherheit zu FAS

• Delivery Controller	[eingehend] HTTPS von StoreFront-Server, [eingehend/ausgehend] HTTP mit Kerberos-Sicherheit von VDAs
  VDA	[eingehend/ausgehend] HTTP mit Kerberos-Sicherheit von Delivery Controller, [eingehend] HDX von Citrix Gateway, [ausgehend] HTTP mit Kerberos-Sicherheit zu FAS
  Microsoft certificate authority	[eingehend] DCOM von FAS

• Kommunikation zwischen StoreFront und FAS

• Beim Starten eines VDA kontaktiert der StoreFront-Server den FAS-Server, um ein Einwegticket zu erhalten, das vom Citrix Virtual Delivery Agent (VDA) benötigt wird, um den Benutzer anzumelden.

• StoreFront stellt über SOAP über HTTP eine Verbindung zu FAS her. Standardmäßig wird Port 80 verwendet.

• Die Authentifizierung erfolgt über gegenseitiges Kerberos mit der Kerberos-HOST/FQDN-Identität des FAS-Servers und der Kerberos-Maschinenkonto-Identität des StoreFront-Servers.

• Daten werden mithilfe von Nachrichtenebenensicherheit verschlüsselt. Es ist keine zusätzliche Konfiguration erforderlich, um die Verschlüsselung zu aktivieren.

Kommunikation zwischen VDA und FAS

-  Wenn eine HDX™-Sitzung mit dem VDA verbunden ist, kontaktiert der VDA den FAS-Server, um ein Zertifikat anzufordern.

-  Der VDA stellt über SOAP über HTTP eine Verbindung zum FAS-Server her. Standardmäßig wird Port 80 verwendet.

-  Die Authentifizierung erfolgt über gegenseitiges Kerberos mit der Kerberos-HOST/FQDN-Identität des FAS-Servers und der Kerberos-Maschinenidentität des VDA. Außerdem muss der VDA das "Anmeldeinformations-Handle" bereitstellen, um auf das Zertifikat und den privaten Schlüssel zuzugreifen.

• Daten werden mithilfe von Nachrichtenebenensicherheit verschlüsselt. Es ist keine zusätzliche Konfiguration erforderlich, um die Verschlüsselung zu aktivieren.

Kommunikation zwischen FAS und der Microsoft-Zertifizierungsstelle

-  Wenn ein Benutzer einen VDA startet und der FAS-Server noch kein Zertifikat für den Benutzer besitzt, kommuniziert er mit der Zertifizierungsstelle, um ein Zertifikat anzufordern. Die Zertifizierungsstelle verlangt vom FAS-Server, ein CMC-Paket bereitzustellen, das von einem vertrauenswürdigen Registrierungsagenten-Zertifikat signiert ist.

• Der FAS-Server kommuniziert mit der Microsoft-Zertifizierungsstelle über DCOM. Informationen zu den erforderlichen Ports finden Sie in der Microsoft-Dokumentation.

  • Die Authentifizierung erfolgt über Kerberos.

Verbindungen zwischen Citrix Federated Authentication Service und Citrix Cloud™

Wenn Sie FAS mit Citrix Cloud verbinden, müssen Ihre FAS-Server über HTTPS-Port 443 auf die folgenden Adressen zugreifen können.

Citrix Cloud:

-  FAS-Verwaltungskonsole, die unter dem Benutzerkonto ausgeführt wird
-  `*.cloud.com`
-  `*.citrixworkspacesapi.net`
-  Adressen, die von einem Drittanbieter-Identitätsanbieter benötigt werden, falls dieser in Ihrer Umgebung verwendet wird

• FAS-Dienst, der unter dem Netzwerkdienstkonto ausgeführt wird:
  • *.citrixworkspacesapi.net
  • *.citrixnetworkapi.net

Citrix Cloud Japan:

• FAS-Verwaltungskonsole, unter dem Benutzerkonto
  • *.citrixcloud.jp
  • *.citrixworkspacesapi.jp
  • Adressen, die von einem Drittanbieter-Identitätsanbieter benötigt werden, falls dieser in Ihrer Umgebung verwendet wird
  • FAS-Dienst, unter dem Netzwerkdienstkonto:
  • *.citrixworkspacesapi.jp
  • *.citrixnetworkapi.jp

Wenn Ihre Umgebung Proxyserver umfasst, konfigurieren Sie den Benutzerproxy mit den Adressen für die FAS-Verwaltungskonsole. Stellen Sie außerdem sicher, dass die Adresse für das Netzwerkdienstkonto mithilfe von netsh oder einem ähnlichen Tool konfiguriert wird.

Weitere Informationen

Informationen zur Sicherung der Kommunikation zwischen anderen Citrix-Komponenten finden Sie in den folgenden Artikeln:

• Citrix Virtual Apps and Desktops – Sicherheitsaspekte und Best Practices.

• Sichern Sie Ihre StoreFront-Bereitstellung.

Sicherheitsaspekte

FAS verfügt über ein Registrierungsstellen-Zertifikat, das es ihm ermöglicht, Zertifikate autonom für Ihre Domänenbenutzer auszustellen. Dies hilft bei der Entwicklung und Implementierung einer Sicherheitsrichtlinie zum Schutz von FAS-Servern und zur Einschränkung ihrer Berechtigungen.

Delegierte Registrierungsagenten

FAS stellt Benutzerzertifikate aus, indem es als Registrierungsagent fungiert. Die Microsoft-Zertifizierungsstelle ermöglicht es Ihnen, Registrierungsagenten, Zertifikatvorlagen und Benutzer einzuschränken, für die die Registrierungsagenten Zertifikate ausstellen können.

Sie können das angegebene Dialogfeld verwenden, um sicherzustellen, dass:

• Die Liste Registrierungsagenten enthält nur FAS-Server (vorausgesetzt, dass in Ihrer Active Directory-Bereitstellung keine weiteren Registrierungsagenten erforderlich sind).
• Die Liste Zertifikatvorlagen enthält nur die FAS-Vorlagen, die zum Ausstellen von Benutzerzertifikaten verwendet werden. Standardmäßig ist dies die Vorlage Citrix_SmartcardLogon.
• Die Liste Berechtigungen enthält Benutzer, die FAS verwenden dürfen. Es wird beispielsweise empfohlen, Administratoren oder der Gruppe “Geschützte Benutzer” keine Zertifikate auszustellen.

Hinweis:

Änderungen an der Active Directory-Gruppenmitgliedschaft eines Computerkontos werden erst nach einem Neustart des Computers wirksam.

Zugriffssteuerungslisten-Konfiguration

Wie im Abschnitt Regeln konfigurieren beschrieben, müssen Sie eine Liste von StoreFront-Servern konfigurieren. Diese StoreFront-Server bestätigen Benutzeridentitäten gegenüber FAS, wenn Zertifikate ausgestellt werden. Ebenso können Sie einschränken, welchen Benutzern Zertifikate ausgestellt werden und an welchen VDA-Maschinen sie sich authentifizieren können. Diese Funktion ergänzt alle standardmäßigen Active Directory- oder Zertifizierungsstellen-Sicherheitsfunktionen, die Sie konfigurieren.

Firewall-Einstellungen

• Der FAS-Server muss eingehende Verbindungen von StoreFront und VDAs über Port 80 akzeptieren, sofern nicht anders konfiguriert. Weitere Informationen zur Netzwerkkommunikation finden Sie unter Netzwerkarchitektur und Sicherheit.

  • Der FAS-Installer kann optional die Windows-Firewall konfigurieren. Weitere Informationen finden Sie unter FAS-Installer-Optionen.

FAS-Server-Port ändern

Der FAS-Server verwendet standardmäßig Port 80. Sie können den Port anpassen:

Hinweis:

Sie können den FAS-Server-Port auf Port 443 ändern, dies ändert jedoch nicht das von FAS verwendete Protokoll. FAS verwendet kein HTTPS, selbst wenn es auf Port 443 konfiguriert ist.

1. Führen Sie die folgende Befehlszeile auf Ihrem FAS-Server aus:

   "C:\Program Files\Citrix\Federated Authentication Service\Citrix.Authentication.FederatedAuthenticationService.exe" /SVCPORT [port] /CONFIGUREFIREWALL
   <!--NeedCopy-->
   

   Ersetzen Sie [port] durch die Portnummer, die Sie verwenden möchten.

   Der Schalter /CONFIGUREFIREWALL bewirkt, dass die Windows-Firewall aktualisiert wird, um eingehende Verbindungen auf dem angegebenen Port zuzulassen.

2. Starten Sie den FAS-Dienst neu.

3. Aktualisieren Sie in Ihrem FAS-Gruppenrichtlinienobjekt die Liste der FAS-Server, um den Port einzuschließen (z. B. fas.example.com:[port]).

• 1. Übertragen Sie die Änderung auf den FAS-Server, StoreFront und den VDA (z. B. mit gpupdate /force).

Ereignisprotokollüberwachung

• FAS und der VDA schreiben Informationen in das Windows-Ereignisprotokoll. Dieses Protokoll kann zur Überwachung und für Audit-Informationen verwendet werden. Der Abschnitt Ereignisprotokolle listet die Ereignisprotokolleinträge auf, die generiert werden können.

Hardwaresicherheitsmodule

Alle privaten Schlüssel, einschließlich der von FAS ausgestellten Benutzerzertifikatschlüssel, werden vom Network Service-Konto als nicht exportierbare private Schlüssel gespeichert. FAS unterstützt die Verwendung eines kryptografischen Hardwaresicherheitsmoduls, falls Ihre Sicherheitsrichtlinie dies erfordert.

Die kryptografische Konfiguration auf niedriger Ebene ist über die PowerShell-Befehle verfügbar. Für private Schlüssel von FAS-Autorisierungszertifikaten und Benutzerzertifikatschlüssel können unterschiedliche Einstellungen verwendet werden. Weitere Informationen finden Sie unter Schutz privater Schlüssel.

Administrationsaufgaben

Die Administration der Umgebung kann in die folgenden Gruppen unterteilt werden:

Jeder Administrator steuert verschiedene Aspekte des gesamten Sicherheitsmodells, was einen mehrschichtigen Ansatz zur Systemsicherung ermöglicht.

Gruppenrichtlinieneinstellungen

Hinweis:

Wenn alle Ihre FAS-Server und VDAs Version 2511 oder höher sind, wird die FQDN-Liste der Gruppenrichtlinie auf dem VDA nicht mehr benötigt. Siehe FAS V2-Ticketing und die Registrierungsadressliste.

Vertrauenswürdige FAS-Maschinen werden durch eine Nachschlagetabelle von “Indexnummer -> FQDN” identifiziert, die über Gruppenrichtlinien konfiguriert wird. Beim Kontaktieren eines FAS-Servers überprüfen Clients die Kerberos-Identität HOST\<fqdn\> des FAS-Servers. Alle Server, die auf den FAS-Server zugreifen, müssen identische FQDN-Konfigurationen für denselben Index aufweisen; andernfalls können StoreFront und VDAs unterschiedliche FAS-Server kontaktieren. Wenn der FAS-Server mit Citrix Cloud verbunden ist, muss die Gruppenrichtlinie zusätzlich auch auf den FAS-Server selbst angewendet werden.

Citrix empfiehlt, eine einzige Richtlinie auf alle Maschinen in der Umgebung anzuwenden, um Fehlkonfigurationen zu vermeiden. Seien Sie vorsichtig, wenn Sie die Liste der FAS-Server ändern, insbesondere beim Entfernen oder Neuanordnen von Einträgen.

Die Kontrolle über dieses GPO muss auf FAS-Administratoren (und/oder Domänenadministratoren) beschränkt sein, die FAS-Server installieren und außer Betrieb nehmen. Achten Sie darauf, die Wiederverwendung eines Maschinen-FQDN-Namens kurz nach der Außerbetriebnahme eines FAS-Servers zu vermeiden.

FAS-Gruppenrichtlinieneinstellungen erscheinen in der Registrierung unter HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\Authentication. Die Liste der FAS-FQDNs aus der Gruppenrichtlinie erscheint unter dem Unterschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\Authentication\UserCredentialService\Addresses.

Zertifikatvorlagen

Wenn Sie die mit FAS gelieferte Zertifikatvorlage Citrix_SmartcardLogon nicht verwenden möchten, können Sie eine Kopie davon ändern. Die folgenden Änderungen werden unterstützt.

Zertifikatvorlage umbenennen

Wenn Sie die Citrix_SmartcardLogon umbenennen möchten, um Ihrem organisatorischen Vorlagenbenennungsstandard zu entsprechen, müssen Sie:

• Erstellen Sie eine Kopie der Zertifikatvorlage und benennen Sie sie um, um Ihrem organisatorischen Vorlagenbenennungsstandard zu entsprechen.
• Verwenden Sie FAS PowerShell-Befehle zur Administration von FAS anstelle der administrativen Benutzeroberfläche.
  • (Die administrative Benutzeroberfläche ist nur für die Verwendung mit den Citrix-Standardvorlagennamen vorgesehen.)
  • Verwenden Sie entweder das Microsoft MMC-Snap-In für Zertifikatvorlagen oder den Befehl Publish-FasMsTemplate, um Ihre Vorlage zu veröffentlichen, und
  • Verwenden Sie den Befehl New-FasCertificateDefinition, um FAS mit dem Namen Ihrer Vorlage zu konfigurieren.

Allgemeine Eigenschaften ändern

Standardmäßig beträgt die Lebensdauer eines Benutzerzertifikats sieben Tage. Sie können die Gültigkeitsdauer in der Zertifikatvorlage ändern.

Ändern Sie den Verlängerungszeitraum nicht. FAS ignoriert diese Einstellung in der Zertifikatvorlage. FAS erneuert das Zertifikat automatisch nach der Hälfte seiner Gültigkeitsdauer.

Eigenschaften der Anforderungsbehandlung ändern

Ändern Sie diese Eigenschaften nicht. FAS ignoriert diese Einstellungen in der Zertifikatvorlage.

Siehe Schutz des privaten Schlüssels für die Einstellungen, die FAS bereitstellt.

Eigenschaften der Kryptografie ändern

• Ändern Sie diese Eigenschaften nicht. FAS ignoriert diese Einstellungen in der Zertifikatvorlage.

Siehe Schutz des privaten Schlüssels für die entsprechenden Einstellungen, die FAS bereitstellt.

Eigenschaften der Schlüsselbestätigung ändern

Ändern Sie diese Eigenschaften nicht. FAS unterstützt keine Schlüsselbestätigung.

Eigenschaften der ersetzten Vorlagen ändern

Ändern Sie diese Eigenschaften nicht. FAS unterstützt das Ersetzen von Vorlagen nicht.

Eigenschaften der Erweiterungen ändern

Sie können diese Einstellungen ändern, um sie an Ihre Unternehmensrichtlinien anzupassen.

Hinweis:

Ungeeignete Erweiterungseinstellungen können Sicherheitsprobleme verursachen oder zu unbrauchbaren Zertifikaten führen.

Eigenschaften der Sicherheit ändern

Citrix empfiehlt, dass Sie diese Einstellungen ändern, um die Berechtigungen Lesen und Registrieren nur für die Computerkonten der FAS-Server zuzulassen. Der FAS-Dienst benötigt keine weiteren Berechtigungen.

Zusätzlich:

• erlauben Sie authentifizierten Benutzern, die Vorlage zu lesen. Dies ist notwendig, da die Zertifizierungsstellen selbst die Vorlage lesen können müssen.
• erlauben Sie Ihren Zertifizierungsstellenadministratoren, die Vorlage zu lesen und zu schreiben.

Die Empfehlung gilt für alle drei FAS-Vorlagen:

• Citrix_SmartcardLogon
• Citrix_RegistrationAuthority
• Citrix_RegistrationAuthority_ManualAuthorization

Hinweis:

Alle Änderungen an der Active Directory-Gruppenmitgliedschaft eines Computerkontos werden erst nach einem Neustart des Computers wirksam.

Eigenschaften des Antragstellernamens ändern

Citrix empfiehlt, diese Eigenschaften nicht zu ändern.

In der Vorlage ist Aus diesen Active Directory-Informationen erstellen ausgewählt, wodurch die Zertifizierungsstelle die SID des Benutzers in eine Zertifikaterweiterung aufnimmt, was eine starke Zuordnung zum Active Directory-Konto des Benutzers ermöglicht.

Eigenschaften des Servers ändern

Obwohl Citrix dies nicht empfiehlt, können Sie diese Einstellungen bei Bedarf ändern, um sie an Ihre Unternehmensrichtlinien anzupassen.

Eigenschaften der Ausstellungsanforderungen ändern

Ändern Sie diese Einstellungen nicht. Diese Einstellungen müssen wie abgebildet sein:

Eigenschaften der Kompatibilität ändern

Sie können diese Einstellungen ändern. Die Einstellung muss mindestens Windows Server 2003-ZAs (Schemaversion 2) sein. FAS unterstützt jedoch nur Windows Server 2008 und spätere ZAs. Wie oben erläutert, ignoriert FAS die zusätzlichen Einstellungen, die durch Auswahl von Windows Server 2008-ZAs (Schemaversion 3) oder Windows Server 2012-ZAs (Schemaversion 4) verfügbar sind.

Verwaltung der Zertifizierungsstelle

Der Zertifizierungsstellenadministrator ist verantwortlich für die Konfiguration des Zertifizierungsstellenservers und den privaten Schlüssel des ausstellenden Zertifikats, den er verwendet.

Veröffentlichen von Vorlagen

Damit eine Zertifizierungsstelle Zertifikate basierend auf einer vom Unternehmensadministrator bereitgestellten Vorlage ausstellen kann, muss der Zertifizierungsstellenadministrator diese Vorlage zur Veröffentlichung auswählen.

Eine einfache Sicherheitspraxis ist es, nur die Zertifikatvorlagen der Registrierungsstelle zu veröffentlichen, wenn FAS-Server installiert werden, oder auf einem vollständig Offline-Ausstellungsprozess zu bestehen. In beiden Fällen muss der Zertifizierungsstellenadministrator die vollständige Kontrolle über die Autorisierung von Zertifikatanforderungen der Registrierungsstelle behalten und eine Richtlinie für die Autorisierung von FAS-Servern haben.

Firewall-Einstellungen

Der Administrator der Zertifizierungsstelle hat die Kontrolle über die Netzwerkkonfiguration der Firewall der Zertifizierungsstelle und kann so eingehende Verbindungen steuern. Der Administrator der Zertifizierungsstelle kann DCOM-TCP- und Firewall-Regeln so konfigurieren, dass nur FAS-Server Zertifikate anfordern können.

Eingeschränkte Registrierung

Standardmäßig kann jeder Inhaber eines Registrierungsstellenzertifikats Zertifikate für jeden Benutzer ausstellen, wobei jede Zertifikatvorlage verwendet werden kann, die den Zugriff erlaubt. Citrix empfiehlt, die Ausstellung von Zertifikaten auf eine Gruppe nicht privilegierter Benutzer zu beschränken, indem die Eigenschaft Registrierungsagenten einschränken der Zertifizierungsstelle verwendet wird. Siehe Delegierte Registrierungsagenten.

Richtlinienmodule und Überwachung

Für erweiterte Bereitstellungen können benutzerdefinierte Sicherheitsmodule verwendet werden, um die Zertifikatsausstellung zu verfolgen und zu unterbinden.

FAS-Administration

FAS verfügt über mehrere Sicherheitsfunktionen.

StoreFront, Benutzer und VDAs über eine ACL einschränken

Im Mittelpunkt des FAS-Sicherheitsmodells steht die Kontrolle darüber, welche Kerberos-Konten auf Funktionen zugreifen können:

Regeln konfigurieren

Regeln sind nützlich, wenn mehrere unabhängige Citrix Virtual Apps™- oder Citrix Virtual Desktops-Bereitstellungen dieselbe FAS-Serverinfrastruktur verwenden. Jede Regel verfügt über einen separaten Satz von Konfigurationsoptionen; insbesondere können die Kerberos-Zugriffssteuerungslisten (ACLs) unabhängig voneinander konfiguriert werden.

Zertifizierungsstelle und Vorlagen konfigurieren

Verschiedene Zertifikatvorlagen und CAs können für unterschiedliche Zugriffsrechte konfiguriert werden. Erweiterte Konfigurationen können je nach Umgebung weniger oder leistungsfähigere Zertifikate verwenden. Beispielsweise können als “extern” identifizierte Benutzer ein Zertifikat mit weniger Berechtigungen als “interne” Benutzer haben.

In-Session- und Authentifizierungszertifikate

Der FAS-Administrator kann steuern, ob das zur Authentifizierung verwendete Zertifikat für die Verwendung in der Benutzersitzung verfügbar ist. Beispielsweise kann ein Benutzer nur “Signatur”-Zertifikate in der Sitzung verfügbar haben, wobei das leistungsfähigere “Anmelde”-Zertifikat nur bei der Anmeldung verwendet wird.

Schutz des privaten Schlüssels und Schlüssellänge

Der FAS-Administrator kann FAS so konfigurieren, dass private Schlüssel in einem Hardware Security Module (HSM) oder Trusted Platform Module (TPM) gespeichert werden. Citrix empfiehlt, dass mindestens der private Schlüssel des FAS-Autorisierungszertifikats durch Speicherung in einem TPM geschützt wird.

Ebenso können private Schlüssel von Benutzerzertifikaten in einem TPM oder HSM gespeichert werden. Alle Schlüssel müssen als nicht exportierbar generiert werden und bei Verwendung von RSA mindestens 2048 Bit lang sein.

Hinweis:

Obwohl FAS Benutzerzertifikatsschlüssel in einem TPM oder HSM generieren und speichern kann, kann die Hardware für große Bereitstellungen zu langsam oder in der Größe eingeschränkt sein.

Weitere Informationen finden Sie unter Schutz des privaten Schlüssels.

Ereignisprotokolle

Der FAS-Server stellt detaillierte Konfigurations- und Laufzeit-Ereignisprotokolle bereit, die für Auditing und Intrusion Detection verwendet werden können.

Administrativer Zugriff und Verwaltungstools

FAS umfasst Funktionen und Tools für die Remote-Administration (gegenseitig authentifiziertes Kerberos). Mitglieder der “Lokalen Administratorengruppe” haben die volle Kontrolle über die FAS-Konfiguration. Die FAS-Konfiguration muss ordnungsgemäß gewartet werden.

Citrix Virtual Apps-, Citrix Virtual Desktops- und VDA-Administratoren

Die Verwendung von FAS ändert das Sicherheitsmodell der Delivery Controller- und VDA-Administratoren nicht, da der FAS-“Anmeldeinformations-Handle” einfach das “Active Directory-Passwort” ersetzt. Controller- und VDA-Administrationsgruppen dürfen nur vertrauenswürdige Benutzer enthalten. Auditing und Ereignisprotokolle müssen gepflegt werden.

Allgemeine Windows-Server-Sicherheit

Alle Server müssen vollständig gepatcht sein und über eine Standard-Firewall- und Antivirensoftware verfügen. Sicherheitskritische Infrastrukturserver müssen an einem physisch sicheren Ort aufbewahrt werden, wobei auf Festplattenverschlüsselung und Wartungsoptionen für virtuelle Maschinen geachtet werden muss.

Auditing- und Ereignisprotokolle müssen sicher auf einer Remote-Maschine gespeichert werden.

Der RDP-Zugriff muss auf autorisierte Administratoren beschränkt sein. Citrix empfiehlt die Smartcard-Anmeldung für Benutzerkonten, insbesondere für Zertifizierungsstellen- und Domänenadministratorkonten.

Unterstützung des Federal Information Processing Standard (FIPS)

FAS verwendet die FIPS-validierten kryptografischen Algorithmen auf FIPS-fähigen Windows-Computern. Wenn Sie FAS für die Schlüsselverwaltung mit einem TPM oder HSM konfigurieren, wenden Sie sich an Ihren Hardwarehersteller, um Informationen zur FIPS-Konformität zu erhalten.

Verwandte Informationen

• Installieren und Konfigurieren ist die primäre Referenz für die FAS-Installation und -Konfiguration.
• FAS-Architekturen werden im Artikel Bereitstellungsarchitekturen vorgestellt.
• Weitere “How-to”-Artikel werden im Artikel Erweiterte Konfiguration vorgestellt.