Sitzungsaufzeichnung 2109

Sicherheitsempfehlungen

Die Sitzungsaufzeichnung wird in einem sicheren Netzwerk mit Zugriff durch Administratoren bereitgestellt und ist daher sicher. Die Standardbereitstellung ist einfach, und Sicherheitsfunktionen, z. B. digitale Signatur und Verschlüsselung, können optional konfiguriert werden.

Die Komponenten der Sitzungsaufzeichnung kommunizieren über die Internetinformationsdienste (IIS) und Microsoft Message Queuing (MSMQ). Internetinformationsdienste stellen die Webdienste-Kommunikationsverbindung zwischen den Komponenten der Sitzungsaufzeichnung bereit. MSMQ bietet eine zuverlässige Datentransportmethode zum Senden von Sitzungsaufzeichnungsdaten vom Sitzungsaufzeichnungsagent zum Sitzungsaufzeichnungsserver.

Warnung:

Eine unsachgemäße Bearbeitung der Registrierung kann schwerwiegende Probleme verursachen und eine Neuinstallation des Betriebssystems erforderlich machen. Citrix übernimmt keine Garantie dafür, dass Probleme, die auf eine unsachgemäße Verwendung des Registrierungs-Editors zurückzuführen sind, behoben werden können. Die Verwendung des Registrierungs-Editors geschieht daher auf eigene Gefahr. Machen Sie auf jeden Fall ein Backup der Registrierung, bevor Sie sie bearbeiten.

Berücksichtigen Sie diese Sicherheitsempfehlungen bei der Planung der Bereitstellung:

  • Die verschiedenen Administratorrollen im Unternehmensnetzwerk, in der Sitzungsaufzeichnung und auf einzelnen Maschinen müssen ordnungsgemäß isoliert werden. Andernfalls besteht Gefahr durch Sicherheitsbedrohungen Gefahr für den Systembetrieb und das System kann zweckentfremdet verwendet werden. Wir empfehlen, dass Sie unterschiedliche Administratorrollen verschiedenen Personen oder Konten zuweisen. Erteilen Sie normalen Sitzungsbenutzern keine Administratorprivilegien für das VDA-System.
    • Administratoren von Citrix Virtual Apps and Desktops erteilen keinem Benutzer von veröffentlichten Anwendungen oder Desktops die lokale Administratorrolle für den VDA. Wird die lokale Administratorrolle benötigt, schützen Sie die Komponenten des Sitzungsaufzeichnungsagents über Windows-Methoden oder die Lösung eines anderen Herstellers.
    • Weisen Sie die Administratorrollen für die Datenbank und die Richtlinie der Sitzungsaufzeichnung separat zu.
    • Wir empfehlen, dass Sie VDA-Administratorrechte nicht allgemeinen Sitzungsbenutzern zuweisen, besonders, wenn Remote-PC-Zugriff verwendet wird.
    • Das lokale Administratorkonto des Sitzungsaufzeichnungsservers muss streng geschützt werden.
    • Steuern Sie den Zugriff auf Maschinen, auf denen der Sitzungsaufzeichnungsplayer installiert ist. Hat ein Benutzer keine Playerrollenberechtigung, weisen Sie ihm für keinerlei Player-Maschinen eine lokale Administratorrolle zu. Deaktivieren Sie den anonymen Zugriff.
    • Wir empfehlen, eine physische Maschine als Speicherserver für die Sitzungsaufzeichnung zu verwenden.
  • Die Sitzungsaufzeichnung zeichnet Grafikaktivitäten ohne Berücksichtigung des Datenschutzes auf. Unter bestimmten Umständen können sensible Daten (z. B. Benutzeranmeldeinformationen, persönliche Daten oder Bildschirme von Drittanbietern) unbeabsichtigt aufgezeichnet werden. Ergreifen Sie folgende Maßnahmen, um ein Risiko zu vermeiden:
    • Deaktivieren Sie das Kernspeicherabbild für VDAs, es sei denn, es wird zur Problembehandlung benötigt. Zum Deaktivieren des Kernspeicherabbilds gehen Sie folgendermaßen vor:
      1. Klicken Sie mit der rechten Maustaste auf Arbeitsplatz und wählen Sie Eigenschaften.
      2. Klicken Sie auf die Registerkarte Erweitert und dann unter Starten und Wiederherstellen auf Einstellungen.
      3. Wählen Sie für Debuginformationen speichern die Option Keine.
      Weitere Informationen finden Sie im Microsoft-Artikel unter https://support.microsoft.com/en-us/kb/307973.
    • Sitzungseigentümer machen die Teilnehmer darauf aufmerksam, dass Software von Online-Meetings und Remoteunterstützung im Rahmen einer Desktopsitzungsaufzeichnung aufgezeichnet werden kann.
    • Stellen Sie sicher, dass keine Anmelde- und Sicherheitsinformationen in veröffentlichten lokalen Anwendungen oder Webanwendungen oder unternehmensintern verwendeten Anwendungen angezeigt werden. Andernfalls werden die Informationen durch die Sitzungsaufzeichnung aufgezeichnet.
    • Schließen Sie vor Beginn einer ICA-Sitzung jede Anwendung, in der u. U. vertrauliche Informationen angezeigt werden.
    • Für den Zugriff auf veröffentlichte Desktops oder SaaS-Anwendungen wird ausschließlich der Einsatz automatischer Authentifizierungsmethoden (z. B. Single Sign-On oder Smartcard) empfohlen.
  • Zur ordnungsgemäßen Funktion und zur Erfüllung von Sicherheitsanforderungen bei der Sitzungsaufzeichnung ist eine spezifische Hardware/-infrastruktur (z. B. Unternehmensnetzwerkgeräte, Betriebssystem) erforderlich. Sorgen Sie auf Infrastrukturebene dafür, dass diese Elemente weder beschädigt noch missbraucht werden können und dass die Sitzungsaufzeichnung sicher und zuverlässig ausgeführt wird.
    • Schützen und Sie die für die Sitzungsaufzeichnung verwendete Netzwerkinfrastruktur und sorgen Sie für deren zuverlässige Verfügbarkeit.
    • Wir empfehlen, eine Sicherheitslösung eines Drittanbieters oder Windows-Mechanismen zum Schutz der Sitzungsaufzeichnungskomponenten zu verwenden. Die Sitzungsaufzeichnung umfasst folgende Komponenten:
      • Auf dem Sitzungsaufzeichnungsserver
        • Prozesse: SsRecStoragemanager.exe und SsRecAnalyticsService.exe
        • Dienste: CitrixSsRecStorageManager und CitrixSsRecAnalyticsService
        • Alle Dateien im Installationsordner des Sitzungsaufzeichnungsservers
        • Registrierungswerte unter HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartAuditor\Server
      • Auf dem Sitzungsaufzeichnungsagent
        • Prozess: SsRecAgent.exe
        • Dienst: CitrixSmAudAgent
        • Alle Dateien im Installationsordner des Sitzungsaufzeichnungsagents
        • Registrierungswerte unter HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartAuditor\Agent
  • Schränken Sie über die Zugriffssteuerungsliste (ACL) für Message Queuing (MSMQ) auf dem Sitzungsaufzeichnungsserver VDA- und VDI-Maschinen ein, die MSMQ-Daten an den Sitzungsaufzeichnungsserver senden können, und blockieren Sie das Senden von Daten an den Sitzungsaufzeichnungsserver durch unbefugte Maschinen.

    1. Installieren Sie das Serverfeature Directory Service Integration auf jeder Sitzungsaufzeichnungsserver- und VDA- oder VDI-Maschine, auf der die Sitzungsaufzeichnung aktiviert ist. Starten Sie dann den Message Queuing-Dienst neu.
    2. Öffnen Sie auf jedem Sitzungsaufzeichnungsserver über das Startmenü von Windows Verwaltungstools > Computerverwaltung.
    3. Öffnen Sie Dienste und Anwendungen > Message Queuing > Private Warteschlangen.
    4. Klicken Sie auf die private Warteschlange citrixsmauddata, um die Seite Eigenschaften zu öffnen, und wählen Sie die Registerkarte Sicherheit.

      Bild der Registerkarte "Sicherheit" in der Computerverwaltung

    5. Fügen Sie die Computer bzw. Sicherheitsgruppen der VDAs, die MSMQ-Daten an diesen Server senden, hinzu und erteilen Sie diesen die Berechtigung zum Senden von Nachrichten.

      Erteilen einer Berechtigung zum Senden von Nachrichten

  • Schützen Sie das Ereignisprotokoll des Sitzungsaufzeichnungsservers und des Sitzungsaufzeichnungsagents. Citrix empfiehlt die Verwendung einer Remoteprotokollierungslösung eines Drittanbieters oder eines entsprechenden Windows-Features zum Schutz des Ereignisprotokolls oder dessen Umleitung auf einen Remoteserver.
  • Stellen Sie sicher, dass die Server mit den Sitzungsaufzeichnungskomponenten physisch geschützt werden. Schließen Sie diese Computer falls möglich in einem sicheren Raum ein, zu dem nur autorisierte Person direkten Zugang haben.
  • Isolieren Sie die Server mit den Sitzungsaufzeichnungskomponenten in einem separaten Subnetz oder einer separaten Domäne.
  • Installieren Sie eine Firewall zwischen dem Sitzungsaufzeichnungsserver und den anderen Servern, um die aufgezeichneten Sitzungsdaten vor Benutzern zu schützen, die auf andere Server zugreifen.
  • Halten Sie den Verwaltungsserver und die SQL-Datenbank für die Sitzungsaufzeichnung durch Installation der aktuellen Sicherheitsupdates von Microsoft auf dem neuesten Stand.
  • Verhindern Sie, dass Personen ohne Administratorberechtigung sich beim Verwaltungscomputer anmelden.
  • Schränken Sie genau ein, welche Benutzer die Aufzeichnungsrichtlinien ändern und Sitzungsaufzeichnungen anzeigen können.
  • Installieren Sie digitale Zertifikate, verwenden Sie die Funktion zur Dateisignatur der Sitzungsaufzeichnung und richten Sie die TLS-Kommunikation in IIS ein.
  • Richten Sie MSMQ ein und legen Sie als Transportprotokoll HTTPS fest. Legen Sie zu diesem Zweck das MSMQ-Transportprotokoll in Sitzungsaufzeichnungsagent - Eigenschaften auf HTTPS fest. Weitere Informationen finden Sie unter Problembehandlung bei MSMQ.
  • Verwenden Sie TLS 1.1 oder TLS 1.2 (empfohlen) und deaktivieren Sie die Verschlüsselungsverfahren SSLv2, SSLv3 und TLS 1.0 auf dem Sitzungsaufzeichnungsserver und in der Datenbank für die Sitzungsaufzeichnung.

  • Deaktivieren Sie die RC4-Verschlüsselungssammlungen für TLS auf dem Sitzungsaufzeichnungsserver und in der Datenbank für die Sitzungsaufzeichnung:

    1. Navigieren Sie mit dem Microsoft Gruppenrichtlinien-Editor zu Computerkonfiguration > Administrative Vorlagen > Netzwerk > SSL-Konfigurationseinstellungen.
    2. Legen Sie die Richtlinie Reihenfolge der SSL-Verschlüsselungssammlungen auf Aktiviert fest. Standardmäßig ist diese Richtlinie auf Nicht konfiguriert festgelegt.  
    3. Entfernen Sie alle RC4-Verschlüsselungssammlungen.
  • Verwenden Sie den Wiedergabeschutz. Der Wiedergabeschutz ist eine Funktion der Sitzungsaufzeichnung, mit der aufgezeichnete Dateien vor dem Download zum Sitzungsaufzeichnungsplayer verschlüsselt werden. Diese Option ist in der Standardeinstellung aktiviert und befindet sich in den Sitzungsaufzeichnungsserver - Eigenschaften.
  • Folgen Sie den Anleitungen von NSIT für die Länge der Kryptografieschlüssel und den Kryptografiealgorithmen.
  • Konfigurieren Sie TLS 1.2-Unterstützung für die Sitzungsaufzeichnung.

    Wir empfehlen, TLS 1.2 als Kommunikationsprotokoll zu verwenden, um eine lückenlose Sicherheit für die Sitzungsaufzeichnungskomponenten sicherzustellen.

    Konfigurieren der TLS 1.2-Unterstützung für die Sitzungsaufzeichnung:

    1. Melden Sie sich bei der Maschine mit dem Sitzungsaufzeichnungsserver an. Installieren Sie die erforderlichen SQL Server-Clientkomponenten und -Treiber und legen Sie für .NET Framework (Version 4 oder höher) starke Kryptografie fest.
      1. Installieren Sie Microsoft ODBC Driver 11 (oder eine neuere Version) for SQL Server.
      2. Wenden Sie das aktuelle Hotfix-Rollup für .NET Framework an.
      3. Installieren Sie ADO.NET - SqlClient gemäß Ihrer Version von .NET Framework. Weitere Informationen finden Sie unter https://support.microsoft.com/en-us/kb/3135244.
      4. Fügen Sie DWORD-Wert SchUseStrongCrypto = 1 hinzu unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NetFramework\v4.0.30319 und HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NetFramework\v4.0.30319.
      5. Starten Sie die Maschine neu.
    2. Melden Sie sich bei der Maschine mit der Richtlinienkonsole für die Sitzungsaufzeichnung an. Wenden Sie das aktuelle Hotfix-Rollup für .NET Framework an und legen Sie für .NET Framework (Version 4 oder höher) starke Kryptografie fest. Die Methode zum Festlegen von starker Kryptografie ist identisch mit den Schritten 1-4 und 1-5. Sie können diese Schritte auslassen, wenn Sie die Richtlinienkonsole für die Sitzungsaufzeichnung auf demselben Computer wie den Sitzungsaufzeichnungsserver installieren.

Informationen zum Konfigurieren der TLS 1.2-Unterstützung für SQL Server-Versionen vor 2016 finden Sie unter https://support.microsoft.com/en-us/kb/3135244. Zur Verwendung von TLS 1.2 konfigurieren Sie HTTPS als Kommunikationsprotokoll für die Komponenten der Sitzungsaufzeichnung.

Sicherheitsempfehlungen

In diesem Artikel