Absicherung Ihrer StoreFront-Bereitstellung

Dieser Artikel beleuchtet Bereiche, die bei der Bereitstellung und Konfiguration von StoreFront Auswirkungen auf die Systemsicherheit haben können.

Endbenutzerauthentifizierung

Normalerweise müssen sich Endbenutzer entweder direkt bei StoreFront oder bei einem Citrix Gateway vor StoreFront authentifizieren. Weitere Informationen zu den verfügbaren Authentifizierungsmethoden finden Sie unter Authentifizierung.

Kommunikation mit Endbenutzern

Citrix empfiehlt, die Kommunikation zwischen den Geräten der Benutzer und StoreFront mithilfe von HTTPS abzusichern. Dies stellt sicher, dass Passwörter und andere Daten, die zwischen dem Client und StoreFront gesendet werden, verschlüsselt sind. Darüber hinaus können unverschlüsselte HTTP-Verbindungen durch verschiedene Angriffe, wie z. B. Man-in-the-Middle-Angriffe, kompromittiert werden, insbesondere wenn Verbindungen von unsicheren Standorten wie öffentlichen Wi-Fi-Hotspots hergestellt werden. Ohne die entsprechende IIS-Konfiguration verwendet StoreFront HTTP für die Kommunikation.

Abhängig von Ihrer Konfiguration können Benutzer über ein Gateway oder einen Load Balancer auf StoreFront zugreifen. Sie können die HTTPS-Verbindung am Gateway oder Load Balancer beenden. In diesem Fall empfiehlt Citrix jedoch weiterhin, die Verbindungen zwischen dem Gateway oder Load Balancer und StoreFront mithilfe von HTTPS abzusichern.

Um HTTPS zu aktivieren, HTTP zu deaktivieren und HSTS zu aktivieren, siehe Absicherung von StoreFront mit HTTPS.

Auf Ihrem NetScaler Gateway oder dem virtuellen Server des Load Balancers können Sie konfigurieren, welche TLS-Versionen aktiviert sind. Es wird empfohlen, ältere TLS-Versionen vor 1.2 zu deaktivieren.

Auf StoreFront-Servern bestimmen Windows und IIS, welche TLS-Versionen für eingehende Verbindungen zugelassen sind. Es wird empfohlen, ältere TLS-Versionen vor 1.2 zu deaktivieren. Unter Windows Server 2022 können Sie IIS so konfigurieren, dass TLS 1.0 und 1.1 für Clientverbindungen deaktiviert werden. Siehe Absicherung von StoreFront mit HTTPS. Auf allen Windows-Serverversionen können Sie TLS 1.0 und 1.1 mithilfe von Gruppenrichtlinien oder Windows-Registrierungseinstellungen deaktivieren. Siehe Microsoft-Dokumentation.

Ältere Versionen von Citrix Receiver können keine Verbindung über TLS 1.2 herstellen. Weitere Informationen finden Sie unter CTX232266.

Kommunikation mit Delivery Controllern

Citrix empfiehlt die Verwendung des HTTPS-Protokolls, um die Datenübertragung zwischen StoreFront und Ihren Citrix Virtual Apps and Desktops Delivery Controllern zu sichern. Weitere Informationen finden Sie unter HTTPS auf Delivery Controllern aktivieren. Um StoreFront für die Verwendung von HTTPS zu konfigurieren, siehe Ressourcen-Feeds für Citrix Virtual Apps and Desktops hinzufügen und Citrix Gateway-Appliance hinzufügen. Falls die Zertifikate kompromittiert werden, können Sie die Überprüfung der Zertifikatsperrliste (CRL) verwenden. StoreFront verwendet TLS 1.2 oder höher für die Kommunikation mit Delivery Controllern.

Es wird empfohlen, den Delivery Controller und StoreFront so zu konfigurieren, dass nur vertrauenswürdige StoreFront-Server mit dem Delivery Controller kommunizieren können. Siehe Sicherheitsschlüssel verwalten.

Kommunikation mit Cloud Connectors

Citrix empfiehlt die Verwendung des HTTPS-Protokolls, um die Datenübertragung zwischen StoreFront und Ihren Cloud Connectors zu sichern. Siehe HTTPS-Konfiguration. Um StoreFront zu konfigurieren, siehe Ressourcen-Feeds für Citrix Desktops as a Service hinzufügen und Citrix Gateway-Appliance hinzufügen. Falls die Zertifikate kompromittiert werden, können Sie die Überprüfung der Zertifikatsperrliste (CRL) verwenden. StoreFront verwendet TLS 1.2 oder höher für die Kommunikation mit Cloud Connectors.

Es wird empfohlen, DaaS und StoreFront so zu konfigurieren, dass nur vertrauenswürdige StoreFront-Server mit den Cloud Connectors kommunizieren können. Weitere Informationen finden Sie unter Sicherheitsschlüssel verwalten.

Kommunikation mit Federated Authentication Service

Informationen zur Kommunikation zwischen StoreFront- und Federated Authentication Service (FAS)-Servern finden Sie unter Federated Authentication Service – Sicherheits- und Netzwerkkonfiguration.

Remotezugriff

Citrix empfiehlt nicht, Ihren StoreFront-Server direkt dem Internet auszusetzen. Citrix empfiehlt die Verwendung eines Citrix Gateways, um Authentifizierung und Zugriff für Remote-Benutzer bereitzustellen.

Härtung von Microsoft Internet Information Services (IIS)

Sie können StoreFront mit einer eingeschränkten IIS-Konfiguration konfigurieren. Beachten Sie, dass dies nicht die Standard-IIS-Konfiguration ist.

Dateinamenerweiterungen

Sie können die Anforderungsfilterung verwenden, um Listen zulässiger Dateinamenerweiterungen zu konfigurieren und nicht aufgelistete Dateinamenerweiterungen zu verbieten. Siehe IIS-Dokumentation.

StoreFront erfordert die folgenden Dateinamenerweiterungen:

• . (leere Erweiterung)
• .appcache
• .aspx
• .cr
• .css
• .dtd
• .gif
• .htm
• .html
• .ica®
• .ico
• .jpg
• .js
• .png
• .svg
• .txt
• .xml

Wenn der Download oder das Upgrade der Citrix Workspace-App für eine Store-Website aktiviert ist, benötigt StoreFront auch diese Dateinamenerweiterungen:

• .dmg
• .exe

Wenn die Citrix Workspace-App für HTML5 aktiviert ist, benötigt StoreFront auch diese Dateinamenerweiterungen:

• .eot
• .ttf
• .woff
• .wasm

Verben

Sie können die Anforderungsfilterung verwenden, um eine Liste zulässiger Verben zu konfigurieren und nicht aufgelistete Verben zu verbieten. Siehe IIS-Dokumentation.

• GET
• POST
• HEAD

Nicht-ASCII-Zeichen in URLs

Wenn Sie sicherstellen, dass der Store-Name und der Website-Name nur ASCII-Zeichen verwenden, enthalten StoreFront-URLs keine ASCII-Zeichen. Sie können die Anforderungsfilterung verwenden, um Nicht-ASCII-Zeichen zu verbieten. Siehe IIS-Dokumentation.

MIME-Typen

Sie können OS-Shell-MIME-Typen entfernen, die den folgenden Dateinamenerweiterungen entsprechen:

• .exe
• .dll
• .com
• .bat
• .csh

Siehe IIS-Dokumentation.

Entfernen des X-Powered-By-Headers

Standardmäßig enthält IIS einen Header X-Powered-By mit dem Wert ASP.NET. Sie können IIS so konfigurieren, dass dieser Header entfernt wird. Siehe IIS-Dokumentation zu benutzerdefinierten Headern.

Entfernen des Server-Headers mit IIS-Version

Standardmäßig meldet IIS die IIS-Version durch Hinzufügen eines Server-Headers. Sie können IIS so konfigurieren, dass dieser Header entfernt wird. Siehe IIS-Dokumentation zur Anforderungsfilterung.

Verschieben der StoreFront-Website auf eine separate Partition

Sie können die StoreFront-Websites auf einer separaten Partition von den Systemdateien hosten. Innerhalb von IIS müssen Sie die Standard-Website verschieben oder eine separate Website auf der entsprechenden Partition erstellen, bevor Sie Ihre StoreFront-Bereitstellung erstellen.

IIS-Funktionen

Eine Liste der von StoreFront installierten und verwendeten IIS-Funktionen finden Sie unter Systemanforderungen. Sie können andere IIS-Funktionen entfernen.

Obwohl StoreFront ISAPI-Filter nicht direkt verwendet, wird die Funktion von ASP.NET benötigt und kann daher nicht deinstalliert werden.

Handler-Zuordnungen

StoreFront erfordert die folgenden Handler-Zuordnungen. Sie können andere Handler-Zuordnungen entfernen.

• ExtensionlessUrlHandler-Integrated-4.0
• PageHandlerFactory-Integrated-4.0
• StaticFile

Siehe IIS-Dokumentation zu Handlern.

ISAPI-Filter

StoreFront benötigt keine ISAPI-Filter. Sie können alle ISAPI-Filter entfernen. ASP.NET erfordert jedoch die ISAPI-Windows-Funktion. Siehe IIS-Dokumentation zu ISAPI-Filtern.

.NET-Autorisierungsregeln

Standardmäßig ist bei IIS-Servern die “.NET-Autorisierungsregel” auf “Alle Benutzer zulassen” eingestellt. Standardmäßig erbt die von StoreFront verwendete Website diese Konfiguration.

Wenn Sie die .NET-Autorisierungsregel auf Serverebene entfernen oder ändern, müssen Sie die Regeln auf der von StoreFront verwendeten Website überschreiben, um eine Zulassungsregel für “Alle Benutzer” hinzuzufügen und alle anderen Regeln zu entfernen.

Einzelhandelsmodus

Sie können den Einzelhandelsmodus aktivieren. Siehe IIS-Dokumentation.

Anwendungspools

StoreFront erstellt die folgenden Anwendungspools:

• Citrix Configuration Api
• Citrix Delivery Services Authentication
• Citrix Delivery Services Resources
• und Citrix Receiver™ for Web

Ändern Sie nicht die von jeder IIS-Anwendung verwendeten Anwendungspools oder die Identität jedes Pools. Wenn Sie mehrere Sites verwenden, ist es nicht möglich, jede Site so zu konfigurieren, dass sie separate Anwendungspools verwendet.

Unter den Recycling-Einstellungen können Sie das Leerlauf-Timeout des Anwendungspools und das Limit für den virtuellen Speicher festlegen. Beachten Sie, dass beim Recycling des Anwendungspools “Citrix Receiver for Web” Benutzer, die über einen Webbrowser angemeldet sind, abgemeldet werden. Daher ist er standardmäßig so eingestellt, dass er täglich um 02:00 Uhr recycelt wird, um Störungen zu minimieren. Wenn Sie eine der Recycling-Einstellungen ändern, kann dies dazu führen, dass Benutzer zu anderen Tageszeiten abgemeldet werden.

Standard-IIS-Startseite

Sie können die Dateien iisstart.htm, welcome.png aus c:\inetpub\wwwroot löschen.

Erforderliche Einstellungen

• Ändern Sie die IIS-Authentifizierungseinstellungen nicht. StoreFront verwaltet die Authentifizierung und konfiguriert die Verzeichnisse der StoreFront-Site mit den entsprechenden Authentifizierungseinstellungen.
• Wählen Sie für den StoreFront-Server unter SSL-Einstellungen nicht Clientzertifikate: Erforderlich aus. Die StoreFront-Installation konfiguriert die entsprechenden Seiten der StoreFront-Site mit dieser Einstellung.
• StoreFront benötigt Cookies für den Sitzungsstatus und andere Funktionen. In bestimmten Verzeichnissen muss unter Sitzungsstatus, Cookie-Einstellungen, Modus auf Cookies verwenden eingestellt sein.
• StoreFront erfordert, dass die .NET-Vertrauensstufe auf Volles Vertrauen eingestellt ist. Stellen Sie die .NET-Vertrauensstufe nicht auf einen anderen Wert ein.

Dienste

Die StoreFront-Installation erstellt die folgenden Windows-Dienste:

• Citrix Configuration Replication (NT SERVICE\CitrixConfigurationReplication)
• Citrix Cluster Join (NT SERVICE\CitrixClusterService)
• Citrix Peer Resolution (NT SERVICE\Citrix Peer Resolution Service)
• Citrix Credential Wallet (NT SERVICE\CitrixCredentialWallet)
• Citrix Subscriptions Store (NT SERVICE\CitrixSubscriptionsStore)
• Citrix Default Domain Services (NT SERVICE\CitrixDefaultDomainService)

Diese Konten melden sich als Network Service an. Ändern Sie diese Konfiguration nicht.

Wenn Sie die eingeschränkte Kerberos-Delegierung von StoreFront für XenApp 6.5 konfigurieren, wird zusätzlich der Dienst Citrix StoreFront Protocol Transition (NT SERVICE\CitrixStoreFrontProtocolTransition) erstellt. Dieser Dienst wird als NT AUTHORITY\SYSTEM ausgeführt. Ändern Sie diese Konfiguration nicht.

Zuweisung von Benutzerrechten

Das Ändern der Zuweisung von Benutzerrechten von den Standardeinstellungen kann zu Problemen mit StoreFront führen. Insbesondere:

• Microsoft IIS wird als Teil der StoreFront-Installation aktiviert. Microsoft IIS gewährt der integrierten Gruppe IIS_IUSRS das Anmelde-Recht Als Batchauftrag anmelden und das Privileg Einen Client nach der Authentifizierung imitieren. Dies ist ein normales Verhalten der Microsoft IIS-Installation. Ändern Sie diese Benutzerrechte nicht. Weitere Informationen finden Sie in der Microsoft-Dokumentation.

• Wenn Sie StoreFront installieren, werden Anwendungspools erstellt, denen IIS die Benutzerrechte Als Dienst anmelden, Arbeitsspeicherkontingente für einen Prozess anpassen, Sicherheitsüberwachungen generieren und Ein Token auf Prozessebene ersetzen gewährt.

• Um eine Bereitstellung zu erstellen oder zu ändern, muss der Administrator die Rechte Dateien und Verzeichnisse wiederherstellen besitzen.

• Damit ein Server einer Servergruppe beitreten kann, muss die Gruppe Administratoren die Rechte Dateien und Verzeichnisse wiederherstellen, Auf diesen Computer vom Netzwerk aus zugreifen und Sicherheitsüberwachung und Sicherheitsprotokoll verwalten besitzen.

• Damit sich Benutzer mit einer Benutzername- und Kennwortauthentifizierung (direkt oder über ein Gateway) anmelden können, müssen sie die Rechte zum Lokalen Anmelden zulassen besitzen, es sei denn, Sie haben StoreFront so konfiguriert, dass Kennwörter über den Delivery Controller validiert werden.

Dies ist keine vollständige Liste, und es können weitere Benutzerzugriffsrechte erforderlich sein.

Gruppenmitgliedschaften konfigurieren

Wenn Sie eine StoreFront-Servergruppe konfigurieren, werden die folgenden Dienste der Sicherheitsgruppe Administratoren hinzugefügt:

• Citrix Configuration Replication (NT SERVICE\CitrixConfigurationReplication)
• Citrix Cluster Join (NT SERVICE\CitrixClusterService). Dieser Dienst ist nur auf Servern sichtbar, die Teil einer Gruppe sind, und wird nur ausgeführt, während der Beitritt läuft.

Diese Gruppenmitgliedschaften sind erforderlich, damit StoreFront ordnungsgemäß funktioniert, um:

• Zertifikate zu erstellen, zu exportieren, zu importieren und zu löschen sowie Zugriffsrechte dafür festzulegen
• Die Windows-Registrierung zu lesen und zu schreiben
• Microsoft .NET Framework-Assemblies im Global Assembly Cache (GAC) hinzuzufügen und zu entfernen
• Auf den Ordner Program Files\Citrix\<StoreFrontLocation> zuzugreifen
• IIS-Anwendungspool-Identitäten und IIS-Webanwendungen hinzuzufügen, zu ändern und zu entfernen
• Lokale Sicherheitsgruppen und Firewallregeln hinzuzufügen, zu ändern und zu entfernen
• Windows-Dienste und PowerShell-Snap-Ins hinzuzufügen und zu entfernen
• Microsoft Windows Communication Framework (WCF)-Endpunkte zu registrieren

Bei Updates von StoreFront kann sich diese Liste der Vorgänge ohne vorherige Ankündigung ändern.

Die StoreFront-Installation erstellt auch die folgenden lokalen Sicherheitsgruppen:

• CitrixClusterMembers
• CitrixCWServiceReadUsers
• CitrixCWServiceWriteUsers
• CitrixDelegatedAuthenticatorUsers
• CitrixDelegatedDirectoryClaimFactoryUsers
• CitrixPNRSReplicators
• CitrixPNRSUsers
• CitrixStoreFrontAdministrators
• CitrixSubscriptionServerUsers
• CitrixSubscriptionsStoreServiceUsers
• CitrixSubscriptionsSyncUsers

StoreFront verwaltet die Mitgliedschaft dieser Sicherheitsgruppen. Sie werden für die Zugriffssteuerung innerhalb von StoreFront verwendet und nicht auf Windows-Ressourcen wie Dateien und Ordner angewendet. Ändern Sie diese Gruppenmitgliedschaften nicht.

NTLM

Wenn Sie Favoriten über die lokale ESENT-Datenbank aktiviert haben, verwendet StoreFront NTLM, wenn Favoriten zwischen Servern in einer Servergruppe synchronisiert werden. Wenn Sie NTLM deaktivieren, schlägt die Synchronisierung der Favoriten fehl. Dies könnte mit StoreFront 2402 CU3 oder höher behoben werden. Alternativ können Sie eine SQL Server-Datenbank verwenden.

StoreFront verwendet NTLM, wenn Anmeldeinformationen zwischen Servern in einer Servergruppe synchronisiert werden. Wenn NTLM deaktiviert ist, müssen sich Benutzer möglicherweise erneut authentifizieren, wenn der Load Balancer den Server wechselt, mit dem der Benutzer verbunden ist. Dies könnte mit StoreFront CU3 oder höher behoben werden. Dies kann durch die Verwendung von Sticky Load Balancing gemildert werden. Beachten Sie, dass für den Webbrowser-Zugriff Sticky Load Balancing immer erforderlich ist.

Wenn Benutzer sich über die Domänen-Pass-Through-Authentifizierung authentifizieren, verwendet IIS standardmäßig Kerberos, falls möglich, andernfalls fällt es auf NTLM zurück. Wenn sich ein Load Balancer vor StoreFront befindet, fällt es immer auf NTLM zurück.

Sie können den Server so konfigurieren, dass er nur NTLMv2 verwendet und NTLMv1 ablehnt. Siehe Microsoft-Dokumentation. In Windows Server 2025 und höher wurde NTLMv1 entfernt, sodass NTLMv2 immer verwendet wird.

Zertifikate in StoreFront

Serverzertifikate

Serverzertifikate werden für die Maschinenidentifikation und die Transport Layer Security (TLS)-Transportsicherheit in StoreFront verwendet. Wenn Sie sich entscheiden, die ICA-Dateisignierung zu aktivieren, kann StoreFront Zertifikate auch zum digitalen Signieren von ICA-Dateien verwenden.

Weitere Informationen finden Sie unter Kommunikation zwischen Endbenutzern und StoreFront und ICA-Dateisignierung.

Tokenverwaltungszertifikate

Authentifizierungsdienste und Stores benötigen jeweils Zertifikate für die Tokenverwaltung. StoreFront generiert ein selbstsigniertes Zertifikat, wenn ein Authentifizierungsdienst oder Store erstellt wird. Selbstsignierte Zertifikate, die von StoreFront generiert werden, sollten nicht für andere Zwecke verwendet werden.

Citrix Delivery Services-Zertifikate

StoreFront speichert eine Reihe von Zertifikaten in einem benutzerdefinierten Windows-Zertifikatspeicher (Citrix Delivery Services). Der Citrix Configuration Replication-Dienst, der Citrix Credential Wallet-Dienst und der Citrix Subscriptions Store-Dienst verwenden diese Zertifikate. Jeder StoreFront-Server in einem Cluster verfügt über eine Kopie dieser Zertifikate. Diese Dienste verlassen sich nicht auf TLS für sichere Kommunikationen, und diese Zertifikate werden nicht als TLS-Serverzertifikate verwendet. Diese Zertifikate werden erstellt, wenn ein StoreFront-Store erstellt oder StoreFront installiert wird. Ändern Sie den Inhalt dieses Windows-Zertifikatspeichers nicht.

Codesignaturzertifikate

StoreFront enthält eine Reihe von PowerShell-Skripten (.ps1) im Ordner in <InstallDirectory>\Scripts. Die Standardinstallation von StoreFront verwendet diese Skripte nicht. Sie vereinfachen die Konfigurationsschritte für spezifische und seltene Aufgaben. Diese Skripte sind signiert, wodurch StoreFront die PowerShell-Ausführungsrichtlinie unterstützen kann. Wir empfehlen die Richtlinie AllSigned. (Die Richtlinie Restricted wird nicht unterstützt, da sie die Ausführung von PowerShell-Skripten verhindert.) StoreFront ändert die PowerShell-Ausführungsrichtlinie nicht.

Obwohl StoreFront kein Codesignaturzertifikat im Speicher für vertrauenswürdige Herausgeber installiert, kann Windows das Codesignaturzertifikat dort automatisch hinzufügen. Dies geschieht, wenn das PowerShell-Skript mit der Option Immer ausführen ausgeführt wird. (Wenn Sie die Option Nie ausführen wählen, wird das Zertifikat dem Speicher für nicht vertrauenswürdige Zertifikate hinzugefügt, und StoreFront-PowerShell-Skripte werden nicht ausgeführt.) Sobald das Codesignaturzertifikat dem Speicher für vertrauenswürdige Herausgeber hinzugefügt wurde, wird dessen Ablaufdatum von Windows nicht mehr überprüft. Sie können dieses Zertifikat nach Abschluss der StoreFront-Aufgaben aus dem Speicher für vertrauenswürdige Herausgeber entfernen.

StoreFront-Sicherheitstrennung

Wenn Sie Webanwendungen auf Ihrem StoreFront-Server in derselben Webdomäne (Domänenname und Port) wie StoreFront bereitstellen, können Sicherheitsrisiken in diesen Webanwendungen potenziell die Sicherheit Ihrer StoreFront-Bereitstellung verringern. Wo ein höheres Maß an Sicherheitstrennung erforderlich ist, empfiehlt Citrix, StoreFront in einer separaten Webdomäne bereitzustellen.

ICA-Downloads

ICA-Dateien enthalten die Informationen zum Verbinden mit VDAs und oft zum einmaligen Anmelden ohne weitere Authentifizierung. Stellen Sie daher sicher, dass ICA-Dateien geschützt sind. Bei hybriden Starts können ICA-Dateien je nach Konfiguration auf das Gerät des Benutzers heruntergeladen werden. Es wird empfohlen, ICA-Downloads zu deaktivieren. Weitere Informationen finden Sie unter Workspace-App-Bereitstellung.

ICA-Dateisignierung

StoreFront bietet die Möglichkeit, ICA-Dateien mithilfe eines angegebenen Zertifikats auf dem Server digital zu signieren, sodass Versionen der Citrix Workspace-App, die diese Funktion unterstützen, überprüfen können, ob die Datei von einer vertrauenswürdigen Quelle stammt. ICA-Dateien können mit jedem Hash-Algorithmus signiert werden, der vom Betriebssystem auf dem StoreFront-Server unterstützt wird, einschließlich SHA-1 und SHA-256. Weitere Informationen finden Sie unter ICA-Dateisignierung aktivieren.

App-Schutz

Sie können App Protection verwenden, um Bildschirmaufnahmen und Screen Logger zu verhindern. Bei hybriden Starts ist App Protection standardmäßig deaktiviert. Um es zu aktivieren, siehe App Protection.

Benutzerkennwort ändern

Sie können Benutzern, die sich über einen Webbrowser mit Active Directory-Domänenanmeldeinformationen anmelden, ermöglichen, ihre Kennwörter jederzeit oder nur bei Ablauf zu ändern. Dies setzt jedoch sensible Sicherheitsfunktionen jedem offen, der auf einen der Stores zugreifen kann, die den Authentifizierungsdienst verwenden. Wenn Ihre Organisation eine Sicherheitsrichtlinie hat, die Kennwortänderungsfunktionen für Benutzer nur für die interne Verwendung reserviert, stellen Sie sicher, dass keiner der Stores von außerhalb Ihres Unternehmensnetzwerks zugänglich ist. Wenn Sie den Authentifizierungsdienst erstellen, verhindert die Standardkonfiguration, dass Benutzer ihre Kennwörter ändern, selbst wenn diese abgelaufen sind. Weitere Informationen finden Sie unter Benutzern das Ändern ihrer Kennwörter ermöglichen.

Anpassungen

Um die Sicherheit zu erhöhen, erstellen Sie keine Anpassungen, die Inhalte oder Skripte von Servern laden, die nicht unter Ihrer Kontrolle stehen. Kopieren Sie den Inhalt oder das Skript in den benutzerdefinierten Ordner der Website, in dem Sie die Anpassungen vornehmen. Wenn StoreFront für HTTPS-Verbindungen konfiguriert ist, stellen Sie sicher, dass alle Links zu benutzerdefinierten Inhalten oder Skripten ebenfalls HTTPS verwenden.

Sicherheits-Header

Beim Anzeigen einer Store-Website über einen Webbrowser gibt StoreFront die folgenden sicherheitsrelevanten Header zurück, die Einschränkungen für den Webbrowser festlegen.

Cookies

StoreFront verwendet mehrere Cookies. Einige der Cookies, die beim Betrieb der Website verwendet werden, sind die folgenden:

StoreFront setzt eine Reihe weiterer Cookies, um den Benutzerstatus zu verfolgen, von denen einige von JavaScript gelesen werden müssen und daher kein HttpOnly gesetzt haben. Diese Cookies enthalten keine Informationen zur Authentifizierung oder andere vertrauliche Informationen.

Wenn der Client über HTTPS verbunden ist, setzt er das Attribut secure beim Erstellen oder Aktualisieren von Cookies.

Zusätzliche Sicherheitsinformationen

Hinweis:

Diese Informationen können sich jederzeit und ohne vorherige Ankündigung ändern.

Ihre Organisation möchte möglicherweise aus regulatorischen Gründen Sicherheitsüberprüfungen von StoreFront durchführen. Die vorangegangenen Konfigurationsoptionen können dazu beitragen, einige Ergebnisse in Sicherheitsüberprüfungsberichten zu eliminieren.

Wenn sich ein Gateway zwischen dem Sicherheitsscanner und StoreFront befindet, können bestimmte Ergebnisse eher das Gateway als StoreFront selbst betreffen. Sicherheitsüberprüfungsberichte unterscheiden diese Ergebnisse (z. B. TLS-Konfiguration) normalerweise nicht. Aus diesem Grund können technische Beschreibungen in Sicherheitsüberprüfungsberichten irreführend sein.