Sicherheit und Netzwerkkonfiguration des Federated Authentication Service
Der Citrix Federated Authentication Service (FAS) ist eng in Microsoft Active Directory und die Microsoft-Zertifizierungsstelle (CA) integriert. Es ist unerlässlich, dass das System angemessen verwaltet und gesichert wird, indem eine Sicherheitsrichtlinie entwickelt wird, wie Sie es für einen Domänencontroller oder andere kritische Infrastrukturen tun würden.
Dieses Dokument bietet einen Überblick über Sicherheitsaspekte, die bei der Bereitstellung des FAS zu berücksichtigen sind. Es bietet auch einen Überblick über verfügbare Funktionen, die zur Sicherung Ihrer Infrastruktur beitragen können.
Netzwerkarchitektur
Das folgende Diagramm zeigt die Hauptkomponenten und Sicherheitsgrenzen, die in einer FAS-Bereitstellung verwendet werden.
Der FAS-Server sollte als Teil der sicherheitskritischen Infrastruktur behandelt werden, zusammen mit der CA und dem Domänencontroller. In einer föderierten Umgebung sind Citrix NetScaler und Citrix StoreFront™ Komponenten, denen die Durchführung der Benutzerauthentifizierung anvertraut wird; andere XenApp- und XenDesktop-Komponenten sind von der Einführung des FAS unberührt.
Firewall und Netzwerksicherheit
Die Kommunikation zwischen NetScaler, StoreFront und den Delivery Controller™-Komponenten sollte durch TLS über Port 443 geschützt werden. Der StoreFront-Server stellt nur ausgehende Verbindungen her, und das NetScaler Gateway sollte nur Verbindungen über das Internet über HTTPS-Port 443 akzeptieren.
Der StoreFront-Server kontaktiert den FAS-Server über Port 80 unter Verwendung von gegenseitig authentifiziertem Kerberos. Die Authentifizierung verwendet die Kerberos HOST/fqdn-Identität des FAS-Servers und die Kerberos-Maschinenkontoidentität des StoreFront-Servers. Dies erzeugt ein einmalig verwendbares „Anmeldeinformations-Handle“, das vom Citrix Virtual Delivery Agent (VDA) zum Anmelden des Benutzers benötigt wird.
Wenn eine HDX-Sitzung mit dem VDA verbunden ist, kontaktiert der VDA den FAS-Server ebenfalls über Port 80. Die Authentifizierung verwendet die Kerberos HOST/fqdn-Identität des FAS-Servers und die Kerberos-Maschinenidentität des VDA. Zusätzlich muss der VDA das „Anmeldeinformations-Handle“ bereitstellen, um auf das Zertifikat und den privaten Schlüssel zuzugreifen.
Die Microsoft CA akzeptiert die Kommunikation über Kerberos-authentifiziertes DCOM, das für die Verwendung eines festen TCP-Ports konfiguriert werden kann. Die CA verlangt zusätzlich, dass der FAS-Server ein CMC-Paket bereitstellt, das von einem vertrauenswürdigen Registrierungsagenten-Zertifikat signiert ist.
| Server | Firewall-Ports |
|---|---|
| Federated Authentication Service | [in] Kerberos über HTTP von StoreFront und VDAs, [out] DCOM an Microsoft CA |
| Netscaler | [in] HTTPS von Clientcomputern, [in/out] HTTPS zu/von StoreFront-Server, [out] HDX an VDA |
| StoreFront | [in] HTTPS von NetScaler®, [out] HTTPS an Delivery Controller, [out] Kerberos HTTP an FAS |
| Delivery Controller | [in] HTTPS von StoreFront-Server, [in/out] Kerberos über HTTP von VDAs |
| VDA | [in/out] Kerberos über HTTP von Delivery Controller, [in] HDX von NetScaler Gateway, [out] Kerberos HTTP an FAS |
| Microsoft CA | [in] DCOM & signiert von FAS |
Verwaltungsaufgaben
Die Verwaltung der Umgebung kann in die folgenden Gruppen unterteilt werden:
| Name | Zuständigkeit |
|---|---|
| Unternehmensadministrator | Zertifikatvorlagen in der Gesamtstruktur installieren und sichern |
| Domänenadministrator | Gruppenrichtlinieneinstellungen konfigurieren |
| CA-Administrator | Zertifizierungsstelle konfigurieren |
| FAS-Administrator | FAS-Server installieren und konfigurieren |
| StoreFront-/NetScaler-Administrator | Benutzerauthentifizierung konfigurieren |
| XenDesktop®-Administrator | VDAs und Controller konfigurieren |
Jeder Administrator steuert verschiedene Aspekte des gesamten Sicherheitsmodells, was einen mehrschichtigen Ansatz zur Systemsicherung ermöglicht.
Gruppenrichtlinieneinstellungen
Trusted FAS machines are identified by a lookup table of “index number -> FQDN” configured through Group Policy. When contacting an FAS server, clients verify the FAS server’s HOST\<fqdn> Kerberos identity. All servers that access the FAS server must have identical FQDN configurations for the same index; otherwise, StoreFront and VDAs may contact different FAS servers.
Um Fehlkonfigurationen zu vermeiden, empfiehlt Citrix, dass eine einzige Richtlinie auf alle Maschinen in der Umgebung angewendet wird. Seien Sie vorsichtig beim Ändern der Liste der FAS-Server, insbesondere beim Entfernen oder Neuanordnen von Einträgen.
Die Kontrolle über dieses GPO sollte auf FAS-Administratoren (und/oder Domänenadministratoren) beschränkt sein, die FAS-Server installieren und außer Betrieb nehmen. Achten Sie darauf, die Wiederverwendung eines FQDN-Namens einer Maschine kurz nach der Außerbetriebnahme eines FAS-Servers zu vermeiden.
Zertifikatvorlagen
Wenn Sie die mit dem FAS gelieferte Zertifikatvorlage Citrix_SmartcardLogon nicht verwenden möchten, können Sie eine Kopie davon ändern. Die folgenden Änderungen werden unterstützt.
Zertifikatvorlage umbenennen
Wenn Sie die Citrix_SmartcardLogon umbenennen möchten, um sie an Ihren organisationsinternen Vorlagen-Benennungsstandard anzupassen, müssen Sie:
- Erstellen Sie eine Kopie der Zertifikatvorlage und benennen Sie sie um, um sie an Ihren organisationsinternen Vorlagen-Benennungsstandard anzupassen.
- Verwenden Sie FAS-PowerShell-Befehle zur Verwaltung von FAS, anstatt die administrative Benutzeroberfläche. (Die administrative Benutzeroberfläche ist nur für die Verwendung mit den standardmäßigen Citrix-Vorlagennamen vorgesehen.)
- Verwenden Sie entweder das Microsoft MMC-Snap-In für Zertifikatvorlagen oder den Befehl Publish-FasMsTemplate, um Ihre Vorlage zu veröffentlichen, und
- Verwenden Sie den Befehl New-FasCertificateDefinition, um FAS mit dem Namen Ihrer Vorlage zu konfigurieren.
Allgemeine Eigenschaften ändern
Sie können den Gültigkeitszeitraum in der Zertifikatvorlage ändern.
Ändern Sie nicht den Verlängerungszeitraum. FAS ignoriert diese Einstellung in der Zertifikatvorlage. FAS erneuert das Zertifikat automatisch nach der Hälfte seines Gültigkeitszeitraums.
Eigenschaften der Anforderungsbehandlung ändern
Ändern Sie diese Eigenschaften nicht. FAS ignoriert diese Einstellungen in der Zertifikatvorlage. FAS deaktiviert immer Export des privaten Schlüssels zulassen und deaktiviert Mit demselben Schlüssel erneuern.
Kryptografieeigenschaften ändern
Ändern Sie diese Eigenschaften nicht. FAS ignoriert diese Einstellungen in der Zertifikatvorlage.
Entsprechende Einstellungen, die FAS bereitstellt, finden Sie unter (/de-de/xenapp-and-xendesktop/7-15-ltsr/secure/federated-authentication-service/fas-config-manage/fas-private-key-protection.html).
Eigenschaften der Schlüsselbestätigung ändern
Ändern Sie diese Eigenschaften nicht. FAS unterstützt keine Schlüsselbestätigung.
Eigenschaften von ersetzten Vorlagen ändern
Ändern Sie diese Eigenschaften nicht. FAS unterstützt keine ersetzten Vorlagen.
Erweiterungseigenschaften ändern
Sie können diese Einstellungen an Ihre Organisationsrichtlinien anpassen.
Hinweis: Ungeeignete Erweiterungseinstellungen können Sicherheitsprobleme verursachen oder zu unbrauchbaren Zertifikaten führen.
Sicherheitseigenschaften ändern
Citrix empfiehlt, diese Einstellungen so zu ändern, dass die Berechtigungen Lesen und Registrieren nur für die Computerkonten der FAS-Server zugelassen werden. Der FAS-Dienst benötigt keine weiteren Berechtigungen. Wie bei anderen Zertifikatvorlagen können Sie jedoch Folgendes tun:
- Administratoren das Lesen oder Schreiben der Vorlage erlauben
- authentifizierten Benutzern das Lesen der Vorlage erlauben
Eigenschaften des Antragstellernamens ändern
Sie können diese Einstellungen bei Bedarf an Ihre Unternehmensrichtlinien anpassen.
Servereigenschaften ändern
Obwohl Citrix dies nicht empfiehlt, können Sie diese Einstellungen bei Bedarf an Ihre Unternehmensrichtlinien anpassen.
Eigenschaften der Ausstellungsanforderungen ändern
Ändern Sie diese Einstellungen nicht. Diese Einstellungen sollten wie folgt aussehen:
Kompatibilitätseigenschaften ändern
Sie können diese Einstellungen ändern. Die Einstellung muss mindestens Windows Server 2003-CAs (Schemaversion 2) sein. FAS unterstützt jedoch nur Windows Server 2008 und spätere CAs. Außerdem ignoriert FAS, wie oben erläutert, die zusätzlichen Einstellungen, die durch Auswahl von Windows Server 2008-CAs (Schemaversion 3) oder Windows Server 2012-CAs (Schemaversion 4) verfügbar sind.
Verwaltung der Zertifizierungsstelle
Der CA-Administrator ist für die Konfiguration des CA-Servers und des von ihm verwendeten privaten Schlüssels für das Ausstellungszertifikat verantwortlich.
Veröffentlichen von Vorlagen
Damit eine Zertifizierungsstelle Zertifikate auf der Grundlage einer vom Unternehmensadministrator bereitgestellten Vorlage ausstellen kann, muss der CA-Administrator diese Vorlage zur Veröffentlichung auswählen.
Eine einfache Sicherheitspraxis besteht darin, nur die RA-Zertifikatvorlagen zu veröffentlichen, wenn die FAS-Server installiert werden, oder auf einen vollständig Offline-Ausstellungsprozess zu bestehen. In beiden Fällen sollte der CA-Administrator die vollständige Kontrolle über die Autorisierung von RA-Zertifikatanforderungen behalten und eine Richtlinie für die Autorisierung von FAS-Servern haben.
Firewall-Einstellungen
Im Allgemeinen hat der CA-Administrator auch die Kontrolle über die Netzwerkkonfiguration der Firewall der CA, was die Kontrolle über eingehende Verbindungen ermöglicht. Der CA-Administrator kann DCOM-TCP- und Firewall-Regeln so konfigurieren, dass nur FAS-Server Zertifikate anfordern können.
Eingeschränkte Registrierung
Standardmäßig kann jeder Inhaber eines RA-Zertifikats Zertifikate für jeden Benutzer ausstellen, wobei jede Zertifikatvorlage verwendet werden kann, die den Zugriff erlaubt. Dies sollte auf eine Gruppe nicht privilegierter Benutzer beschränkt werden, indem die CA-Eigenschaft „Registrierungsagenten einschränken“ verwendet wird.
Richtlinienmodule und Überwachung
Für erweiterte Bereitstellungen können benutzerdefinierte Sicherheitsmodule verwendet werden, um die Zertifikatausstellung zu verfolgen und zu unterbinden.
FAS-Verwaltung
Der FAS verfügt über mehrere Sicherheitsfunktionen.
StoreFront, Benutzer und VDAs über eine ACL einschränken
Im Mittelpunkt des FAS-Sicherheitsmodells steht die Kontrolle darüber, welche Kerberos-Konten auf Funktionen zugreifen können:
| Zugriffsvektor | Beschreibung |
|---|---|
| StoreFront [IdP] | Diesen Kerberos-Konten wird vertraut, dass ein Benutzer korrekt authentifiziert wurde. Wenn eines dieser Konten kompromittiert wird, können Zertifikate erstellt und für Benutzer verwendet werden, die durch die Konfiguration des FAS zugelassen sind. |
| VDAs [Relying party] | Dies sind die Maschinen, die auf die Zertifikate und privaten Schlüssel zugreifen dürfen. Ein vom IdP abgerufener Anmeldeinformations-Handle wird ebenfalls benötigt, sodass ein kompromittiertes VDA-Konto in dieser Gruppe nur einen begrenzten Spielraum hat, um das System anzugreifen. |
| Benutzer | Dies steuert, welche Benutzer vom IdP bestätigt werden können. Beachten Sie, dass es Überschneidungen mit den Konfigurationsoptionen „Eingeschränkter Registrierungsagent“ bei der Zertifizierungsstelle gibt. Im Allgemeinen ist es ratsam, in dieser Liste nur nicht-privilegierte Konten aufzunehmen. Dies verhindert, dass ein kompromittiertes StoreFront-Konto Berechtigungen auf eine höhere administrative Ebene eskaliert. Insbesondere sollten Domänenadministratorkonten von dieser ACL nicht zugelassen werden. |
Regeln konfigurieren
Regeln sind nützlich, wenn mehrere unabhängige XenApp®- oder XenDesktop-Bereitstellungen dieselbe FAS-Serverinfrastruktur verwenden. Jede Regel verfügt über einen separaten Satz von Konfigurationsoptionen; insbesondere können die ACLs unabhängig voneinander konfiguriert werden.
Zertifizierungsstelle und Vorlagen konfigurieren
Für unterschiedliche Zugriffsrechte können verschiedene Zertifikatvorlagen und Zertifizierungsstellen konfiguriert werden. Erweiterte Konfigurationen können je nach Umgebung weniger oder leistungsfähigere Zertifikate verwenden. Beispielsweise können als „extern“ identifizierte Benutzer ein Zertifikat mit weniger Berechtigungen als „interne“ Benutzer haben.
In-Session- und Authentifizierungszertifikate
Der FAS-Administrator kann steuern, ob das zur Authentifizierung verwendete Zertifikat in der Benutzersitzung verfügbar ist. Dies könnte beispielsweise verwendet werden, um nur „Signatur“-Zertifikate in der Sitzung verfügbar zu haben, wobei das leistungsfähigere „Anmelde“-Zertifikat nur bei der Anmeldung verwendet wird.
Schutz des privaten Schlüssels und Schlüssellänge
Der FAS-Administrator kann FAS so konfigurieren, dass private Schlüssel in einem Hardware-Sicherheitsmodul (HSM) oder Trusted Platform Module (TPM) gespeichert werden. Citrix empfiehlt, dass mindestens der private Schlüssel des RA-Zertifikats durch Speicherung in einem TPM geschützt wird; diese Option wird als Teil des „Offline“-Zertifikatsanforderungsprozesses bereitgestellt.
Ebenso können private Schlüssel von Benutzerzertifikaten in einem TPM oder HSM gespeichert werden. Alle Schlüssel sollten als „nicht exportierbar“ generiert werden und mindestens 2048 Bit lang sein.
Ereignisprotokolle
Der FAS-Server bietet detaillierte Konfigurations- und Laufzeit-Ereignisprotokolle, die für Audits und die Erkennung von Eindringversuchen verwendet werden können.
Administrativer Zugriff und Verwaltungstools
Der FAS umfasst Funktionen und Tools für die Remote-Verwaltung (gegenseitig authentifiziertes Kerberos). Mitglieder der „Lokalen Administratorengruppe“ haben die volle Kontrolle über die FAS-Konfiguration. Diese Liste sollte sorgfältig gepflegt werden.
XenApp-, XenDesktop- und VDA-Administratoren
Im Allgemeinen ändert die Verwendung des FAS das Sicherheitsmodell der Delivery Controller- und VDA-Administratoren nicht, da das FAS-„Anmeldeinformations-Handle“ einfach das „Active Directory-Kennwort“ ersetzt. Controller- und VDA-Administrationsgruppen sollten nur vertrauenswürdige Benutzer enthalten. Überwachungs- und Ereignisprotokolle sollten gepflegt werden.
Allgemeine Windows Server-Sicherheit
Alle Server sollten vollständig gepatcht sein und über standardmäßige Firewall- und Antivirensoftware verfügen. Sicherheitskritische Infrastrukturserver sollten an einem physisch sicheren Ort aufbewahrt werden, wobei auf Festplattenverschlüsselung und Wartungsoptionen für virtuelle Maschinen geachtet werden muss.
Überwachungs- und Ereignisprotokolle sollten sicher auf einem Remotecomputer gespeichert werden.
Der RDP-Zugriff sollte auf autorisierte Administratoren beschränkt sein. Wo immer möglich, sollten Benutzerkonten eine Smartcard-Anmeldung erfordern, insbesondere für CA- und Domänenadministratorkonten.
Verwandte Informationen
- Der Artikel Federated Authentication Service ist die primäre Referenz für die FAS-Installation und -Konfiguration.
- FAS-Architekturen werden im Artikel Übersicht über Federated Authentication Service-Architekturen vorgestellt.
- Weitere „How-to“-Artikel werden im Artikel Federated Authentication Service-Konfiguration und -Verwaltung vorgestellt.