Déploiement sécurisé de Director
Cet article met en évidence les domaines qui pourraient avoir un impact sur la sécurité du système lors du déploiement et de la configuration de Director.
Communications de Director
Dans un environnement de production, utilisez les protocoles HTTPS pour sécuriser les données transitant entre Director et vos serveurs. HTTPS utilise les protocoles TLS (Transport Layer Security) pour fournir un chiffrement robuste des données.
Remarque :
- Citrix® recommande fortement de restreindre l’accès à la console Director au sein du réseau intranet.
- Citrix recommande fortement de ne pas activer les connexions non sécurisées à Director dans un environnement de production.
- Utilisez TLS 1.2 ou une version ultérieure. N’utilisez pas les versions héritées de TLS ou SSL.
Pour sécuriser les communications entre les navigateurs web des utilisateurs et Director, reportez-vous à Activer TLS sur Web Studio et Director
Pour sécuriser les communications entre Director et les serveurs Citrix Virtual Apps and Desktops (pour la surveillance et les rapports), reportez-vous à Sécurisation de l’accès à l’API OData de Monitor sur site.
Pour sécuriser les communications entre Director et Citrix ADC (pour Citrix Insight), lorsque vous Configurez l’analyse réseau, choisissez un type de connexion HTTPS.
Configurer Microsoft Internet Information Services (IIS)
Vous pouvez configurer Director avec une configuration IIS restreinte.
Limites de recyclage du pool d’applications
Director utilise un pool d’applications appelé Director. Vous pouvez définir les limites de recyclage du pool d’applications suivantes sur le pool d’applications :
- Limite de mémoire virtuelle : 4,294,967,295
- Limite de mémoire privée : La taille de la mémoire physique du serveur StoreFront™
- Limite de requêtes : 4,000,000,000
Extensions de nom de fichier
Lors de l’installation, Director configure le filtrage des requêtes pour autoriser uniquement les extensions suivantes :
- .
- Extension .aspx
- Extension .css
- .eot
- .html
- .ICO
- .js
- .PNG
- l’extension .svc
- l’extension .svg
- .gif
- .json
- .woff
- .woff2
- .ttf
Verbes HTTP
Lors de l’installation, Director configure le filtrage des requêtes pour n’autoriser que les verbes suivants :
- GET
- POST
- HEAD
Fonctionnalités IIS
Director ne nécessite pas les composants IIS suivants :
- Extensions ISAPI
- Programmes CGI
- Programmes FastCGI
Vous pouvez supprimer ces composants.
Niveau de confiance .NET
Director nécessite que le niveau de confiance .NET soit défini sur Confiance totale. Ne définissez pas le niveau de confiance .NET sur une autre valeur.
Configurer les droits utilisateur
Lorsque Director est installé, son pool d’applications se voit accorder les éléments suivants :
- Droit d’ouverture de session Ouvrir une session en tant que service
- Privilèges Ajuster les quotas de mémoire pour un processus, Générer des audits de sécurité et Remplacer un jeton de niveau processus
Les droits et privilèges mentionnés sont un comportement d’installation normal lors de la création de pools d’applications.
Vous n’avez pas besoin de modifier ces droits utilisateur. Ces privilèges ne sont pas utilisés par Director et sont automatiquement désactivés.
Séparation de la sécurité de Director
Vous pouvez déployer n’importe quelle application web dans le même domaine web (nom de domaine et port) que Director. Cependant, tout risque de sécurité dans ces applications web peut potentiellement réduire la sécurité de votre déploiement Director. Lorsqu’un degré de séparation de sécurité plus élevé est requis, Citrix recommande de déployer Director dans un domaine web distinct.