Director展開のセキュリティ保護

この記事では、Directorの展開と構成を行う際に、システムセキュリティに影響を与える可能性のある領域について説明します。

ディレクターの通信

本番環境では、Directorとサーバー間でやり取りされるデータを保護するためにHTTPSプロトコルを使用します。HTTPSは、強力なデータ暗号化を提供するために、Transport Layer Security (TLS) プロトコルを使用します。

注：

• Citrix®は、イントラネットネットワーク内でのDirectorコンソールへのアクセスを制限することを強くお勧めします。
• Citrixは、本番環境でDirectorへの保護されていない接続を有効にしないことを強くお勧めします。
• TLS 1.2以降を使用してください。レガシーTLSまたはSSLは使用しないでください。

ユーザーのWebブラウザーとDirector間の通信を保護するには、Web StudioおよびDirectorでTLSを有効にするを参照してください。

DirectorとCitrix Virtual Apps and Desktopsサーバー間の通信（監視およびレポート用）を保護するには、オンプレミスMonitor OData APIアクセスを保護するを参照してください。

DirectorとCitrix ADC間の通信（Citrix Insight用）を保護するには、ネットワーク分析を構成するときに、接続タイプとしてHTTPSを選択します。

マイクロソフト インターネット インフォメーション サービス (IIS) の構成

制限されたIIS構成でDirectorを構成できます。

アプリケーションプールのリサイクル制限

Directorは、Directorという名前のアプリケーションプールを使用します。このアプリケーションプールで、次のアプリケーションプールのリサイクル制限を設定できます。

• 仮想メモリ制限: 4,294,967,295
• プライベートメモリ制限: StoreFront™サーバーの物理メモリのサイズ
• 要求制限: 4,000,000,000

ファイル名拡張子

インストール中、Directorは要求フィルタリングを構成し、以下の拡張子のみを許可します。

• .
• .エーエスピーエックス
• .シーエスエス
• .イーオーティー
• .エイチティーエムエル
• .アイコ
• .js
• .ピーエヌジー
• .エスブイシー
• .エスブイジー
• 「.gif」
• .json
• .woff
• .woff2 拡張子
• 「.ttf」

HTTP メソッド

インストール中、Directorは以下の動詞のみを許可するように要求フィルタリングを構成します。

• GET
• ポスト
• ヘッド

IIS機能

Directorは以下のIISコンポーネントを必要としません。

• ISAPI拡張機能
• CGIプログラム
• FastCGIプログラム

これらのコンポーネントを削除できます。

.NET 信頼レベル

Directorでは、.NET Trust Level を Full Trust に設定する必要があります。.NET 信頼レベルを他の値に設定しないでください。

ユーザー権限の構成

Directorがインストールされると、そのアプリケーションプールには次の権限が付与されます。

• 「サービスとしてログオン」ログオン権限
• 「プロセスのメモリクォータの調整」、「セキュリティ監査の生成」、「プロセスレベルトークンの置き換え」の特権

上記の権限と特権は、アプリケーションプールが作成される際の通常のインストール動作です。

これらのユーザー権限を変更する必要はありません。これらの特権はDirectorでは使用されず、自動的に無効になります。

Directorのセキュリティ分離

Directorと同じWebドメイン（ドメイン名とポート）に任意のWebアプリケーションを展開できます。ただし、それらのWebアプリケーションにセキュリティリスクがあると、Director展開のセキュリティが低下する可能性があります。より高度なセキュリティ分離が必要な場合は、Directorを別のWebドメインに展開することをCitrixは推奨します。