Implantação segura do Director
Este artigo destaca áreas que podem impactar a segurança do sistema ao implantar e configurar o Director.
Comunicações do Director
Em um ambiente de produção, use os protocolos HTTPS para proteger os dados que trafegam entre o Director e seus servidores. O HTTPS usa protocolos Transport Layer Security (TLS) para fornecer criptografia de dados forte.
Observação:
- A Citrix® recomenda fortemente que você restrinja o acesso ao console do Director dentro da rede da intranet.
- A Citrix recomenda fortemente que você não habilite conexões não seguras ao Director em um ambiente de produção.
- Use TLS 1.2 ou superior. Não use TLS ou SSL legados.
Para proteger as comunicações entre os navegadores da web dos usuários e o Director, consulte Habilitar TLS no Web Studio e Director
Para proteger as comunicações entre o Director e os servidores Citrix Virtual Apps and Desktops (para monitoramento e relatórios), consulte Protegendo o Acesso à API OData do Monitor Local.
Para proteger as comunicações entre o Director e o Citrix ADC (para Citrix Insight), ao Configurar a análise de rede, escolha um tipo de conexão HTTPS.
Configurar o Microsoft Internet Information Services (IIS)
Você pode configurar o Director com uma configuração restrita do IIS.
Limites de reciclagem do Pool de Aplicativos
O Director usa um pool de aplicativos chamado Director. Você pode definir os seguintes limites de reciclagem do Pool de Aplicativos no pool de aplicativos:
- Limite de Memória Virtual: 4.294.967.295
- Limite de Memória Privada: O tamanho da memória física do servidor StoreFront™
- Limite de Solicitações: 4.000.000.000
Extensões de nome de arquivo
Durante a instalação, o Director configura a filtragem de solicitações para permitir apenas as seguintes extensões:
- .
- .aspx
- .css
- .eot
- .html
- .ico
- .js
- .png
- .svc
- .svg
- .gif
- .json
- .woff
- .woff2
- .ttf
Verbos HTTP
Durante a instalação, o Director configura a filtragem de solicitações para permitir apenas os seguintes verbos:
- GET
- POST
- HEAD
Recursos do IIS
O Director não requer os seguintes componentes do IIS:
- Extensões ISAPI
- Programas CGI
- Programas FastCGI
Você pode remover esses componentes.
Nível de confiança do .NET
O Director requer que o Nível de Confiança do .NET seja definido como Confiança Total. Não defina o nível de confiança do .NET para nenhum outro valor.
Configurar direitos de usuário
Quando o Director é instalado, seu pool de aplicativos recebe o seguinte:
- Direito de logon Fazer logon como um serviço
- Privilégios Ajustar cotas de memória para um processo, Gerar auditorias de segurança e Substituir um token de nível de processo
Os direitos e privilégios mencionados são comportamentos normais de instalação quando os pools de aplicativos são criados.
Você não precisa alterar esses direitos de usuário. Esses privilégios não são usados pelo Director e são desabilitados automaticamente.
Separação de segurança do Director
Você pode implantar quaisquer aplicativos web no mesmo domínio web (nome de domínio e porta) que o Director. No entanto, quaisquer riscos de segurança nesses aplicativos web podem potencialmente reduzir a segurança da sua implantação do Director. Onde um maior grau de separação de segurança for necessário, a Citrix recomenda que você implante o Director em um domínio web separado.