产品文档
Citrix Virtual Apps and Desktops
Service Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912 LTSR
查看 PDF

安全 Director 部署

January 21, 2022
投稿者: 
C C

本文重点介绍在部署和配置 Director 时可能会影响系统安全的几个方面。

配置 Microsoft Internet Information Services (IIS)

可以配置具有受限 IIS 配置的 Director。

文件扩展名

可以不允许使用未列出的文件扩展名。

Director 要求在请求过滤中使用以下文件扩展名:

  • .aspx
  • .css
  • .html
  • .js
  • .png
  • .svc
  • .gif
  • .json
  • .woff
  • .woff2
  • .ttf

Director 要求在请求过滤中使用以下 HTTP 谓词。可以不允许使用未列出的谓词。

  • GET
  • POST
  • HEAD

Director 不需要以下各项:

  • ISAPI 过滤器
  • ISAPI 扩展
  • CGI 程序
  • FastCGI 程序

重要:

  • Director 要求完全信任。请勿将全局 .NET 信任级别设置为“高”或更低。
  • Director 维护独立的应用程序池。要修改 Director 的设置,请选择 Director 站点并进行修改。

配置用户权限

安装 Director 后,将向其应用程序池授予以下权限:

  • 作为服务登录登录权限
  • 为进程调整内存配额生成安全审核替换一个进程级令牌权限。

所提到的权限和特权是创建应用程序池时的正常安装行为。

您不需要更改这些用户权限。这些权限不会被 Director 使用,并且自动禁用。

Director 通信

在生产环境中,请使用 Internet 协议安全性 (IPsec) 或 HTTPS 协议来确保在 Director 与您的服务器之间传输的数据的安全。

IPsec 是 Internet 协议的一组标准扩展,可提供经过身份验证和加密的通信,并且可以实现数据完整性和重播保护功能。由于 IPsec 是一个网络层协议集,因此无需任何修改即可将其用于更高级别的协议。HTTPS 使用传输层安全性 (TLS) 协议提供强大的数据加密。

注意:

  • Citrix 强烈建议您限制对内联网网络中的 Director 控制台的访问。
  • Citrix 强烈建议您不要在生产环境中启用指向 Director 的不安全连接。
  • 来自 Director 的安全连接需要为每个连接单独配置。
  • 不建议使用 SSL 协议。请改为使用更安全的 TLS 协议。
  • 使用 TLS(而非 IPsec)保护与 Citrix ADC 的通信安全。

要保护 Director 与 Citrix Virtual Apps and Desktops 服务器之间的通信安全(以实现监视和报告功能),请参阅 Data Access Security(数据访问安全性)。

要保护 Director 与 Citrix ADC 之间的通信安全(针对 Citrix Insight),请参阅配置网络分析

要保护 Director 与许可证服务器之间的通信安全,请参阅保护许可证管理控制台

Director 安全隔离

可以在与 Director 相同的 Web 域(域名和端口)中部署任何 Web 应用程序。但是,这些 Web 应用程序中的任何安全风险都可能会降低 Director 部署的安全性。如果环境中需要更大程度的安全隔离,Citrix 建议您在单独的 Web 域中部署 Director。

安全 Director 部署
January 21, 2022
投稿者: 
C C
January 21, 2022
投稿者: 
C C

在本文中

站点反馈 | Your privacy choices footer link您的隐私选择 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.