确保 Director 部署的安全
本文重点介绍了在部署和配置 Director 时可能影响系统安全的方面。
配置 微软互联网信息服务 (IIS)
您可以将 Director 配置为受限的 IIS 配置。
应用程序池回收限制
您可以设置以下应用程序池回收限制:
- 虚拟内存限制:4,294,967,295
- 私有内存限制:StoreFront™ 服务器的物理内存大小
- 请求限制:4,000,000,000
文件扩展名
您可以禁止未列出的文件扩展名。
Director 在请求筛选中需要以下文件扩展名:
- .aspx
- .css
- .html
- .js
- .png。
- .svc。
- .gif 格式
- .json
- .woff
- .woff2 字体文件
- .ttf 文件
Director 在请求筛选中需要以下 HTTP 谓词。您可以禁止未列出的谓词。
Director 不需要以下内容:
- ISAPI 筛选器模块
- ISAPI 扩展模块
- CGI 程序
- 基于 FastCGI 的程序
重要提示:
- Director 需要完全信任。请勿将全局 .NET 信任级别设置为“高”或更低。
- Director 维护一个单独的应用程序池。要修改 Director 设置,请选择 Director 站点并进行修改。
配置用户权限
安装 Director 后,其应用程序池将获得以下权限:
-
作为服务登录的登录权限
-
调整进程的内存配额、生成安全审核和替换进程级别令牌的权限
所提及的权限和特权在创建应用程序池时属于正常的安装行为。
您无需更改这些用户权限。Director 不使用这些特权,并且它们会自动禁用。
管理控制台通信
在生产环境中,请使用 Internet 协议安全 (IPsec) 或 HTTPS 协议来保护 Director 与服务器之间传输的数据。
IPsec 是一组 Internet 协议的标准扩展,可提供经过身份验证和加密的通信,并具有数据完整性和重放保护功能。由于 IPsec 是一组网络层协议,因此更高级别的协议无需修改即可使用它。HTTPS 使用传输层安全 (TLS) 协议来提供强大的数据加密。
注意:
- Citrix® 强烈建议您将 Director 控制台的访问权限限制在内部网络中。
- Citrix 强烈建议您不要在生产环境中启用 Director 的不安全连接。
- Director 的安全通信需要为每个连接单独配置。
- 不建议使用 SSL 协议。请改用更安全的 TLS 协议。
- 使用 TLS 而非 IPsec 来保护您与 Citrix ADC 之间的通信安全。
要保护 Director 与 Citrix Virtual Apps and Desktops 服务器之间的通信(用于监视和报告),请参阅 数据访问安全。
为了保护 Director 与 Citrix ADC 之间的通信(用于 Citrix Insight),请参阅 配置网络分析。
要保护 Director 与许可证服务器之间的通信,请参阅 保护许可证管理控制台。
管理控制台安全隔离
您可以将任何 Web 应用程序与 Director 部署在同一个 Web 域(域名和端口)中。但是,这些 Web 应用程序中的任何安全风险都可能降低 Director 部署的安全性。如果需要更高程度的安全隔离,Citrix 建议您将 Director 部署在单独的 Web 域中。
DIESER DIENST KANN ÜBERSETZUNGEN ENTHALTEN, DIE VON GOOGLE BEREITGESTELLT WERDEN. GOOGLE LEHNT JEDE AUSDRÜCKLICHE ODER STILLSCHWEIGENDE GEWÄHRLEISTUNG IN BEZUG AUF DIE ÜBERSETZUNGEN AB, EINSCHLIESSLICH JEGLICHER GEWÄHRLEISTUNG DER GENAUIGKEIT, ZUVERLÄSSIGKEIT UND JEGLICHER STILLSCHWEIGENDEN GEWÄHRLEISTUNG DER MARKTGÄNGIGKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK UND DER NICHTVERLETZUNG VON RECHTEN DRITTER.
CE SERVICE PEUT CONTENIR DES TRADUCTIONS FOURNIES PAR GOOGLE. GOOGLE EXCLUT TOUTE GARANTIE RELATIVE AUX TRADUCTIONS, EXPRESSE OU IMPLICITE, Y COMPRIS TOUTE GARANTIE D'EXACTITUDE, DE FIABILITÉ ET TOUTE GARANTIE IMPLICITE DE QUALITÉ MARCHANDE, D'ADÉQUATION À UN USAGE PARTICULIER ET D'ABSENCE DE CONTREFAÇON.
ESTE SERVICIO PUEDE CONTENER TRADUCCIONES CON TECNOLOGÍA DE GOOGLE. GOOGLE RENUNCIA A TODAS LAS GARANTÍAS RELACIONADAS CON LAS TRADUCCIONES, TANTO IMPLÍCITAS COMO EXPLÍCITAS, INCLUIDAS LAS GARANTÍAS DE EXACTITUD, FIABILIDAD Y OTRAS GARANTÍAS IMPLÍCITAS DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN EN PARTICULAR Y AUSENCIA DE INFRACCIÓN DE DERECHOS.
本服务可能包含由 Google 提供技术支持的翻译。Google 对这些翻译内容不做任何明示或暗示的保证,包括对准确性、可靠性的任何保证以及对适销性、特定用途的适用性和非侵权性的任何暗示保证。
このサービスには、Google が提供する翻訳が含まれている可能性があります。Google は翻訳について、明示的か黙示的かを問わず、精度と信頼性に関するあらゆる保証、および商品性、特定目的への適合性、第三者の権利を侵害しないことに関するあらゆる黙示的保証を含め、一切保証しません。
ESTE SERVIÇO PODE CONTER TRADUÇÕES FORNECIDAS PELO GOOGLE. O GOOGLE SE EXIME DE TODAS AS GARANTIAS RELACIONADAS COM AS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA DE PRECISÃO, CONFIABILIDADE E QUALQUER GARANTIA IMPLÍCITA DE COMERCIALIZAÇÃO, ADEQUAÇÃO A UM PROPÓSITO ESPECÍFICO E NÃO INFRAÇÃO.