安全部署迪雷克特

本文重点介绍在部署和配置 Director 时可能影响系统安全性的方面。

迪雷克特通信

在生产环境中，使用 HTTPS 协议来保护 Director 与服务器之间传输的数据。HTTPS 使用传输层安全 (TLS) 协议提供强大的数据加密。

注意：

• Citrix® 强烈建议您将 Director 控制台的访问权限限制在内部网络中。
• Citrix 强烈建议您不要在生产环境中启用对 Director 的不安全连接。
• 使用 TLS 1.2 或更高版本。请勿使用旧版 TLS 或 SSL。

要保护用户 Web 浏览器与 Director 之间的通信，请参阅 在 Web Studio 和 Director 上启用 TLS

要保护 Director 与 Citrix Virtual Apps and Desktops 服务器之间的通信（用于监视和报告），请参阅 保护本地监视器 OData API 访问。

要保护 Director 与 Citrix ADC 之间的通信（用于 Citrix Insight），当您 配置网络分析 时，请选择 HTTPS 连接类型。

配置 微软互联网信息服务 (IIS)

您可以将 Director 配置为受限的 IIS 配置。

应用程序池回收限制

Director 使用名为 Director 的应用程序池。您可以在该应用程序池上设置以下应用程序池回收限制：

• 虚拟内存限制: 4,294,967,295
• 私有内存限制: StoreFront™ 服务器的物理内存大小
• 请求限制: 4,000,000,000

文件名扩展名

安装期间，Director 配置请求筛选以仅允许以下扩展名:

• .
• .aspx
• ．css
• .eot
• 网页
• .ico 文件
• .js
• 图片
• .svc
• .svg
• .gif。
• .json
• WOFF字体文件
• woff2 文件扩展名
• .ttf 文件

HTTP 请求方法

在安装期间，Director 配置请求筛选以仅允许以下谓词：

• GET
• 提交
• 标题

IIS 功能

Director 不需要安装以下 IIS 组件：

• ISAPI 扩展程序
• CGI 程序
• FastCGI 相关的程序

您可以移除这些组件。

.NET 信任级别

Director 要求将 .NET 信任级别设置为完全信任。请勿将 .NET 信任级别设置为任何其他值。

配置用户权限

安装 Director 后，其应用程序池将获得以下权限：

• 作为服务登录的登录权限
• 调整进程的内存配额、生成安全审核和替换进程级别令牌权限

所提及的权利和特权是当应用程序池被创建时的正常安装行为。

您无需更改这些用户权限。Director 不使用这些特权，并且它们会自动禁用。

Director 的安全隔离措施

您可以在与 Director 相同的 Web 域（域名和端口）中部署任何 Web 应用程序。但是，这些 Web 应用程序中的任何安全风险都可能降低 Director 部署的安全性。如果需要更高程度的安全隔离，Citrix 建议您将 Director 部署在单独的 Web 域中。