安全建议措施
会话录制部署在安全的网络中,并由管理员访问,因此是安全的。开箱即用的部署很简单,并且可以根据需要配置数字签名和加密等安全功能。
会话录制组件之间的通信通过 Internet 信息服务 (IIS) 和 Microsoft 消息队列 (MSMQ) 实现。IIS 提供会话录制组件之间的 Web 服务通信链接。MSMQ 提供可靠的数据传输机制,用于将会话录制代理中的录制会话数据发送到会话录制服务器。
警告:
不正确地编辑注册表可能会导致严重问题,可能需要您重新安装操作系统。Citrix® 无法保证能够解决因不正确使用注册表编辑器而导致的问题。请自行承担使用注册表编辑器的风险。在编辑注册表之前,请务必备份它。
在规划部署时,请考虑以下安全建议事项:
- 确保在公司网络、会话录制系统或单个计算机上正确隔离不同的管理员角色。否则,可能会出现影响系统功能或滥用系统的安全威胁。我们建议您将不同的管理员角色分配给不同的人员或帐户。不要允许普通会话用户拥有 VDA 系统的管理员权限。
- XenApp 和 XenDesktop® 管理员不向已发布的应用程序或桌面的任何用户授予 VDA 本地管理员角色。如果本地管理员角色是必需的,请通过使用 Windows 机制或第三方解决方案来保护会话录制代理组件。
- 务必分别指派会话录制数据库管理员和会话录制策略管理员。
- 我们建议您不要将 VDA 管理员权限分配给普通会话用户,尤其是在使用远程电脑访问时。
- 会话录制服务器本地管理帐户必须受到严格保护。
- 控制对安装了会话录制播放器的计算机的访问。如果用户未获得播放器角色的授权,请勿授予该用户任何播放器计算机的本地管理员角色。禁用匿名访问。
- 我们建议使用物理机作为会话录制的存储服务器。
-
会话录制记录会话图形活动,而不考虑数据的敏感性。在某些情况下,敏感数据(包括但不限于用户凭据、隐私信息和第三方屏幕)可能会被无意中录制。采取以下措施来防止风险:
-
禁用 VDA 的核心内存转储,除非用于特定的故障排除情况。
要禁用核心内存转储:
- 右键单击“我的电脑”,然后选择“属性”。
- 单击“高级”选项卡,然后在“启动和恢复”下,单击“设置”。
- 在“写入调试信息”下,选择“(无)”。
请参阅 https://support.microsoft.com/zh-cn/kb/307973 处的 Microsoft 文章。
-
会话所有者应通知与会者,如果桌面会话正在被录制,则在线会议和远程协助软件可能会被录制。
-
确保登录凭据或安全信息不会出现在公司内部发布或使用的所有本地和 Web 应用程序中。否则,它们将被会话录制件录制。
-
在切换到远程 ICA® 会话之前,关闭任何可能会泄露敏感信息的应用程序。
-
我们建议仅使用自动身份验证方法(例如,单点登录、智能卡)来访问已发布的桌面或软件即服务 (SaaS) 应用程序。
-
- 会话录制依赖于特定的硬件和硬件基础设施(例如,公司网络设备、操作系统)才能正常运行并满足安全需求。请在基础设施层面采取措施,防止这些基础设施受到损坏或滥用,并使会话录制功能安全可靠。
- 妥善保护并保持支持会话录制的网络基础设施可用。
- 我们建议使用第三方安全解决方案或 Windows 机制来保护会话录制组件。会话录制组件包括:
- 在会话录制服务器上
- Processes: SsRecStoragemanager.exe and SsRecAnalyticsService.exe
- Services: CitrixSsRecStorageManager and CitrixSsRecAnalyticsService
- 会话录音服务器安装文件夹中的所有文件
- Registry key values within HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartAuditor\Server
- 在会话录音代理上
- Process: SsRecAgent.exe
- Service: CitrixSmAudAgent
- 会话录音代理安装文件夹中的所有文件
- Registry key values within HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartAuditor\Agent
- 在会话录制服务器上
- 将会话录音服务器上的消息队列 (MSMQ) 的访问控制列表 (ACL) 设置为限制可向会话录音服务器发送 MSMQ 数据的 VDA 或 VDI 计算机,并防止未经授权的计算机向会话录音服务器发送数据。
-
在启用了会话录音的每个会话录音服务器以及 VDA 或 VDI 计算机上安装服务器功能“目录服务集成”。然后重新启动消息队列服务。
-
在每个会话录音服务器上的 Windows“开始”菜单中,打开“管理工具”>“计算机管理”。
-
打开“服务和应用程序”>“消息队列”>“专用队列”。
-
单击专用队列“citrixsmauddata”以打开“属性”页面,然后选择“安全”选项卡。
-
添加向此服务器发送 MSMQ 数据的 VDA 的计算机或安全组,并授予它们“发送消息”权限。
- 正确保护会话记录服务器和会话记录代理的事件日志。我们建议使用 Windows 或第三方远程日志记录解决方案来保护事件日志或将事件日志重定向到远程服务器。
- 确保运行会话记录组件的服务器物理安全。如果可能,将这些计算机锁定在只有授权人员才能直接访问的安全房间中。
- 将会话记录组件运行所在的服务器隔离到单独的子网或域中。
- 通过在会话记录服务器与其他服务器之间安装防火墙,保护记录的会话数据免受访问其他服务器的用户的影响。
- 使会话记录管理服务器和 SQL 数据库保持最新,安装 Microsoft 提供的最新安全更新。
- 限制非管理员登录管理计算机的访问权限。
- 严格限制有权更改录制策略和查看录制会话的人员范围。
- 安装数字证书,使用会话记录文件签名功能,并在 IIS 中设置 TLS 通信。
- 将 MSMQ 设置为使用 HTTPS 作为其传输协议。方法是将会话记录代理属性中列出的 MSMQ 协议设置为 HTTPS。有关详细信息,请参阅排查 MSMQ 故障。
-
在会话记录服务器和会话记录数据库上使用 TLS 1.1 或 TLS 1.2(推荐),并禁用 SSLv2、SSLv3、TLS 1.0。有关详细信息,请参阅 https://support.microsoft.com/default.aspx?scid=kb;en-us;187498 处的 Microsoft 文章。
在会话记录服务器和会话记录数据库上禁用 TLS 的 RC4 密码套件:
- 使用 Microsoft 组策略编辑器,导航到计算机配置 > 管理模板 > 网络 > SSL 配置设置。
- 将 SSL 密码套件顺序策略设置为已启用。默认情况下,此策略设置为未配置。
- 删除所有 RC4 密码套件。
- 使用播放保护。播放保护是会话记录的一项功能,可在录制文件下载到会话记录播放器之前对其进行加密。默认情况下,此选项处于启用状态,并且位于会话记录服务器属性中。
- 遵循 NSIT 关于加密密钥长度和加密算法的指导。
- 为会话录制配置 TLS 1.2 支持。
- 我们建议使用 TLS 1.2 作为通信协议,以确保会话录制组件的端到端安全性。
要配置会话录制对 TLS 1.2 的支持:
- 登录到托管会话录制服务器的计算机。安装适当的 SQL Server 客户端组件和驱动程序,并为 .NET Framework(版本 4 或更高版本)设置强加密。
- 安装适用于 SQL Server 的微软 ODBC 驱动程序 11(或更高版本)。
- 应用 .NET Framework 的最新修补程序汇总。
- 根据您的 .NET Framework 版本安装
ADO.NET - SqlClient。有关详细信息,请参阅 https://support.microsoft.com/zh-cn/kb/3135244。 - Add a DWORD value SchUseStrongCrypto = 1 under HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NetFramework\v4.0.30319 and HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NetFramework\v4.0.30319.
- 重新启动计算机。 2. 登录到托管会话录制策略控制台的计算机。应用 .NET Framework 的最新修补程序汇总,并为 .NET Framework(版本 4 或更高版本)设置强加密。设置强加密的方法与子步骤 1-d 和 1-e 相同。如果您选择将会话录制策略控制台安装在与会话录制服务器相同的计算机上,则可以省略这些步骤。
- 我们建议使用 TLS 1.2 作为通信协议,以确保会话录制组件的端到端安全性。
要配置会话录制对 TLS 1.2 的支持:
要为 2016 之前的 SQL Server 版本配置 TLS 1.2 支持,请参阅 https://support.microsoft.com/zh-cn/kb/3135244。要使用 TLS 1.2,请将会话录制组件的通信协议配置为 HTTPS。
有关配置会话录制安全功能的信息,请参阅 配置会话录制安全功能。