Bu makale, StoreFront'u dağıtırken ve yapılandırırken sistem güvenliği üzerinde etkisi olabilecek alanları vurgulamaktadır.
Microsoft Internet Information Services'ı (IIS) yapılandırın
StoreFront'u kısıtlı bir IIS yapılandırmasıyla yapılandırabilirsiniz. Bunun varsayılan IIS yapılandırması olmadığını unutmayın.
Dosya adı uzantıları
Listelenmemiş dosya adı uzantılarına izin vermeyebilirsiniz.
StoreFront, İstek Filtrelemede aşağıdaki dosya adı uzantılarını gerektirir:
. (boş uzantı)
.appcache
.aspx
.cr
.css
.dtd
.gif
.htm
.html
.ica
.ico
.jpg
.js
.png
.svg
.Txt
.xml
Web için Citrix Receiver için Citrix Workspace uygulamasının indirilmesi veya yükseltilmesi etkinleştirildiyse, StoreFront ayrıca şu dosya adı uzantılarını gerektirir:
.dmg
.exe
HTML5 için Citrix Workspace uygulaması etkinleştirilirse StoreFront ayrıca şu dosya adı uzantılarını gerektirir:
.eot
.ttf
.woff
MIME Türleri
Aşağıdaki dosya türlerine karşılık gelen MIME Türlerini kaldırabilirsiniz:
.exe
.dll
.com
.bat
.csh
Request Filtering
StoreFront, İstek Filtrelemede aşağıdaki HTTP fiillerini gerektirir. Listelenmemiş fiillere izin vermeyebilirsiniz.
GET
POST
HEAD
Diğer Microsoft IIS ayarları
StoreFront şunları gerektirmez:
ISAPI filtreleri
ISAPI uzantıları
CGI programları
FastCGI programları
ÖNEMLİ:
IIS Yetkilendirme Kurallarını yapılandırmayın. StoreFront, kimlik doğrulamasını doğrudan destekler ve IIS kimlik doğrulamasını kullanmaz veya desteklemez.
StoreFront sitesi için SSL Ayarlarında İstemci sertifikaları: Gerektir öğesini seçmeyin . StoreFront kurulumu, StoreFront sitesinin uygun sayfalarını bu ayarla yapılandırır.
StoreFront tanımlama bilgileri gerektirir. Çerez Kullan ayarı seçilmelidir. Çerezsiz/URI Kullan ayarını seçmeyin.
StoreFront, Tam Güven gerektirir. Genel .NET güven düzeyini Yüksek veya daha düşük olarak ayarlamayın.
StoreFront, her site için ayrı bir uygulama havuzunu desteklemez. Bu site ayarlarını değiştirmeyin. Ancak, uygulama havuzu boşta kalma zaman aşımını ve bir uygulama havuzunun kullandığı sanal bellek miktarını ayarlayabilirsiniz.
Kullanıcı haklarını yapılandır
Not: Microsoft IIS, StoreFront kurulumunun bir parçası olarak etkinleştirilir. Microsoft IIS, oturum açma hakkını toplu iş olarak oturum aç ve yerleşik grup IIS_IUSRS için kimlik doğrulamasından sonra bir istemcinin kimliğine bürünme ayrıcalığını verir. Bu normal Microsoft IIS yükleme davranışıdır. Bu kullanıcı haklarını değiştirmeyin. Ayrıntılar için Microsoft dökümanlarını inceleyebilirsiniz.
StoreFront'u kurduğunuzda, uygulama havuzlarına bir hizmet olarak oturum açma hakkı ve Bir işlem için bellek kotalarını ayarla, Güvenlik denetimleri oluştur ve Bir işlem düzeyi belirtecini değiştir ayrıcalıkları verilir . Bu, uygulama havuzları oluşturulduğunda normal yükleme davranışıdır. Uygulama havuzları Citrix Configuration Api, Citrix Delivery Services Resources, Citrix Delivery Services Authentication ve Web için Citrix Receiver'dır.
Bu kullanıcı haklarını değiştirmeniz gerekmez. Bu ayrıcalıklar StoreFront tarafından kullanılmaz ve otomatik olarak devre dışı bırakılır.
StoreFront kurulumu aşağıdaki Windows hizmetlerini oluşturur:
Citrix Configuration Replication (NT SERVICE\CitrixConfigurationReplication)
Citrix Cluster Join (NT SERVICE\CitrixClusterService)
Citrix Peer Resolution (NT SERVICE\Citrix Peer Resolution Service)
Citrix Credential Wallet (NT SERVICE\CitrixCredentialWallet)
Citrix Subscriptions Store (NT SERVICE\CitrixSubscriptionsStore)
Citrix Default Domain Services (NT SERVICE\CitrixDefaultDomainService)
XenApp 6.5 için StoreFront Kerberos kısıtlı yetkilendirmeyi yapılandırırsanız, bu, Citrix StoreFront Protokol Geçiş hizmetini (NT SERVICE\SYSTEM) oluşturur. Bu hizmet, normalde Windows hizmetlerine verilmeyen bir ayrıcalık gerektirir.
Hizmet ayarlarını yapılandırın
Yukarıda “Kullanıcı haklarını yapılandır” bölümünde listelenen StoreFront Windows hizmetleri, AĞ SERVİSİ kimliği olarak oturum açmak üzere yapılandırılmıştır; bu yapılandırmayı değiştirmeyin. Citrix StoreFront Protocol Transition hizmeti, SYSTEM olarak oturum açar; bu yapılandırmayı değiştirmeyin.
Grup üyeliklerini yapılandırın
Bir StoreFront sunucu grubu yapılandırdığınızda, Yöneticiler güvenlik grubuna aşağıdaki hizmetler eklenir:
Citrix Configuration Replication (NT SERVICE\CitrixConfigurationReplication)
Citrix Cluster Join (NT SERVICE\CitrixClusterService) . Bu hizmet yalnızca bir grubun parçası olan sunucularda görülür ve yalnızca katılma devam ederken çalışır.
Bu grup üyelikleri, StoreFront'un doğru şekilde çalışması için gereklidir:
Sertifikalar oluşturun, dışa aktarın, içe aktarın ve silin ve bunlara erişim izinleri ayarlayın
Windows kayıt defterini okuyun ve yazın
Genel Derleme Önbelleğinde (GAC) Microsoft .NET Framework derlemeleri ekleme ve kaldırma
Program Files\Citrix\ < StoreFrontLocation > klasörüne erişin
IIS uygulama havuzu kimliklerini ve IIS web uygulamalarını ekleyin, değiştirin ve kaldırın
Yerel güvenlik grupları ve güvenlik duvarı kuralları ekleyin, değiştirin ve kaldırın
Windows hizmetlerini ve PowerShell ek bileşenlerini ekleyin ve kaldırın
Microsoft Windows Communication Framework (WCF) uç noktalarını kaydettirin
StoreFront güncellemelerinde, bu işlem listesi haber verilmeksizin değiştirilebilir.
StoreFront kurulumu ayrıca aşağıdaki yerel güvenlik gruplarını oluşturur:
CitrixClusterMembers
CitrixCWServiceReadUsers
CitrixCWServiceWriteUsers
CitrixDelegatedAuthenticatorUsers
CitrixDelegatedDirectoryClaimFactoryUsers
CitrixPNRSUsers
CitrixStoreFrontPTServiceUsers
CitrixSubscriptionServerUsers
CitrixSubscriptionsStoreServiceUsers
CitrixSubscriptionsSyncUsers
StoreFront, bu güvenlik gruplarının üyeliğini sürdürür. StoreFront içinde erişim denetimi için kullanılırlar ve dosya ve klasörler gibi Windows kaynaklarına uygulanmazlar. Bu grup üyeliklerini değiştirmeyin.
Certificates in StoreFront
Sunucu sertifikaları
Sunucu sertifikaları, StoreFront'ta makine tanımlaması ve Aktarım Katmanı Güvenliği (TLS) aktarım güvenliği için kullanılır. ICA dosya imzalamayı etkinleştirmeye karar verirseniz StoreFront, ICA dosyalarını dijital olarak imzalamak için sertifikaları da kullanabilir.
Bir cihaza ilk kez Citrix Workspace uygulamasını yükleyen kullanıcılar için e-posta tabanlı hesap keşfini etkinleştirmek için StoreFront sunucusuna geçerli bir sunucu sertifikası yüklemeniz gerekir. Kök sertifikanın tam zinciri de geçerli olmalıdır. En iyi kullanıcı deneyimi için, DiscoverReceiver.domain'in Konu veya Konu Alternatif Adı girişi olan bir sertifika yükleyin ., burada etki alanı, kullanıcılarınızın e-posta hesaplarını içeren Microsoft Active Directory etki alanıdır. Kullanıcılarınızın e-posta hesaplarını içeren etki alanı için bir joker karakter sertifikası kullanabilseniz de, öncelikle bu tür sertifikaların dağıtımına kurumsal güvenlik politikanız tarafından izin verildiğinden emin olmalısınız. Etki alanı için kullanıcılarınızın e-posta hesaplarını içeren diğer sertifikalar da kullanılabilir, ancak Citrix Workspace uygulaması StoreFront sunucusuna ilk kez bağlandığında kullanıcılar bir sertifika uyarısı iletişim kutusu göreceklerdir. E-posta tabanlı hesap bulma, diğer sertifika kimlikleriyle kullanılamaz. Kullanıcılarınız, mağaza URL'lerini doğrudan Citrix Workspace uygulamasına girerek hesaplarını yapılandırıyorsa ve e-posta tabanlı hesap keşfini kullanmıyorsa, StoreFront sunucusundaki sertifikanın yalnızca o sunucu için geçerli olması ve kök sertifikaya yönelik geçerli bir zinciri olması gerekir.
Token management certificates
Kimlik doğrulama hizmetleri ve depolarının her biri, belirteç yönetimi için sertifika gerektirir. StoreFront, bir kimlik doğrulama hizmeti veya deposu oluşturulduğunda kendinden imzalı bir sertifika oluşturur. StoreFront tarafından oluşturulan kendinden imzalı sertifikalar başka herhangi bir amaçla kullanılmamalıdır.
Citrix Delivery Services certificates
StoreFront, özel bir Windows sertifika deposunda (Citrix Teslim Hizmetleri) bir dizi sertifikaya sahiptir. Citrix Configuration Replication hizmeti, Citrix Credential Wallet hizmeti ve Citrix Subscriptions Store hizmeti bu sertifikaları kullanır. Bir kümedeki her StoreFront sunucusunda bu sertifikaların bir kopyası bulunur. Bu hizmetler, güvenli iletişim için TLS'ye güvenmez ve bu sertifikalar, TLS sunucu sertifikaları olarak kullanılmaz. Bu sertifikalar, bir StoreFront deposu oluşturulduğunda veya StoreFront kurulduğunda oluşturulur. Bu Windows sertifika deposunun içeriğini değiştirmeyin.
Code signing certificates
StoreFront, < InstallDirectory >\Scripts klasöründe bir dizi PowerShell komut dosyası (.ps1) içerir . Varsayılan StoreFront yüklemesi bu komut dosyalarını kullanmaz. Belirli ve sık görülmeyen görevler için yapılandırma adımlarını basitleştirirler. Bu komut dosyaları imzalanarak StoreFront'un PowerShell yürütme ilkesini desteklemesine izin verilir. AllSigned politikasını öneririz . ( Sınırlı ilke, PowerShell komut dosyalarının yürütülmesini engellediğinden desteklenmez.) StoreFront, PowerShell yürütme ilkesini değiştirmez.
StoreFront, Güvenilir Yayımcılar deposuna bir kod imzalama sertifikası yüklemese de, Windows kod imzalama sertifikasını oraya otomatik olarak ekleyebilir. Bu, PowerShell betiği Her zaman çalıştır seçeneğiyle yürütüldüğünde gerçekleşir . ( Hiçbir zaman çalıştırma seçeneğini belirlerseniz, sertifika Güvenilmeyen Sertifikalar deposuna eklenir ve StoreFront PowerShell komut dosyaları yürütülmez.) Kod imzalama sertifikası Güvenilir Yayımcılar deposuna eklendikten sonra, süre sonu artık Windows tarafından kontrol edilmez. . StoreFront görevleri tamamlandıktan sonra bu sertifikayı Güvenilir Yayıncılar deposundan kaldırabilirsiniz.
StoreFront iletişimleri
Bir üretim ortamında Citrix, StoreFront ile sunucularınız arasında veri geçişini güvence altına almak için İnternet Protokolü güvenliğini (IPsec) veya HTTPS protokollerini kullanmanızı önerir. IPsec, veri bütünlüğü ve yeniden oynatma koruması ile kimliği doğrulanmış ve şifreli iletişim sağlayan İnternet Protokolü'nün bir dizi standart uzantısıdır. IPsec bir ağ katmanı protokol seti olduğundan, daha yüksek seviyeli protokoller onu değiştirmeden kullanabilir. HTTPS, güçlü veri şifrelemesi sağlamak için Güvenli Yuva Katmanı (SSL) ve Aktarım Katmanı Güvenliği (TLS) protokollerini kullanır.
SSL Geçişi, StoreFront ve Citrix Virtual Apps sunucuları arasındaki veri trafiğini güvence altına almak için kullanılabilir. SSL Geçişi, ana bilgisayar kimlik doğrulaması ve veri şifrelemesi gerçekleştiren Citrix Virtual Apps'ın varsayılan bir bileşenidir.
Citrix, StoreFront'u barındıran Web Sunucusunda TLS 1.0 ve 1.1 desteğini devre dışı bırakmanızı önerir. Bunu, TLS 1.0 ve TLS 1.1 gibi eski protokolleri devre dışı bırakmak için StoreFront sunucusunda gerekli kayıt defteri ayarlarını oluşturan grup ilkesi nesneleri aracılığıyla uygulamalısınız. Ayrıca Microsoft TLS/SSL Ayarları referans konusuna bakın.
Citrix, StoreFront ile kullanıcıların cihazları arasındaki iletişimin Citrix Gateway ve HTTPS kullanılarak güvence altına alınmasını önerir. StoreFront, HTTPS'yi kullanmak için, kimlik doğrulama hizmetini ve ilişkili mağazaları barındıran Microsoft Internet Information Services (IIS) örneğinin HTTPS için yapılandırılmasını gerektirir. Uygun IIS yapılandırmasının yokluğunda StoreFront, iletişim için HTTP kullanır. Citrix, bir üretim ortamında StoreFront'a güvenli olmayan kullanıcı bağlantılarını etkinleştirmemenizi şiddetle tavsiye eder.
StoreFront güvenlik ayrımı
Herhangi bir web uygulamasını StoreFront ile aynı web etki alanında (etki alanı adı ve bağlantı noktası) dağıtırsanız, bu web uygulamalarındaki güvenlik riskleri StoreFront dağıtımınızın güvenliğini potansiyel olarak azaltabilir. Daha yüksek derecede bir güvenlik ayrımının gerekli olduğu durumlarda, Citrix StoreFront'u ayrı bir web etki alanında dağıtmanızı önerir.
Storefront aracılığıyla SaaS ve web uygulamaları sunma
SaaS ve web uygulamalarınızı StoreFront mağazanız üzerinden güvenli bir şekilde kullanıcılara ulaştırabilirsiniz. Citrix Cloud ve Access Control Sync for StoreFront yardımcı programı ile, kullanıcılarınızı ve ağınızı kötü amaçlı yazılımlardan ve veri sızıntılarından korumak için bu uygulamalar için gelişmiş güvenlik ve web filtreleme ilkeleri kullanabilirsiniz. Kullanıcılar, Citrix Cloud'da yapılandırdığınız SaaS ve Web uygulamalarını başlatmak için StoreFront mağazasına her zamanki gibi erişir. Daha fazla bilgi için StoreFront'ta SaaS ve Web uygulamaları için erişim kontrolüne bakın .
ICA dosya imzalama
StoreFront, Citrix Workspace uygulamasının bu özelliği destekleyen sürümlerinin dosyanın güvenilir bir kaynaktan geldiğini doğrulayabilmesi için sunucuda belirtilen bir sertifika kullanarak ICA dosyalarını dijital olarak imzalama seçeneği sunar. ICA dosyaları, SHA-1 ve SHA-256 dahil olmak üzere StoreFront sunucusunda çalışan işletim sistemi tarafından desteklenen herhangi bir karma algoritma kullanılarak imzalanabilir. Daha fazla bilgi için bkz . ICA dosya imzalamayı etkinleştirme .
Kullanıcı şifresini değiştir
Active Directory etki alanı kimlik bilgileriyle oturum açan Web sitesi kullanıcılarının parolalarını herhangi bir zamanda veya yalnızca süreleri dolduğunda değiştirmeleri için Receiver'ı etkinleştirebilirsiniz. Ancak bu, kimlik doğrulama hizmetini kullanan mağazalardan herhangi birine erişebilen herkesin hassas güvenlik işlevlerine maruz kalmasına neden olur. Kuruluşunuzun kullanıcı parolası değiştirme işlevlerini yalnızca dahili kullanım için ayıran bir güvenlik politikası varsa, mağazalardan hiçbirine kurumsal ağınızın dışından erişilemediğinden emin olun. Kimlik doğrulama hizmetini oluşturduğunuzda, varsayılan yapılandırma, Web sitesi kullanıcılarının, kullanım süreleri dolmuş olsalar bile parolalarını değiştirmelerini engeller. Daha fazla bilgi için bkz . Kullanıcı deneyimini optimize etme .
StoreFront sunucu temel URL'sini HTTP'den HTTPS'ye değiştirin
StoreFront ile kullanıcıların cihazları arasındaki iletişimi güvenli hale getirmek üzere HTTPS'yi kullanmak için, HTTPS için Microsoft Internet Information Services'ı (IIS) yapılandırmanız gerekir. Önce bir SSL sertifikası yüklemeden ve yapılandırmadan Citrix StoreFront'u kurar ve yapılandırırsanız, StoreFront iletişim için HTTP kullanır.
Daha sonra bir SSL sertifikası kurar ve yapılandırırsanız, StoreFront ve hizmetlerinin HTTPS bağlantılarını kullanmasını sağlamak için aşağıdaki prosedürü kullanın.
Ek güvenlik bilgiler
Kuruluşunuz, yasal nedenlerle StoreFront'un güvenlik taramalarını yapmak isteyebilir. Önceki yapılandırma seçenekleri, güvenlik taraması raporlarındaki bazı bulguların ortadan kaldırılmasına yardımcı olabilir.
Güvenlik tarayıcısı ile StoreFront arasında bir ağ geçidi varsa, belirli bulgular StoreFront'un kendisinden ziyade ağ geçidiyle ilgili olabilir. Güvenlik taraması raporları genellikle bu bulguları ayırt etmez (örneğin, TLS yapılandırması). Bu nedenle güvenlik tarama raporlarındaki teknik açıklamalar yanıltıcı olabilir.
Güvenlik taraması raporlarını yorumlarken aşağıdakilere dikkat edin:
StoreFront'taki HTML sayfaları, tıklama koruması içermeyebilir (İçerik Güvenlik Politikası veya X-Frame-Options yanıt başlıklarına göre). Ancak, bu HTML sayfaları yalnızca statik içerikten oluşur ve bu nedenle tıklama saldırıları konuyla ilgili değildir.
Microsoft IIS sürümü ve ASP.NET kullanımı HTTP üstbilgilerinde görünür. Ancak, bu bilgi StoreFront'un varlığından zaten bellidir çünkü bu teknolojilere dayanır.
StoreFront, uygulamaları ve masaüstlerini başlatırken, siteler arası istek sahteciliğine (CSRF) karşı koruma sağlamak için bir belirteç kullanır. Bu belirteç, Güvenli veya HttpOnly olarak işaretlenmeden yanıt olarak bir tanımlama bilgisi olarak gönderilir. Daha sonra bir istekte gönderildiğinde, belirteç bir URL'nin sorgu dizesine dahil edilir. Ancak StoreFront, HTTP isteklerinin kimliğini doğrulamak için bu mekanizmaya güvenmez.
StoreFront, açık kaynak bileşeni jQuery'yi kullanır. Kullanılan bir sürüm jQuery 1.3.2'dir. jQuery açık kaynak projesine göre, belirli bir etki alanları arası istek biçimindeki olası güvenlik açıklarını azaltmak için jQuery 1.12.0'da bir değişiklik yapıldı. Bu değişiklik, jQuery'nin kendisindeki bir güvenlik açığının hafifletilmesi değildi; uygulama mantığı tarafından olası kötüye kullanımın azaltılmasıydı. NetScaler ve StoreFront tarafından paylaşılan Web için Alıcı özelliğindeki ilgili Citrix uygulama mantığı, bu belirli etki alanları arası istek biçimini kullanmaz, bu güvenlik açığından etkilenmez ve bu azaltmadan yararlanmadı. Bu azaltma daha sonra uyumluluk nedenleriyle jQuery 1.12.3'te kaldırıldı. Citrix uygulama mantığı bu azaltmadan yararlanmadığından, bu kaldırma işleminin jQuery 1.12.4 kullanan NetScaler ve StoreFront sürümlerinde önemli bir etkisi yoktur.
Commentaires