Implementación segura de Director
En este artículo se muestran las áreas que pueden afectar a la seguridad del sistema durante la implementación y la configuración de Director.
Comunicaciones de Director
En un entorno de producción, use los protocolos HTTPS para proteger la transferencia de los datos entre Director y los servidores. HTTPS usa el protocolo Transport Layer Security (TLS) para proporcionar un cifrado de datos avanzado.
Nota:
- Citrix recomienda encarecidamente que restrinja el acceso a la consola de Director dentro de la red de intranet.
- Citrix recomienda no habilitar conexiones a Director que no sean seguras en un entorno de producción.
- Use TLS 1.2 o una versión posterior. No use SSL o TLS antiguos.
Para proteger las comunicaciones entre los exploradores web de los usuarios y Director, consulte Habilitar TLS en Web Studio y Director
Para proteger las comunicaciones entre Director y los servidores de Citrix Virtual Apps and Desktops (para supervisión e informes), consulte Securing On-Premises Monitor OData API Access.
Para proteger las comunicaciones entre Director y Citrix ADC (para Citrix Insight), al Configurar el análisis de red, elija un tipo de conexión HTTPS.
Configurar Microsoft Internet Information Services (IIS)
Director puede configurarse con una configuración restringida de IIS.
Límites de reciclaje de los grupos de aplicaciones
Director usa un grupo de aplicaciones llamado Director. Puede establecer estos límites de reciclaje de los grupos de aplicaciones:
- Límite de memoria virtual: 4 294 967 295
- Límite de memoria privada: El tamaño de la memoria física del servidor de StoreFront
- Límite de solicitudes: 4 000 000 000
Extensiones de nombre de archivo
Durante la instalación, Director configura el filtrado de solicitudes para permitir únicamente las siguientes extensiones:
- .
- .aspx
- .css
- .eot
- .html
- .ico
- .js
- .png
- .svc
- .svg
- .gif
- .json
- .woff
- .woff2
- .ttf
Verbos HTTP
Durante la instalación, Director configura el filtrado de solicitudes para permitir únicamente los siguientes verbos:
- GET
- POST
- HEAD
Funciones de IIS
Director no requiere los siguientes componentes de IIS:
- Extensiones ISAPI
- Programas CGI
- Programas FastCGI
Puede quitar estos componentes.
Nivel de confianza de .NET
Director requiere que Nivel de confianza de .NET esté establecido en Confianza total. No establezca el nivel de confianza de .NET en ningún otro valor.
Configurar derechos de usuario
Cuando Director está instalado, a su grupo de aplicaciones se le concede lo siguiente:
- Derecho de Iniciar sesión como un servicio
- Privilegios Ajustar las cuotas de memoria para un proceso, Generar auditorías de seguridad y Reemplazar un símbolo (token) de nivel de proceso
Los derechos y privilegios mencionados representan el comportamiento normal de instalación cuando se crean los grupos de aplicaciones.
No es necesario que cambie estos derechos de usuario. Estos privilegios no se usan en Director y están inhabilitados automáticamente.
Separar la seguridad de Director
Puede implementar cualquier aplicación web en el mismo dominio web (nombre de dominio y puerto) que Director. Sin embargo, los riesgos de seguridad en esas aplicaciones web podrían reducir la seguridad de la implementación de Director. Cuando se necesita un mayor nivel de seguridad es necesario separarlos: Citrix recomienda implementar Director en un dominio web aparte.