安全 Director 部署
本文重点介绍在部署和配置 Director 时可能会影响系统安全的几个方面。
Director 通信
在生产环境中,使用 HTTPS 协议来确保在 Director 与您的服务器之间传输的数据的安全。 HTTPS 使用传输层安全性 (TLS) 协议提供强大的数据加密。
注意:
- Citrix 强烈建议您限制对内联网网络中的 Director 控制台的访问。
- Citrix 强烈建议您不要在生产环境中启用指向 Director 的不安全连接。
- 使用 TLS 1.2 或更高版本。 请勿使用旧版 TLS 或 SSL。
为了确保用户的 Web 浏览器与 Director 之间的通信安全,请参阅在 Web Studio 和 Director 上启用 TLS
要保护 Director 与 Citrix Virtual Apps and Desktops 服务器之间的通信安全(以实现监视和报告功能),请参阅 Securing On-Premises Monitor OData API Access(保护本地 Monitor OData API 访问安全)。
要保护 Director 与 Citrix ADC 之间的通信安全(针对 Citrix Insight),请在配置网络分析时选择 HTTPS 的连接类型。
可以配置具有受限 IIS 配置的 Director。
应用程序池回收限制
Director 使用名为 Director 的应用程序池。 可以对应用程序池设置以下应用程序池回收限制:
- Virtual Memory Limit(虚拟内存限制):4294967295
- Private Memory Limit(专用内存限制):StoreFront 服务器的物理内存大小
- Request Limit(请求限制):4000000000
文件扩展名
在安装过程中,Director 会配置请求筛选以仅允许使用以下扩展程序:
- .
- .aspx
- .css
- .eot
- .html
- .ico
- .js
- .png
- .svc
- .svg
- .gif
- .json
- .woff
- .woff2
- .ttf
HTTP 动词
在安装过程中,Director 会配置请求筛选以仅允许使用以下动词:
IIS 功能
Director 不需要以下 IIS 组件:
- ISAPI 扩展
- CGI 程序
- FastCGI 程序
可以删除这些组件。
.NET 信任级别
Director 要求将 .NET Trust Level(.NET 信任级别)设置为 Full Trust(完全信任)。 请勿将 .NET 信任级别设置为任何其他值。
配置用户权限
安装 Director 后,将向其应用程序池授予以下权限:
-
作为服务登录登录权限
-
为进程调整内存配额、生成安全审核和替换一个进程级令牌权限
所提到的权限和特权是创建应用程序池时的正常安装行为。
您不需要更改这些用户权限。 这些权限不会被 Director 使用,并且自动禁用。
Director 安全隔离
可以在与 Director 相同的 Web 域(域名和端口)中部署任何 Web 应用程序。 但是,这些 Web 应用程序中的任何安全风险都可能会降低 Director 部署的安全性。 如果环境中需要更大程度的安全隔离,Citrix 建议您在单独的 Web 域中部署 Director。
本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译,仅供您参考。Cloud Software Group 无法控制机器翻译的内容,这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性,或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容,我们均不作任何明示或暗示的保证,并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议(产品或服务与已进行机器翻译的任何文档保持一致)下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题,Cloud Software Group 不承担任何责任。
DIESER DIENST KANN ÜBERSETZUNGEN ENTHALTEN, DIE VON GOOGLE BEREITGESTELLT WERDEN. GOOGLE LEHNT JEDE AUSDRÜCKLICHE ODER STILLSCHWEIGENDE GEWÄHRLEISTUNG IN BEZUG AUF DIE ÜBERSETZUNGEN AB, EINSCHLIESSLICH JEGLICHER GEWÄHRLEISTUNG DER GENAUIGKEIT, ZUVERLÄSSIGKEIT UND JEGLICHER STILLSCHWEIGENDEN GEWÄHRLEISTUNG DER MARKTGÄNGIGKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK UND DER NICHTVERLETZUNG VON RECHTEN DRITTER.
CE SERVICE PEUT CONTENIR DES TRADUCTIONS FOURNIES PAR GOOGLE. GOOGLE EXCLUT TOUTE GARANTIE RELATIVE AUX TRADUCTIONS, EXPRESSE OU IMPLICITE, Y COMPRIS TOUTE GARANTIE D'EXACTITUDE, DE FIABILITÉ ET TOUTE GARANTIE IMPLICITE DE QUALITÉ MARCHANDE, D'ADÉQUATION À UN USAGE PARTICULIER ET D'ABSENCE DE CONTREFAÇON.
ESTE SERVICIO PUEDE CONTENER TRADUCCIONES CON TECNOLOGÍA DE GOOGLE. GOOGLE RENUNCIA A TODAS LAS GARANTÍAS RELACIONADAS CON LAS TRADUCCIONES, TANTO IMPLÍCITAS COMO EXPLÍCITAS, INCLUIDAS LAS GARANTÍAS DE EXACTITUD, FIABILIDAD Y OTRAS GARANTÍAS IMPLÍCITAS DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN EN PARTICULAR Y AUSENCIA DE INFRACCIÓN DE DERECHOS.
本服务可能包含由 Google 提供技术支持的翻译。Google 对这些翻译内容不做任何明示或暗示的保证,包括对准确性、可靠性的任何保证以及对适销性、特定用途的适用性和非侵权性的任何暗示保证。
このサービスには、Google が提供する翻訳が含まれている可能性があります。Google は翻訳について、明示的か黙示的かを問わず、精度と信頼性に関するあらゆる保証、および商品性、特定目的への適合性、第三者の権利を侵害しないことに関するあらゆる黙示的保証を含め、一切保証しません。
ESTE SERVIÇO PODE CONTER TRADUÇÕES FORNECIDAS PELO GOOGLE. O GOOGLE SE EXIME DE TODAS AS GARANTIAS RELACIONADAS COM AS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA DE PRECISÃO, CONFIABILIDADE E QUALQUER GARANTIA IMPLÍCITA DE COMERCIALIZAÇÃO, ADEQUAÇÃO A UM PROPÓSITO ESPECÍFICO E NÃO INFRAÇÃO.