在Citrix虚拟应用程序和桌面7 2109
在所有产品中
产品文档
在Citrix虚拟应用程序和桌面7 2109
在所有产品中
Citrix虚拟应用和桌面
服务 当前版本 2106 2103 2012 2009 2006 2003 1912年LTSR 1912 1909
看到PDF

颂歌desécuritéetmeilleures pratiques

2021年9月7日
德的贡献:
C G

标记:

Votre企业peut être tenue de satisfaire à某些规范sécurité pour replir ses义务réglementaires。这个文件没有这个特点,它是sécurité évoluent连续性的规范。请您访问我们的主页或者发送给我们电子邮件,垂询当前的信息和产品//m.giftsix.com/security/

Bonnes pratiques en matière de sécurité

Maintenez à jour toutes les machines de votre environment and ec des corrects in sécurité。我们的优势在于我们可以利用客户légers comme terminaux,你可以简化énormément la tâche。

Protégez toutes les machines de votre environneavec un logiciel antivirus。

设想用一个逻辑反计划恶意spécifique à la plate-forme。

Protégez toutes les les votre environnees and see -feu périmètre, y compcompes aux limites des enclave。

如果你在这个版本中迁移了一个经典的环境,那么你可以être nécessaire重新定位它,并在périmètre存在的地方建立一个新的环境。假设,举个例子,qu 'un parre -feu de périmètre soit positionné在données的基础上提供客户和服务,在données的中心。在这个版本中,我们可以访问périmètre doit être positionné de façon告诉我们虚拟机构和机器使用人员在访问côté du pare-feu,服务器在données和交付控制中心在données de l 'autre côté。设想在conséquent de créer一个飞地,在données的中心,在données和控制器的基础上的服务器。我想在机器使用者和虚拟局之间建立一个保护。

所有的机器都要对环境造成损害。当你安装组件原理和VDA(虚拟交付代理)时,你可以选择组件所需的端口fonctionnalité通信和自动服务Windows为détecté (même如果组件不为activé)。您可以到我们的港口订购。如果您使用另一种形式,您就可以配置另一种形式。

标记:

Les ports TCP 1494 et 2598 sont utilisés par Les协议ICA et CGP。这些孩子很容易受到être的影响,因为他们可以在données puissent y accéder的中心使用这些孩子。Citrix,你们建议不要使用这些端口à d’autres fins pour éviter所有淫秽的管理接口。端口1494和2598发送到官方地址enregistrés auprès de l 'IANA(互联网分配号码权威,请看吧http://www.iana.org/).

Toutes les communications réseau doivent être correcement sécurisées et cryptées pour répondre à votre stratégie de sécurité。您的邮箱:sécuriser toutes les communications entre vos ordinateurs Microsoft Windows avec IPSec;向您报告à la documentation de votre système d 'exploitation pour plus d ' information à ce sujet。此外,les communications entre les machines utilisateurs et les bureaux sont sécurisées via Citrix SecureICA, configuré par défaut sur un cryptage 128位。您可以向我们提供安全配置文件créez您可以向我们提供文件à您可以向我们提供文件à配置。

标记:

Citrix SecureICA协议是ICA/HDX协议的一部分,但它不是sécurité réseau协议符合TLS(传输层安全)的规范。您可以访问également sécuriser les communications réseau entre les machines utilisateur and les posts de工作à l 'aide de TLS。倒配置TLS,协商传输层安全(TLS)

Appliquez les建议Windows pour la gestion de comptes。Ne créez pas de compte sur un modèle ou une image avant sa duplication par Machine Creation Services ou Provisioning Services。不可以在tâches à,也可以在privilégiés stockés。Ne créez pas manuellement de comptes de machines Active Directory partagés。我们的建议是:éviter对机器的攻击,注意连接件的使用和使用方法à des images partagées MCS et PVS appartenant à d’autres utilisateurs。

安全炸药des的应用程序

Pour empêcher les actions malveillantes d’utilisateurs非管理员,我们建议配置les règles AppLocker Windows Pour les programs d’installation, les applications, les exécutables et les scripts sur l 'hôte VDA et le client Windows local。

Gérer les privilèges utilisateur

我们可以使用您的独特权利nécessaires。Les privilèges Microsoft Windows sont toujours appliqués aux bureaux de la manière habituelle:您可以配置Les privilèges à l 'aide de 'attribution of droits utilisateur and l ' apparutions aux groups via la stratégie de group。这个版本的优势是可能的,我们可以在à一个局中使用行政权力,而不允许我们在contrôle这个局中使用行政权力héberge这个局。

我们注意到在privilèges的局的规划中:

  • Par défaut,该机构非privilégiés se connectent à联合国机构,该机构为système exécutant,该机构为le celui de leur propremachine utilisateur。请为我们提供明智的评论:作者:les utilisateurs à voir leur heure locale: lorsqu 'ils utilisent des bureaux, veuillez consulter l 'article Gérer les groupes de mise à disposition。
  • 这个局的行政长官把钱全部用在第几元上。这是一个局regroupé和另一个局dédié,我们在这个局的所有效用者,包括未来的效用者,我们有信心。我们的使用者可以通过être意识到这种类型的情况可以通过représenter一种下流的潜能来为sécurité de leurs données。这张布铺的贴花是dédiés,我不能用它;Celui-ci ne doit être l ' administreur d 'aucun autre bureau。
  • 我是该局的行政人员généralement该局的逻辑安装人员,你是潜在恶意的逻辑人员。我也在possibilité de surveillance或者contrôler le traffic out réseau connecté au bureau。

Gérerles droits d'ouverture de session

会议的权利要求使用和协调的权利。À l 'instar des privilèges Microsoft Windows,会议权利appliqués aux bureaux de la manière habituelle:您可以通过stratégie de group配置会议权利à使用权和设备权利的归属aide通过stratégie de group。

Les所有权d·卢维杜尔de会话窗口是沿著:ouverture de会话语言环境,ouverture de会话通过莱斯服务局一个距离,ouverture de会话关于网格(acc cet(中央东部东京)电脑从网格),ouverture de会话en,如此更traitement par很多et ouverture de会话,服务。

所有的坐标都是独一无二的,所有的坐标都是独一无二的。会议所有权«Accéder à cet ordinateur à part du réseau»est obligation:

为您的使用,为您的独一无二的会议权利而不是您的。

Selon Microsoft, le droit d 'ouverture de session«Autoriser l 'ouverture de session par les services Bureau à distance»est accordé par défaut au groupe Utilisateurs du Bureau à distance (excepté sur les contrôleurs de domaine)。

stratégie de sécurité de votre organisation peut torut明文规定这个小组所以它是supprimé会议的权利。Considérez l’approche suivante:

  • Le Virtual Delivery Agent (VDA) de l’os多会话利用les Services Bureau à distance Microsoft。您可以配置局的用户组à距离和组约束,并通过stratégies组活动目录contrôler访问组。Référez-vous à la documentation Microsoft pour plus d ' information。
  • Citrix虚拟应用程序和桌面的所有组成部分,由操作系统单会话的VDA组成,并由Bureau à组的Utilisateurs组成,这不是必需的。Étant donné我们的部门使用人员à distance ne nécessite pas le droit d 'ouverture de session«Autoriser l 'ouverture de travers des services Bureau à distance»pour成分,您可以提供供应商。其他环节:
    • 如果您通过les服务局à distance管理ordinateurs,您可以向les administrateurs的déjà成员保证。
    • 如果您没有通过les服务局à距离管理坐标,您可以通过désactiver les服务局à距离管理坐标。

很好,所以有可能我们的使用权和小组的使用权是相同的,在服务局的使用权是à距离,使用权的禁止是généralement,不是recommandée。Référez-vous à la documentation Microsoft pour plus d ' information。

Configurer Les Droits des UnitiSateurs

L 'installation de Delivery Controller crée les services Windows suivants:

  • CitrixAD标识服务(NT Service \CitrixADIdentityService Microsoft): gère les comptes d 'ordinateurs Active Directory pour les machines virtuelles。
  • CitrixAnalytics (NT SERVICE\CitrixAnalytics):根据网站的使用和配置收集信息,如果收集été approuvée par l ' administrator网站。电子产品信息发送到envoyées à Citrix pour aider à améliorer le product。
  • Citrix App Library(NT服务\ CitrixApplibrary):Prend En Chartion La Gestion et Le Provisioning D'Appdisks,L'IntégrationD'Appdna等La Gestion d'app-v。
  • CitrixBrokerService (NT Service \CitrixBrokerService): sélectionne les applications ou bureaux virtuels qui sont disponibles pour les utilisateurs。
  • Citrix配置日志服务(NT Service \CitrixConfigurationLogging):注册所有配置修改和其他修改apportées par les administrateurs du site。
  • CitrixConfigurationService (NT Service \CitrixConfigurationService): référentiel à l ' échelle du site pour la Configuration partagée。
  • Citrix授权管理服务(NT Service \CitrixDelegatedAdmin): gère les autorisations accordées aux administrateurs。
  • Citrix环境测试服务(NT Service \CitrixEnvTest): gère les auto-tests des autres services Delivery Controller。
  • Citrix主机服务(NT Service \CitrixHostService):存储基础设施管理程序utilisées dans un déploiement Citrix虚拟应用程序和Citrix虚拟桌面,等提供également des fonctionnalités utilisées par la console pour énumérer les resources dans un pool d ' hypervisor。
  • Citrix机器创建服务(NT Service \CitrixMachineCreationService): orchestre la création de machines virtuelles de bureau。
  • Citrix Monitor Service(NT服务\ CitrixMonitor):Collece desMétriquesppitcitrix虚拟应用程序ou citrix虚拟桌面,Stocke lesdonnéesd'turitique,et fournit Une接口DeRequêtpplaRésolutionsdesprulèmeset les entils de报告。
  • Citrix店面服务(NT Service \CitrixStorefront):按照店面的要求收取费用。(这和店面无关)。
  • Citrix StoreFront Privileged Administrated Service(NT服务\ CitrixPrivilegedService):Prend En Chartion LesOpérationsd'MindationPrivilégiéedeTotherfront。(这和店面无关)。
  • Citrix配置同步服务(NT Service \CitrixConfigSyncService): propage les données de configuration depuis la base de données du site principal vers le cache d 'hôte local。
  • Citrix高可用性服务(NT Service \CitrixHighAvailabilityService): sélectionne应用程序或局virtuels qui sont ponibles pour les utilisateurs,或données站点的基础不允许使用。

L 'installation de Delivery Controller crée également les services Windows suivants。Ces services sont également créés lorsqu 'ils sont installés avec d 'autres components Citrix:

  • Citrix Diagnostic Facility COM Server (NT SERVICE\CdfSvc): prepreen charge la collection d ' information de Diagnostic destinées au support technology de Citrix。
  • 服务de telemetrie Citrix (NT服务\ CitrixTelemetryService):问题虫des信息de诊断des鳍d分析Citrix,德这样什么时候de分析等les recommandations puissent可能咨询par les administrateurs倒diagnostiquer问题用的网站。

安装交付控制器crée également服务Windows suivant。这不是我们想要的。是activé, désactivez-le。

  • Citrix远程代理提供商(NT SERVICE\XaXdCloudProxy)

L 'installation de Delivery Controller crée également les services Windows suivants。这些都不是utilisés,而是être activés。Ne les désactivez pas。

  • CitrixOrchestration Service (NT Service \CitrixOrchestration)
  • 思捷信托服务(新界服务\思捷信托)

À l’exception du service Citrix Storefront Privileged Administration Service, le droit d’ouverture de session Ouvrir une session en tant que service et les privilèges Ajuster les quotas de mémoire pour un processus, Générer des audits de sécurité et Remplacer un jeton de niveau processus sont accordés à ces services. Vous n’avez pas besoin de changer ces droits d’utilisateur. Ces privilèges ne sont pas utilisés par le Delivery Controller et sont automatiquement désactivés.

配置服务器paramètres du service

À l 'exception du service Citrix StoreFront privilege Administration service et du service de télémétrie Citrix, les services Windows Delivery Controller répertoriés cis -dessus dans la sectionConfigurer Les Droits des UnitiSateurs发送configurés pour ouvrir une session sous l 'identité NETWORK SERVICE。不能修改服务内容。

服务Citrix StoreFront特权管理服务为configuré pour ouvrir une session sous l 'identité Système local (NT AUTHORITY\SYSTEM)。这是交付控制器opérations和店面的要求,它们不能正常地提供服务(它们由微软的création站点组成)。不能修改paramètres的服务。

Le Service de télémétrie Citrix est configuré pour ouvrir une session sous sa propre identité spécifique au Service。

Vous pouvez désactiver le Service de télémétrie Citrix。其他服务包括déjà désactivés, désactivez其他服务包括Windows交付控制器。

Configurer Lesparamètresde注册

它不包括nécessaire d ' active la création de fichiers和档案格式为8.3的système de fichiers du VDA。La clé de registerNtfsDisable8dot3NameCreationPeut être configurée pour désactiver la création文件命名和档案格式8.3。您可以également配置您的行为à指挥您的行动Fsutil.exe行为设置

含义在sécurité du scénario de déploiement

如果您是环境使用者,那么您是作曲者,那么您是机器使用者,而不是gérées par您是企业,那么您是机器使用者,gérées et administrées par您是企业。Les considérations de sécurité pour ces two environment sont généralement différentes。

机器utilisateur基尔

Les machines utilisateur gérées font l 'objet d 'un contrôle administratif;请把您的信发给我们contrôle,把您的信寄给我们à。您可以为您的设备配置和使用指南;您可以到également fournir des terminaux sur lesquels UN seul bureau s 'exécute en mode plein écran seuement。Suivez les bonnes pratiques générales en matière de sécurité décrites cis -dessous pour toutes les machines utilisateur gérées。这个版本présente,对于一个机器使用者来说,最小逻辑的优势。

Une machine utilisateur gérée peut être configurée pour être utilisée en mode plein écran seuement ou en mode fenêtre。

  • 模式plein écran unique: les utilisateurs ouvrent une session sur celle-ci à partir de l ' écran d ' ouverture de session Windows habituel。Les mêmes information d 'identification de l ' utiisateur sonors utilisées pour ouvrir automatiquement une session sur这个版本。
  • Les utilisateurs voient leur bureau dans une fenêtre: Les utilisateurs doivent d 'abord ouvrir an session on the machine utilisateur,您可以通过网站Web fourni和le producec版本。

机器使用非gérées

我们的机器不能使用gérées和administrées,我们的组织不能使用être considérées,我们的机器不能使用contrôle管理。例如,您可以使用我们的产品à se采购和à配置我们的产品,但您也可以使用我们的产品générales en matière de sécurité décrites ci-dessus。这个版本是présente l ' avitage de mettre,完整版是sécurité, des bureaux à机器配置不是gérées。这些机器doivent out même disposer d 'une antivirus de capable d 'arrêter les enregistreurs de frappes et les attack similaires axées sur la saisie。

Considérations sur le stockage de données

Lorsque Vous Utilisesz Cette Version,Vous PouvezEmpêcherLESUtilisateurs de Stocker DesDonnéessur Les Machines unstisateur qui Sous LeurContrôle身高。Toutefois,Vous Devez Encore Engisager LesConjeréquencesde l'NeRegistrement,Par Les Utilisateurs,DeDonnéesSurLeurs Suceux。entegisters desdonnéessur les sufex n'est pas une bonne pratique;Celles-Ci DoiventêtreStockées苏德斯·德菲尔德(Des Fashes deDonnées)oudonnéesoou danyresréférentielso elles feront l'objet d'Une ProtectionAppropriée。

Votre environment peut être composé de différents types de bureaux, tel que des bureaux regroupés ou dédiés。Les utilisateurs ne doivent jamais stocker de données sur des bureaux partagés, tel que Les bureaux regroupés。S 'ils stockent des données sur des bureaux dédiés, celles-ci doivent être supprimées si les bureaux sonsuite mis à la disposition d 'autres utilisateurs。

环境à版本混合

Les环境à版本混合sont inévitables lors de certainly mises à niveau。Suivez les recommendations et réduisez la durée pendant laquelle les composants Citrix de versions différentes共存。Dans les environneà版本混合,la stratégie de sécurité,例如,peut ne pas être appliquée de façon uniform。

标记:

该行为是caractéristique d 'autres产品逻辑;使用一个版本antérieure d 'Active Directory n 'applique partiellement stratégie de组和另一个版本ultérieures de Windows。

Le scénario suivant décrit un problème de sécurité qui peut se producire dans un environment Citrix à versions mixtes spécifique。Lorsque Citrix Receiver 1.7 est utilisé pour se connector à un bureau virtuel exécutant le VDA dans XenApp et XenDesktop 7.6 Feature Pack 2, le paramètre de stratégie授权人应在局和客户之间转让文件est activée dans le site, mais ne peut pas être désactivée par un Delivery Controller exécutant XenApp et XenDesktop 7.1。我不可以reconnaît pas le paramètre de stratégie,在ultérieure版本的产品中是不可以的。Ce paramètre de stratégie permet aux utilisateurs de télécharger des fichiers sur leur bureau virtuel,因此le problème de sécurité。Pour contourner ce problème, mettez à niveau le Delivery Controller ou une instance autonomous de Studio vers la version 7.6 Feature Pack 2, puis utilisez la stratégie de groupe Pour désactiver le paramètre de stratégie。Vous pouvez également utiliser la stratégie locale sur tous les bureaux virtuels concernés。

Considérations de sécurité远程PC接入

远程PC访问implémente les fonctionnalités de sécurité suivantes:

  • LaCarteàPuceEst奖奖。
  • 一个会议à距离se连接,办公室的监测人员écran黑色。
  • 远程PC访问再rige toutes les entrées de claviers et de souris vers la session à distance, sauf la组合CTRL+ALT+ ppr et les cartes à puce et les périphériques biométriques USB。
  • 这是一笔独一无二的费用。
  • Lorsqu'un Utilisateur A Ouvert Une Session DistanteConnectéeà联合国PC De Berau,Seul CET Utilisateur Patue RepreenreL'Changès本地Sur Le PC De局。POUPREVENDRE L'ACCONS LOMAL L'UTERISATEUR APPUIE SUR CTRL + ALT + SUPPR SUR LE PC Local et Ouvre Une Session Avec LesMêmes信息D'IditiedUtiliséesparla会话à距离。L'Utilisateur PatuementeRepredreL'Changès本地EnInseérantuneCareàpuceou en tirant parti de labiométrie,si votresystèmepossèdeune Intragration Fournisseur des信息D'IdiftsioneAppropriées。CE表演比较PARDéfautpeutêtreemperituépar l'激活de更加变换javide d'hillisateur Via des Objets deStratégiede groupe(gpo)ou en somefiant le注册。

标记:

思杰公司建议不要把精力放在privilèges和行政管理上。

约会的时候

Par défaut, Remote PC Access prepreen l ' assign automatique de plusieurs utilisateurs à un VDA。在XenDesktop 5.6 Feature Pack 1中,管理员可以修改使用脚本PowerShell RemotePCAccess.ps1。这个版本利用une entrée du registration pour autoriser ou interdire plusieurs attributions de PC远程自动,ce paramètre s 'applique à l 'intégralité du site。

注意:

Toute利用率不正确DeL'ÉditeurduregrentpénérerdedelbénérerdesprublèmesSérieux,普芬VousOvergeràRéinstallerLeSystèmeD'开发。Citrix Ne Patut GarantirlaPossibilitédeRésoudreLESPROBERSMESProcenant d'Une Mauvaise Upment del'Éditeurdu注册。Vous Pushingz L'EnsemblededsrisquesLiésàl'利用率del'éditeurdu注册。Veillezàfairefoce copie de Sauvegarde de Votre Registre Avant De Le Modifier。

Pour un restreindre les attributions automatiques Pour un utilisateur unique:

Sur chaque Controller du site, définissez la clé de registration suivante:

hky_local_machine \ software \ citrix | Desktopserver NOM:allowMultipleremotepcassigning类型:Reg_dwordDonnées:0 =Désactiverl'attemution de placieurs unservisateurs,1 = activer l'atticution de placieurs unservisateurs(Valeur pardéfaut)。

如果存在一个或多个属性可以使用,好吧-les à我将命令这个属性développement如果这个VDA可以使用être作为一个自动属性。

  • 欢迎大家使用我们的产品affectés à parr du da:美元的机器。| %{Remove-BrokerUser-Name $_ -Machine $machine . txt
  • 分布组的VDA上限:$机器|remove-brokermachine -desktopgroup $ desktopgroup

Redémarrez le PC de局体质。

认可的XML

Le paramètre d 'approbation XML s 'applique aux déploiements qui utilisent:

  • 店面在网站。
  • Une Technologie D'认证D'Abonné(Utilisateur)QuiNeécessitePasde Mots de Passe。CES Technologies Sont Par Exemple des Solutions de Tenert de Domaine,De Saml et de Veridium deCartesàpuce。

激活paramètre d’approval XML permet aux utilisateurs de s’authenticfier avec succès, puis de démarrer les applications。交付控制员批准信息识别envoyées par StoreFront。Activez ce paramètre unique lorsque vous avez sécurisé les communications entre votre Delivery Controller et StoreFront (à l 'aide de pare-feu, d 'IPsec or d 'autres推荐de sécurité)。

选项为désactivée par défaut。

Utilisez le kit SDK Citrix Virtual Apps and Desktops PowerShell pour vérifier, activer ou désactiver le paramètre d 'approbation XML。

  • Pour vérifier la valeur actuelle du paramètre d 'approbation XML, exécutezGet-BrokerSite我们来看看值TrustRequestsSentToTheXMLServicePort
  • Pour active l ' approve XML, exécutezset-brokersite -t​​rustrustssentsenttothexmlserviceport $ true
  • Pour désactiver l 'approbation XML, exécutezSet-BrokerSite -TrustRequestsSentToTheXmlServicePort假美元
颂歌desécuritéetmeilleures pratiques
2021年9月7日
德的贡献:
C G
2021年9月7日
德的贡献:
C G

在cet(中央东部东京)的文章

现场评论 | Confidentialité等提到了légales | 偏好de饼干 | 同意设置
©1999 -思杰系统有限公司。保留所有权利。