导演展開環境の保護

主任この記事ではの展開および構成時に使用すべき,システムのセキュリティを保護するための機能について説明します。

微软インターネットインフォメーションサービス(IIS)の構成

制限されたIIS構成で主任を構成できます。これはデフォルトのIIS構成ではありません。

ファイル拡張子

一覧にないファイル拡張子を禁止することができます。

导演は要求のフィルタリングに,次のファイル拡張子が必要です。

• . aspx
• . css
• . html
• . js
• . png
• .svc
• .woff
• .woff2
• gif
• .eot
• .
• .ttf
• . json
• (リダイレクト用)

导演は要求のフィルタリングに,次のHTTP動詞が必要です。次の一覧にない動詞を禁止できます。

• 得到
• 帖子
• 头

导演は次を必要としません。

• ISAPIフィルター
• ISAPI拡張
• CGIプログラム
• FastCGIプログラム

重要：

• 导演には完全な信頼が必要です。グローバル。net信頼レベルを(高)またはそれ以下に設定しないでください。
• 导演は個別のアプリケーションプールを保持します。导演の設定を変更するには、Directorサイトを選択し変更します。

ユーザー権利の構成

导演がインストールされると,そのアプリケーションプールには[サービスとしてログオン]のログオン権限と[プロセスのメモリクォータの増加],[セキュリティ監査の生成],[プロセスレベルトークンの置き換え]の権限が付与されます。これはアプリケーションプールが作成された時の通常のビヘイビアーです。

通常,これらのユーザー権利を変更する必要はありません。これらの権限は主任では使用されず自動的に無効になります。

导演の通信

主任実稼働環境ではとサーバーの間で通信されるデータを保護するために,インターネットプロトコルセキュリティ(IPsec)またはHTTPSプロトコルを使用することをお勧めします。IPsecは,インターネットプロトコルの標準機能拡張のセットです。インターネットプロトコルは,データ整合性と再生の保護により通信の認証と暗号化の機能を提供します。IPsecはネットワーク層のプロトコルセットであるため,上位レベルのプロトコルでそのままIPsecを使用できます。HTTPSは,TLS(传输层安全)プロトコルを使用して強力なデータ暗号化機能を提供します。

注：

• 主任実稼働環境ではへのすべての接続が保護されるようにしてください。
• 导演からの通信を保護するには,個別に各接続を構成する必要があります。
• SSLプロトコルは,推奨されていません。代わりにより安全なTLSプロトコルを使用します。
• IPsecではなくTLSを使用して,Citrix ADCとの通信を保護する必要があります。

导演とCitrix虚拟应用程序和桌面サーバー間の(監視機能およびレポート機能のための)通信を保護する方法について詳しくは,”数据访问安全“を参照してください。

导演とCitrix ADCの(Citrix洞察力のための)通信を保護する方法について詳しくは,”ネットワーク分析機能の構成“を参照してください。

导演とライセンスサーバーの通信を保護する方法について詳しくは,”ライセンス管理コンソールの保護“を参照してください。

导演のセキュリティ境界による分離

导演と同じWebドメイン(ドメイン名とポート)にWebアプリケーションを展開すると,これらのWebアプリケーションの脆弱性により主任展開環境のセキュリティが低下する可能性があります。セキュリティ境界を分離してセキュリティを強化するため,Webアプリケーションと異なるWebドメインに主任を展開することをお勧めします。