セキュリティの推奨事項

会话记录はセキュアなネットワーク上に展開され管理者によりアクセスされそのことを前提にセキュリティを維持するコンポーネントです。デフォルトの構成はシンプルなシステムです。デジタル署名や暗号化などのセキュリティ機能はオプションで設定できます。

会议记录コンポーネント間の通信は,インターネットインフォメーションサービス(IIS)と微软メッセージキュー(MSMQ)を通じて実現されます。IISにより,各会话记录コンポーネント間のWebサービスの通信リンクが提供されます。MSMQにより、会话记录代理から会话记录サーバーへセッションの録画データを送信するための,信頼できるデータ伝送メカニズムが提供されます。

警告：

レジストリエディターの使用を誤ると,深刻な問題が発生する可能性があり,オペレーティングシステムの再インストールが必要になる場合もあります。レジストリエディタ，の誤用による障害に対して，シトリックスでは一切責任を負いません。レジストリエディタ，は，お客様の責任と判断の範囲でご使用ください。また，レジストリファaaplルのバックアップを作成してから，レジストリを編集してください。

展開計画を立てるときに，セキュリティに関する次の推奨事項にいて検討します:

• microsoftmicrosoft_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _

  制限されたIIS構成で会话录音を構成できます。各会议记录サーバーで,IISマネージャーを開き,IISアプリケーションプールごとに次のリサイクル制限を設定します:

  • 仮想メモリの制限:値を4,294,967,295に設定します。
  • プラ▪▪ベ▪▪トメモリの制限:会话录音サ，バ，の物理メモリと一致するように値を設定します。たとえば，物理メモリが4gbの場合，値を4194304に設定します。
  • 要求の制限:この設定は指定しないでおくことをお勧めします。または，値を40000,000,000に設定できます。

  ヒント:

  上記の設定にアクセスするには，各アプリケ，ションプ，ルを強調表示し，(行动)ウィンドウで【高级设置】を選択してから，【高级设置】ダ@ @アログボックスの(回收)セクションまでスクロ，ルします。

• 社内ネットワーク、会话录音,または個々のマシンで各種管理者の役割を適切に分離する。このようにしないと,セキュリティ上の脅威にさらされ,システム機能が影響を受けたり,システムが不正利用されたりする可能性があります。ユ，ザ，やアカウントごとに異なる管理者の役割(ロ，ル)を割り当てることをお勧めします。一般のセッションユ，ザ，にvdaシステムの管理者権限を持たせないようにしてください。
  • Citrix虚拟应用程序和桌面管理者は,VDAローカル管理者の役割を,公開アプリケーションまたはデスクトップのユーザーに付与しないでください。ローカル管理者の役割が必要な場合は,Windowsのメカニズムまたはサードパーティ製のソリューションを使用して,会话记录代理コンポーネントを保護します。
  • 会议记录データベース管理者と会话记录ポリシー管理者を別々に割り当てます。
  • VDA管理者権限を一般的なセッションユーザーに,特にリモートPCアクセスを使用している場合には割り当てないことをお勧めします。
  • 会议记录サーバーのローカル管理者アカウントは,厳格に保護する必要があります。
  • 会议记录的球员がインストールされたマシンへのアクセスを制御します。ユーザーが会话记录玩家の役割を許可されていない場合,そのユーザーにはどの会话记录玩家マシンのローカル管理者の役割も付与しないようにしてください。匿名アクセスを無効にしてください。
  • 会议记录のストレージサーバーには,物理マシンを使用することをお勧めします。
• 会议记录では,データの機密性にかかわらず,セッショングラフィックスアクティビティが録画されます。特定の状況においては,機密データ(ユーザーの資格情報,プライバシー情報,サードパーティの画面など。ただしこれらに限定されるものではありません)が誤って録画される場合があります。このリスクを回避するには，以下の措置を講じます:

  • 特定のトラブルシュ，ティングの場合を除き，vdaのコアメモリダンプを無効にします。

    コアメモリダンプを無効にするには，以下の手順に従います。

    1.[マ@コンピュ@タ@]を右クリックし，[プロパティ]を選択します。
    2.［詳細設定］タブをクリックし，[起動と回復]の［設定］をクリックします。
    3.[デバッグ情報の書き込み]で[(なし)]を選択します。
    微软の記事(https://support.microsoft.com/en-us/kb/307973)を参照してください。

  • セッションの所有者は,デスクトップセッションが録画されている場合は,オンライン会議と微软远程协助ソフトウェアが録画される可能性があることを出席者に知らせます。
  • ログオン資格情報またはセキュリティ情報が,社内で公開または使用されるすべてのローカルアプリケーションとWebアプリケーションに表示されないようにします。そうしない場合，そのような情報が会话录音で録画されます。
  • リモートICAセッションに切り替える前に,機密情報を公開する可能性のあるアプリケーションをすべて閉じます。
  • 公開デスクトップまたは软件即服务(SaaS)アプリケーションへのアクセスには,自動認証方法(シングルサインオン,スマートカードなど)のみをお勧めします。
• 会议记录は,正常に機能し,セキュリティニーズを満たす上で,特定のハードウェアとハードウェアインフラストラクチャ(社内ネットワークデバイス,オペレーティングシステムなど)に依存しています。インフラストラクチャレベルで対策を講じることでこうしたインフラストラクチャの損傷と不正利用を防ぎ,会话记录機能の安全性と信頼性を確保します。
  • 会议记录をサポートするネットワークインフラストラクチャを適切に保護し,利用可能な状態を維持します。
  • サードパーティ製のセキュリティソリューションまたはWindowsのメカニズムを使用して,会话记录コンポーネントを保護することをお勧めします。会话录音コンポ，ネントには以下が含まれます:
    • 会话记录サ，バ，上
      • プロセス:SsRecStoragemanager.exeおよびSsRecAnalyticsService.exe
      • サ，ビス:CitrixSsRecStorageManagerおよびCitrixSsRecAnalyticsService
      • 会话记录サバのンストルフォルダにあるすべてのファル
      • HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartAuditor\Serverにあるレジストリ値
    • 会话录音代理上
      • プロセス:SsRecAgent.exe
      • サ，ビス:CitrixSmAudAgent
      • 会话记录代理のaapl .ンスト.ルフォルダaapl .にあるすべてのファaapl .ル
      • HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartAuditor\Agentにあるレジストリ値

• 会议记录サーバーで消息队列(MSMQ)のアクセス制御リスト(ACL)を設定することで,MSMQデータを会话记录サーバーに送信できるVDAまたはVDIマシンを制限し,許可のないマシンがデータを会话记录サーバーに送信できないようにします。

  1. 各会议记录サーバー,および会话记录が有効になっているVDAまたはVDIマシンに,サーバー機能の目录服务集成をインストールします。次に消息排队サ，ビスを再起動します。
  2. 各会话录音サ，バ，のWindowsの[スタ，ト]メニュ，から，[管理ル]>[コンピュ，タ，の管理]の順に開きます。
  3. [サ，ビスとアプリケ，ション]>[メッセ，ジキュ，]>[専用キュ]の順に開きます。

  4. citrixsmauddata専用キュ，をクリックして[プロパティ]ペ，ジを開き，[セキュリティ]タブをクリックします。

     

  5. msmqデタをこのサバに送信するvdaのコンピュタまたはセキュリティグルプを追加し，メッセ，ジを送信する権限を付与します。

     

• 会议记录サーバーと会话记录代理のイベントログを適切に保護する。Windowsまたはサードパーティ製のリモートログソリューションを使用してイベントログを保護するか,イベントログをリモートサーバーにリダイレクトすることが推奨されます。
• 会话记录コンポ，ネントが動作するサ，バ，を物理的に保護する。可能であれば，権限を持人のみが入室できる安全なサバ室にコンピュタを設置します。
• 会议记录コンポーネントが動作するサーバーを別のサブネットまたはドメインに分離する。
• 会议记录サーバーとほかのサーバーの間にファイアウォールを設置し,ほかのサーバーにアクセスするユーザーからセッションの録画データを保護する。
• 微软からの最新のセキュリティアップデートにより,会议记录管理サーバーおよびSQLデータベースを最新に保ちます。
• 管理者以外の人が管理マシンにログオンできないように制限する。
• 録画ポリシの変更およびセッションの録画ファルの表示を行う権限を持ユザを厳しく制限する。
• デジタル証明書をインストールし,会话记录のファイル署名機能を使用し,IISでTLS通信をセットアップする。
• msmqの通信でhttpsが使用されるように設定する。そのためには，[会话记录代理のプロパティ]に表示されるmsmqプロトコルをhttpsに設定します。詳しくは，”msmqのトラブルシュ，ティングを参照してください。

• TLS 1.1またはTLS 1.2(推奨)を使いSSLv2的站点时,SSLv3,およびTLS 1.0を会话记录サーバーと会话记录データベースで無効にします。

• 会议记录サーバーと会话记录データベースで,TLS用のRC4暗号スイートを無効にする。

  1. 微软のグル，プポリシ，エディタ，を使用して，[コンピュ，タ，の構成]>[管理用テンプレ，ト]>[ネットワ，ク]>[ssl構成設定]に移動します。
  2. [ssl暗号の順位]ポリシ，を［有効］に設定します。デフォルトでは，このポリシ，は［未構成］に設定されています。
  3. rc4暗号スaapl . cer .トをすべて削除します。
• 再生デ，タの保護機能を使用する。再生データの保護は会话记录の機能の1つで,これにより,会话记录玩家にダウンロードされる前に,セッションの録画ファイルが暗号化されます。このオプションは[会话记录サ，バ，のプロパティ]にあり，デフォルトで有効に設定されます。
• 暗号化キ長および暗号化アルゴリズムのnsitガダンスに従います。

• TLS 1.2の会话记录サポ，トを構成します。

  会议记录コンポーネントのエンドツーエンドセキュリティを確実にするためには,通信プロトコルとしてTLS 1.2を使用されることをお勧めします。

  TLS 1.2の会话记录サポ，トを構成するには:

  1. 会话记录サ，バ，をホストするマシンにログオンします。適切なSQL Serverクラアントコンポネントとドラバをンストルし，net框架(バ，ジョン4以降)に対して強固な暗号を設定します。

     1. 微软为SQL Server ODBC Driverバージョン11日以降をインストールします。
     2. net框架の最新のホットフィックスロ，ルアップを適用します。
     3. 使用している。netフレ，ムワ，クのバ，ジョンに基づいてADO。NET - SqlClientを▪▪ンスト▪▪ルします。詳しくは，https://support.microsoft.com/en-us/kb/3135244を参照してください。
     4. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NetFramework\v4.0.30319およびHKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NetFramework\v4.0.30319の下に，DWORD値SchUseStrongCrypto=1を追加します。
     5. マシンを再起動してください。

  2. 会话录音ポリシ，コンソ，ルをホストするマシンにログオンします..NET Frameworkの最新のホットフィックスロ，ルアップを適用し，。NET Framework(バ，ジョン4以上)に対して強固な暗号を設定します。強固な暗号を設定する方法は，下位手順1-4および1-5と同じです。会议记录サーバーと同じコンピューターでSession Recordingポリシーコンソールをインストールするように選択している場合は、これらの手順を実行する必要はありません。

  2016より前のバジョンのSQL Serverに対するTLS 1.2サポトを構成するには，https://support.microsoft.com/en-us/kb/3135244を参照してください。TLS 1.2を使用するには,HTTPSを、会话记录コンポーネントのための通信プロトコルとして構成します。