安全通信

• 为了保护 Citrix Virtual Apps and Desktops 服务器与 Citrix Workspace app 之间的通信安全，您可以使用以下一系列安全技术来集成 Citrix Workspace app 连接：

• Citrix Gateway：有关详细信息，请参阅本节中的主题以及 Citrix Gateway 和 StoreFront 文档。
• 防火墙：网络防火墙可以根据目标地址和端口允许或阻止数据包。
• 支持传输层安全性 (TLS) 1.0 到 1.2 版本。
• 受信任的服务器，用于在 Citrix Workspace app 连接中建立信任关系。
• ICA® 文件签名
• 本地安全机构 (LSA) 保护
• 仅适用于 Citrix Virtual Apps 部署的代理服务器：SOCKS 代理服务器或安全代理服务器。代理服务器有助于限制对网络的访问以及从网络进行的访问。它们还处理 Citrix Workspace app 与服务器之间的连接。Citrix Workspace app 支持 SOCKS 和安全代理协议。
  • 出站代理

Citrix Gateway

-  Citrix Gateway（以前称为 Access Gateway）可保护与 StoreFront 商店的连接。此外，它还允许管理员以详细的方式控制用户对桌面和应用程序的访问。

要通过 Citrix Gateway 连接到桌面和应用程序：

-  1.  使用以下方法之一指定管理员提供的 Citrix Gateway URL：

-  首次使用自助服务用户界面时，系统会提示您在**添加帐户**对话框中输入 URL。
-  以后使用自助服务用户界面时，通过单击**首选项** > **帐户** > **添加**来输入 URL。
-  如果要使用 storebrowse 命令建立连接，请在命令行中输入 URL

URL 指定网关，并可选择指定一个特定商店：

• 要连接到 Citrix Workspace app 找到的第一个商店，请使用以下格式的 URL：

  • https://gateway.company.com

• 要连接到特定商店，请使用以下形式的 URL，例如：https://gateway.company.com?<storename>。此动态 URL 采用非标准形式；请勿在 URL 中包含“=”（等号字符）。如果要使用 storebrowse 连接到特定商店，则可能需要在 storebrowse 命令中将 URL 括在引号中。

1. 出现提示时，使用您的用户名、密码和安全令牌连接到商店（通过网关）。有关此步骤的详细信息，请参阅 Citrix Gateway 文档。

身份验证完成后，将显示您的桌面和应用程序。

通过防火墙连接

• 网络防火墙可以根据目标地址和端口允许或阻止数据包。如果您正在使用防火墙，Citrix Workspace app for Windows 可以通过防火墙与 Web 服务器和 Citrix 服务器进行通信。

• 常见 Citrix 通信端口

• 源

  类型

  端口

  详细信息

• Citrix Workspace app

  TCP

  80/443

  与 StoreFront 通信

• ICA 或 HDX

  TCP/UDP

  1494

  访问应用程序和虚拟桌面

• 具有会话可靠性的 ICA 或 HDX

  TCP/UDP

  2598

  访问应用程序和虚拟桌面

• 通过 TLS 的 ICA 或 HDX

  TCP/UDP

  443

  访问应用程序和虚拟桌面

有关端口的更多信息，请参阅知识中心文章 CTX101810。

传输层安全性

传输层安全性 (TLS) 是 SSL (Secure Sockets Layer) 协议的替代品。当 Internet 工程任务组 (IETF) 接管 TLS 作为开放标准的开发职责时，将其重命名为 TLS。

TLS 通过提供服务器身份验证、数据流加密和消息完整性检查来保护数据通信。一些组织，包括美国政府组织，要求使用 TLS 来保护数据通信。这些组织可能还需要使用经过验证的加密技术，例如联邦信息处理标准 (FIPS) 140。FIPS 140 是一种加密标准。

要使用 TLS 加密作为通信介质，您必须配置用户设备和 Citrix Workspace app。有关保护 StoreFront 通信安全的信息，请参阅 StoreFront 文档中的安全部分。有关保护 VDA 安全的信息，请参阅 Citrix Virtual Apps and Desktops 文档中的传输层安全性 (TLS)。

您可以使用以下策略来：

• 强制使用 TLS：我们建议您对使用不受信任网络（包括 Internet）的连接使用 TLS。
• 强制使用 FIPS（联邦信息处理标准）：批准的加密技术并遵循 NIST SP 800-52 中的建议。这些选项默认处于禁用状态。
• 强制使用特定版本的 TLS 和特定的 TLS 密码套件：Citrix 支持 TLS 1.0、TLS 1.1 和 TLS 1.2 协议。
• 仅连接到特定服务器。
• 检查服务器证书的吊销。
• 检查特定的服务器证书颁发策略。
• 如果服务器配置为请求客户端证书，则选择特定的客户端证书。

适用于 Windows 的 Citrix Workspace app 支持 TLS 1.2 协议的以下密码套件：

• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

重要提示：

为增强安全性，以下密码套件已弃用：

-  RC4 和 3DES 密码套件
-  前缀为“TLS_RSA_*”的密码套件

-  > -  TLS_RSA_WITH_AES_256_GCM_SHA384 (0x009d)
-  > -  TLS_RSA_WITH_AES_128_GCM_SHA256 (0x009c)
-  > -  TLS_RSA_WITH_AES_256_CBC_SHA256 (0x003d)

-  TLS_RSA_WITH_AES_256_CBC_SHA (0x0035)
-  TLS_RSA_WITH_AES_128_CBC_SHA (0x002f)

-  > -  TLS_RSA_WITH_RC4_128_SHA (0x0005)
-  > -  TLS_RSA_WITH_3DES_EDE_CBC_SHA (0x000a)

-  ### TLS 支持

1. 通过运行 gpedit.msc 打开 Citrix Workspace 应用程序 GPO 管理模板。

2. 在“计算机配置”节点下，转到“管理模板”>“Citrix Workspace”>“网络路由”，并选择“TLS 和合规模式配置”策略。

   • 

   • 1. 选择“已启用”以启用安全连接并加密服务器上的通信。设置以下选项：

   注意：

   Citrix 建议将 TLS 用于安全连接。

   1. 选择“要求所有连接使用 TLS”以强制 Citrix Workspace 应用程序对已发布的应用程序和桌面的连接使用 TLS。

   2. 从“安全合规模式”菜单中，选择相应的选项：

      1. 无 - 不强制实施合规模式。
      2. SP800-52 - 选择“SP800-52”以符合 NIST SP 800-52。仅当服务器或网关遵循 NIST SP 800-52 建议时才选择此选项。

      注意：

      如果选择“SP800-52”，即使未选择“启用 FIPS”，也会自动使用 FIPS 批准的加密。此外，请启用 Windows 安全选项“系统加密：将 FIPS 兼容算法用于加密、哈希和签名”。否则，Citrix Workspace 应用程序可能无法连接到已发布的应用程序和桌面。

      如果选择“SP800-52”，请将“证书吊销检查策略”设置设为“完全访问检查和 CRL 必需”。

      当您选择“SP800-52”时，Citrix Workspace 应用程序会验证服务器证书是否遵循 NIST SP 800-52 中的建议。如果服务器证书不合规，Citrix Workspace 应用程序可能无法连接。

      1. 启用 FIPS - 选择此选项以强制使用 FIPS 批准的加密。此外，请从操作系统组策略中启用 Windows 安全选项“系统加密：将 FIPS 兼容算法用于加密、哈希和签名”。否则，Citrix Workspace 应用程序可能无法连接到已发布的应用程序和桌面。

   3. 从“允许的 TLS 服务器”下拉菜单中，选择端口号。使用逗号分隔列表，以确保 Citrix Workspace 应用程序仅连接到指定的服务器。您可以指定通配符和端口号。例如，*.citrix.com: 4433 允许连接到其公用名以 .citrix.com 结尾且端口为 4433 的任何服务器。证书颁发者声明安全证书中信息的准确性。如果 Citrix Workspace 不识别或不信任颁发者，则连接将被拒绝。

   4. 从“TLS 版本”菜单中，选择以下选项之一：

   • TLS 1.0、TLS 1.1 或 TLS 1.2 - 这是默认设置。仅当出于兼容性原因存在 TLS 1.0 业务要求时，才建议使用此选项。

   • TLS 1.1 或 TLS 1.2 - 使用此选项可确保连接使用 TLS 1.1 或 TLS 1.2。

   • TLS 1.2 - 如果 TLS 1.2 是业务要求，则建议使用此选项。

   1. TLS 密码套件 - 要强制使用特定的 TLS 密码套件，请选择“政府 (GOV)”、“商业 (COM)”或“所有 (ALL)”。

   2. 从“证书吊销检查策略”菜单中，选择以下任意选项：

   • 不带网络访问的检查 - 执行证书吊销列表检查。仅使用本地证书吊销列表存储。所有分发点都将被忽略。验证目标 SSL Relay/Citrix Secure Web Gateway 服务器提供的服务器证书的证书吊销列表检查不是强制性的。

   • 完全访问检查 - 执行证书吊销列表检查。使用本地证书吊销列表存储和所有分发点。如果找到证书的吊销信息，则拒绝连接。验证目标服务器提供的服务器证书的证书吊销列表检查不是关键的。

   • 完全访问检查和 CRL 必需 - 执行证书吊销列表检查，根证书颁发机构除外。使用本地证书吊销列表存储和所有分发点。如果找到证书的吊销信息，则拒绝连接。查找所有必需的证书吊销列表对于验证至关重要。

   • 完全访问检查和 CRL 必需（全部） - 执行证书吊销列表检查，包括根 CA。使用本地证书吊销列表存储和所有分发点。如果找到证书的吊销信息，则拒绝连接。查找所有必需的证书吊销列表对于验证至关重要。

   • 不检查 - 不执行证书吊销列表检查。

   1. 使用 策略扩展 OID，您可以将 Citrix Workspace app 限制为仅连接到具有特定证书颁发策略的服务器。当您选择 策略扩展 OID 时，Citrix Workspace app 仅接受包含策略扩展 OID 的服务器证书。

   2. 在“客户端身份验证”菜单中，选择以下任意一项：

   • 已禁用 - 客户端身份验证已禁用。

   • 显示证书选择器 - 始终提示用户选择证书。

   • 如果可能，自动选择 - 仅当有可供选择的证书用于身份验证时才提示用户。

   • 未配置 - 表示未配置客户端身份验证。

   • 使用指定证书 - 使用“客户端证书”选项中设置的客户端证书。

   1. 使用“客户端证书”设置指定标识证书的指纹，以避免不必要地提示用户。

   2. 单击“应用”和“确定”以保存策略。

受信任服务器

受信任服务器配置可识别并强制执行 Citrix Workspace app 连接中的信任关系。

• 启用受信任服务器后，Citrix Workspace app 会指定要求并决定是否可以信任与服务器的连接。例如，连接到特定地址（例如 https://\*.citrix.com）并具有特定连接类型（例如 TLS）的 Citrix Workspace app 将被定向到服务器上的受信任区域。

  • 启用此功能后，连接的服务器将位于 Windows 受信任站点区域中。有关将服务器添加到 Windows 受信任站点区域的说明，请参阅 Internet Explorer 联机帮助。

使用组策略对象管理模板启用受信任服务器配置

• 先决条件：

  • 退出 Citrix Workspace app 组件，包括连接中心。

1. 通过运行 gpedit.msc 打开 Citrix Workspace app GPO 管理模板。
2. 在“计算机配置”节点下，转到“管理模板”>“Citrix 组件”>“Citrix Workspace”>“网络路由”>“配置受信任服务器配置”。
3. 选择“已启用”以强制 Citrix Workspace app 进行区域识别。
4. 选择“强制执行受信任服务器配置”。此选项强制客户端使用受信任服务器执行身份验证。
5. 在“Windows Internet 区域”下拉菜单中，选择客户端-服务器地址。此设置仅适用于 Windows 受信任站点区域。
6. 在“地址”字段中，设置除 Windows 之外的受信任站点区域的客户端-服务器地址。您可以使用逗号分隔的列表。
7. 单击“确定”和“应用”。

ICA 文件签名

ICA 文件签名有助于保护您免受未经授权的应用程序或桌面启动。Citrix Workspace app 会根据管理策略验证受信任源是否生成了应用程序或桌面启动，并防止从未受信任服务器启动。您可以使用组策略对象管理模板或 StoreFront 配置 ICA 文件签名。默认情况下未启用 ICA 文件签名功能。

有关为 StoreFront 启用 ICA 文件签名的信息，请参阅 StoreFront 文档中的启用 ICA 文件签名。

配置 ICA 文件签名

注意：

如果未将 CitrixBase.admx\adml 添加到本地 GPO，则可能不存在“启用 ICA 文件签名”策略。

1. 通过运行 gpedit.msc 打开 Citrix Workspace app 组策略对象管理模板。
2. 在“计算机配置”节点下，转到“管理模板”>“Citrix 组件”。
3. 选择“启用 ICA 文件签名”策略，并根据需要选择以下选项之一：
   1. 已启用 - 表示您可以将签名证书指纹添加到受信任证书指纹的允许列表中。
   2. 信任证书 - 单击“显示”以从允许列表中删除现有签名证书指纹。您可以从签名证书属性中复制并粘贴签名证书指纹。
   3. 安全策略 - 从菜单中选择以下选项之一。
      1. 仅允许签名启动（更安全）：仅允许从受信任服务器启动已签名的应用程序和桌面。当存在无效签名时，将显示安全警告。会话启动因未经授权而失败。
      2. 在未签名启动时提示用户（安全性较低） - 启动未签名或签名无效的会话时，将显示消息提示。您可以选择继续启动或取消启动（默认）。
4. 单击“应用”和“确定”以保存策略。
5. 重新启动 Citrix Workspace app 会话以使更改生效。

选择和分发数字签名证书：

选择数字签名证书时，建议您从以下优先级列表中进行选择：

1. 从公共证书颁发机构 (CA) 购买代码签名证书或 SSL 签名证书。
2. 如果您的企业有私有 CA，请使用私有 CA 创建代码签名证书或 SSL 签名证书。
3. 使用现有 SSL 证书。
4. 创建根 CA 证书，并使用 GPO 或手动安装将其分发到用户设备。

本地安全机构 (LSA) 保护

Citrix Workspace 应用程序支持 Windows 本地安全机构 (LSA) 保护，该保护维护有关系统上本地安全所有方面的信息。此支持为托管桌面提供了 LSA 级别的系统保护。

通过代理服务器连接

代理服务器用于限制对网络的访问，并处理适用于 Windows 的 Citrix Workspace 应用程序与服务器之间的连接。Citrix Workspace 应用程序支持 SOCKS 和安全代理协议。

与服务器通信时，Citrix Workspace 应用程序使用在运行 Workspace for Web 的服务器上远程配置的代理服务器设置。

与 Web 服务器通信时，Citrix Workspace 应用程序使用通过用户设备上默认 Web 浏览器的Internet设置配置的代理服务器设置。请相应地配置用户设备上默认 Web 浏览器的Internet设置。

要在 StoreFront 上通过 ICA 文件强制实施代理设置，请参阅 Citrix 知识中心文章 CTX136516。

出站代理支持

SmartControl 允许管理员配置和强制实施影响环境的策略。例如，您可能希望禁止用户将其驱动器映射到其远程桌面。您可以使用 Citrix Gateway 上的 SmartControl 功能实现此精细度。

当 Citrix Workspace 应用程序和 Citrix Gateway 属于不同的企业帐户时，情况会发生变化。在这种情况下，客户端域无法应用 SmartControl 功能，因为网关不存在于该域上。然后，您可以使用出站 ICA 代理。出站 ICA 代理功能允许您即使在 Citrix Workspace 应用程序和 Citrix Gateway 部署在不同组织中时也能使用 SmartControl 功能。

Citrix Workspace 应用程序支持使用 NetScaler LAN 代理启动会话。使用出站代理插件配置单个静态代理或在运行时选择代理服务器。

您可以使用以下方法配置出站代理：

• 静态代理：通过提供代理主机名和端口号来配置代理服务器。
• 动态代理：可以使用代理插件 DLL 从一个或多个代理服务器中选择单个代理服务器。

您可以使用组策略对象管理模板或注册表编辑器配置出站代理。

有关出站代理的详细信息，请参阅 Citrix Gateway 文档中的出站 ICA 代理支持。

出站代理支持 - 配置

注意：

如果同时配置了静态代理和动态代理，则动态代理配置优先。

使用 GPO 管理模板配置出站代理：

1. 通过运行 gpedit.msc 打开 Citrix Workspace 应用程序组策略对象管理模板。
2. 在计算机配置节点下，转到管理模板 > Citrix Workspace > 网络路由。
3. 选择以下选项之一：
   • 对于静态代理：选择手动配置 NetScaler® LAN 代理策略。选择已启用，然后提供主机名和端口号。
   • 对于动态代理：选择使用 DLL 配置 NetScaler LAN 代理策略。选择已启用，然后提供 DLL 文件的完整路径。例如，C:\Workspace\Proxy\ProxyChooser.dll。
4. 单击应用和确定。

使用注册表编辑器配置出站代理：

• 对于静态代理：
  • 启动注册表编辑器并导航到 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\ICA Client\Engine\Network Routing\Proxy\NetScaler。

  • 创建 DWORD 值项，如下所示：

    "StaticProxyEnabled"=dword:00000001 "ProxyHost"="testproxy1.testdomain.com "ProxyPort"=dword:000001bb

• 对于动态代理：

  • 启动注册表编辑器并导航到 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\ICA Client\Engine\Network Routing\Proxy\NetScaler LAN Proxy。
  • 创建 DWORD 值项，如下所示： "DynamicProxyEnabled"=dword:00000001 "ProxyChooserDLL"="c:\\Workspace\\Proxy\\ProxyChooser.dll"