Sicherheit virtueller Kanäle
Die Positivliste für virtuelle Kanäle ist standardmäßig aktiviert. Daher dürfen nur virtuelle Citrix Kanäle in virtuellen App- und Desktop-Sitzungen geöffnet werden. Ist die Verwendung benutzerdefinierter virtueller Kanäle erforderlich (eigener oder derer eines Dritten), müssen diese der Positivliste hinzugefügt werden.
Hinzufügen virtueller Kanäle zur Positivliste
Zum Hinzufügen eines virtuellen Kanals zur Positivliste benötigen Sie Folgendes:
-
Den Namen des virtuellen Kanals gemäß Definition im Code (bis zu sieben Zeichen lang). Zum Beispiel
CTXCVC1
. -
Die Pfade zu den Prozessen, die den virtuellen Kanal auf der VDA-Maschine öffnen. Zum Beispiel
C:\Program Files\Application\run.exe
.
Wenn Sie die erforderlichen Informationen zur Hand haben, müssen Sie den virtuellen Kanal über die Richtlinieneinstellung für Positivliste virtueller Kanäle der Positivliste hinzufügen. Zum Eintragen eines virtuellen Kanals in die Liste geben Sie den Namen des virtuellen Kanals gefolgt von einem Komma und dem Pfad zu dem Prozess ein, der auf den virtuellen Kanal zugreift. Mehrere Prozesse können durch Kommas getrennt hinzugefügt werden.
Im Fall der o. g. Beispiele würden Sie der Liste Folgendes hinzufügen:
CTXCVC1,C:\Program Files\Application\run.exe
Im Fall mehrerer Prozesse würden Sie Folgendes hinzufügen:
CTXCVC1,C:\Program Files\Application\run.exe,C:\Program Files\Application\run2.exe
Die Verwendung von Platzhaltern (*) wird unterstützt. Sie können Platzhalter verwenden, wenn sich die Namen von Verzeichnissen oder ausführbaren Dateien entsprechend der Version der Anwendung ändern oder wenn die Drittanbieterkomponente in den Benutzerprofilen installiert ist.
Sie können Platzhalter für Folgendes verwenden:
- Um den vollständigen Verzeichnisnamen zu ersetzen. Beispiel:
C:\Program Files\Application\*\run1.exe
- Um einen Teil des Verzeichnisnamens zu ersetzen. Beispiel:
C:\Program Files\Application\v*\run1.exe
- Um den Namen der ausführbaren Datei zu ersetzen. Beispiel:
C:\Program Files\Application\v1.2\*.exe
- Um einen Teil des Namens der ausführbaren Datei zu ersetzen. Beispiel:
C:\Program Files\Application\v1.2\run*.exe
Es gelten die folgenden Einschränkungen:
- Der Platzhalter kann nur als Ersatz für ein einzelnes Verzeichnis verwendet werden. Beispiel: Die ausführbare Datei befindet sich in
C:\Program Files\Application\v1.2\run1.exe
- Zulässig:
C:\Program Files\Application\*\run1.exe
- Nicht zulässig:
C:\Program Files\*\run1.exe
- Zulässig:
- Die Einträge müssen die Dateierweiterung enthalten.
- Zulässig:
C:\Program Files\Application\v1.2\*.exe
- Nicht zulässig:
C:\Program Files\Application\v1.2\*
- Zulässig:
- Alle Pfade müssen lokale Pfade sein. Netzwerkpfade sind nicht zulässig.
Überlegungen zu virtuellen Citrix Kanälen
Alle integrierten virtuellen Citrix Kanäle haben eine Vertrauensstellung und können ohne weitere Konfiguration geöffnet werden. Zwei Features erfordern jedoch aufgrund externer Abhängigkeiten einen expliziten Eintrag in der Positivliste:
- Multimediaumleitung
- HDX RealTime Optimization Pack für Skype for Business
Multimediaumleitung
Folgende Informationen sind für den Eintrag in der Liste erforderlich:
- Name des virtuellen Kanals: CTXMM
- Prozess: Pfad zu dem auf dem VDA verwendeten Media Player. Beispiel: C:\Programme (x86)\Windows Media Player\wmplayer.exe
- Eintrag in Positivliste:
CTXMM,C:\Program Files (x86)\Windows Media Player\wmplayer.exe
HDX RealTime Optimization Pack für Skype for Business
Folgende Informationen sind für den Eintrag in der Liste erforderlich:
- Name des virtuellen Kanals: CTXRMEP
- Prozess: Pfad zu der Exe-Datei von Skype for Business auf der VDA-Maschine. Dieser variiert ggf. je nach Skype for Business-Version bzw. kann ein benutzerdefinierter Installationspfad sein. Beispiel: C:\Programme\Microsoft Office\root\Office16\lync.exe.
- Eintrag in Positivliste:
CTXRMEP,C:\Program Files\Microsoft Office\root\Office16\lync.exe
Erhalt der Namen und Prozesse virtueller Kanäle
Die einfachste Art und Weise, den Namen eines virtuellen Kanals und den Prozess, der ihn auf der VDA-Maschine öffnet, in Erfahrung zu bringen, ist den Entwickler oder Drittanbieter des Kanals zu fragen.
Alternativ können Sie diese Informationen über die Protokolle des Features und die folgenden Schritte erhalten:
- Sobald die Client- und Serverkomponenten des benutzerdefinierten virtuellen Kanals bereit sind, starten Sie eine virtuelle Anwendung oder einen virtuellen Desktop.
- Suchen Sie im Systemereignisprotokoll der VDA-Maschine den Namen des benutzerdefinierten virtuellen Kanals und den Prozess, der ihn zu öffnen versucht, in folgendem Ereignis:
- Bei Einzelsitzungs-VDAs Ereignis-ID 2002 aus Picadd.
- Bei Multisitzungs-VDAs Ereignis-ID 14 aus Rpm.
- Melden Sie sich von der Sitzung ab.
- Fügen Sie in der Richtlinieneinstellung für die Positivliste virtueller Kanäle einen Eintrag für den gefundenen virtuellen Kanal und den Prozess hinzu.
- Starten Sie die virtuelle Anwendung oder den virtuellen Desktop, um zu überprüfen, ob der benutzerdefinierte virtuelle Kanal erfolgreich geöffnet wird.
Protokollierung – Positivliste virtueller Kanäle
Die folgenden Ereignisse werden im Ereignisprotokoll eines Einzelsitzungs-VDAs protokolliert:
Protokolldateiname | System | |
ID | 2001 | |
Quelle | Picadd | |
Ebene | Information | |
Beschreibung | Der benutzerdefinierte virtuelle Kanal <vcName> wurde von Prozess <processName> geöffnet |
Protokolldateiname | System | |
ID | 2002 | |
Quelle | Picadd | |
Ebene | Warnung | |
Beschreibung | Der benutzerdefinierte virtuelle Kanal <vcName> kann von Prozess <processName> nicht geöffnet werden |
Protokolldateiname | System | |
ID | 2003 | |
Quelle | Picadd | |
Ebene | Information | |
Beschreibung |
<username> hat den benutzerdefinierten Kanal <vcName> geöffnet |
Protokolldateiname | System | |
ID | 2004 | |
Quelle | Picadd | |
Ebene | Warnung | |
Beschreibung |
<username> hat versucht, den benutzerdefinierten virtuellen Kanal <vcName> zu öffnen |
Die folgenden Ereignisse werden im Ereignisprotokoll eines Multisitzungs-VDAs protokolliert:
Protokolldateiname | System | |
ID | 13 | |
Quelle | Rpm | |
Ebene | Information | |
Beschreibung | Der benutzerdefinierte virtuelle Kanal <vcName> wurde von Prozess <processName> geöffnet |
Protokolldateiname | System | |
ID | 14 | |
Quelle | Rpm | |
Ebene | Warnung | |
Beschreibung | Der benutzerdefinierte virtuelle Kanal <vcName> kann von Prozess <processName> nicht geöffnet werden |
Protokolldateiname | System | |
ID | 15 | |
Quelle | Rpm | |
Ebene | Information | |
Beschreibung |
<username> hat den benutzerdefinierten Kanal <vcName> geöffnet |
Protokolldateiname | System | |
ID | 16 | |
Quelle | Rpm | |
Ebene | Warnung | |
Beschreibung |
<username> hat versucht, den benutzerdefinierten virtuellen Kanal <vcName> zu öffnen |
Bekannte virtuelle Kanäle von Drittanbietern
Die folgenden Drittanbieterlösungen verwenden bekanntermaßen benutzerdefinierte virtuelle Citrix Kanäle. Diese Liste enthält nicht jede Lösung, die einen benutzerdefinierten virtuellen Citrix Kanal verwendet.
- Cerner
- Cisco WebEx-Teams
- Cisco WebEx Meetings Virtual Desktop-Software
- Epic Warp Drive
- Midmark IQPath-Clienterweiterungen
- Nuance PowerMic-Clienterweiterungen
- Nuance Dragon Medical Network Edition 360 vSync
- Zoom Meetings für VDI
Um Details zum Hinzufügen der zugehörigen virtuellen Kanäle zur Positivliste zu erhalten, wenden Sie sich an die Hersteller der jeweiligen Lösung. Alternativ führen Sie die Schritte unter Erhalt der Namen und Prozesse virtueller Kanäle aus.