Citrix Virtual Apps and Desktops

Sicherheit virtueller Kanäle

Die Positivliste für virtuelle Kanäle ist standardmäßig aktiviert. Daher dürfen nur virtuelle Citrix Kanäle in virtuellen App- und Desktop-Sitzungen geöffnet werden. Ist die Verwendung benutzerdefinierter virtueller Kanäle erforderlich (eigener oder derer eines Dritten), müssen diese der Positivliste hinzugefügt werden.

Hinzufügen virtueller Kanäle zur Positivliste

Zum Hinzufügen eines virtuellen Kanals zur Positivliste benötigen Sie Folgendes:

  1. Den Namen des virtuellen Kanals gemäß Definition im Code (bis zu sieben Zeichen lang). Beispiel: CTXCVC1.

  2. Die Pfade zu den Prozessen, die den virtuellen Kanal auf der VDA-Maschine öffnen. Beispiel: C:\Program Files\Application\run.exe.

Wenn Sie die erforderlichen Informationen zur Hand haben, müssen Sie den virtuellen Kanal über die Richtlinieneinstellung für Positivliste virtueller Kanäle der Positivliste hinzufügen. Zum Eintragen eines virtuellen Kanals in die Liste geben Sie den Namen des virtuellen Kanals gefolgt von einem Komma und dem Pfad zu dem Prozess ein, der auf den virtuellen Kanal zugreift. Mehrere Prozesse können durch Kommas getrennt hinzugefügt werden.

Im Fall der o. g. Beispiele würden Sie der Liste Folgendes hinzufügen:

CTXCVC1,C:\Program Files\Application\run.exe

Im Fall mehrerer Prozesse würden Sie Folgendes hinzufügen:

CTXCVC1,C:\Program Files\Application\run.exe,C:\Program Files\Application\run2.exe

Die Verwendung von Platzhaltern (*) wird unterstützt. Sie können Platzhalter verwenden, wenn sich die Namen von Verzeichnissen oder ausführbaren Dateien entsprechend der Version der Anwendung ändern oder wenn die Drittanbieterkomponente in den Benutzerprofilen installiert ist.

Sie können Platzhalter für Folgendes verwenden:

  • Um den vollständigen Verzeichnisnamen zu ersetzen. Beispiel: C:\Program Files\Application\*\run1.exe
  • Um einen Teil des Verzeichnisnamens zu ersetzen. Beispiel: C:\Program Files\Application\v*\run1.exe
  • Um den Namen der ausführbaren Datei zu ersetzen. Beispiel: C:\Program Files\Application\v1.2\*.exe
  • Um einen Teil des Namens der ausführbaren Datei zu ersetzen. Beispiel: C:\Program Files\Application\v1.2\run*.exe

Es gelten die folgenden Einschränkungen:

  • Der Platzhalter kann nur als Ersatz für ein einzelnes Verzeichnis verwendet werden. Beispiel: Die ausführbare Datei befindet sich in C:\Program Files\Application\v1.2\run1.exe
    • Zulässig: C:\Program Files\Application\*\run1.exe
    • Nicht zulässig: C:\Program Files\*\run1.exe
  • Die Einträge müssen die Dateierweiterung enthalten.
    • Zulässig: C:\Program Files\Application\v1.2\*.exe
    • Nicht zulässig: C:\Program Files\Application\v1.2\*
  • Alle Pfade müssen lokale Pfade sein. Netzwerkpfade sind nicht zulässig.

Überlegungen zu virtuellen Citrix Kanälen

Alle integrierten virtuellen Citrix Kanäle haben eine Vertrauensstellung und können ohne weitere Konfiguration geöffnet werden. Zwei Features erfordern jedoch aufgrund externer Abhängigkeiten einen expliziten Eintrag in der Positivliste:

  • Multimediaumleitung
  • HDX RealTime Optimization Pack für Skype for Business

Multimediaumleitung

Folgende Informationen sind für den Eintrag in der Liste erforderlich:

  • Name des virtuellen Kanals: CTXMM
  • Prozess: Pfad zu dem auf dem VDA verwendeten Media Player. Beispiel: C:\Programme (x86)\Windows Media Player\wmplayer.exe
  • Eintrag in Positivliste: CTXMM,C:\Program Files (x86)\Windows Media Player\wmplayer.exe

HDX RealTime Optimization Pack für Skype for Business

Folgende Informationen sind für den Eintrag in der Liste erforderlich:

  • Name des virtuellen Kanals: CTXRMEP
  • Prozess: Pfad zu der Exe-Datei von Skype for Business auf der VDA-Maschine. Dieser variiert ggf. je nach Skype for Business-Version bzw. kann ein benutzerdefinierter Installationspfad sein. Beispiel: C:\Programme\Microsoft Office\root\Office16\lync.exe.
  • Eintrag in Positivliste: CTXRMEP,C:\Program Files\Microsoft Office\root\Office16\lync.exe

Erhalt der Namen und Prozesse virtueller Kanäle

Die einfachste Art und Weise, den Namen eines virtuellen Kanals und den Prozess, der ihn auf der VDA-Maschine öffnet, in Erfahrung zu bringen, ist den Entwickler oder Drittanbieter des Kanals zu fragen.

Alternativ können Sie diese Informationen über die Protokolle des Features und die folgenden Schritte erhalten:

  1. Sobald die Client- und Serverkomponenten des benutzerdefinierten virtuellen Kanals bereit sind, starten Sie eine virtuelle Anwendung oder einen virtuellen Desktop.
  2. Suchen Sie im Systemereignisprotokoll der VDA-Maschine den Namen des benutzerdefinierten virtuellen Kanals und den Prozess, der ihn zu öffnen versucht, in folgendem Ereignis:
    • Bei Einzelsitzungs-VDAs Ereignis-ID 2002 aus Picadd.
    • Bei Multisitzungs-VDAs Ereignis-ID 14 aus Rpm.
  3. Melden Sie sich von der Sitzung ab.
  4. Fügen Sie in der Richtlinieneinstellung für die Positivliste virtueller Kanäle einen Eintrag für den gefundenen virtuellen Kanal und den Prozess hinzu.
  5. Starten Sie die virtuelle Anwendung oder den virtuellen Desktop, um zu überprüfen, ob der benutzerdefinierte virtuelle Kanal erfolgreich geöffnet wird.

Protokollierung – Positivliste virtueller Kanäle

Die folgenden Ereignisse werden im Ereignisprotokoll eines Einzelsitzungs-VDAs protokolliert:

  Protokolldateiname System
  ID 2001
  Quelle Picadd
  Ebene Informationen
  Beschreibung Der benutzerdefinierte virtuelle Kanal <vcName> wurde von Prozess <processName> geöffnet
  Protokolldateiname System
  ID 2002
  Quelle Picadd
  Ebene Warnung
  Beschreibung Der benutzerdefinierte virtuelle Kanal <vcName> kann von Prozess <processName> nicht geöffnet werden
  Protokolldateiname System
  ID 2003
  Quelle Picadd
  Ebene Informationen
  Beschreibung <username> hat den benutzerdefinierten Kanal <vcName> geöffnet
  Protokolldateiname System
  ID 2004
  Quelle Picadd
  Ebene Warnung
  Beschreibung <username> hat versucht, den benutzerdefinierten virtuellen Kanal <vcName> zu öffnen

Die folgenden Ereignisse werden im Ereignisprotokoll eines Multisitzungs-VDAs protokolliert:

  Protokolldateiname System
  ID 13
  Quelle Rpm
  Ebene Informationen
  Beschreibung Der benutzerdefinierte virtuelle Kanal <vcName> wurde von Prozess <processName> geöffnet
  Protokolldateiname System
  ID 14
  Quelle Rpm
  Ebene Warnung
  Beschreibung Der benutzerdefinierte virtuelle Kanal <vcName> kann von Prozess <processName> nicht geöffnet werden
  Protokolldateiname System
  ID 15
  Quelle Rpm
  Ebene Informationen
  Beschreibung <username> hat den benutzerdefinierten Kanal <vcName> geöffnet
  Protokolldateiname System
  ID 16
  Quelle Rpm
  Ebene Warnung
  Beschreibung <username> hat versucht, den benutzerdefinierten virtuellen Kanal <vcName> zu öffnen

Bekannte virtuelle Kanäle von Drittanbietern

Die folgenden Drittanbieterlösungen verwenden bekanntermaßen benutzerdefinierte virtuelle Citrix Kanäle. Diese Liste enthält nicht jede Lösung, die einen benutzerdefinierten virtuellen Citrix Kanal verwendet.

  • Cerner
  • Cisco WebEx-Teams
  • Cisco WebEx Meetings Virtual Desktop-Software
  • Epic Warp Drive
  • Midmark IQPath-Clienterweiterungen
  • Nuance PowerMic-Clienterweiterungen
  • Nuance Dragon Medical Network Edition 360 vSync
  • Zoom Meetings für VDI

Um Details zum Hinzufügen der zugehörigen virtuellen Kanäle zur Positivliste zu erhalten, wenden Sie sich an die Hersteller der jeweiligen Lösung. Alternativ führen Sie die Schritte unter Erhalt der Namen und Prozesse virtueller Kanäle aus.

Sicherheit virtueller Kanäle