Sicherheitsrichtlinieneinstellungen

Der Abschnitt Sicherheit enthält die Richtlinieneinstellung zum Konfigurieren der Sitzungsverschlüsselung und der Verschlüsselung von Anmeldedaten.

SecureICA Mindestverschlüsselungsstufe

Diese Einstellung gibt die Mindeststufe an, mit der Sitzungsdaten verschlüsselt werden, die zwischen dem Server und einem Benutzergerät gesendet werden.

Wichtig: Für den Virtual Delivery Agent 7.x kann diese Richtlinieneinstellung nur verwendet werden, um die Verschlüsselung der Anmeldedaten mit RC5 128-Bit-Verschlüsselung zu aktivieren. Andere Einstellungen dienen nur der Abwärtskompatibilität mit älteren Versionen von Citrix Virtual Apps and Desktops.

Für den VDA 7.x wird die Verschlüsselung von Sitzungsdaten über die Basiseinstellungen der Bereitstellungsgruppe des VDA festgelegt. Wenn „Secure ICA aktivieren“ für die Bereitstellungsgruppe ausgewählt ist, werden Sitzungsdaten mit RC5 (128 Bit) verschlüsselt. Wenn „Secure ICA aktivieren“ für die Bereitstellungsgruppe nicht ausgewählt ist, werden Sitzungsdaten mit Basisverschlüsselung verschlüsselt.

Wenn Sie diese Einstellung einer Richtlinie hinzufügen, wählen Sie eine Option aus:

• Basic verschlüsselt die Clientverbindung mit einem Nicht-RC5-Algorithmus. Es schützt den Datenstrom davor, direkt gelesen zu werden, kann aber entschlüsselt werden. Standardmäßig verwendet der Server die Basisverschlüsselung für den Client-Server-Datenverkehr.
• RC5 (128 Bit) nur Anmeldung verschlüsselt die Anmeldedaten mit RC5 128-Bit-Verschlüsselung und die Clientverbindung mit Basisverschlüsselung.
• RC5 (40 Bit) verschlüsselt die Clientverbindung mit RC5 40-Bit-Verschlüsselung.
• RC5 (56 Bit) verschlüsselt die Clientverbindung mit RC5 56-Bit-Verschlüsselung.
• RC5 (128 Bit) verschlüsselt die Clientverbindung mit RC5 128-Bit-Verschlüsselung.

Die Einstellungen, die Sie für die Client-Server-Verschlüsselung angeben, können mit anderen Verschlüsselungseinstellungen in Ihrer Umgebung und Ihrem Windows-Betriebssystem interagieren. Berücksichtigen Sie, dass eine Verschlüsselungsstufe mit höherer Priorität entweder auf einem Server oder einem Benutzergerät festgelegt ist. In diesem Fall können die von Ihnen für veröffentlichte Ressourcen angegebenen Einstellungen überschrieben werden.

Sie können die Verschlüsselungsstufen erhöhen, um die Kommunikation und die Nachrichtenintegrität für bestimmte Benutzer weiter zu sichern. Wenn eine Richtlinie eine höhere Verschlüsselungsstufe erfordert, wird Citrix Receivers, die eine niedrigere Verschlüsselungsstufe verwenden, die Verbindung verweigert.

SecureICA führt keine Authentifizierung oder Überprüfung der Datenintegrität durch. Um eine End-to-End-Verschlüsselung für Ihre Site bereitzustellen, verwenden Sie SecureICA mit TLS-Verschlüsselung.

SecureICA verwendet keine FIPS-konformen Algorithmen. Wenn diese Einstellung ein Problem darstellt, konfigurieren Sie den Server und die Citrix Receiver so, dass SecureICA nicht verwendet wird.

SecureICA verwendet die RC5-Blockchiffre, wie in RFC 2040 beschrieben, zur Vertraulichkeit. Die Blockgröße beträgt 64 Bit (ein Vielfaches von 32-Bit-Worteinheiten). Die Schlüssellänge beträgt 128 Bit. Die Anzahl der Runden beträgt 12.

Schlüssel für die RC5-Blockchiffre werden bei der Erstellung einer Sitzung ausgehandelt. Die Aushandlung erfolgt mithilfe des Diffie-Hellman-Algorithmus. Diese Aushandlung verwendet öffentliche Diffie-Hellman-Parameter. Diese Parameter werden in der Windows-Registrierung gespeichert, wenn der Virtual Delivery Agent installiert wird. Öffentliche Parameter sind nicht geheim. Das Ergebnis der Diffie-Hellman-Aushandlung ist ein geheimer Schlüssel, aus dem die Sitzungsschlüssel für die RC5-Blockchiffre abgeleitet werden. Separate Sitzungsschlüssel werden für die Benutzeranmeldung und für die Datenübertragung verwendet. Außerdem werden separate Sitzungsschlüssel für den Datenverkehr zum und vom Virtual Delivery Agent verwendet. Daher gibt es vier Sitzungsschlüssel für jede Sitzung. Die geheimen Schlüssel und Sitzungsschlüssel werden nicht gespeichert. Initialisierungsvektoren für die RC5-Blockchiffre werden ebenfalls vom geheimen Schlüssel abgeleitet.