Sicherheitsrichtlinieneinstellungen

Der Abschnitt Sicherheit enthält die Richtlinieneinstellung zum Konfigurieren der Sitzungsverschlüsselung und der Verschlüsselung von Anmeldedaten.

SecureICA – Mindestverschlüsselungsstufe

Diese Einstellung gibt die Mindeststufe an, auf der Sitzungsdaten, die zwischen dem Server und einem Benutzergerät gesendet werden, verschlüsselt werden.

Wichtig: Für den Virtual Delivery Agent 7.x kann diese Richtlinieneinstellung nur verwendet werden, um die Verschlüsselung der Anmeldedaten mit RC5 128-Bit-Verschlüsselung zu aktivieren. Andere Einstellungen dienen nur der Abwärtskompatibilität mit älteren Versionen von Citrix Virtual Apps and Desktops.

Für den VDA 7.x wird die Verschlüsselung von Sitzungsdaten über die Basiseinstellungen der Delivery Group des VDA festgelegt. Wenn „Secure ICA aktivieren“ für die Delivery Group ausgewählt ist, werden die Sitzungsdaten mit RC5 (128 Bit) verschlüsselt. Wenn „Secure ICA aktivieren“ für die Delivery Group nicht ausgewählt ist, werden die Sitzungsdaten mit einfacher Verschlüsselung verschlüsselt.

Wenn Sie diese Einstellung zu einer Richtlinie hinzufügen, wählen Sie eine Option aus:

• Basic verschlüsselt die Clientverbindung mit einem Nicht-RC5-Algorithmus. Es schützt den Datenstrom vor direktem Auslesen, kann aber entschlüsselt werden. Standardmäßig verwendet der Server die Basic-Verschlüsselung für den Client-Server-Datenverkehr.
• RC5 (128 Bit) nur Anmeldung verschlüsselt die Anmeldedaten mit RC5 128-Bit-Verschlüsselung und die Clientverbindung mit Basic-Verschlüsselung.
• RC5 (40 Bit) verschlüsselt die Clientverbindung mit RC5 40-Bit-Verschlüsselung.
• RC5 (56 Bit) verschlüsselt die Clientverbindung mit RC5 56-Bit-Verschlüsselung.
• RC5 (128 Bit) verschlüsselt die Clientverbindung mit RC5 128-Bit-Verschlüsselung.

Die von Ihnen für die Client-Server-Verschlüsselung angegebenen Einstellungen können mit anderen Verschlüsselungseinstellungen in Ihrer Umgebung und Ihrem Windows-Betriebssystem interagieren. Berücksichtigen Sie, dass eine höhere Priorität der Verschlüsselungsstufe entweder auf einem Server oder einem Benutzergerät festgelegt ist. In diesem Fall können die von Ihnen für veröffentlichte Ressourcen angegebenen Einstellungen überschrieben werden.

Sie können die Verschlüsselungsstufen erhöhen, um die Kommunikation und die Nachrichtenintegrität für bestimmte Benutzer weiter zu sichern. Wenn eine Richtlinie eine höhere Verschlüsselungsstufe erfordert, wird Citrix Receivern, die eine niedrigere Verschlüsselungsstufe verwenden, die Verbindung verweigert.

SecureICA führt keine Authentifizierung oder Datenintegritätsprüfung durch. Um eine End-to-End-Verschlüsselung für Ihre Site bereitzustellen, verwenden Sie SecureICA mit TLS-Verschlüsselung.

SecureICA verwendet keine FIPS-konformen Algorithmen. Wenn diese Einstellung ein Problem darstellt, konfigurieren Sie den Server und die Citrix Receiver so, dass SecureICA nicht verwendet wird.

SecureICA verwendet die RC5-Blockchiffre, wie in RFC 2040 beschrieben, zur Vertraulichkeit. Die Blockgröße beträgt 64 Bit (ein Vielfaches von 32-Bit-Worteinheiten). Die Schlüssellänge beträgt 128 Bit. Die Anzahl der Runden beträgt 12.

Schlüssel für die RC5-Blockchiffre werden bei der Erstellung einer Sitzung ausgehandelt. Die Aushandlung erfolgt mithilfe des Diffie-Hellman-Algorithmus. Diese Aushandlung verwendet öffentliche Diffie-Hellman-Parameter. Diese Parameter werden in der Windows-Registrierung gespeichert, wenn der Virtual Delivery Agent installiert wird. Öffentliche Parameter sind nicht geheim. Das Ergebnis der Diffie-Hellman-Aushandlung ist ein geheimer Schlüssel, aus dem die Sitzungsschlüssel für die RC5-Blockchiffre abgeleitet werden. Separate Sitzungsschlüssel werden für die Benutzeranmeldung und für die Datenübertragung verwendet. Außerdem werden separate Sitzungsschlüssel für den Datenverkehr zum und vom Virtual Delivery Agent verwendet. Daher gibt es vier Sitzungsschlüssel für jede Sitzung. Die geheimen Schlüssel und Sitzungsschlüssel werden nicht gespeichert. Initialisierungsvektoren für die RC5-Blockchiffre werden ebenfalls vom geheimen Schlüssel abgeleitet.