Sicherheitsaspekte und Best Practices

Hinweis:

Ihre Organisation muss möglicherweise bestimmte Sicherheitsstandards erfüllen, um regulatorischen Anforderungen gerecht zu werden. Dieses Dokument behandelt dieses Thema nicht, da sich solche Sicherheitsstandards im Laufe der Zeit ändern. Aktuelle Informationen zu Sicherheitsstandards und Citrix-Produkten finden Sie im Citrix Trust Center.

Firewalls

Schützen Sie alle Maschinen in Ihrer Umgebung mit Perimeter-Firewalls, einschließlich an Enklavengrenzen, wo dies angemessen ist.

Alle Maschinen in Ihrer Umgebung müssen durch eine persönliche Firewall geschützt sein. Wenn Sie Kernkomponenten und VDAs installieren, können Sie wählen, ob die für die Komponenten- und Feature-Kommunikation erforderlichen Ports automatisch geöffnet werden sollen, wenn der Windows-Firewall-Dienst erkannt wird (auch wenn die Firewall nicht aktiviert ist). Sie können diese Firewall-Ports auch manuell konfigurieren. Wenn Sie eine andere Firewall verwenden, müssen Sie diese manuell konfigurieren. Weitere Informationen zu den erforderlichen Ports finden Sie unter Tech Paper: Communication Ports Used by Citrix Technologies.

Wenn Sie eine konventionelle Umgebung auf diese Version migrieren, müssen Sie möglicherweise eine vorhandene Perimeter-Firewall neu positionieren oder neue Perimeter-Firewalls hinzufügen. Angenommen, es gibt eine Perimeter-Firewall zwischen einem herkömmlichen Client und einem Datenbankserver im Datencenter. Bei Verwendung dieser Version muss diese Perimeter-Firewall so platziert werden, dass der virtuelle Desktop und das Benutzergerät auf der einen Seite und die Datenbankserver und Delivery Controller im Datencenter auf der anderen Seite sind. Erwägen Sie daher, eine Enklave in Ihrem Datencenter zu erstellen, um die Datenbankserver und Controller aufzunehmen. Erwägen Sie auch einen Schutz zwischen dem Benutzergerät und dem virtuellen Desktop.

Hinweis:

Die TCP-Ports 1494 und 2598 werden für ICA und CGP verwendet und sind daher wahrscheinlich an Firewalls geöffnet, damit Benutzer außerhalb des Datencenters darauf zugreifen können. Citrix empfiehlt, diese Ports nicht für andere Zwecke zu verwenden, um die Möglichkeit zu vermeiden, administrative Schnittstellen versehentlich für Angriffe offen zu lassen. Die Ports 1494 und 2598 sind offiziell bei der Internet Assigned Number Authority (http://www.iana.org/) registriert.

Sichere Kommunikation mit Delivery Controller™

Kommunikation mit HTTPS verschlüsseln

StoreFront und NetScaler Gateway kommunizieren mit dem XML-Dienst, der auf dem Delivery Controller ausgeführt wird, über HTTP oder HTTPS. Je nach Konfiguration können VDAs über WebSocket mit dem Delivery Controller kommunizieren. Director kommuniziert mit den Überwachungsdaten über OData über HTTP oder HTTPS. Es wird empfohlen, HTTPS zu aktivieren und HTTP zu deaktivieren. Dies erfordert, dass Sie TLS auf Delivery Controllern aktivieren.

• Informationen zum Konfigurieren von StoreFront für die Verbindung über HTTPS finden Sie unter Ressourcenfeeds für Citrix Virtual Apps and Desktops hinzufügen und Citrix Gateway-Appliance hinzufügen.

• Informationen zum Konfigurieren eines NetScaler Gateways für die Verbindung mit dem Delivery Controller über HTTPS finden Sie unter Konfigurieren der Secure Ticket Authority auf NetScaler Gateway.

Sicherheitsschlüssel

Sie können Sicherheitsschlüssel verwenden, um sicherzustellen, dass nur autorisierte StoreFront- und NetScaler-Server über die Cloud-Konnektoren eine Verbindung zu DaaS herstellen können. Dies ist besonders wichtig, wenn Sie XML-Vertrauen aktiviert haben.

XML-Vertrauen

Standardmäßig muss StoreFront, wenn es sich mit dem Delivery Controller für Aktionen wie die Enumeration und den Start verbindet, die Active Directory-Anmeldeinformationen des Benutzers weitergeben, damit DaaS den Benutzer authentifizieren und dessen Gruppenmitgliedschaft überprüfen kann. Bei der Verwendung anderer Authentifizierungsmethoden wie Domain-Pass-Through, Smartcards oder SAML verfügt StoreFront jedoch nicht über das Active Directory-Passwort. In diesem Fall müssen Sie „XML-Vertrauen“ aktivieren. Wenn XML-Vertrauen aktiviert ist, ermöglicht Citrix Virtual Apps and Desktops StoreFront, Aktionen im Namen eines Benutzers auszuführen, wie z. B. das Auflisten und Starten von Anwendungen, ohne das Passwort des Benutzers zu validieren. Bevor Sie XML-Vertrauen aktivieren, verwenden Sie Sicherheitsschlüssel oder einen anderen Mechanismus wie Firewalls oder IPsec, um sicherzustellen, dass nur vertrauenswürdige StoreFront-Server eine Verbindung zu den Delivery Controllern herstellen können.

Verwenden Sie das Citrix Virtual Apps and Desktops PowerShell SDK, um die XML-Vertrauenseinstellung zu überprüfen, zu aktivieren oder zu deaktivieren.

• Um den aktuellen Wert der XML-Vertrauenseinstellung zu überprüfen, führen Sie Get-BrokerSite aus und prüfen Sie den Wert von TrustRequestsSentToTheXMLServicePort.
• Um XML-Vertrauen zu aktivieren oder zu deaktivieren, führen Sie Set-BrokerSite mit dem Parameter TrustRequestsSentToTheXmlServicePort aus.

Kommunikation zwischen VDA und Delivery Controller

Es gibt zwei Mechanismen für die Kommunikation von VDAs mit Controllern.

• Windows Communication Foundation

  Der Nachrichtenebenenschutz der Windows Communication Foundation (WCF) sichert die Kommunikation zwischen dem Delivery Controller und dem VDA. Dadurch entfällt die Notwendigkeit eines zusätzlichen Transportebenen-Schutzes mittels TLS. Der Standardport für die Kommunikation zwischen VDA und Delivery Controller ist 80. Sie können den Port jedoch anpassen. Weitere Informationen finden Sie unter Anpassen eines VDA.

  Informationen zur Nachrichtensicherheit in WCF finden Sie in der Microsoft-Dokumentation Nachrichtensicherheit in WCF.

  Die WCF-Konfiguration verwendet Kerberos zur gegenseitigen Authentifizierung zwischen Controller und VDA. Die Verschlüsselung verwendet AES im CBC-Modus mit einem 256-Bit-Schlüssel. Die Nachrichtenintegrität verwendet SHA-1.

  Laut Microsoft entsprechen die von WCF verwendeten Sicherheits-Protokolle den Standards von OASIS (Organization for the Advancement of Structured Information Standards), einschließlich WS-SecurityPolicy 1.2. Außerdem gibt Microsoft an, dass WCF alle in Security Policy 1.2 aufgeführten Algorithmus-Suites unterstützt.

  Die Kommunikation zwischen Controller und VDA verwendet die basic256-Algorithmus-Suite, deren Algorithmen wie zuvor beschrieben sind.

  Die WCF-Konfiguration verwendet das SOAP über HTTP-Protokoll zusammen mit der Nachrichtenebenen-Sicherheitsverschlüsselung.

• WebSockets

  Dies ist der moderne Ersatz für WCF. Es bietet den Vorteil, dass nur der TLS-Port 443 für die Kommunikation vom VDA zum Delivery Controller verwendet wird. Es ist derzeit nur für MCS-bereitgestellte Maschinen verfügbar. Weitere Informationen finden Sie unter (/de-de/citrix-virtual-apps-desktops/2503/secure/websocket-vda-support).

Sichere Kommunikation zwischen Delivery Controller und Lizenzserver

Der Delivery Controller kommuniziert über HTTPS mit dem Lizenzserver. Standardmäßig wird ein selbstsigniertes Zertifikat verwendet, es wird jedoch empfohlen, dieses durch ein von einer Unternehmens- oder öffentlichen Zertifizierungsstelle ausgestelltes Zertifikat zu ersetzen. Weitere Informationen finden Sie unter Manuelles Installieren eines Zertifikats, das vom Citrix Licensing Manager und den Webdiensten für die Lizenzierung verwendet wird.

Sichere Kommunikation zwischen Webbrowsern und Web Studio und Director

Web Studio und Director können auf derselben Maschine wie der Delivery Controller oder auf separaten Maschinen installiert werden. Benutzer verbinden sich über einen Webbrowser mit Web Studio und Director. Standardmäßig aktiviert Web Studio HTTPS mit einem selbstsignierten Zertifikat, während Director, wenn es eigenständig installiert wird, HTTPS nicht konfiguriert. Es wird empfohlen, (/de-de/citrix-virtual-apps-desktops/2503/secure/tls-studio) mit einem geeigneten Zertifikat zu aktivieren.

Sichern der ICA®-Kommunikation

Citrix Virtual Apps and Desktops™ bietet mehrere Optionen zur Sicherung des ICA-Datenverkehrs zwischen Client und VDA. Die folgenden Optionen stehen zur Verfügung:

• Grundlegende Verschlüsselung: Die Standardeinstellung.
• SecureICA: Ermöglicht die Verschlüsselung von Sitzungsdaten mit RC5 (128-Bit)-Verschlüsselung.
• VDA TLS/DTLS: Ermöglicht die Verwendung von Verschlüsselung auf Netzwerkebene mittels TLS/DTLS.

Grundlegende Verschlüsselung

Bei Verwendung der grundlegenden Verschlüsselung wird der Datenverkehr wie in der folgenden Grafik dargestellt verschlüsselt.

SecureICA

Bei Verwendung von SecureICA wird der Datenverkehr wie in der folgenden Abbildung dargestellt verschlüsselt.

Datenverkehrsverschlüsselung bei Verwendung von SecureICA(/de-de/citrix-virtual-apps-desktops/2503/media/secureica.png)

Weitere Informationen finden Sie unter Sicherheitsrichtlinieneinstellungen

Hinweis 1:

SecureICA wird mit der Workspace-App für HTML5 nicht unterstützt.

Hinweis 2:

Citrix SecureICA ist Teil des ICA/HDX-Protokolls, aber es ist kein standardkonformes Netzwerksicherheitsprotokoll wie Transport Layer Security (TLS).

VDA TLS/DTLS

Bei Verwendung der VDA TLS/DTLS-Verschlüsselung wird der Datenverkehr wie in der folgenden Abbildung dargestellt verschlüsselt.

Datenverkehrsverschlüsselung bei Verwendung von TLS/DTLS(/de-de/citrix-virtual-apps-desktops/2503/media/vda-tls.png)

Informationen zum Konfigurieren von VDA TLS/DTLS finden Sie unter TLS-Einstellungen auf VDAs.

Virtuelle Kanäle

Verwenden Sie die Zulassungsliste für virtuelle Kanäle, um zu steuern, welche Nicht-Citrix-virtuellen Kanäle in Ihrer Umgebung zugelassen sind.

Sichere Kommunikation mit dem Druckserver

Sie können TLS für TCP-basierte Verbindungen zwischen dem Virtual Delivery Agent (VDA) und dem Universal Print Server aktivieren. Weitere Informationen finden Sie unter Transport Layer Security (TLS) auf dem Universal Print Server.

Sichere Kommunikation mit der Site-Datenbank

Informationen zum Aktivieren von TLS für die Site-Datenbank finden Sie unter CTX137556.

VDA-Maschinensicherheit

Allgemeine Empfehlungen

Stellen Sie sicher, dass Ihre VDAs mit den neuesten Betriebssicherheitsupdates und Antivirenprogrammen auf dem neuesten Stand gehalten werden.

Anwendungssicherheit

Um zu verhindern, dass Nicht-Administratorbenutzer bösartige Aktionen ausführen, empfiehlt Citrix®, dass Sie Windows AppLocker-Regeln für Installationsprogramme, Anwendungen, ausführbare Dateien und Skripte auf dem VDA-Host konfigurieren.

8.3-Dateinamen

Sie können 8.3-Dateinamen auf VDAs deaktivieren. Siehe Microsoft fsutil-Dokumentation.

Überlegungen zur Datenspeicherung

Ihre Desktop-Umgebung kann aus verschiedenen Arten von Desktops bestehen, z. B. gepoolten und dedizierten Desktops. Benutzer dürfen niemals Daten auf Desktops speichern, die von mehreren Benutzern gemeinsam genutzt werden, wie z. B. gepoolte Desktops. Wenn Benutzer Daten auf dedizierten Desktops speichern, müssen diese Daten entfernt werden, wenn der Desktop später anderen Benutzern zur Verfügung gestellt wird.

Benutzerkontenverwaltung

Wenden Sie die bewährten Windows-Methoden für die Kontenverwaltung an. Erstellen Sie kein Konto auf einer Vorlage oder einem Image, bevor es von Machine Creation Services oder Provisioning Services dupliziert wird. Planen Sie keine Aufgaben mit gespeicherten privilegierten Domänenkonten. Erstellen Sie keine manuellen freigegebenen Active Directory-Computerkonten. Diese Praktiken helfen, einen Maschinenangriff zu verhindern, bei dem lokale persistente Kontopasswörter erlangt und dann zum Anmelden an MCS/PVS-Freigabe-Images anderer verwendet werden.

Gewähren Sie Benutzern nur die Berechtigungen, die sie benötigen. Microsoft Windows-Berechtigungen werden weiterhin auf die übliche Weise auf Desktops angewendet: Konfigurieren Sie Berechtigungen über die Zuweisung von Benutzerrechten und Gruppenmitgliedschaften über Gruppenrichtlinien. Ein Vorteil dieser Version ist, dass es möglich ist, einem Benutzer administrative Rechte für einen Desktop zu gewähren, ohne gleichzeitig die physische Kontrolle über den Computer zu gewähren, auf dem der Desktop gespeichert ist.

Beachten Sie bei der Planung von Desktop-Berechtigungen Folgendes:

• Standardmäßig sehen nicht-privilegierte Benutzer, wenn sie sich mit einem Desktop verbinden, die Zeitzone des Systems, auf dem der Desktop ausgeführt wird, anstatt der Zeitzone ihres eigenen Benutzergeräts. Informationen dazu, wie Benutzer ihre lokale Zeit bei der Verwendung von Desktops sehen können, finden Sie im Artikel Manage Delivery Groups.
• Ein Benutzer, der Administrator auf einem Desktop ist, hat die volle Kontrolle über diesen Desktop. Wenn es sich bei einem Desktop um einen gepoolten und nicht um einen dedizierten Desktop handelt, muss dem Benutzer in Bezug auf alle anderen Benutzer dieses Desktops, einschließlich zukünftiger Benutzer, vertraut werden. Alle Benutzer des Desktops müssen sich des potenziellen dauerhaften Risikos für die Datensicherheit bewusst sein, das diese Situation mit sich bringt. Diese Überlegung gilt nicht für dedizierte Desktops, die nur einen einzigen Benutzer haben; dieser Benutzer sollte kein Administrator auf einem anderen Desktop sein.
• Ein Benutzer, der Administrator auf einem Desktop ist, kann im Allgemeinen Software auf diesem Desktop installieren, einschließlich potenziell bösartiger Software. Der Benutzer kann auch den Datenverkehr in jedem mit dem Desktop verbundenen Netzwerk überwachen oder steuern.

Anmelderechte verwalten

Anmelderechte sind sowohl für Benutzerkonten als auch für Computerkonten erforderlich. Wie bei Microsoft Windows-Berechtigungen werden Anmelderechte weiterhin auf die übliche Weise auf Desktops angewendet: Konfigurieren Sie Anmelderechte über die Zuweisung von Benutzerrechten und Gruppenmitgliedschaften über die Gruppenrichtlinie.

Die Windows-Anmelderechte sind: lokal anmelden, über Remotedesktopdienste anmelden, über das Netzwerk anmelden (auf diesen Computer vom Netzwerk aus zugreifen), als Batchauftrag anmelden und als Dienst anmelden.

Gewähren Sie Computerkonten nur die Anmelderechte, die sie benötigen. Das Anmeldeberechtigung „Auf diesen Computer vom Netzwerk aus zugreifen“ ist für die Computerkonten der Delivery Controller erforderlich.

Gewähren Sie Benutzerkonten nur die Anmelderechte, die sie benötigen.

Laut Microsoft wird der Gruppe „Remotedesktopbenutzer“ standardmäßig das Anmeldeberechtigung „Anmeldung über Remotedesktopdienste zulassen“ gewährt (außer auf Domänencontrollern).

Die Sicherheitsrichtlinie Ihrer Organisation kann explizit festlegen, dass diese Gruppe von diesem Anmeldeberechtigung entfernt werden sollte. Berücksichtigen Sie den folgenden Ansatz:

• Der Virtual Delivery Agent (VDA) für Multi-Session OS verwendet Microsoft Remotedesktopdienste. Sie können die Gruppe „Remotedesktopbenutzer“ als eingeschränkte Gruppe konfigurieren und die Mitgliedschaft in der Gruppe über Active Directory-Gruppenrichtlinien steuern. Weitere Informationen finden Sie in der Microsoft-Dokumentation.
• Für andere Komponenten von Citrix Virtual Apps and Desktops, einschließlich des VDA für Single-Session OS, ist die Gruppe „Remotedesktopbenutzer“ nicht erforderlich. Daher benötigt die Gruppe „Remotedesktopbenutzer“ für diese Komponenten nicht das Anmeldeberechtigung „Anmeldung über Remotedesktopdienste zulassen“; Sie können es entfernen. Zusätzlich:
  • Wenn Sie diese Computer über Remotedesktopdienste verwalten, stellen Sie sicher, dass alle diese Administratoren bereits Mitglieder der Gruppe „Administratoren“ sind.
  • Wenn Sie diese Computer nicht über Remotedesktopdienste verwalten, sollten Sie die Remotedesktopdienste selbst auf diesen Computern deaktivieren.

Obwohl es möglich ist, Benutzer und Gruppen zum Anmeldeberechtigung „Anmeldung über Remotedesktopdienste verweigern“ hinzuzufügen, wird die Verwendung von verweigerten Anmeldeberechtigungen im Allgemeinen nicht empfohlen. Weitere Informationen finden Sie in der Microsoft-Dokumentation.

Sicherheit des Delivery Controllers

Windows-Dienste auf dem Delivery Controller

Die Installation des Delivery Controllers erstellt die folgenden Windows-Dienste:

• Citrix AD Identity Service (NT SERVICE\CitrixADIdentityService): Verwaltet Microsoft Active Directory-Computerkonten für VMs.
• Citrix Analytics (NT SERVICE\CitrixAnalytics): Erfasst Informationen zur Nutzung der Sitekonfiguration für Citrix, sofern diese Erfassung vom Siteadministrator genehmigt wurde. Anschließend werden diese Informationen an Citrix übermittelt, um das Produkt zu verbessern.
• Citrix App Library (NT SERVICE\CitrixAppLibrary): Unterstützt die Verwaltung und Bereitstellung von AppDisks, die AppDNA-Integration und die Verwaltung von App-V.
• Citrix Broker Service (NT SERVICE\CitrixBrokerService): Wählt die virtuellen Desktops oder Anwendungen aus, die Benutzern zur Verfügung stehen.
• Citrix Configuration Logging Service (NT SERVICE\CitrixConfigurationLogging): Zeichnet alle Konfigurationsänderungen und andere Statusänderungen auf, die von Administratoren an der Site vorgenommen wurden.
• Citrix Configuration Service (NT SERVICE\CitrixConfigurationService): Site-weites Repository für die gemeinsame Konfiguration.
• Citrix Delegated Administration Service (NT SERVICE\CitrixDelegatedAdmin): Verwaltet die Administratoren erteilten Berechtigungen.
• Citrix Environment Test Service (NT SERVICE\CitrixEnvTest): Verwaltet Selbsttests der anderen Delivery Controller-Dienste.
• Citrix Host Service (NT SERVICE\CitrixHostService): Speichert Informationen über die in einer Citrix Virtual Apps- oder Citrix Virtual Desktops-Bereitstellung verwendeten Hypervisor-Infrastrukturen und bietet auch Funktionen, die von der Konsole zum Auflisten von Ressourcen in einem Hypervisor-Pool verwendet werden.
• Citrix Machine Creation Services (NT SERVICE\CitrixMachineCreationService): Orchestriert die Erstellung von Desktop-VMs.
• Citrix Monitor Service (NT SERVICE\CitrixMonitor): Erfasst Metriken für Citrix Virtual Apps oder Citrix Virtual Desktops, speichert historische Informationen und bietet eine Abfrageschnittstelle für Fehlerbehebungs- und Berichtstools.
• Citrix StoreFront Service (NT SERVICE\ CitrixStorefront): Unterstützt die Verwaltung von StoreFront. (Er ist nicht Teil der StoreFront-Komponente selbst.)
• Citrix StoreFront Privileged Administration Service (NT SERVICE\CitrixPrivilegedService): Unterstützt privilegierte Verwaltungsoperationen von StoreFront. (Es ist nicht Teil der StoreFront-Komponente selbst.)
• Citrix Config Synchronizer Service (NT SERVICE\CitrixConfigSyncService): Überträgt Konfigurationsdaten von der Haupt-Sitedatenbank in den lokalen Hostcache.
• Citrix High Availability Service (NT SERVICE\CitrixHighAvailabilityService): Wählt die virtuellen Desktops oder Anwendungen aus, die Benutzern zur Verfügung stehen, wenn die Haupt-Sitedatenbank nicht verfügbar ist.

Die Installation des Delivery Controllers erstellt auch die folgenden Windows-Dienste. Diese werden auch bei der Installation mit anderen Citrix-Komponenten erstellt:

• Citrix Diagnostic Facility COM Server (NT SERVICE\CdfSvc): Unterstützt die Sammlung diagnostischer Informationen zur Verwendung durch den Citrix Support.
• Citrix Telemetry Service (NT SERVICE\CitrixTelemetryService): Sammelt Diagnoseinformationen zur Analyse durch Citrix, sodass die Analyseergebnisse und Empfehlungen von Administratoren eingesehen werden können, um Probleme mit der Site zu diagnostizieren.

Die Installation des Delivery Controllers erstellt auch den folgenden Windows-Dienst. Dieser wird derzeit nicht verwendet. Wenn er aktiviert wurde, deaktivieren Sie ihn.

• Citrix Remote Broker Provider (NT SERVICE\XaXdCloudProxy)

Die Installation des Delivery Controllers erstellt auch die folgenden Windows-Dienste. Diese werden derzeit nicht verwendet, müssen aber aktiviert werden. Deaktivieren Sie sie nicht.

• Citrix Orchestration Service (NT SERVICE\CitrixOrchestration)
• Citrix Trust Service (NT SERVICE\CitrixTrust)

Mit Ausnahme des Citrix StoreFront™ Privileged Administration Service erhalten diese Dienste das Anmelde-Recht „Als Dienst anmelden“ und die Berechtigungen „Arbeitsspeicher-Kontingente für einen Prozess anpassen“, „Sicherheitsüberwachungen generieren“ und „Prozessebene-Token ersetzen“. Sie müssen diese Benutzerrechte nicht ändern. Diese Berechtigungen werden vom Delivery Controller nicht verwendet und sind automatisch deaktiviert.

Mit Ausnahme des Citrix StoreFront Privileged Administration Service und des Citrix Telemetry Service sind die zuvor aufgeführten Windows-Dienste des Delivery Controllers so konfiguriert, dass sie sich als Identität des Netzwerkdienstes (NETWORK SERVICE) anmelden. Ändern Sie diese Dienst-Einstellungen nicht.

Der Citrix Config Synchronizer Service benötigt, dass das NETWORK SERVICE-Konto zur Gruppe der lokalen Administratoren auf dem Delivery Controller gehört. Dies ermöglicht dem lokalen Hostcache, korrekt zu funktionieren.

Der Citrix StoreFront Privileged Administration Service ist so konfiguriert, dass er sich als Lokales System (NT AUTHORITY\SYSTEM) anmeldet. Dies ist für Delivery Controller StoreFront-Operationen erforderlich, die normalerweise für Dienste nicht verfügbar sind (einschließlich der Erstellung von Microsoft IIS-Sites). Ändern Sie seine Dienst-Einstellungen nicht.

Der Citrix Telemetry Service ist so konfiguriert, dass er sich als eigene dienstspezifische Identität anmeldet.

Sie können den Citrix Telemetry Service deaktivieren. Abgesehen von diesem Dienst und bereits deaktivierten Diensten sollten Sie keine anderen dieser Delivery Controller Windows-Dienste deaktivieren.

Anmeldeberechtigungen verwalten

Die Computerkonten von VDAs müssen das Anmeldeberechtigung „Zugriff auf diesen Computer vom Netzwerk aus“ haben. Siehe Controller-Erkennung auf Basis von Active Directory-OUs.

Clientzugriff

Der Clientzugriff wird normalerweise durch die Bereitstellung von Citrix StoreFront ermöglicht. Weitere Informationen zur Absicherung von StoreFront finden Sie in der StoreFront-Dokumentation.

Um Remote-Benutzern eine sichere Verbindung zu StoreFront und den VDAs zu ermöglichen, stellen Sie ein NetScaler® Gateway bereit.

Citrix empfiehlt, dass Clients über die Citrix Workspace-App eine Verbindung zu StoreFront herstellen. Weitere Informationen finden Sie in den Sicherheitsabschnitten der Dokumentation für die Citrix Workspace-App für jedes Betriebssystem. Alternativ können Benutzer einen Webbrowser verwenden, um auf StoreFront zuzugreifen.

Erwägen Sie, Benutzern Thin Clients zur Verfügung zu stellen, bei denen die Benutzer nur eingeschränkt andere Anwendungen als die Citrix Workspace™-App ausführen können. Wenn Geräte von Ihrer Organisation verwaltet werden, sollten Sie Richtlinien festlegen, um die Bereitstellung von Betriebssystem-Sicherheitsupdates und Antivirensoftware sicherzustellen. In vielen Fällen müssen Benutzer jedoch in der Lage sein, sich von nicht verwalteten Geräten außerhalb der Kontrolle Ihrer Organisation zu verbinden. Erwägen Sie die Verwendung der folgenden Funktionen:

• Endpoint Analysis zum Scannen von Endpunkten auf Sicherheitsinformationen wie Betriebssystem und Antivirus und zum Verweigern des Zugriffs auf Clients, die Ihre Sicherheitsanforderungen nicht erfüllen.
• App Protection blockiert Keylogger und Bildschirmaufnahmen.

Umgebungen mit gemischten Versionen

Umgebungen mit gemischten Versionen, z. B. wenn die VDAs eine andere Version als der Delivery Controller haben, sind bei einigen Upgrades unvermeidlich. Befolgen Sie Best Practices und minimieren Sie die Zeit, in der Citrix Komponenten unterschiedlicher Versionen koexistieren. In Umgebungen mit gemischten Versionen wird die Sicherheitsrichtlinie beispielsweise möglicherweise nicht einheitlich durchgesetzt.

Hinweis:

Dies ist typisch für andere Softwareprodukte. Die Verwendung einer früheren Version von Active Directory erzwingt die Gruppenrichtlinie bei späteren Windows-Versionen nur teilweise.

Das folgende Szenario beschreibt ein Sicherheitsproblem, das in einer bestimmten Citrix-Umgebung mit gemischten Versionen auftreten kann. Wenn Citrix Receiver 1.7 verwendet wird, um eine Verbindung zu einem virtuellen Desktop herzustellen, auf dem der VDA in XenApp und XenDesktop 7.6 Feature Pack 2 ausgeführt wird, ist die Richtlinieneinstellung Dateiübertragung zwischen Desktop und Client zulassen in der Site aktiviert, kann aber nicht von einem Delivery Controller deaktiviert werden, der XenApp und XenDesktop 7.1 ausführt. Er erkennt die Richtlinieneinstellung nicht, die in der späteren Version des Produkts veröffentlicht wurde. Diese Richtlinieneinstellung ermöglicht Benutzern das Hoch- und Herunterladen von Dateien auf ihren virtuellen Desktop, was das Sicherheitsproblem darstellt. Um dies zu umgehen, aktualisieren Sie den Delivery Controller (oder eine eigenständige Instanz von Studio) auf Version 7.6 Feature Pack 2 und verwenden Sie dann die Gruppenrichtlinie, um die Richtlinieneinstellung zu deaktivieren. Alternativ verwenden Sie die lokale Richtlinie auf allen betroffenen virtuellen Desktops.

Sicherheitsüberlegungen für Remote PC Access

Remote PC Access implementiert die folgenden Sicherheitsfunktionen:

• Die Verwendung von Smartcards wird unterstützt.
• Wenn eine Remotesitzung verbunden wird, erscheint der Monitor des Büro-PCs leer.
• Remote PC Access leitet alle Tastatur- und Mauseingaben an die Remotesitzung um, mit Ausnahme von STRG+ALT+ENTF und USB-fähigen Smartcards und biometrischen Geräten.
• SmoothRoaming wird nur für einen einzelnen Benutzer unterstützt.
• Wenn ein Benutzer eine Remotesitzung mit einem Büro-PC verbunden hat, kann nur dieser Benutzer den lokalen Zugriff auf den Büro-PC wiederherstellen. Um den lokalen Zugriff wiederherzustellen, drückt der Benutzer Strg-Alt-Entf auf dem lokalen PC und meldet sich dann mit denselben Anmeldeinformationen an, die von der Remotesitzung verwendet wurden. Der Benutzer kann den lokalen Zugriff auch durch Einstecken einer Smartcard oder durch Nutzung biometrischer Daten wiederherstellen, sofern Ihr System über eine entsprechende Integration eines Drittanbieter-Anmeldeinformationsanbieters verfügt. Dieses Standardverhalten kann durch Aktivieren der schnellen Benutzerumschaltung (Fast User Switching) über Gruppenrichtlinienobjekte (GPOs) oder durch Bearbeiten der Registrierung außer Kraft gesetzt werden.

Hinweis:

Citrix empfiehlt, allgemeinen Sitzungsbenutzern keine VDA-Administratorrechte zuzuweisen.

Automatische Zuweisungen

Standardmäßig unterstützt Remote PC Access die automatische Zuweisung mehrerer Benutzer zu einem VDA. In XenDesktop 5.6 Feature Pack 1 können Administratoren dieses Verhalten mithilfe des PowerShell-Skripts RemotePCAccess.ps1 außer Kraft setzen. Diese Version verwendet einen Registrierungseintrag, um mehrere automatische Remote-PC-Zuweisungen zuzulassen oder zu verbieten. Diese Einstellung gilt für die gesamte Site.

Vorsicht:

Eine falsche Bearbeitung der Registrierung kann schwerwiegende Probleme verursachen, die eine Neuinstallation Ihres Betriebssystems erforderlich machen können. Citrix kann nicht garantieren, dass Probleme, die aus der falschen Verwendung des Registrierungs-Editors resultieren, behoben werden können. Verwenden Sie den Registrierungs-Editor auf eigenes Risiko. Sichern Sie die Registrierung unbedingt, bevor Sie sie bearbeiten.

Um automatische Zuweisungen auf einen einzelnen Benutzer zu beschränken:

Legen Sie auf jedem Controller im Site den folgenden Registrierungseintrag fest:

HKEY\_LOCAL\_MACHINE\Software\Citrix|DesktopServer
Name: AllowMultipleRemotePCAssignments
Type: REG_DWORD
Data: 0 = Disable multiple user assignment, 1 = (Default) Enable multiple user assignment.

Wenn vorhandene Benutzerzuweisungen vorhanden sind, entfernen Sie diese mithilfe von SDK-Befehlen, damit der VDA anschließend für eine einzelne automatische Zuweisung infrage kommt.

• Entfernen Sie alle zugewiesenen Benutzer vom VDA: $machine.AssociatedUserNames | %{ Remove-BrokerUser-Name $_ -Machine $machine
• Entfernen Sie den VDA aus der Bereitstellungsgruppe: $machine | Remove-BrokerMachine -DesktopGroup $desktopGroup

Starten Sie den physischen Büro-PC neu.