Sicherheitsrichtlinieneinstellungen

Der Abschnitt Sicherheit enthält die Richtlinieneinstellung zum Konfigurieren der Sitzungsverschlüsselung und der Verschlüsselung von Anmeldedaten.

SecureICA – Mindestverschlüsselungsstufe

Diese Einstellung gibt die Mindeststufe an, auf der Sitzungsdaten verschlüsselt werden, die zwischen dem Server und einem Benutzergerät gesendet werden.

Wichtig: Für den Virtual Delivery Agent 7.x kann diese Richtlinieneinstellung nur verwendet werden, um die Verschlüsselung der Anmeldedaten mit RC5 128-Bit-Verschlüsselung zu aktivieren. Andere Einstellungen dienen nur der Abwärtskompatibilität mit älteren Versionen von Citrix Virtual Apps and Desktops.

Für den VDA 7.x wird die Verschlüsselung der Sitzungsdaten über die Basiseinstellungen der Bereitstellungsgruppe des VDA festgelegt. Wenn für die Bereitstellungsgruppe „Secure ICA aktivieren“ ausgewählt ist, werden die Sitzungsdaten mit RC5 (128 Bit) verschlüsselt. Wenn für die Bereitstellungsgruppe „Secure ICA aktivieren“ nicht ausgewählt ist, werden die Sitzungsdaten mit einfacher Verschlüsselung verschlüsselt.

Wenn Sie diese Einstellung einer Richtlinie hinzufügen, wählen Sie eine Option aus:

• Basic verschlüsselt die Clientverbindung mit einem Nicht-RC5-Algorithmus. Es schützt den Datenstrom davor, direkt gelesen zu werden, kann aber entschlüsselt werden. Standardmäßig verwendet der Server die Basic-Verschlüsselung für den Client-Server-Datenverkehr.
• RC5 (128 Bit) nur Anmeldung verschlüsselt die Anmeldedaten mit RC5 128-Bit-Verschlüsselung und die Clientverbindung mit Basic-Verschlüsselung.
• RC5 (40 Bit) verschlüsselt die Clientverbindung mit RC5 40-Bit-Verschlüsselung.
• RC5 (56 Bit) verschlüsselt die Clientverbindung mit RC5 56-Bit-Verschlüsselung.
• RC5 (128 Bit) verschlüsselt die Clientverbindung mit RC5 128-Bit-Verschlüsselung.

Die Einstellungen, die Sie für die Client-Server-Verschlüsselung angeben, können mit anderen Verschlüsselungseinstellungen in Ihrer Umgebung und Ihrem Windows-Betriebssystem interagieren. Berücksichtigen Sie, dass eine Verschlüsselungsstufe mit höherer Priorität entweder auf einem Server oder einem Benutzergerät festgelegt ist. In diesem Fall können die Einstellungen, die Sie für veröffentlichte Ressourcen angeben, überschrieben werden.

Sie können die Verschlüsselungsstufen erhöhen, um die Kommunikation und die Nachrichtenintegrität für bestimmte Benutzer weiter zu sichern. Wenn eine Richtlinie eine höhere Verschlüsselungsstufe erfordert, wird Citrix Receivern, die eine niedrigere Verschlüsselungsstufe verwenden, die Verbindung verweigert.

SecureICA führt keine Authentifizierung oder Datenintegritätsprüfung durch. Um eine End-to-End-Verschlüsselung für Ihre Site bereitzustellen, verwenden Sie SecureICA mit TLS-Verschlüsselung.

SecureICA verwendet keine FIPS-konformen Algorithmen. Wenn diese Einstellung ein Problem darstellt, konfigurieren Sie den Server und die Citrix Receiver so, dass SecureICA nicht verwendet wird.

SecureICA verwendet die RC5-Blockchiffre, wie in RFC 2040 beschrieben, zur Vertraulichkeit. Die Blockgröße beträgt 64 Bit (ein Vielfaches von 32-Bit-Worteinheiten). Die Schlüssellänge beträgt 128 Bit. Die Anzahl der Runden beträgt 12.

Schlüssel für die RC5-Blockchiffre werden bei der Erstellung einer Sitzung ausgehandelt. Die Aushandlung erfolgt mithilfe des Diffie-Hellman-Algorithmus. Diese Aushandlung verwendet öffentliche Diffie-Hellman-Parameter. Diese Parameter werden bei der Installation des Virtual Delivery Agent in der Windows-Registrierung gespeichert. Öffentliche Parameter sind nicht geheim. Das Ergebnis der Diffie-Hellman-Aushandlung ist ein geheimer Schlüssel, aus dem die Sitzungsschlüssel für die RC5-Blockchiffre abgeleitet werden. Separate Sitzungsschlüssel werden für die Benutzeranmeldung und für die Datenübertragung verwendet. Außerdem werden separate Sitzungsschlüssel für den Datenverkehr zum und vom Virtual Delivery Agent verwendet. Daher gibt es vier Sitzungsschlüssel für jede Sitzung. Die geheimen Schlüssel und Sitzungsschlüssel werden nicht gespeichert. Initialisierungsvektoren für die RC5-Blockchiffre werden ebenfalls vom geheimen Schlüssel abgeleitet.