Sicherheitsrichtlinieneinstellungen

Der Abschnitt Sicherheit enthält die Richtlinieneinstellung zum Konfigurieren der Sitzungsverschlüsselung und der Verschlüsselung von Anmeldedaten.

Mindestverschlüsselungsstufe für SecureICA

Diese Einstellung gibt die Mindeststufe an, auf der Sitzungsdaten, die zwischen dem Server und einem Benutzergerät gesendet werden, verschlüsselt werden sollen.

Wichtig: Für den Virtual Delivery Agent 7.x kann diese Richtlinieneinstellung nur verwendet werden, um die Verschlüsselung der Anmeldedaten mit RC5 128-Bit-Verschlüsselung zu aktivieren. Andere Einstellungen dienen nur der Abwärtskompatibilität mit älteren Versionen von Citrix Virtual Apps and Desktops.

Für den VDA 7.x wird die Verschlüsselung der Sitzungsdaten über die Basiseinstellungen der Bereitstellungsgruppe des VDA festgelegt. Wenn „Secure ICA aktivieren“ für die Bereitstellungsgruppe ausgewählt ist, werden die Sitzungsdaten mit RC5 (128 Bit) verschlüsselt. Wenn „Secure ICA aktivieren“ für die Bereitstellungsgruppe nicht ausgewählt ist, werden die Sitzungsdaten mit Basisverschlüsselung verschlüsselt.

Wenn Sie diese Einstellung einer Richtlinie hinzufügen, wählen Sie eine Option aus:

• Basis verschlüsselt die Clientverbindung mit einem Nicht-RC5-Algorithmus. Es schützt den Datenstrom davor, direkt gelesen zu werden, kann aber entschlüsselt werden. Standardmäßig verwendet der Server die Basisverschlüsselung für den Client-Server-Verkehr.
• RC5 (128 Bit) nur Anmeldung verschlüsselt die Anmeldedaten mit RC5 128-Bit-Verschlüsselung und die Clientverbindung mit Basisverschlüsselung.
• RC5 (40 Bit) verschlüsselt die Clientverbindung mit RC5 40-Bit-Verschlüsselung.
• RC5 (56 Bit) verschlüsselt die Clientverbindung mit RC5 56-Bit-Verschlüsselung.
• RC5 (128 Bit) verschlüsselt die Clientverbindung mit RC5 128-Bit-Verschlüsselung.

Die von Ihnen angegebenen Einstellungen für die Client-Server-Verschlüsselung können mit anderen Verschlüsselungseinstellungen in Ihrer Umgebung und Ihrem Windows-Betriebssystem interagieren. Berücksichtigen Sie, dass eine Verschlüsselungsstufe mit höherer Priorität entweder auf einem Server oder einem Benutzergerät festgelegt ist. In diesem Fall können die von Ihnen für veröffentlichte Ressourcen angegebenen Einstellungen überschrieben werden.

Sie können die Verschlüsselungsstufen erhöhen, um die Kommunikation und die Nachrichtenintegrität für bestimmte Benutzer weiter zu sichern. Wenn eine Richtlinie eine höhere Verschlüsselungsstufe erfordert, wird Citrix Receivern, die eine niedrigere Verschlüsselungsstufe verwenden, die Verbindung verweigert.

SecureICA führt keine Authentifizierung oder Datenintegritätsprüfung durch. Um eine End-to-End-Verschlüsselung für Ihre Site bereitzustellen, verwenden Sie SecureICA mit TLS-Verschlüsselung.

SecureICA verwendet keine FIPS-konformen Algorithmen. Wenn diese Einstellung ein Problem darstellt, konfigurieren Sie den Server und die Citrix Receiver so, dass SecureICA nicht verwendet wird.

SecureICA verwendet die RC5-Blockchiffre, wie in RFC 2040 beschrieben, zur Vertraulichkeit. Die Blockgröße beträgt 64 Bit (ein Vielfaches von 32-Bit-Worteinheiten). Die Schlüssellänge beträgt 128 Bit. Die Anzahl der Runden beträgt 12.

Schlüssel für die RC5-Blockchiffre werden bei der Erstellung einer Sitzung ausgehandelt. Die Aushandlung erfolgt mithilfe des Diffie-Hellman-Algorithmus. Diese Aushandlung verwendet öffentliche Diffie-Hellman-Parameter. Diese Parameter werden in der Windows-Registrierung gespeichert, wenn der Virtual Delivery Agent installiert wird. Öffentliche Parameter sind nicht geheim. Das Ergebnis der Diffie-Hellman-Aushandlung ist ein geheimer Schlüssel, aus dem die Sitzungsschlüssel für die RC5-Blockchiffre abgeleitet werden. Separate Sitzungsschlüssel werden für die Benutzeranmeldung und für die Datenübertragung verwendet. Außerdem werden separate Sitzungsschlüssel für den Datenverkehr zum und vom Virtual Delivery Agent verwendet. Daher gibt es vier Sitzungsschlüssel für jede Sitzung. Die geheimen Schlüssel und Sitzungsschlüssel werden nicht gespeichert. Initialisierungsvektoren für die RC5-Blockchiffre werden ebenfalls vom geheimen Schlüssel abgeleitet.