Sichere Kommunikation

Zum Sichern der Kommunikation zwischen dem Citrix Virtual Apps and Desktops-Server und der Citrix Workspace-App können Sie Citrix Workspace-App-Verbindungen mit sicheren Technologien wie den Folgenden integrieren:

  • Citrix Gateway: Weitere Informationen finden Sie im vorliegenden Abschnitt und in der Dokumentation zu Citrix Gateway und StoreFront.

    Hinweis:

    Citrix empfiehlt die Verwendung von Citrix Gateway zwischen StoreFront-Servern und Benutzergeräten.

  • Eine Firewall: Firewalls entscheiden anhand der Zieladresse und des Zielports von Datenpaketen, ob diese Pakete weitergeleitet werden. Wenn Sie die Citrix Workspace-App mit einer Firewall verwenden, die die interne Netzwerk-IP-Adresse des Servers einer externen Internetadresse zuweist (d. h. Netzwerkadressübersetzung oder NAT), konfigurieren Sie die externe Adresse.
  • Vertrauenswürdige Server.
  • Nur für Citrix Virtual Apps- oder Webinterface-Bereitstellungen (gilt nicht für XenDesktop 7): ein SOCKS-Proxyserver oder ein sicherer Proxyserver (auch Sicherheitsproxyserver bzw. HTTPS-Proxyserver). Mit Proxyservern schränken Sie den eingehenden und ausgehenden Zugriff auf das Netzwerk ein und handhaben Verbindungen zwischen der Citrix Workspace-App und Servern. Die Citrix Workspace-App unterstützt die Protokolle SOCKS und Secure Proxy.
  • Nur für Citrix Virtual Apps- oder Webinterface-Bereitstellungen, gilt nicht für XenDesktop 7, XenDesktop 7.1, XenDesktop 7.5 und XenApp 7.5: SSL-Relay-Lösungen mit TLS-Protokollen (Transport Layer Security).
  • Für Citrix Virtual Apps and Desktops 7.6 können Sie eine SSL-Verbindung direkt zwischen Benutzern und VDAs aktivieren.

Die Citrix Workspace-App ist kompatibel mit und funktioniert in Umgebungen, in denen die Microsoft SSLF-Desktopsicherheitsvorlagen (Specialized Security - Limited Functionality) verwendet werden. Diese Vorlagen werden auf verschiedenen Windows-Plattformen unterstützt.

Veraltete Verschlüsselungssammlungen

Version 4.12 enthält zwei wichtige Änderungen an den sicheren Kommunikationsprotokollen TLS/DTLS: Unterstützung für DTLS Version 1.2 und Kategorisierung der TLS/DTLS-Verschlüsselungssammlungen als veraltet.

DTLS Version 1.2 unterstützt das UDP-Transportprotokoll und bietet damit das Äquivalent zu TLS Version 1.2 für das TCP-Transportprotokoll. Frühere Versionen der Citrix Workspace-App für Windows unterstützten bereits TLS Version 1.2.

Verschlüsselungssammlungen mit dem Präfix TLS_RSA_ bieten Forward Secrecy nicht. Diese Verschlüsselungssammlungen werden von der Branche mittlerweile allgemein als veraltet eingestuft. Um die Abwärtskompatibilität mit älteren Versionen von Citrix Virtual Apps and Desktops zu unterstützen, kann die Citrix Workspace-App für Windows diese Verschlüsselungssammlungen verwenden.

Eine neue administrative Gruppenrichtlinienobjektvorlage wurde erstellt, um die Verwendung der veralteten Verschlüsselungssammlungen zu ermöglichen. In Citrix Receiver für Windows Version 4.12 ist diese Richtlinie standardmäßig aktiviert. Die Kategorisierung dieser Verschlüsselungssammlungen als veraltet mit den AES- oder 3DES-Algorithmen wird jedoch nicht standardmäßig erzwungen. Sie können diese Richtlinie jedoch ändern und verwenden, um die Kategorisierung strenger durchzusetzen.

Im Folgenden finden Sie eine Liste der veralteten Verschlüsselungssammlungen:

  • TLS_RSA_AES256_GCM_SHA384
  • TLS_RSA_AES128_GCM_SHA256
  • TLS_RSA_AES256_CBC_SHA256
  • TLS_RSA_AES256_CBC_SHA
  • TLS_RSA_AES128_CBC_SHA
  • TLS_RSA_3DES_CBC_EDE_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_RC4_128_SHA

Hinweis:

Die letzten zwei Verschlüsselungssammlungen verwenden den RC4-Algorithmus, der veraltet ist, da diese Verschlüsselungssammlungen nicht sicher sind. Sie könnten auch die Verschlüsselungssammlung TLS_RSA_3DES_CBC_EDE_SHA als veraltet betrachten. Mit dieser Richtlinie können Sie alle Kategorisierungen durchzusetzen.

Weitere Informationen zum Konfigurieren von DTLS Version 1.2 finden Sie unter Adaptiver Transport in der Citrix Virtual Apps and Desktops-Dokumentation.

Hinweis:

Wenn Sie die Citrix Workspace-App für Windows zum ersten Mal installieren oder aktualisieren, fügen Sie dem lokalen Gruppenrichtlinienobjekt die neuesten Vorlagendateien hinzu. Weitere Informationen über das Hinzufügen von Vorlagendateien zum lokalen Gruppenrichtlinienobjekt finden Sie unter Administrative Gruppenrichtlinienobjektvorlage. Bei einem Upgrade bleiben die vorhandenen Einstellungen erhalten, während die neuesten Dateien importiert werden.

  1. Öffnen Sie die administrative GPO-Vorlage von Citrix Workspace-App, indem Sie gpedit.msc ausführen.
  2. Navigieren Sie unter dem Knoten Computerkonfiguration zu Administrative Vorlagen > Citrix Komponenten > Citrix Workspace > Netzwerkrouting.
  3. Wählen Sie die Richtlinie Veraltete Verschlüsselungssammlungen aus.
  4. Wählen Sie Aktiviert und wählen Sie eine der folgenden Optionen:
    1. TLS_RSA_: Standardmäßig ist TLS_RSA_ ausgewählt. Diese Option muss ausgewählt sein, damit Sie die anderen zwei Verschlüsselungssammlungen verwenden können. Die folgenden Verschlüsselungssammlungen sind eingeschlossen, wenn Sie diese Option auswählen:
      1. TLS_RSA_AES256_GCM_SHA384
      2. TLS_RSA_AES128_GCM_SHA256
      3. TLS_RSA_AES256_CBC_SHA256
      4. TLS_RSA_AES256_CBC_SHA
      5. TLS_RSA_AES128_CBC_SHA
      6. TLS_RSA_3DES_CBC_EDE_SHA
    2. TLS_RSA_WITH_RC4_128_MD5: Wählen Sie diese Option, um die RC4-MD5-Verschlüsselungssammlung zu verwenden.
    3. TLS_RSA_WITH_RC4_128_SHA: Wählen Sie diese Option, um die Verschlüsselungssammlung RC4_128_SHA zu verwenden.
  5. Klicken Sie auf Anwenden und auf OK.
  6. Damit die Änderungen wirksam werden, führen Sie den Befehl gpupdate /force aus.

Die folgende Tabelle enthält die Verschlüsselungssammlungen in jeder Gruppe:

Unterstützte Verschlüsselungssammlungen

TLS

Dieses Thema gilt für Citrix Virtual Apps and Desktops-Version 7.6 und höher.

Wenn Sie ausschließlich TLS-Verschlüsselung für die Kommunikation der Citrix Workspace-App verwenden möchten, konfigurieren Sie das Benutzergerät, die Citrix Workspace-App und, wenn Sie das Webinterface verwenden, den Webinterface-Server. Informationen zum Sichern der StoreFront-Kommunikation finden Sie unter Sichern in der StoreFront-Dokumentation. Weitere Informationen zum Sichern des Webinterface finden Sie im Abschnitt zur Sicherheit in der Webinterface-Dokumentation.

Voraussetzungen:

Benutzergeräte müssen die in den Systemanforderungen angegebenen Anforderungen erfüllen.

Diese Richtlinie ermöglicht das Konfigurieren der TLS-Optionen, sodass die Citrix Workspace-App den Server für die Verbindung sicher identifizieren kann, und sie ermöglicht die Verschlüsselung der gesamten Kommunikation mit dem Server.

Diese Optionen ermöglichen Folgendes:

  • Erzwingen der Verwendung von TLS: Citrix empfiehlt, für alle Verbindungen über nicht vertrauenswürdige Netzwerke, einschließlich für das Internet, TLS zu verwenden.
  • Erzwingen der Verwendung der für FIPS (Federal Information Processing Standards): genehmigte Kryptografie und Einhalten der Empfehlungen im Dokument NIST SP 800-52. Diese Optionen sind standardmäßig deaktiviert.
  • Erzwingen der Verwendung einer bestimmten Version von TLS und bestimmter TLS-Verschlüsselungssammlungen: Citrix unterstützt die Protokolle TLS 1.0, TLS 1.1 und TLS 1.2 zwischen der Citrix Workspace-App für Windows und Citrix Virtual Apps and Desktops.
  • Herstellen von Verbindungen mit bestimmten Servern.
  • Überprüfen, ob das Serverzertifikat widerrufen wurde.
  • Überprüfen auf eine bestimmte Serverzertifikatausstellungsrichtlinie.
  • Auswählen eines bestimmten Clientzertifikats, wenn der Server für die Anforderung konfiguriert ist.

Unterstützung für TLS

  1. Öffnen Sie die administrative GPO-Vorlage der Citrix Workspace-App, indem Sie gpedit.msc ausführen.
  2. Navigieren Sie unter dem Knoten Computerkonfiguration zu Administrative Vorlagen > Citrix Workspace > Netzwerkrouting. Wählen Sie dann die Richtlinie Konfiguration von TLS und Konformitätsmodus.

    Richtlinie für TLS und Konformitätsmodus

  3. Wählen Sie Aktiviert, um sichere Verbindungen zu aktivieren und die Kommunikation auf dem Server zu verschlüsseln. Legen Sie folgende Optionen fest:

    Hinweis:

    Citrix empfiehlt TLS für sichere Verbindungen.

  4. Aktivieren Sie TLS für alle Verbindungen verwenden. Damit erzwingen Sie, dass die Citrix Workspace-App TLS für alle Verbindungen mit veröffentlichten Anwendungen und Desktops verwendet.

  5. Wählen Sie im Menü Sicherheitskonformitätsmodus die geeignete Option aus:

    1. Ohne: Es wird kein Konformitätsmodus erzwungen.
    2. SP800-52: Wählen Sie SP800-52 für Konformität mit NIST SP 800-52. Wählen Sie diese Option nur, wenn Server oder Gateway den Empfehlungen von NIST SP 800-52 entsprechen.

      Hinweis:

      Bei Auswahl von SP800-52 wird automatisch FIPS-validierte Kryptografie verwendet, selbst wenn FIPS aktivieren nicht ausgewählt ist. Sie müssen auch die Windows-Sicherheitsoption Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, Hashing und Signatur verwenden aktivieren. Andernfalls kann die Citrix Workspace-App u. U. keine Verbindung zu den veröffentlichten Anwendungen und Desktops herstellen.

      Wenn Sie SP800-52 auswählen, müssen Sie für die Richtlinie Zertifikatsperrüberprüfung die Einstellung Volle Zugriffsprüfung oder Volle Zugriffsprüfung und CRL erforderlich auswählen.

      Wenn Sie SP800-52 auswählen, überprüft die Citrix Workspace-App, ob das Serverzertifikat den Empfehlungen in NIST SP 800-52 entspricht. Wenn dies nicht der Fall ist, kann die Citrix Workspace-App möglicherweise keine Verbindung herstellen.

    3. FIPS aktivieren: Wählen Sie diese Option, um die Verwendung von FIPS-validierter Kryptografie zu erzwingen. Sie müssen auch die Windows-Sicherheitsoption aus der Gruppenrichtlinie des Betriebssystems Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, Hashing und Signatur verwenden aktivieren. Andernfalls kann die Citrix Workspace-App u. U. keine Verbindung zu veröffentlichten Anwendungen und Desktops herstellen.
  6. Wählen Sie im Dropdownmenü neben Zulässige TLS-Server die Portnummer aus. Sie können festlegen, dass die Citrix Workspace-App für Windows nur eine Verbindung zu den Servern herstellt, die in einer durch Trennzeichen getrennten Liste aufgeführt sind. Sie können Platzhalter und Portnummern angeben. Beispielsweise ermöglicht *.citrix.com: 4433 die Verbindung mit allen Servern auf Port 4433, deren allgemeiner Name mit .citrix.com endet. Die Genauigkeit der Informationen in einem Sicherheitszertifikat wird durch den Aussteller des Zertifikats bestätigt. Wenn Citrix Workspace den Aussteller nicht erkennt und ihm nicht traut, wird die Verbindung abgelehnt.

  7. Wählen Sie im Menü TLS-Version eine der folgenden Optionen:

    • TLS 1.0, TLS 1.1 oder TLS 1.2: Dies ist die Standardeinstellung. Diese Option wird nur empfohlen, wenn die Kompatibilität mit TLS 1.0 eine Geschäftsanforderung ist.

    • TLS 1.1, TLS 1.2: Mit dieser Option stellen Sie sicher, dass TLS 1.1 oder TLS 1.2 für ICA-Verbindungen verwendet wird.

    • TLS 1.2: Diese Option wird empfohlen, wenn TLS 1.2 eine Geschäftsanforderung ist.

  8. TLS-Verschlüsselungssatz: Um die Verwendung von bestimmten TLS-Verschlüsselungssätzen zu erzwingen, wählen Sie “Behörden” (GOV), “Kommerziell” (COM) oder “Alle” (ALLE). Bei bestimmten Citrix Gateway-Konfigurationen müssen Sie u. U. die Option COM wählen. Die Citrix Workspace-App unterstützt RSA-Schlüssellängen von 1024, 2048 und 3072 Bits. Darüber hinaus werden Stammzertifikate mit RSA-Schlüsseln von 4096 Bits Länge unterstützt.

    Hinweis:

    RSA-Schlüssel mit einer Länge von 1024 Bits werden von Citrix nicht empfohlen.

    • Beliebig: Bei Verwendung der Einstellung “Beliebig” wird die Richtlinie nicht konfiguriert und jede der folgenden Verschlüsselungssammlungen ist zulässig:

      1. TLS_RSA_WITH_RC4_128_MD5
      2. TLS_RSA_WITH_RC4_128_SHA
      3. TLS_RSA_WITH_3DES_EDE_CBC_SHA
      4. TLS_RSA_WITH_AES_128_CBC_SHA
      5. TLS_RSA_WITH_AES_256_CBC_SHA
      6. TLS_RSA_WITH_AES_128_GCM_SHA256
      7. TLS_RSA_WITH_AES_256_GCM_SHA384
    • Kommerziell: Bei Verwendung der Einstellung “Kommerziell’ sind nur die folgenden Verschlüsselungssammlungen zulässig:

      1. TLS_RSA_WITH_RC4_128_MD5
      2. TLS_RSA_WITH_RC4_128_SHA
      3. TLS_RSA_WITH_AES_128_CBC_SHA
      4. TLS_RSA_WITH_AES_128_GCM_SHA256
    • Behörden: Bei Verwendung der Einstellung “Behörden” sind nur die folgenden Verschlüsselungssammlungen zulässig:

      1. TLS_RSA_WITH_AES_256_CBC_SHA
      2. TLS_RSA_WITH_3DES_EDE_CBC_SHA
      3. TLS_RSA_WITH_AES_128_GCM_SHA256
      4. TLS_RSA_WITH_AES_256_GCM_SHA384
  9. Wählen Sie im Menü Richtlinie ‘Zertifikatsperrüberprüfung’ eine der folgenden Optionen aus:

    • Prüfung ohne Netzwerkzugriff: Es wird eine Überprüfung der Zertifikatsperrliste durchgeführt. Es werden nur lokale Zertifikatsperrlisten-Stores verwendet. Alle Verteilungspunkte werden ignoriert. Das Finden einer Zertifikatsperrliste ist für die Überprüfung des Serverzertifikats, das vom Ziel-SSL-Relay bzw. Citrix Secure Web Gateway-Server vorgelegt wird, nicht obligatorisch.

    • Volle Zugriffsprüfung: Es wird eine Überprüfung der Zertifikatsperrliste durchgeführt. Lokale Zertifikatsperrlisten-Stores und alle Verteilungspunkte werden verwendet. Wenn Sperrinformationen für ein Zertifikat gefunden werden, wird die Verbindung abgelehnt. Das Finden einer Zertifikatsperrliste ist für die Überprüfung des Serverzertifikats, das vom Zielserver vorgelegt wird, nicht wichtig.

    • Volle Zugriffsprüfung und CRL erforderlich: Die Zertifikatsperrliste wird ohne Stamm-Zertifizierungsstelle überprüft. Lokale Zertifikatsperrlisten-Stores und alle Verteilungspunkte werden verwendet. Wenn Sperrinformationen für ein Zertifikat gefunden werden, wird die Verbindung abgelehnt. Das Finden aller erforderlichen Zertifikatsperrlisten ist für die Überprüfung wichtig.

    • Volle Zugriffsprüfung und alle CRL erforderlich: Die Zertifikatsperrliste und die Stamm-Zertifizierungsstelle werden überprüft. Lokale Zertifikatsperrlisten-Stores und alle Verteilungspunkte werden verwendet. Wenn Sperrinformationen für ein Zertifikat gefunden werden, wird die Verbindung abgelehnt. Das Finden aller erforderlichen Zertifikatsperrlisten ist für die Überprüfung wichtig.

    • Keine Prüfung: Es wird keine Überprüfung der Zertifikatsperrliste durchgeführt.

  10. Mit der Richtlinienerweiterungs-OID können Sie die Citrix Workspace-App auf Verbindungen mit Servern beschränken, auf denen eine bestimmte Zertifikatausstellungsrichtlinie festgelegt ist. Wenn Sie Richtlinienerweiterungs-OID auswählen, akzeptiert die Citrix Workspace-App nur Serverzertifikate mit dieser Richtlinienerweiterungs-OID.

  11. Wählen Sie im Menü zur Clientauthentifizierung eine der folgenden Optionen aus:

    • Deaktiviert: Die Clientauthentifizierung ist deaktiviert.

    • Zertifikatauswähler anzeigen: Der Benutzer wird immer aufgefordert, ein Zertifikat auszuwählen.

    • Wenn möglich automatisch auswählen: Die Aufforderung wird nur angezeigt, wenn mehrere Zertifikate zur Identifizierung ausgewählt werden können.

    • Nicht konfiguriert: Gibt an, dass die Clientauthentifizierung nicht konfiguriert ist.

    • Angegebenes Zertifikat verwenden: Verwenden Sie das unter “Clientzertifikat” festgelegte Clientzertifikat.

  12. Geben Sie mit der Einstellung Clientzertifikat den Fingerabdruck des identifizierenden Zertifikats an, damit Benutzer nicht unnötig aufgefordert werden.

  13. Klicken Sie auf Anwenden und auf OK, um die Richtlinie zu speichern.

Die folgende Tabelle enthält die Verschlüsselungssammlungen in jeder Gruppe:

lokalisiertes Bild

Firewall

Firewalls entscheiden anhand der Zieladresse und des Zielports von Datenpaketen, ob diese Pakete weitergeleitet werden. Wenn Sie eine Firewall in der Bereitstellung verwenden, muss die Citrix Workspace-App für Windows über die Firewall mit dem Webserver und dem Citrix Server kommunizieren können.

Allgemeine Citrix Kommunikationsports

Quelle Typ Port Details
Citrix Workspace-App TCP 80/443 Kommunikation mit StoreFront
ICA/HDX TCP 1494 Zugriff auf Anwendungen und virtuelle Desktops
ICA/HDX mit Sitzungszuverlässigkeit TCP 2598 Zugriff auf Anwendungen und virtuelle Desktops
ICA/HDX über SSL TCP 443 Zugriff auf Anwendungen und virtuelle Desktops
ICA/HDX von HTML5-Workspace TCP 8008 Zugriff auf Anwendungen und virtuelle Desktops
ICA/HDX Audio über UDP TCP 16500–16509 Portbereich für ICA/HDX Audio
IMA TCP 2512 Independent Management Architecture (IMA)
Managementkonsole TCP 2513 Hinweis für Citrix Managementkonsolen und *WCF-Dienste: Für FMA-basierte Plattformen ab Version 7.5 und höher wird Port 2513 NICHT verwendet.
Anwendungs-/Desktopanforderung TCP 80/8080/443 XML-Dienst
STA TCP 80/8080/443 Secure Ticketing Authority (im XML-Dienst eingebettet)

Hinweis:

In XenApp 6.5 wird Port 2513 vom XenApp Command Remoting Dienst über WCF verwendet.

Wenn die Firewall für die Netzwerkadressenübersetzung konfiguriert ist, definieren Sie im Webinterface Zuordnungen von internen Adressen zu externen Adressen und Ports. Beispiel: Wenn der Citrix Virtual Apps and Desktops-Server nicht mit einer alternativen Adresse konfiguriert ist, kann das Webinterface der Citrix Workspace-App eine alternative Adresse bereitstellen. Die Citrix Workspace-App stellt dann mit der externen Adresse und der Portnummer eine Verbindung mit dem Server her. Weitere Informationen finden Sie in der Dokumentation zum Webinterface.

Proxyserver

Mit Proxyservern wird der eingehende und ausgehende Netzwerkzugriff beschränkt und die Verbindung zwischen der Citrix Workspace-App für Windows und Servern gehandhabt. Die Citrix Workspace-App unterstützt die Protokolle SOCKS und Secure Proxy.

Für die Kommunikation mit dem Server verwendet die Citrix Workspace-App die Proxyservereinstellungen, die remote auf dem Server konfiguriert sind, auf dem Workspace für Web oder das Webinterface ausgeführt wird. Informationen zur Proxyserverkonfiguration finden Sie in der StoreFront- oder Webinterface-Dokumentation.

Für die Kommunikation mit dem Webserver verwendet die Citrix Workspace-App die Einstellungen für den Proxyserver, die über die Internetoptionen des Standardwebbrowsers auf dem Benutzergerät konfiguriert wurden. Sie müssen die Internetoptionen des Standardwebbrowsers auf dem Benutzergerät entsprechend konfigurieren.

Konfigurieren Sie die Proxyeinstellungen mit dem Registrierungs-Editor, um zu erzwingen, dass die Citrix Workspace-App den Proxyserver für Verbindungen verwendet oder ihn ignoriert.

Warnung

Eine unsachgemäße Bearbeitung der Registrierung kann schwerwiegende Probleme verursachen und eine Neuinstallation des Betriebssystems erforderlich machen. Citrix übernimmt keine Garantie dafür, dass Probleme, die auf eine unsachgemäße Verwendung des Registrierungs-Editors zurückzuführen sind, behoben werden können.

  1. Navigieren Sie zu \HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\AuthManager
  2. Definieren Sie ProxyEnabled (REG_SZ).
    • True - gibt an, dass die Citrix Workspace-App den Proxyserver bei Verbindungen berücksichtigt.
    • False - gibt an, dass die Citrix Workspace-App den Proxyserver bei Verbindungen ignoriert.
  3. Starten Sie die Citrix Workspace-App neu, um die Änderungen zu übernehmen.

Citrix Secure Web Gateway

Dieser Abschnitt gilt nur für Bereitstellungen mit dem Webinterface.

Sie können Citrix Secure Web Gateway im Normal- oder Relaymodus verwenden, um einen sicheren Kommunikationskanal zwischen der Citrix Workspace-App für Windows und dem Server bereitzustellen. Die Citrix Workspace-App muss nicht konfiguriert werden, wenn Sie Citrix Secure Web Gateway im Normalmodus verwenden und Benutzer eine Verbindung über das Webinterface herstellen.

Für Verbindungen mit Citrix Secure Web Gateway-Servern verwendet die Citrix Workspace-App Einstellungen, die remote auf dem Webinterface-Server konfiguriert wurden. Weitere Informationen zur Konfiguration der Einstellungen für den Proxyserver für die Citrix Workspace-App finden Sie in den Abschnitten über das Webinterface.

Informationen zum Konfigurieren der Proxyservereinstellungen finden Sie in der Dokumentation für das Webinterface.

Wenn Sie den Relaymodus verwenden, fungiert der Citrix Secure Web Gateway-Server als Proxy und Sie müssen Workspace für Windows für die Verwendung folgender Elemente konfigurieren:

  • Vollqualifizierter Domänenname (FQDN) des Citrix Secure Web Gateway-Servers.
  • Portnummer des Citrix Secure Web Gateway-Servers.

Der FQDN muss der Reihe nach die folgenden Komponenten auflisten:

  • Hostname
  • Second-Level-Domäne
  • Top-Level-Domäne

Beispiel: my_computer.my_company.com ist ein vollqualifizierter Domänenname, da er – in der richtigen Reihenfolge – einen Hostnamen (my_computer), einen Second-Level-Domänennamen (my_company) und einen Top-Level-Domänennamen (com) auflistet. Die Kombination von Second-Level- und Top-Level-Domäne (my_company.com) wird als Domänenname bezeichnet.

Vertrauenswürdige Server

Die Konfiguration von vertrauenswürdigen Servern dient dazu, Vertrauensstellungen bei Verbindungen der Citrix Workspace-App zu identifizieren und durchzusetzen.

Wenn Sie die Option für vertrauenswürdige Server aktivieren, legt die Citrix Workspace-App die Anforderungen für vertrauenswürdige Server fest und entscheidet, ob die Verbindung zum Server als vertrauenswürdig angesehen werden kann. Beispiel: Wenn die Citrix Workspace-App eine Verbindung mit einer bestimmten Adresse herstellt (wie https://\*.citrix.com) und dabei einen bestimmten Verbindungstyp verwendet (wie TLS), wird sie an eine vertrauenswürdige Zone auf dem Server weitergeleitet.

Wenn Sie dieses Feature aktivieren, befindet sich der verbundene Server in der Zone vertrauenswürdiger Sites von Windows. Eine Anleitung, wie Sie Server der Zone vertrauenswürdiger Sites von Windows hinzufügen, finden Sie in der Onlinehilfe von Internet Explorer.

Aktivieren der vertrauenswürdigen Serverkonfiguration über die administrative Gruppenrichtlinienobjektvorlage

Voraussetzung:

Beenden Sie alle Citrix Workspace-App-Komponenten, einschließlich Connection Center.

  1. Öffnen Sie die administrative GPO-Vorlage der Citrix Workspace-App, indem Sie gpedit.msc ausführen.
  2. Erweitern Sie den Knoten Computerkonfiguration und navigieren Sie zu Administrative Vorlagen > Klassische administrative Vorlagen (ADM) > Citrix Komponenten > Citrix Workspace > Netzwerkrouting > Vertrauenswürdige Serverkonfiguration konfigurieren.
  3. Wählen Sie Aktiviert, um die Regionsidentifizierung in der Citrix Workspace-App durchzusetzen.
  4. Wählen Sie Vertrauenswürdige Serverkonfiguration erzwingen. Der Client muss dann die Identifizierung mit einem vertrauenswürdigen Server durchführen.
  5. Wählen Sie im Dropdownmenü zu Windows-Internetzone die Client-Serveradresse aus. Diese Einstellung gilt nur für die Zone vertrauenswürdiger Sites von Windows.
  6. Legen Sie im Feld Adresse die Client-Serveradresse für die Zone vertrauenswürdiger Sites außer Windows fest. Sie können eine durch Trennzeichen getrennte Liste verwenden.
  7. Klicken Sie auf OK und Übernehmen.

ICA-Dateisignierung

Die ICA-Dateisignierung schützt vor unautorisierten Anwendungs- oder Desktopstarts. Die Citrix Workspace-App prüft, ob eine vertrauenswürdige Quelle die Anwendung oder den Desktop gestartet hat und verhindert basierend auf administrativen Richtlinien das Starten von Ressourcen auf nicht vertrauenswürdigen Servern. Sie können die ICA-Dateisignierung über die administrative Vorlage für Gruppenrichtlinienobjekte, StoreFront oder Citrix Merchandising Server konfigurieren. Die ICA-Dateisignierung ist in der Standardeinstellung nicht aktiviert.

Informationen zum Aktivieren der ICA-Dateisignierung für StoreFront finden Sie unter Aktivieren der ICA-Dateisignierung in der StoreFront-Dokumentation.

In Webinterface-Bereitstellungen konfiguriert das Webinterface mit dem Citrix ICA-Dateisignierungsdienst, dass beim Start von Anwendungen und Desktops eine Signatur eingeschlossen wird. Der Dienst kann die ICA-Datei mit einem Zertifikat des lokalen Zertifikatspeichers signieren.

Citrix Merchandising Server mit der Citrix Workspace-App aktiviert und konfiguriert das Prüfen der Signatur beim Start mit dem Assistenten Citrix Merchandising Server Administrator Console > Deliveries und fügt vertrauenswürdige Zertifikatfingerabdrücke hinzu.

Konfigurieren der ICA-Dateisignatur

Hinweis:

Wenn CitrixBase.admx\adml nicht dem lokalen Gruppenrichtlinienobjekt hinzugefügt wird, ist die Richtlinie zum Aktivieren der ICA-Dateisignierung evtl. nicht vorhanden.

  1. Öffnen Sie die administrative Gruppenrichtlinienobjektvorlage der Citrix Workspace-App, indem Sie gpedit.msc ausführen.
  2. Navigieren Sie unter dem Knoten Computerkonfiguration zu Administrative Vorlagen > Citrix Komponenten.
  3. Wählen Sie die Richtlinie ICA-Dateisignierung aktivieren und dann nach Bedarf eine der folgenden Optionen:
    1. Aktiviert: gibt an, dass Sie den Fingerabdruck des Signaturzertifikats der Positivliste der vertrauenswürdigen Zertifikatfingerabdrücke hinzufügen können.
    2. Vertrauenswürdige Zertifikate: Klicken Sie auf Anzeigen, um den Fingerabdruck des Signaturzertifikats aus der Positivliste zu entfernen. Sie können die Fingerabdrücke von Signaturzertifikaten von den Eigenschaften des Signaturzertifikats kopieren und einfügen.
    3. Sicherheitsrichtlinie: Folgende Optionen sind im Menü verfügbar.
      1. Nur signierte Starts zulassen (sicherer): lässt nur richtig signierte Anwendungs- oder Desktopstarts von einem vertrauenswürdigen Server zu. Eine Sicherheitswarnung erscheint im Falle einer ungültigen Signatur. Die Sitzung kann dann nicht gestartet werden.
      2. Benutzer bei nicht signierten Starts auffordern (weniger sicher): Eine Nachricht wird angezeigt, wenn eine nicht signierte oder ungültig signierte Sitzung gestartet wird. Sie können den Start fortsetzen oder abbrechen (Standard).
  4. Klicken Sie auf Anwenden und auf OK, um die Richtlinie zu speichern.
  5. Starten Sie die Citrix Workspace-App-Sitzung neu, um die Änderungen zu übernehmen.

Auswählen und Verteilen eines digitalen Signaturzertifikats:

Bei der Auswahl eines digitalen Signaturzertifikats empfiehlt Citrix eine Auswahl aus der folgenden Prioritätsliste:

  1. Erwerben Sie ein codesigniertes Zertifikat oder ein SSL-Signaturzertifikat einer öffentlichen Zertifizierungsstelle.
  2. Wenn Ihr Unternehmen eine private Zertifizierungsstelle hat, erstellen Sie ein codesigniertes oder SSL-Signaturzertifikat mit der privaten Zertifizierungsstelle.
  3. Verwenden Sie ein vorhandenes SSL-Zertifikat, z. B. das Webinterface-Serverzertifikat.
  4. Erstellen Sie ein Stammzertifikat der Zertifizierungsstelle und verteilen es mit einem Gruppenrichtlinienobjekt oder einer manuellen Installation auf die Benutzergeräte.

Erhöhte Rechte

Wenn die Benutzerzugriffssteuerung auf Geräten unter Windows 10, Windows 8 oder Windows 7 aktiviert ist, können nur Prozesse, die dieselben erhöhten Rechte bzw. Integritätsebene wie wfcrun32.exe haben, die virtuellen Anwendungen starten.

Beispiel 1:

Wenn wfcrun32.exe als normaler Benutzer (ohne erhöhte Rechte) ausgeführt wird, müssen andere Prozesse, u. a. die Citrix Workspace-App, als normaler Benutzer ausgeführt werden, um Anwendungen über wfcrun32.exe zu starten.

Beispiel 2:

Wenn wfcrun32.exe mit erhöhten Rechten ausgeführt wird, können andere Prozesse, u. a. die Citrix Workspace-App, Connection Center und Anwendungen von Drittherstellern, die das ICA-Clientobjekt verwenden, die ohne erhöhte Rechte ausgeführt werden, nicht mit wfcrun32.exe kommunizieren.