ICA-Dateisignierung: Schutz vor dem Starten von Anwendungen oder Desktops von nicht vertrauenswürdigen Servern

4. Juni 2018

Die ICA-Dateisignierung schützt vor unautorisierten Anwendungs- oder Desktopstarts. Die Citrix Workspace-App prüft, ob eine vertrauenswürdige Quelle die Anwendung oder den Desktop gestartet hat und verhindert basierend auf administrativen Richtlinien das Starten von Ressourcen auf nicht vertrauenswürdigen Servern. Sie können die ICA-Dateisignierung über die administrative Vorlage für Gruppenrichtlinienobjekte, StoreFront oder Citrix Merchandising Server konfigurieren. Die ICA-Dateisignierung ist in der Standardeinstellung nicht aktiviert. Informationen zum Aktivieren der ICA-Dateisignierung für StoreFront finden Sie in der StoreFront-Dokumentation.

In Webinterface-Bereitstellungen konfiguriert das Webinterface mit dem Citrix ICA-Dateisignierungsdienst, dass beim Start von Anwendungen und Desktops eine Signatur eingeschlossen wird. Der Dienst kann die ICA-Datei mit einem Zertifikat des lokalen Zertifikatspeichers signieren.

Citrix Merchandising Server mit der Citrix Workspace-App aktiviert und konfiguriert das Prüfen der Signatur beim Start mit dem Assistenten Citrix Merchandising Server Administrator Console > Deliveries und fügt vertrauenswürdige Zertifikatfingerabdrücke hinzu.

Konfigurieren der ICA-Dateisignierung über die administrative Gruppenrichtlinienobjektvorlage

Hinweis

Wenn CitrixBase.admx\adml nicht dem lokalen Gruppenrichtlinienobjekt hinzugefügt wird, ist die Richtlinie zum Aktivieren der ICA-Dateisignierung evtl. nicht vorhanden.

  1. Öffnen Sie die administrative Gruppenrichtlinienobjektvorlage der Citrix Workspace-App, indem Sie gpedit.msc ausführen.
  2. Navigieren Sie unter dem Knoten “Computerkonfiguration” zu “Administrative Vorlagen > Citrix Komponenten”.
  3. Wählen Sie die Richtlinie ICA-Dateisignierung aktivieren und dann nach Bedarf eine der folgenden Optionen:
    1. Aktiviert: gibt an, dass Sie den Fingerabdruck des Signaturzertifikats der Positivliste der vertrauenswürdigen Zertifikatfingerabdrücke hinzufügen können.
    2. Vertrauenswürdige Zertifikate: Klicken Sie auf “Anzeigen”, um den Fingerabdruck des Signaturzertifikats aus der Positivliste zu entfernen. Sie können die Fingerabdrücke von Signaturzertifikaten von den Eigenschaften des Signaturzertifikats kopieren und einfügen.
    3. Sicherheitsrichtlinie: Folgende Optionen sind in der Dropdownliste verfügbar:
      1. Nur signierte Starts zulassen (sicherer): lässt nur richtig signierte Anwendungs- oder Desktopstarts von einem vertrauenswürdigen Server zu. Eine Sicherheitswarnung erscheint im Falle einer ungültigen Signatur. Die Sitzung kann dann nicht gestartet werden.
      2. Benutzer bei nicht signierten Starts auffordern (weniger sicher): Eine Nachricht wird angezeigt, wenn eine nicht signierte oder ungültig signierte Sitzung gestartet wird. Sie können den Start fortsetzen oder abbrechen (Standard).
  4. Klicken Sie auf Anwenden und auf OK, um die Richtlinie zu speichern.

Auswählen und Verteilen eines digitalen Signaturzertifikats

Bei der Auswahl eines digitalen Signaturzertifikats empfiehlt Citrix eine Auswahl aus dieser Prioritätsliste:

  1. Erwerben Sie ein codesigniertes Zertifikat oder ein SSL-Signaturzertifikat einer öffentlichen Zertifizierungsstelle.
  2. Wenn Ihr Unternehmen eine private Zertifizierungsstelle hat, erstellen Sie ein codesigniertes oder SSL-Signaturzertifikat mit der privaten Zertifizierungsstelle.
  3. Verwenden Sie ein vorhandenes SSL-Zertifikat, z. B. das Webinterface-Serverzertifikat.
  4. Erstellen Sie ein neues Stammzertifikat der Zertifizierungsstelle und verteilen es mit einem Gruppenrichtlinienobjekt oder einer manuellen Installation auf die Benutzergeräte.

ICA-Dateisignierung: Schutz vor dem Starten von Anwendungen oder Desktops von nicht vertrauenswürdigen Servern