Sichere Kommunikation

• Um die Kommunikation zwischen dem Citrix Virtual Apps and Desktops-Server und der Citrix Workspace-App zu sichern, können Sie Ihre Citrix Workspace-App-Verbindungen mithilfe einer Reihe sicherer Technologien integrieren, wie zum Beispiel:

• Citrix Gateway: Weitere Informationen finden Sie in den Themen dieses Abschnitts sowie in der Dokumentation zu Citrix Gateway und StoreFront.
• Eine Firewall: Netzwerk-Firewalls können Pakete basierend auf der Zieladresse und dem Port zulassen oder blockieren.
• Transport Layer Security (TLS) Versionen 1.2 und 1.3 werden unterstützt.
• Vertrauenswürdiger Server zum Aufbau von Vertrauensbeziehungen in Citrix Workspace-App-Verbindungen.
• ICA®-Dateisignierung
• Local Security Authority (LSA)-Schutz
• Proxyserver nur für Citrix Virtual Apps-Bereitstellungen: Ein SOCKS-Proxyserver oder sicherer Proxyserver. Proxyserver helfen, den Zugriff auf und aus dem Netzwerk zu begrenzen. Sie verwalten auch die Verbindungen zwischen der Citrix Workspace-App und dem Server. Die Citrix Workspace-App unterstützt SOCKS- und sichere Proxy-Protokolle.
  • Outbound-Proxy

Citrix Gateway

-  Citrix Gateway (ehemals Access Gateway) sichert Verbindungen zu StoreFront-Stores. Außerdem ermöglicht es Administratoren, den Benutzerzugriff auf Desktops und Anwendungen detailliert zu steuern.

So stellen Sie eine Verbindung zu Desktops und Anwendungen über Citrix Gateway her:

-  1.  Geben Sie die von Ihrem Administrator bereitgestellte Citrix Gateway-URL auf eine der folgenden Weisen an:

-  Wenn Sie die Self-Service-Benutzeroberfläche zum ersten Mal verwenden, werden Sie aufgefordert, die URL im Dialogfeld **Konto hinzufügen** einzugeben.
-  Wenn Sie die Self-Service-Benutzeroberfläche später verwenden, geben Sie die URL ein, indem Sie auf **Einstellungen** > **Konten** > **Hinzufügen** klicken.
-  Wenn Sie eine Verbindung mit dem Befehl `storebrowse` herstellen, geben Sie die URL in der Befehlszeile ein.

Die URL gibt das Gateway und optional einen bestimmten Store an:

• Um eine Verbindung zum ersten Store herzustellen, den die Citrix Workspace-App findet, verwenden Sie eine URL im folgenden Format:

  • https://gateway.company.com

• Um eine Verbindung zu einem bestimmten Store herzustellen, verwenden Sie eine URL der Form, zum Beispiel: https://gateway.company.com?<storename>. Diese dynamische URL hat ein nicht standardmäßiges Format; fügen Sie kein “=” (das Gleichheitszeichen) in die URL ein. Wenn Sie eine Verbindung zu einem bestimmten Store mit storebrowse herstellen, benötigen Sie möglicherweise Anführungszeichen um die URL im storebrowse-Befehl.

1. Wenn Sie dazu aufgefordert werden, stellen Sie eine Verbindung zum Store (über das Gateway) her, indem Sie Ihren Benutzernamen, Ihr Kennwort und Ihr Sicherheitstoken verwenden. Weitere Informationen zu diesem Schritt finden Sie in der Citrix Gateway-Dokumentation.

Nach erfolgreicher Authentifizierung werden Ihre Desktops und Anwendungen angezeigt.

Verbindung über Firewall

• Netzwerk-Firewalls können Pakete basierend auf der Zieladresse und dem Port zulassen oder blockieren. Wenn Sie eine Firewall verwenden, kann die Citrix Workspace-App für Windows über die Firewall sowohl mit dem Webserver als auch mit dem Citrix-Server kommunizieren.

• Gängige Citrix Kommunikationsports

• Quelle

  Typ

  Port

  Details

• Citrix Workspace-App

  TCP

  80/443

  Kommunikation mit StoreFront

• ICA oder HDX

  TCP/UDP

  1494

  Zugriff auf Anwendungen und virtuelle Desktops

• ICA oder HDX mit Sitzungszuverlässigkeit

  TCP/UDP

  2598

  Zugriff auf Anwendungen und virtuelle Desktops

• ICA oder HDX über TLS

  TCP/UDP

  443

  Zugriff auf Anwendungen und virtuelle Desktops

• Weitere Informationen zu den Ports finden Sie im Knowledge Center-Artikel CTX101810.

Transport Layer Security

Transport Layer Security (TLS) ist der Nachfolger des SSL-Protokolls (Secure Sockets Layer). Die Internet Engineering Task Force (IETF) benannte es in TLS um, als sie die Verantwortung für die Entwicklung von TLS als offenen Standard übernahm.

TLS sichert die Datenkommunikation durch Serverauthentifizierung, Verschlüsselung des Datenstroms und Nachrichtenintegritätsprüfungen. Einige Organisationen, einschließlich US-Regierungsorganisationen, verlangen die Verwendung von TLS zur Sicherung der Datenkommunikation. Diese Organisationen könnten auch die Verwendung validierter Kryptografie, wie den Federal Information Processing Standard (FIPS) 140, vorschreiben. FIPS 140 ist ein Standard für Kryptografie.

Um die TLS-Verschlüsselung als Kommunikationsmedium zu verwenden, müssen Sie das Benutzergerät und die Citrix Workspace-App konfigurieren. Informationen zum Sichern der StoreFront-Kommunikation finden Sie im Abschnitt Sichern in der StoreFront-Dokumentation. Informationen zum Sichern von VDAs finden Sie unter Transport Layer Security (TLS) in der Citrix Virtual Apps and Desktops-Dokumentation.

Sie können die folgenden Richtlinien verwenden, um:

• Die Verwendung von TLS zu erzwingen: Wir empfehlen die Verwendung von TLS für Verbindungen über nicht vertrauenswürdige Netzwerke, einschließlich des Internets.
• Die Verwendung von FIPS (Federal Information Processing Standards) zu erzwingen: Genehmigte Kryptografie und Befolgung der Empfehlungen in NIST SP 800-52. Diese Optionen sind standardmäßig deaktiviert.
• Die Verwendung einer bestimmten TLS-Version und spezifischer TLS-Cipher-Suites zu erzwingen: Citrix unterstützt das TLS 1.2- und 1.3-Protokoll.
• Nur zu bestimmten Servern zu verbinden.
• Die Sperrung des Serverzertifikats zu überprüfen.
• Eine bestimmte Richtlinie zur Ausstellung von Serverzertifikaten zu überprüfen.
• Ein bestimmtes Clientzertifikat auszuwählen, wenn der Server so konfiguriert ist, dass er eines anfordert.

Die Citrix Workspace-App für Windows unterstützt die folgenden Cipher-Suites für das TLS 1.2- und 1.3-Protokoll:

• TLS_AES_256_GCM_SHA384
• TLS_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

Wichtig:

Die folgenden Cipher-Suites sind aus Gründen der erhöhten Sicherheit veraltet:

-  Cipher-Suites RC4 und 3DES
-  Cipher-Suites mit dem Präfix "TLS_RSA_*"

-  > -  TLS_RSA_WITH_AES_256_GCM_SHA384 (0x009d)
-  > -  TLS_RSA_WITH_AES_128_GCM_SHA256 (0x009c)
-  > -  TLS_RSA_WITH_AES_256_CBC_SHA256 (0x003d)

-  TLS_RSA_WITH_AES_256_CBC_SHA (0x0035)
-  TLS_RSA_WITH_AES_128_CBC_SHA (0x002f)

-  > -  TLS_RSA_WITH_RC4_128_SHA (0x0005)
-  > -  TLS_RSA_WITH_3DES_EDE_CBC_SHA (0x000a)

-  ### TLS-Unterstützung

1. Öffnen Sie die administrative GPO-Vorlage der Citrix Workspace-App, indem Sie gpedit.msc ausführen.

2. Navigieren Sie unter dem Knoten Computerkonfiguration zu Administrative Vorlagen > Citrix Workspace > Netzwerkrouting, und wählen Sie die Richtlinie TLS- und Kompatibilitätsmoduskonfiguration aus.

   • 

   • 1. Wählen Sie Aktiviert, um sichere Verbindungen zu aktivieren und die Kommunikation auf dem Server zu verschlüsseln. Legen Sie die folgenden Optionen fest:

   Hinweis:

   Citrix empfiehlt TLS für sichere Verbindungen.

   1. Wählen Sie TLS für alle Verbindungen erforderlich, um die Citrix Workspace-App zu zwingen, TLS für Verbindungen zu veröffentlichten Anwendungen und Desktops zu verwenden.

   2. Wählen Sie im Menü Sicherheitskompatibilitätsmodus die entsprechende Option aus:

      1. Keine – Es wird kein Kompatibilitätsmodus erzwungen.
      2. SP800-52 – Wählen Sie SP800-52 für die Kompatibilität mit NIST SP 800-52. Wählen Sie diese Option nur, wenn die Server oder das Gateway die Empfehlungen von NIST SP 800-52 befolgen.

      Hinweis:

      -  >
      -  > Wenn Sie **SP800-52** auswählen, wird die FIPS-zugelassene Kryptografie automatisch verwendet, auch wenn **FIPS aktivieren** nicht ausgewählt ist. Aktivieren Sie außerdem die Windows-Sicherheitsoption **Systemkryptografie: FIPS-kompatible Algorithmen für Verschlüsselung, Hashing und Signierung verwenden**. Andernfalls kann die Citrix Workspace-App möglicherweise keine Verbindung zu den veröffentlichten Anwendungen und Desktops herstellen.
      

      Wenn Sie SP800-52 auswählen, setzen Sie die Einstellung Zertifikatsperrlisten-Prüfrichtlinie auf Vollständige Zugriffsprüfung und CRL erforderlich.

      Wenn Sie SP800-52 auswählen, überprüft die Citrix Workspace-App, ob das Serverzertifikat den Empfehlungen in NIST SP 800-52 entspricht. Wenn das Serverzertifikat nicht konform ist, kann die Citrix Workspace-App möglicherweise keine Verbindung herstellen.

      1. FIPS aktivieren – Wählen Sie diese Option, um die Verwendung von FIPS-zugelassener Kryptografie zu erzwingen. Aktivieren Sie außerdem die Windows-Sicherheitsoption aus der Gruppenrichtlinie des Betriebssystems, Systemkryptografie: FIPS-kompatible Algorithmen für Verschlüsselung, Hashing und Signierung verwenden. Andernfalls kann die Citrix Workspace-App möglicherweise keine Verbindung zu veröffentlichten Anwendungen und Desktops herstellen.

   3. Wählen Sie im Dropdown-Menü Zugelassene TLS-Server die Portnummer aus. Verwenden Sie eine durch Kommas getrennte Liste, um sicherzustellen, dass die Citrix Workspace-App nur eine Verbindung zu einem bestimmten Server herstellt. Sie können Platzhalter und Portnummern angeben. Zum Beispiel erlaubt *.citrix.com: 4433 Verbindungen zu jedem Server, dessen allgemeiner Name mit .citrix.com endet, auf Port 4433. Der Aussteller des Zertifikats bestätigt die Richtigkeit der Informationen in einem Sicherheitszertifikat. Wenn Citrix Workspace den Aussteller nicht erkennt oder ihm nicht vertraut, wird die Verbindung abgelehnt.

• 1. Wählen Sie im Menü TLS-Version eine der folgenden Optionen aus:

  • TLS 1.0, TLS 1.1 oder TLS 1.2 – Dies ist die Standardeinstellung, die nur empfohlen wird, wenn eine geschäftliche Anforderung für TLS 1.0 zur Kompatibilität besteht.

  • TLS 1.1 oder TLS 1.2 – Verwenden Sie diese Option, um sicherzustellen, dass die Verbindungen entweder TLS 1.1 oder TLS 1.2 verwenden.

  • TLS 1.2 – Diese Option wird empfohlen, wenn TLS 1.2 eine geschäftliche Anforderung ist.

  1. TLS-Cipher-Suite – Um die Verwendung einer bestimmten TLS-Cipher-Suite zu erzwingen, wählen Sie Government (GOV), Commercial (COM) oder All (ALL).

  2. Wählen Sie im Menü Zertifikatsperrlisten-Prüfrichtlinie eine der folgenden Optionen aus:

  • Prüfung ohne Netzwerkzugriff – Die Prüfung der Zertifikatsperrliste wird durchgeführt. Es werden nur lokale Zertifikatsperrlistenspeicher verwendet. Alle Verteilungspunkte werden ignoriert. Eine Prüfung der Zertifikatsperrliste, die das vom Ziel-SSL-Relay/Citrix Secure Web Gateway-Server verfügbare Serverzertifikat überprüft, ist nicht zwingend erforderlich.

  • Vollständige Zugriffsprüfung – Die Prüfung der Zertifikatsperrliste wird durchgeführt. Lokale Zertifikatsperrlistenspeicher und alle Verteilungspunkte werden verwendet. Wenn Sperrinformationen für ein Zertifikat gefunden werden, wird die Verbindung abgelehnt. Die Prüfung der Zertifikatsperrliste zur Überprüfung des vom Zielserver verfügbaren Serverzertifikats ist nicht kritisch.

  • Vollständige Zugriffsprüfung und CRL erforderlich – Die Prüfung der Zertifikatsperrliste wird durchgeführt, mit Ausnahme der Stammzertifizierungsstelle. Lokale Zertifikatsperrlistenspeicher und alle Verteilungspunkte werden verwendet. Wenn Sperrinformationen für ein Zertifikat gefunden werden, wird die Verbindung abgelehnt. Das Auffinden aller erforderlichen Zertifikatsperrlisten ist für die Überprüfung entscheidend.

  • Vollständige Zugriffsprüfung und alle CRLs erforderlich – Die Prüfung der Zertifikatsperrliste wird durchgeführt, einschließlich der Stammzertifizierungsstelle. Lokale Zertifikatsperrlistenspeicher und alle Verteilungspunkte werden verwendet. Wenn Sperrinformationen für ein Zertifikat gefunden werden, wird die Verbindung abgelehnt. Das Auffinden aller erforderlichen Zertifikatsperrlisten ist für die Überprüfung entscheidend.

  • Keine Prüfung – Es wird keine Prüfung der Zertifikatsperrliste durchgeführt.

  1. Mithilfe der Richtlinienerweiterungs-OID können Sie die Citrix Workspace-App darauf beschränken, nur eine Verbindung zu Servern mit einer bestimmten Zertifikatsausstellungsrichtlinie herzustellen. Wenn Sie Richtlinienerweiterungs-OID auswählen, akzeptiert die Citrix Workspace-App nur Serverzertifikate, die die Richtlinienerweiterungs-OID enthalten.

  2. Wählen Sie im Menü Clientauthentifizierung eine der folgenden Optionen aus:

  • Deaktiviert – Die Clientauthentifizierung ist deaktiviert.

  • Zertifikatsauswahl anzeigen – Fordern Sie den Benutzer immer auf, ein Zertifikat auszuwählen.

  • Automatisch auswählen, wenn möglich – Fordern Sie den Benutzer nur auf, wenn eine Auswahl des zu identifizierenden Zertifikats besteht.

  • Nicht konfiguriert – Zeigt an, dass die Clientauthentifizierung nicht konfiguriert ist.

  • Angegebenes Zertifikat verwenden – Verwenden Sie das Clientzertifikat, das in der Option „Clientzertifikat“ festgelegt ist.

  1. Verwenden Sie die Einstellung Clientzertifikat, um den Fingerabdruck des identifizierenden Zertifikats anzugeben und so unnötige Benutzerabfragen zu vermeiden.

  2. Klicken Sie auf Übernehmen und OK, um die Richtlinie zu speichern.

Unterstützung für TLS-Protokollversion 1.3

Ab Version 2409 unterstützt die Citrix Workspace-App das Transport Layer Security-Protokoll (TLS) Version 1.3.

Hinweis:

Diese Verbesserung erfordert VDA-Version 2303 oder höher.

Diese Funktion ist standardmäßig aktiviert. Um sie zu deaktivieren, gehen Sie wie folgt vor:

1. Öffnen Sie den Registrierungs-Editor, indem Sie regedit im Ausführen-Befehl verwenden.
2. Navigieren Sie zu HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\ICA Client\TLS1.3.
3. Erstellen Sie einen DWORD-Schlüssel mit dem Namen EnableTLS1.3 und setzen Sie den Wert des Schlüssels auf 0.

Einschränkungen:

• Verbindungen über Access Gateway oder NetScaler Gateway Service versuchen, TLS 1.3 zu verwenden. Diese Verbindungen fallen jedoch auf TLS 1.2 zurück, da Access Gateway und NetScaler Gateway Service TLS 1.3 noch nicht unterstützen.
  • Direkte Verbindungen zu einer VDA-Version, die TLS 1.3 nicht unterstützt, fallen auf TLS 1.2 zurück.

Vertrauenswürdiger Server

Vertrauenswürdige Serververbindungen erzwingen

Die Richtlinie zur Konfiguration vertrauenswürdiger Server identifiziert und erzwingt Vertrauensbeziehungen in Citrix Workspace-App-Verbindungen.

Mithilfe dieser Richtlinie können Administratoren steuern, wie der Client die veröffentlichte Anwendung oder den Desktop identifiziert, mit dem er sich verbindet. Der Client bestimmt eine Vertrauensstufe, die als Vertrauensregion bei einer Verbindung bezeichnet wird. Die Vertrauensregion bestimmt dann, wie der Client für die Verbindung konfiguriert wird.

Das Aktivieren dieser Richtlinie verhindert Verbindungen zu Servern, die sich nicht in den vertrauenswürdigen Regionen befinden.

Standardmäßig basiert die Regionsidentifikation auf der Adresse des Servers, mit dem sich der Client verbindet. Um Mitglied der vertrauenswürdigen Region zu sein, muss der Server Mitglied der Windows-Zone Vertrauenswürdige Sites sein. Sie können dies über die Einstellung Windows Internetzone konfigurieren.

-  Alternativ kann für die Kompatibilität mit Nicht-Windows-Clients die Serveradresse mithilfe der Einstellung **Adresse** in der Gruppenrichtlinie explizit als vertrauenswürdig eingestuft werden. Die Serveradresse muss eine durch Kommas getrennte Liste von Servern sein, die die Verwendung von Wildcards unterstützen, zum Beispiel `cps*.citrix.com`.

Voraussetzung:

• Stellen Sie sicher, dass Sie die Citrix Workspace-App für Windows Version 2409 oder höher installiert haben.

  • Setzen Sie die DNS-Auflösung auf True auf dem DDC, wenn Sie einen internen StoreFront und Host-FQDN in den Windows Internetoptionen verwenden. Weitere Informationen finden Sie im Knowledge Center-Artikel CTX135250.

  • Hinweis:

    Es sind keine Änderungen am DDC erforderlich, wenn die IP-Adresse in den Windows Internet-Sicherheitszonenoptionen verwendet wird.

• Kopieren Sie die neueste ICA-Clientrichtlinienvorlage gemäß der folgenden Tabelle:

• |–|–|–|

• receiver.admx	Installation Directory\ICA Client\Configuration\receiver.admx	%systemroot%\policyDefinitions
  CitrixBase.admx	Installation Directory\ICA Client\Configuration\CitrixBase.admx	%systemroot%\policyDefinitions
  receiver.adml	Installation Directory\ICA Client\Configuration[MUIculture]receiver.adml	%systemroot%\policyDefinitions[MUIculture]
  CitrixBase.adml	Installation Directory\ICA Client\Configuration[MUIculture]\CitrixBase.adml	%systemroot%\policyDefinitions[MUIculture]

Hinweis:

• Stellen Sie sicher, dass Sie die neuesten .admx- und .adml-Dateien verwenden, die in der Citrix Workspace-App für Windows Version 2409 oder höher enthalten sind. Weitere Konfigurationsdetails finden Sie in der Dokumentation zu Gruppenrichtlinien.

• Schließen Sie alle laufenden Instanzen der Citrix Workspace-App und beenden Sie diese über das System-Tray-Symbol.

  • 

Führen Sie die folgenden Schritte aus, um die Konfiguration vertrauenswürdiger Server mithilfe der administrativen Vorlage für Gruppenrichtlinienobjekte zu aktivieren:

• 1. Öffnen Sie die administrative Vorlage für Gruppenrichtlinienobjekte der Citrix Workspace-App, indem Sie gpedit.msc ausführen.
     • 1. Navigieren Sie unter dem Knoten Computerkonfiguration zu Administrative Vorlagen > Citrix Komponenten > Citrix Workspace > Netzwerkrouting :
  • Wählen Sie für x64-Bereitstellungen Konfiguration vertrauenswürdiger Server auf x64-Computern konfigurieren.
  • Wählen Sie für x86-Bereitstellungen Konfiguration vertrauenswürdiger Server auf x86-Computern konfigurieren.

• 

  • 1. Aktivieren Sie die ausgewählte Richtlinie und aktivieren Sie das Kontrollkästchen Vertrauenswürdige Serverkonfiguration erzwingen.

1. Wählen Sie im Dropdown-Menü Windows-Internetzonen die Option Vertrauenswürdig aus.

   

• Hinweis:

• Sie können die Auswahl von Optionen aus der Dropdown-Liste Adresse überspringen.

1. Klicken Sie auf OK und Übernehmen.
2. Wenn derselbe angemeldete Benutzer Citrix-Ressourcen veröffentlicht hat, können Sie mit den folgenden Schritten fortfahren oder sich mit einem anderen Benutzer anmelden.

• 1. Öffnen Sie die Internetoptionen von Windows und navigieren Sie zu Vertrauenswürdige Sites > Sites, um eine Domänenadresse oder einen VDA-FQDN hinzuzufügen.

• Hinweis:

• Sie können eine ungültige Domäne *.test.com oder einen spezifischen ungültigen oder gültigen VDA-FQDN hinzufügen, um die Funktion zu testen.

  

1. Ändern Sie je nach Präferenz zu Vertrauenswürdig oder Lokale Intranet-Sites, basierend auf der Zonenauswahl in Windows-Internetzonen innerhalb der Richtlinie Vertrauenswürdige Serverkonfiguration konfigurieren.

   Weitere Informationen finden Sie unter Internet Explorer-Einstellungen ändern im Abschnitt Authentifizierung.

2. Aktualisieren Sie die Gruppenrichtlinie auf dem Zielgerät, auf dem die Citrix Workspace-App installiert ist, über eine Administrator-Eingabeaufforderung oder starten Sie das System neu.
3. Stellen Sie sicher, dass der interne StoreFront-FQDN der Zone “Lokales Intranet” oder den Zonen “Vertrauenswürdige Sites” hinzugefügt wird, basierend auf der Zonenauswahl in Windows-Internetzonen innerhalb der Richtlinie Vertrauenswürdige Serverkonfiguration konfigurieren. Weitere Informationen finden Sie unter Internet Explorer-Einstellungen ändern im Abschnitt Authentifizierung. Stellen Sie außerdem sicher, dass im Falle von Gateway-Stores die Gateway-URL zu den vertrauenswürdigen Sites hinzugefügt werden muss.
4. Öffnen Sie die Citrix Workspace-App oder veröffentlichte Ressourcen und überprüfen Sie die Funktion.

Hinweis:

Wenn Sie die vorhergehenden Schritte nicht konfiguriert haben, kann der Sitzungsstart fehlschlagen und Sie erhalten möglicherweise die folgende Fehlermeldung:

Als Problemumgehung können Sie die Richtlinie Vertrauenswürdige Serverkonfiguration konfigurieren in der GPO deaktivieren.

Selektive Client-Vertrauensstellung

Zusätzlich zum Zulassen oder Verhindern von Verbindungen zu den Servern verwendet der Client auch die Regionen, um den Zugriff auf Dateien, Mikrofone oder Webcams sowie den SSO-Zugriff zu identifizieren.

Wenn der Benutzer den Standardwert für eine Region ausgewählt hat, wird möglicherweise das folgende Dialogfeld angezeigt:

Administratoren können dieses Standardverhalten ändern, indem sie die Registrierungsschlüssel für die selektive Client-Vertrauensstellung entweder über die Gruppenrichtlinie oder in der Registrierung erstellen und konfigurieren. Weitere Informationen zum Konfigurieren der Registrierungsschlüssel für die selektive Client-Vertrauensstellung finden Sie im Knowledge Center-Artikel CTX133565.

Schutz der lokalen Sicherheitsautorität (LSA)

Die Citrix Workspace-App unterstützt den Schutz der lokalen Sicherheitsautorität (LSA) von Windows, der Informationen zu allen Aspekten der lokalen Sicherheit auf einem System verwaltet. Diese Unterstützung bietet gehosteten Desktops den LSA-Schutz auf Systemebene.

Verbindung über Proxyserver

Proxyserver werden verwendet, um den Zugriff auf und von Ihrem Netzwerk zu begrenzen und Verbindungen zwischen der Citrix Workspace-App für Windows und Servern zu verwalten. Die Citrix Workspace-App unterstützt SOCKS- und sichere Proxyprotokolle.

Bei der Kommunikation mit dem Server verwendet die Citrix Workspace-App Proxyservereinstellungen, die remote auf dem Server konfiguriert sind, auf dem Workspace für Web ausgeführt wird.

Bei der Kommunikation mit dem Webserver verwendet die Citrix Workspace-App die Proxyservereinstellungen, die über die Internet-Einstellungen des Standard-Webbrowsers auf dem Benutzergerät konfiguriert sind. Konfigurieren Sie die Internet-Einstellungen des Standard-Webbrowsers auf dem Benutzergerät entsprechend.

Informationen zum Erzwingen von Proxyeinstellungen über die ICA-Datei in StoreFront finden Sie im Knowledge Center-Artikel CTX136516.

SOCKS5-Proxy-Unterstützung für EDT

Zuvor unterstützte die Citrix Workspace-App nur HTTP-Proxys, die über TCP betrieben wurden. Die SOCKS5-Proxy-Funktionalität wurde jedoch bereits vollständig innerhalb des Virtual Delivery Agent (VDA) unterstützt. Weitere Informationen zur VDA-Unterstützung finden Sie in der Dokumentation zu Rendezvous V2.

Ab Version 2409 unterstützt die Citrix Workspace-App nun SOCKS5-Proxys für Enlightened Data Transport (EDT), wodurch die Kompatibilität mit modernen Unternehmensnetzwerkkonfigurationen verbessert wird.

Wichtige Vorteile:

• Erweiterte Proxy-Kompatibilität: Stellen Sie nahtlos Verbindungen über SOCKS5-Proxys her, die von Netzwerk-Teams in Unternehmen aufgrund ihrer Unterstützung von TCP- und UDP-Datenverkehr häufig verwendet werden.
• Verbesserte EDT-Leistung: Nutzen Sie die vollen Vorteile von EDT (UDP-basiert) für eine optimierte Datenübertragung innerhalb von Citrix Workspace-App-Sitzungen.

Diese Funktion ist standardmäßig deaktiviert. Um diese Funktion zu aktivieren, gehen Sie wie folgt vor:

1. Öffnen Sie die GPO-Verwaltungsvorlage der Citrix Workspace-App, indem Sie gpedit.msc ausführen.

2. Navigieren Sie unter dem Knoten Computerkonfiguration zu Administrative Vorlagen > Citrix Workspace > Netzwerkrouting > Proxy > Client-Proxy-Einstellungen konfigurieren und wählen Sie die Proxy-Typen aus.

3. Legen Sie die folgenden Parameter fest:

   • ProxyType: SocksV5
   • ProxyHost: Geben Sie die Adresse des Proxy-Servers an.

Weitere Informationen finden Sie unter ICA Settings Reference und im Knowledge Center-Artikel CTX136516.

Unterstützung für ausgehende Proxys

SmartControl ermöglicht Administratoren die Konfiguration und Durchsetzung von Richtlinien, die sich auf die Umgebung auswirken. Beispielsweise möchten Sie Benutzern möglicherweise untersagen, Laufwerke ihren Remote-Desktops zuzuordnen. Diese Granularität können Sie mit der SmartControl-Funktion auf dem Citrix Gateway erreichen.

Das Szenario ändert sich, wenn die Citrix Workspace-App und das Citrix Gateway zu separaten Unternehmenskonten gehören. In solchen Fällen kann die Client-Domäne die SmartControl-Funktion nicht anwenden, da das Gateway nicht in der Domäne existiert. Sie können dann den ausgehenden ICA-Proxy verwenden. Die Funktion für ausgehende ICA-Proxys ermöglicht Ihnen die Nutzung der SmartControl-Funktion, auch wenn die Citrix Workspace-App und das Citrix Gateway in verschiedenen Organisationen bereitgestellt werden.

Die Citrix Workspace-App unterstützt den Start von Sitzungen über den NetScaler LAN-Proxy. Verwenden Sie das Plug-in für ausgehende Proxys, um einen einzelnen statischen Proxy zu konfigurieren oder einen Proxy-Server zur Laufzeit auszuwählen.

Sie können ausgehende Proxys mit den folgenden Methoden konfigurieren:

• Statischer Proxy: Der Proxy-Server wird durch Angabe eines Proxy-Hostnamens und einer Portnummer konfiguriert.
• Dynamischer Proxy: Ein einzelner Proxy-Server kann aus einem oder mehreren Proxy-Servern mithilfe der Proxy-Plug-in-DLL ausgewählt werden.

Sie können den ausgehenden Proxy mithilfe der Gruppenrichtlinienobjekt-Verwaltungsvorlage oder des Registrierungs-Editors konfigurieren.

Weitere Informationen zum ausgehenden Proxy finden Sie unter Unterstützung für ausgehenden ICA-Proxy in der Citrix Gateway-Dokumentation.

Unterstützung für ausgehenden Proxy – Konfiguration

Hinweis:

Wenn sowohl statische als auch dynamische Proxys konfiguriert sind, hat die dynamische Proxy-Konfiguration Vorrang.

Konfigurieren des ausgehenden Proxys mithilfe der GPO-Verwaltungsvorlage:

1. Öffnen Sie die Gruppenrichtlinienobjekt-Verwaltungsvorlage der Citrix Workspace-App, indem Sie gpedit.msc ausführen.
2. Navigieren Sie unter dem Knoten Computerkonfiguration zu Administrative Vorlagen > Citrix Workspace > Netzwerkrouting.
3. Wählen Sie eine der folgenden Optionen:
   • Für statischen Proxy: Wählen Sie die Richtlinie NetScaler® LAN-Proxy manuell konfigurieren. Wählen Sie Aktiviert und geben Sie dann den Hostnamen und die Portnummer an.
   • Für dynamischen Proxy: Wählen Sie die Richtlinie NetScaler LAN-Proxy mithilfe von DLL konfigurieren. Wählen Sie Aktiviert und geben Sie dann den vollständigen Pfad zur DLL-Datei an. Zum Beispiel C:\Workspace\Proxy\ProxyChooser.dll.
4. Klicken Sie auf Übernehmen und OK.

Konfigurieren des ausgehenden Proxys mithilfe des Registrierungs-Editors:

• Für statischen Proxy:
  • Starten Sie den Registrierungs-Editor und navigieren Sie zu HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\ICA Client\Engine\Network Routing\Proxy\NetScaler.

  • Erstellen Sie DWORD-Wertschlüssel wie folgt:

    "StaticProxyEnabled"=dword:00000001 "ProxyHost"="testproxy1.testdomain.com "ProxyPort"=dword:000001bb

• Für dynamischen Proxy:

  • Starten Sie den Registrierungs-Editor und navigieren Sie zu HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\ICA Client\Engine\Network Routing\Proxy\NetScaler LAN Proxy.
  • Erstellen Sie DWORD-Wertschlüssel wie folgt: "DynamicProxyEnabled"=dword:00000001 "ProxyChooserDLL"="c:\\Workspace\\Proxy\\ProxyChooser.dll"

Verbindungen und Zertifikate

Verbindungen

• HTTP-Store
• HTTPS-Store
• Citrix Gateway 10.5 und höher

Zertifikate

Hinweis:

Die Citrix Workspace-App für Windows ist digital signiert. Die digitale Signatur ist mit einem Zeitstempel versehen. Daher ist das Zertifikat auch nach Ablauf seiner Gültigkeit weiterhin gültig.

• Privat (selbstsigniert)
• Stamm
• Wildcard
• Zwischen

Private (selbstsignierte) Zertifikate

Wenn ein privates Zertifikat auf dem Remote-Gateway vorhanden ist, installieren Sie das Stammzertifikat der Zertifizierungsstelle des Unternehmens auf dem Benutzergerät, das auf die Citrix-Ressourcen zugreift.

Hinweis:

Wenn das Zertifikat des Remote-Gateways bei der Verbindung nicht überprüft werden kann, wird eine Warnung vor einem nicht vertrauenswürdigen Zertifikat angezeigt. Diese Warnung wird angezeigt, wenn das Stammzertifikat im lokalen Keystore fehlt. Wenn ein Benutzer die Warnung ignoriert und fortfährt, werden die Apps zwar angezeigt, können aber nicht gestartet werden.

Stammzertifikate

Für in eine Domäne eingebundene Computer können Sie eine administrative Vorlage für Gruppenrichtlinienobjekte verwenden, um CA-Zertifikate zu verteilen und ihnen zu vertrauen.

Für nicht in eine Domäne eingebundene Computer kann das Unternehmen ein benutzerdefiniertes Installationspaket erstellen, um das CA-Zertifikat zu verteilen und zu installieren. Wenden Sie sich an Ihren Systemadministrator, um Unterstützung zu erhalten.

Wildcard-Zertifikate

Wildcard-Zertifikate werden auf einem Server innerhalb derselben Domäne verwendet.

Die Citrix Workspace-App unterstützt Wildcard-Zertifikate. Verwenden Sie Wildcard-Zertifikate gemäß der Sicherheitsrichtlinie Ihres Unternehmens. Eine Alternative zu Wildcard-Zertifikaten ist ein Zertifikat mit der Liste der Servernamen und der Erweiterung Subject Alternative Name (SAN). Private und öffentliche Zertifizierungsstellen stellen diese Zertifikate aus.

Zwischenzertifikate

Wenn Ihre Zertifikatkette ein Zwischenzertifikat enthält, muss das Zwischenzertifikat an das Citrix Gateway-Serverzertifikat angehängt werden. Weitere Informationen finden Sie unter Konfigurieren von Zwischenzertifikaten.

Zertifikatsperrliste

Eine Zertifikatsperrliste (Certificate Revocation List, CRL) ermöglicht es der Citrix Workspace-App zu überprüfen, ob das Serverzertifikat widerrufen wurde. Die Zertifikatsprüfung verbessert die kryptografische Authentifizierung des Servers und die allgemeine Sicherheit der TLS-Verbindung zwischen dem Benutzergerät und einem Server.

Sie können die CRL-Prüfung auf mehreren Ebenen aktivieren. Es ist beispielsweise möglich, die Citrix Workspace-App so zu konfigurieren, dass sie nur ihre lokale Zertifikatsliste oder sowohl die lokalen als auch die Netzwerkzertifikatslisten überprüft. Sie können die Zertifikatsprüfung auch so konfigurieren, dass sich Benutzer nur anmelden können, wenn alle CRLs überprüft wurden.

Wenn Sie die Zertifikatsprüfung auf Ihrem lokalen Computer konfigurieren, beenden Sie die Citrix Workspace-App. Überprüfen Sie, ob alle Citrix Workspace-Komponenten, einschließlich des Verbindungszentrums, geschlossen sind.

Weitere Informationen finden Sie im Abschnitt Transport Layer Security.

Unterstützung zur Abwehr von Man-in-the-Middle-Angriffen

Die Citrix Workspace-App für Windows hilft Ihnen, das Risiko eines Man-in-the-Middle-Angriffs mithilfe der Funktion Enterprise Certificate Pinning von Microsoft Windows zu reduzieren. Ein Man-in-the-Middle-Angriff ist eine Art von Cyberangriff, bei dem der Angreifer Nachrichten zwischen zwei Parteien, die glauben, direkt miteinander zu kommunizieren, heimlich abfängt und weiterleitet.

Zuvor gab es beim Kontakt mit dem Store-Server keine Möglichkeit zu überprüfen, ob die empfangene Antwort von dem Server stammte, den Sie kontaktieren wollten, oder nicht. Mithilfe der Funktion Enterprise Certificate Pinning von Microsoft Windows können Sie die Gültigkeit und Integrität des Servers überprüfen, indem Sie dessen Zertifikat anheften (pinnen).

Die Citrix Workspace-App für Windows ist vorkonfiguriert, um anhand der Regeln für das Certificate Pinning zu wissen, welches Serverzertifikat sie für eine bestimmte Domäne oder Site erwarten muss. Wenn das Serverzertifikat nicht mit dem vorkonfigurierten Serverzertifikat übereinstimmt, verhindert die Citrix Workspace-App für Windows, dass die Sitzung stattfindet.

Informationen zur Bereitstellung der Funktion Enterprise Certificate Pinning finden Sie in der Microsoft-Dokumentation.

Hinweis:

Sie müssen sich des Ablaufs des Zertifikats bewusst sein und die Gruppenrichtlinien und Zertifikatsvertrauenslisten korrekt aktualisieren. Andernfalls kann es vorkommen, dass Sie die Sitzung nicht starten können, selbst wenn kein Angriff vorliegt.