Citrix

Produktdokumentation



Ganzes Dokument herunterladen

ICA-Dateisignierung: Schutz vor dem Starten von Anwendungen oder Desktops von nicht vertrauenswürdigen Servern

Feb. 16, 2016

Dieser Abschnitt gilt nur für Bereitstellungen mit dem Webinterface und Verwendung von administrativen Vorlagen.

Die ICA-Dateisignierung hilft, Benutzer vor unautorisierten Anwendungs- oder Desktopstarts zu schützen. Citrix Receiver prüft, ob eine vertrauenswürdige Quelle die Anwendung oder den Desktop gestartet hat und verhindert basierend auf administrativen Richtlinien das Starten von Ressourcen auf nicht vertrauenswürdigen Servern. Sie können die Receiver-Sicherheitsrichtlinie für die Prüfung der Signatur beim Anwendungs- oder Desktopstart mit Gruppenrichtlinienobjekten, StoreFront oder Citrix Merchandising Server konfigurieren. Die ICA-Dateisignierung ist in der Standardeinstellung nicht aktiviert. Informationen zum Aktivieren der ICA-Dateisignierung für StoreFront finden Sie in der StoreFront-Dokumentation.

In Webinterface-Bereitstellungen ermöglicht und konfiguriert das Webinterface mit dem Citrix ICA-Dateisignierungsdienst, dass beim Start von Anwendungen und Desktops eine Signatur eingeschlossen wird. Der Dienst kann ICA-Dateien mit einem Zertifikat des lokalen Zertifikatspeichers des Computers signieren.

Citrix Merchandising Server mit Receiver aktiviert und konfiguriert das Prüfen der Signatur beim Start mit dem Assistenten Citrix Merchandising Server Administrator Console > Deliveries und fügt vertrauenswürdige Zertifikatfingerabdrücke hinzu.

Aktivieren und Konfigurieren der Prüfung der Signatur beim Anwendungs- oder Desktopstart mit Gruppenrichtlinienobjekten:

  1. Öffnen Sie als Administrator den Gruppenrichtlinien-Editor, indem Sie gpedit.msc lokal vom Startmenü ausführen, wenn Sie einen einzelnen Computer ändern, oder indem Sie die Gruppenrichtlinien-Verwaltungskonsole verwenden, wenn Sie Domänenrichtlinien anwenden.
    Hinweis: Wenn Sie die Vorlage ica-file-signing-adm bereits in den Gruppenrichtlinien-Editor importiert haben, können Sie die Schritte 2 bis 5 überspringen.
  2. Wählen Sie im linken Bereich des Gruppenrichtlinien-Editors den Ordner Administrative Vorlagen aus.
  3. Klicken Sie im Menü Aktion auf Vorlagen hinzufügen/entfernen.
  4. Klicken Sie auf Hinzufügen, navigieren Sie zum Receiver-Konfigurationsordner (üblicherweise C:\Programme\Citrix\ICA Client\Configuration) und wählen Sie ica-file-signing.adm aus.
  5. Klicken Sie auf Öffnen, um die Vorlage hinzuzufügen, und klicken Sie dann auf Schließen, um zum Gruppenrichtlinien-Editor zurückzukehren.
  6. Navigieren Sie im Gruppenrichtlinien-Editor auf Administrative Vorlagen > Klassische administrative Vorlagen (ADM) > Citrix Components > Citrix Receiver und dann auf Enable ICA File Signing.
  7. Wenn Sie Enabled wählen, können Sie Fingerabdrücke von Signaturzertifikaten der Positivliste der vertrauenswürdigen Zertifikatfingerabdrücke hinzufügen, oder Sie können auf Show klicken und auf dem Bildschirm Show Contents Fingerabdrücke von Signaturzertifikaten aus der Positivliste entfernen. Sie können die Fingerabdrücke von Signaturzertifikaten von den Eigenschaften des Signaturzertifikats kopieren und einfügen. Klicken Sie in der Dropdownliste Policy auf Only allow signed launches (more secure) oder Prompt user on unsigned launches (less secure).
    Option Beschreibung
    Only allow signed launches (more secure) Nur richtig signierte Anwendungs- oder Desktopstarts von einem vertrauenswürdigen Server sind zulässig. Dem Benutzer wird eine Sicherheitswarnung im Receiver angezeigt, wenn eine gestartete Anwendung oder ein Desktop eine ungültige Signatur haben. Der Benutzer kann nicht weiterarbeiten, und der nicht autorisierte Start wird blockiert.
    Prompt user on unsigned launches (less secure) Bei jedem versuchten Start einer nicht signierten oder falsch signierten Anwendung oder eines Desktops wird dem Benutzer eine Aufforderung angezeigt. Der Benutzer kann den Anwendungsstart fortsetzen oder ihn abbrechen (Standardeinstellung).

Auswählen und Verteilen eines digitalen Signaturzertifikats

Bei der Auswahl eines digitalen Signaturzertifikats empfiehlt Citrix eine Auswahl aus dieser Prioritätsliste:

  1. Erwerben Sie ein codesigniertes Zertifikat oder ein SSL-Signaturzertifikat einer öffentlichen Zertifizierungsstelle.
  2. Wenn Ihr Unternehmen eine private Zertifizierungsstelle hat, erstellen Sie ein codesigniertes oder SSL-Signaturzertifikat mit der privaten Zertifizierungsstelle.
  3. Verwenden Sie ein vorhandenes SSL-Zertifikat, z. B. das Webinterface-Serverzertifikat.
  4. Erstellen Sie ein neues Stammzertifikat der Zertifizierungsstelle und verteilen es mit einem Gruppenrichtlinienobjekt oder einer manuellen Installation auf die Benutzergeräte.
Back to Top