Konfigurieren von Citrix Receiver für Windows mit der Gruppenrichtlinienobjektvorlage

Citrix empfiehlt, das Gruppenrichtlinienobjekt zu verwenden und stellt die Vorlagendateien receiver.adm und receiver.admx\receiver.adml bereit (abhängig vom Betriebssystem), um Einstellungen für Citrix Receiver für Windows zu konfigurieren. 

In der Tabelle unten finden Sie Informationen zu Citrix Receiver für Windows-Vorlagendateien und die entsprechenden Speicherorte.

Hinzufügen von ADM-Vorlagendateien zum lokalen Gruppenrichtlinienobjekt

Hinweis: Sie können ADM-Vorlagendateien zum Konfigurieren von lokalen GPO und domänenbasierten GPO verwenden.

1. Öffnen Sie als Administrator den Gruppenrichtlinien-Editor, indem Sie gpedit.msc lokal vom Startmenü ausführen, wenn Sie einen einzelnen Computer ändern, oder indem Sie die Gruppenrichtlinien-Verwaltungskonsole verwenden, wenn Sie Domänenrichtlinien anwenden.
Hinweis: Wenn Sie die Citrix Receiver für Windows-Vorlage bereits in den Gruppenrichtlinien-Editor importiert haben, können Sie die Schritte 2 bis 5 überspringen.
2. Wählen Sie im linken Bereich des Gruppenrichtlinien-Editors den Ordner Administrative Vorlagen aus.
3. Klicken Sie im Menü "Aktion" auf Vorlagen hinzufügen/entfernen.
4. Wählen Sie "Hinzufügen" und navigieren Sie zum Speicherort der Vorlagendatei: <Installationsverzeichnis>\ICA Client\Configuration\receiver.adm
5. Klicken Sie auf "Öffnen", um die Vorlage hinzuzufügen, und klicken Sie dann auf "Schließen", um zum Gruppenrichtlinien-Editor zurückzukehren.
Die Citrix Receiver für Windows-Vorlagendatei ist im lokalen Gruppenrichtlinienobjekt in folgendem Pfad verfügbar: Administrative Vorlagen > Klassische administrative Vorlagen (ADM) > Citrix Komponenten > Citrix Receiver.
Nachdem die ADM-Vorlagendateien dem lokalen Gruppenrichtlinienobjekt hinzugefügt wurden, wird die folgende Meldung angezeigt:
"Der folgende Eintrag im Abschnitt "[strings]" ist zu lang und wurde abgeschnitten:
Klicken Sie auf OK, um diese Meldung ignorieren.

Hinzufügen von ADMX/ADML-Vorlagendateien zum lokalen Gruppenrichtlinienobjekt

Hinweis: Sie können ADMX/ADML-Vorlagendateien zum Konfigurieren von lokalen GPO und domänenbasierten GPO verwenden. Weitere Informationen finden Sie im Microsoft MSDN-Artikel zum Verwalten von ADMX-Dateien.
1. Kopieren Sie nach der Installation von Citrix Receiver für Windows die Vorlagendateien.

ADMX:
Von: <Installationsverzeichnis>\ICA Client\Configuration\receiver.admx
Nach: %systemroot%\policyDefinitions

ADML:
Von: <Installationsverzeichnis>\ICA Client\Configuration\[MUIculture]receiver.adml
Nach: %systemroot%\policyDefinitions\[MUIculture]

Die Citrix Receiver für Windows-Vorlagendatei ist im lokalen Gruppenrichtlinienobjekt unter Administrative Vorlagen > Citrix Komponenten > Citrix Receiver verfügbar. 

Diese Richtlinie ermöglicht das Konfigurieren der TLS-Optionen, sodass Citrix Receiver für Windows den Server für die Verbindung sicher identifizieren kann, und sie ermöglicht die Verschlüsselung der gesamten Kommunikation mit dem Server.  Citrix empfiehlt, für Verbindungen über nicht vertrauenswürdige Netzwerke TLS zu verwenden. Citrix unterstützt die Protokolle TLS 1.0, TLS 1.1 und TLS 1.2 für Verbindungen zwischen Citrix Receiver für Windows und XenApp oder XenDesktop.

Bei aktivierter Richtlinie können Sie erzwingen, dass Citrix Receiver für Windows für alle Verbindungen mit veröffentlichten Anwendungen und Desktops TLS verwendet, indem Sie das Kontrollkästchen "TLS für alle Verbindungen verwenden" aktivieren.

Citrix Receiver für Windows identifiziert den Server nach dem Namen auf dem Sicherheitszertifikat, das der Server präsentiert.  Das Format ist ein DNS-Name (z. B. www.citrix.com).  Sie können Citrix Receiver für Windows auf Verbindungen mit bestimmten Servern beschränken, indem Sie die Server in der Einstellung "Zulässige TLS-Server" in einer durch Kommas getrennten Liste angeben.  Platzhalter und Portnummern können hier angegeben werden: z. B. ermöglicht *.citrix.com:4433 die Verbindung mit allen Servern auf Port 4433, deren allgemeiner Name mit .citrix.com endet. Die Genauigkeit der Informationen in einem Sicherheitszertifikat wird durch den Aussteller des Zertifikats bestätigt.  Wenn Citrix Receiver für Windows den Aussteller des Zertifikats nicht erkennt und ihm nicht traut, wird die Verbindung abgelehnt.

Bei Verbindungen über TLS kann die Konfiguration des Servers erfordern, dass Citrix Receiver für Windows sich durch ein Sicherheitszertifikat selbst identifiziert.  Mit der Einstellung "Client Authentication" können Sie festlegen, ob die Identifikation automatisch erfolgt oder ob der Benutzer benachrichtigt wird.  Die folgenden Optionen sind verfügbar:

• Identifikation nie bereitstellen
• nur das hier konfigurierte Zertifikat verwenden
• Benutzer immer zum Auswählen eines Zertifikats auffordern
• Benutzer nur auffordern, wenn mehrere Zertifikate zur Auswahl stehen

Für die Überprüfung des Sicherheitszertifikats des Servers können Sie das Plug-In so konfigurieren, dass es vom Aussteller des Zertifikats eine Certificate Revocation List (CRL) abruft, um sicherzustellen, dass das Zertifikat nicht gesperrt wurde.  So kann ein Zertifikat durch den Aussteller für ungültig erklärt werden, sollte ein System kompromittiert werden.  Mit der Einstellung "CRL verification" können Sie folgende Aktionen für das Plug-In konfigurieren:

• CRLs nicht überprüfen
• nur CRLs überprüfen, die zuvor von dem Aussteller abgerufen wurden
• aktuelle CRL aktiv abrufen
• Verbindung ablehnen, wenn keine aktuelle CRL abgerufen werden kann

Organisationen, die TLS für eine Reihe von Produkten konfigurieren, können Server, die für Citrix Plug-Ins bestimmt sind, durch Angabe einer Zertifikatrichtlinien-OID als Teil des Sicherheitszertifikats identifizieren.  Wenn hier eine Richtlinien-OID konfiguriert wird, akzeptiert Citrix Receiver für Windows nur Zertifikate, die eine kompatible Richtlinie deklarieren.

Einige Sicherheitsrichtlinien haben Anforderungen für die kryptographischen Algorithmen, die für eine Verbindung verwendet werden.  Mit der Einstellung "TLS version" können Sie die Plug-Ins auf die Verwendung von TLS v1.0, TLS 1.1 und TLS 1.2 beschränken.  Sie können das Plug-In auch auf die Verwendung von bestimmten kryptographischen Verschlüsselungssammlungen beschränken. Die Verschlüsselungssammlungen umfassen Folgende:

Verschlüsselungssammlungen für Behörden:

• TLS_RSA_WITH_AES_256_CBC_SHA
• TLS_RSA_WITH_AES_128_CBC_SHA
• TLS_RSA_WITH_RC4_128_SHA
• TLS_RSA_WITH_RC4_128_MD5
• TLS_RSA_WITH_3DES_EDE_CBC_SHA
• TLS_RSA_WITH_AES_256_GCM_SHA384
• TLS_RSA_WITH_AES_128_GCM_SHA256

Kommerzielle Verschlüsselungssammlungen:

• TLS_RSA_WITH_AES_128_CBC_SHA
• TLS_RSA_WITH_RC4_128_SHA
• TLS_RSA_WITH_RC4_128_MD5
• TLS_RSA_WITH_AES_128_GCM_SHA256

Citrix Receiver für Windows 4.5 bietet Konfigurationsoptionen für TLS und den Konformitätsmodus, um die Einhaltung von FIPS (Federal Information Processing Standards) zu ermöglichen. Mit diesem Feature gewährleisten Sie, dass nur für FIPS (Publication 140-2) genehmigte Kryptografie für alle ICA-Verbindungen verwendet wird. 

Ein neuer Sicherheitskonformitätsmodus ermöglicht Unterstützung für NIST SP 800-52. Standardmäßig ist dieser Modus deaktiviert (auf NONE festgelegt). 

In dieser Version von Citrix Receiver für Windows können Sie die TLS-Version festlegen, die das TLS-Protokoll für ICA-Verbindungen bestimmt. Die höchste Version, die auf Client und Server verfügbar ist, wird ausgewählt.

Gehen Sie beim Verwenden dieser Features im Konfigurationsbildschirm für TLS und den Konformitätsmodus wie folgt vor:

• Aktivieren Sie das Kontrollkästchen "FIPS aktivieren", damit die genehmigte Kryptografie für alle ICA-Sitzungen verwendet wird.
• Legen Sie den Sicherheitskonformitätsmodus auf SP 800-52 fest.
• Wählen Sie die TLS-Version.

In der Abbildung unten sind die FIPS-Optionen dargestellt.

Konfigurieren von FIPS-Kryptografie zwischen allen ICA-Clients:

1. Wählen Sie "Computerkonfiguration" > "Administrative Vorlagen" > "Citrix Komponenten" > "Netzwerkrouting" > Konfiguration von TLS und Konformitätsmodus.
2. Wählen Sie im Bildschirm für die Konfiguration von TLS und Konformitätsmodus die Option FIPS aktivieren.
3. Im Bereich "Sicherheitskonformitätsmodus" wählen Sie im Dropdownmenü die Option SP 800-52. Bei der Konfiguration: 
   • Der Konformitätsmodus SP 800-52 erfordert FIPS-Konformität. Wenn SP 800-52 aktiviert ist, ist der FIPS-Modus unabhängig von der FIPS-Einstellung ebenfalls aktiviert.
   • Die Einstellung für die Richtlinie "Zertifikatsperrüberprüfung" ist entweder Volle Zugriffsprüfung und CRL erforderlich oder Volle Zugriffsprüfung und alle CRL erforderlich.
4. Wählen Sie die entsprechende TLS-Protokollversion für ICA-Verbindungen. Die höchste Version, die auf Client und Server verfügbar ist, wird ausgewählt. Unter anderem sind folgende Optionen verfügbar:
   • TLS 1.0 | TLS 1.1 | TLS 1.2 (Standard)
   • TLS 1.1 | TLS 1.2
   • TLS 1.2

Legen Sie beim Konfigurieren der Gruppenrichtlinie für die Sitzungszuverlässigkeit die Transparenzstufe fest. Mit dieser Option können Sie die Transparenzstufe steuern, die auf eine veröffentlichte App oder einen veröffentlichten Desktop während des für die Sitzungszuverlässigkeit erforderlichen Wiederverbindungszeitraums angewendet wird. 

Wählen Sie zum Konfigurieren der Transparenzstufe folgende Optionen: Computerkonfiguration -> Administrative Vorlagen -> Citrix Komponenten -> Netzwerkrouting -> Sitzungszuverlässigkeit und automatische Wiederverbindung -> Transparenzstufe.