Citrix

Produktdokumentation



Ganzes Dokument herunterladen

Festlegen der Clientressourcenberechtigungen

Sep. 27, 2016

Dieser Abschnitt gilt nur für Bereitstellungen mit dem Webinterface.

Sie können Clientressourcenberechtigungen mit vertrauenswürdigen und eingeschränkten Siteregionen wie folgt einstellen:

  • Hinzufügen der Webinterface-Site zur Liste der vertrauenswürdigen Sites
  • Ändern der neuen Registrierungseinstellungen

Hinweis

Aufgrund von aktuellen Verbesserungen an Citrix Receiver wurde die INI-Prozedur, die in früheren Versionen des Plug-Ins/Receivers verfügbar war, durch diese Prozeduren ersetzt.

Hinzufügen der Webinterface-Site zur Liste der vertrauenswürdigen Sites

  1. Klicken Sie in Internet Explorer im Menü Extras auf Internetoptionen > Sicherheit.
  2. Wählen Sie das Symbol Vertrauenswürdige Sites und klicken Sie auf die Schaltfläche Sites.
  3. Geben Sie im Textfeld Diese Website zur Zone hinzufügen die URL der Webinterface-Site ein und klicken Sie auf Hinzufügen.
  4. Laden Sie die Registrierungseinstellungen von http://support.citrix.com/article/CTX133565 herunter und ändern Sie die Registrierung. Verwenden Sie SsonRegUpx86.reg für Win32-Benutzergeräte und SsonRegUpx64.reg für Win64-Benutzergeräte.
  5. Melden Sie sich vom Benutzergerät ab und dann erneut an.

Ändern der Clientressourcenberechtigungen in der Registrierung

Warnung

Eine unsachgemäße Bearbeitung der Registrierung kann schwerwiegende Probleme verursachen und eine Neuinstallation des Betriebssystems erforderlich machen. Citrix übernimmt keine Garantie dafür, dass Probleme, die auf eine unsachgemäße Verwendung des Registrierungs-Editors zurückzuführen sind, behoben werden können. Die Verwendung des Registrierungs-Editors geschieht daher auf eigene Gefahr. Sichern Sie die Registrierung auf jeden Fall vor dem Bearbeiten ab.

  1. Laden Sie die Registrierungseinstellungen von http://support.citrix.com/article/CTX133565 herunter und importieren Sie die Einstellungen auf jedem Benutzergerät. Verwenden Sie SsonRegUpx86.reg für Win32-Benutzergeräte und SsonRegUpx64.reg für Win64-Benutzergeräte.
  2. Navigieren Sie im Registrierungs-Editor auf HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\ICA Client\Client Selective Trust und ändern Sie im relevanten Bereich den Standardwert für die folgenden Ressourcen auf die benötigten Zugriffswerte:
    Ressourcenschlüssel Ressourcenbeschreibung
    FileSecurityPermission Clientlaufwerke
    MicrophoneAndWebcamSecurityPermission Mikrofone und Webcams
    ScannerAndDigitalCameraSecurityPermission USB- und andere Geräte
    Wert Beschreibung
    0 Kein Zugriff
    1 Lesezugriff
    2 Vollzugriff
    3 Benutzer bei Zugriff fragen

Unterstützte TLS-Verschlüsselungssammlungen

Wenn Citrix Receiver für Windows Anwendungen enumeriert und mit StoreFront kommuniziert, wird die Kryptografie der Windows-Plattform verwendet.

Für TCP-Verbindungen zwischen Citrix Receiver für Windows und XenApp/XenDesktop unterstützt Citrix Receiver für Windows TLS 1.0, 1.1 und 1.2 mit den folgenden Verschlüsselungssammlungen:

  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256

Für auf UDP basierende Verbindungen unterstützt Citrix Receiver für Windows DTLS 1.0 mit den folgenden Verschlüsselungssammlungen:

  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA

Aktivieren des Konformitätsmodus SP 800-52

Unter "Computerkonfiguration" > "Administrative Vorlagen" > "Citrix Komponenten" > "Netzwerkrouting" > "Konfiguration von TLS und Konformitätsmodus" gibt es ein neues Kontrollkästchen: FIPS aktivieren. Hiermit wird gewährleistet, dass nur für FIPS genehmigte Kryptografie für alle ICA-Verbindungen verwendet wird. Standardmäßig ist diese Option deaktiviert.

Ein neuer Sicherheitskonformitätsmodus wird eingeführt: SP 800-52. Standardmäßig ist diese Option auf NONE festgelegt und deaktiviert. Unter folgendem Link finden Sie eine Beschreibung der für NIST SP 800-52 erforderlichen Konformität: http://www.nist.gov/manuscript-publication-search.cfm?pub_id=915295.

Hinweis

Der Konformitätsmodus SP800-52 erfordert FIPS-Konformität. Wenn SP800-52 aktiviert ist, ist der FIPS-Modus unabhängig von der FIPS-Einstellung ebenfalls aktiviert. Die zulässigen Werte für die Richtlinie "Zertifikatsperrüberprüfung" sind "Volle Zugriffsprüfung und CRL erforderlich" oder "Volle Zugriffsprüfung und alle CRL erforderlich".

Einschränken von TLS-Versionen und Verschlüsselungssammlungen

Sie können durch die Konfiguration von Citrix Receiver für Windows TLS-Versionen und Verschlüsselungssammlungen einschränken. Mit einer Option können die zulässigen TLS-Protokollversionen ausgewählt werden, wodurch das TLS-Protokoll für ICA-Verbindungen bestimmt wird. Die höchste TLS-Version, die auf Client und Server verfügbar ist, wird ausgewählt. Die folgenden Optionen sind verfügbar: 

  • TLS 1.0 | TLS 1.1 | TLS 1.2 (Standard) 
  • TLS 1.1 | TLS 1.2
  • TLS 1.2

Für die Auswahl der TLS-Verschlüsselungssammlung ist auch eine Option verfügbar. Citrix Receiver für Windows hat folgende Wahl:

  • Beliebig
  • Kommerziell
  • Behörden

Kommerzielle Verschlüsselungssammlungen

  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5

Verschlüsselungssammlungen für Behörden

  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA   

Hinweis

Wenn TLS für alle Verbindungen verwenden aktiviert ist, müssen Verbindungsanfragen an StoreFront über HTTPS gesendet werden. Das Hinzufügen eines Stores als HTTP schlägt fehl und ein VDA ohne SSL (XenDesktop und XenApp) kann nicht gestartet werden.

Back to Top