Product Documentation

Konfigurieren von Citrix Receiver für Windows mit der administrativen Gruppenrichtlinienobjektvorlage

Dec 13, 2016

Citrix empfiehlt, für die Konfiguration von Citrix Receiver für Windows den Windows Gruppenrichtlinienobjekt-Editor zu verwenden. Im Installationsverzeichnis von Citrix Receiver für Windows befinden sich administrative Vorlagendateien (receiver.adm oder receiver.admx\receiver.adml, je nach Betriebssystem).

Hinweis

Ab Citrix Receiver für Windows-Version 4.6 enthält das Installationsverzeichnis die Dateien CitrixBase.admx und CitrixBase.adml.
Citrix empfiehlt die Verwendung von CitrixBase.admx und CitrixBase.adml um sicherzustellen, dass die Optionen im Gruppenrichtlinienobjekt-Editor richtig sortiert angezeigt werden.

Hinweis

Die ADM-Datei ist nur zur Verwendung mit Windows XP Embedded-Plattformen. Die ADMX/ADML-Dateien sind zur Verwendung mit Windows Vista/Windows Server 2008 und allen höheren Versionen von Windows.

Hinweis

Wenn Citrix Receiver für Windows per VDA installiert wird, sind die ADMX/ADML-Dateien im Citrix Receiver für Windows-Installationsverzeichnis. Beispiel: <Installationsverzeichnis>\Online Plugin\Configuration.

Hinweis

Wenn Citrix Receiver für Windows ohne VDA installiert wird, sind die ADMX/ADML-Dateien normalerweise im Verzeichnis C:\Programme\Citrix\ICA Client\Configuration.

In der Tabelle unten finden Sie Informationen zu Citrix Receiver für Windows-Vorlagendateien und die entsprechenden Speicherorte.

Dateityp        

Dateispeicherort

receiver.adm     

<Installationsverzeichnis>\ICA Client\Configuration

 

receiver.admx    

<Installationsverzeichnis>\ICA Client\Configuration

receiver.adml    

<Installationsverzeichnis>\ICA Client\Configuration\[MUIculture]

CitrixBase.admx<Installationsverzeichnis>\ICA Client\Configuration
CitrixBase.adml<Installationsverzeichnis>\ICA Client\Configuration\[MUIculture]

Hinzufügen der Vorlagendatei receiver.adm zum lokalen Gruppenrichtlinienobjekt (nur für Windows XP Embedded-Betriebssysteme)

Hinweis: Sie können ADM-Vorlagendateien zum Konfigurieren von lokalen und domänenbasierten Gruppenrichtlinienobjekten verwenden.

1. Öffnen Sie als Administrator den Gruppenrichtlinien-Editor, indem Sie gpedit.msc lokal vom Startmenü ausführen, wenn Sie einen einzelnen Computer ändern, oder indem Sie die Gruppenrichtlinien-Verwaltungskonsole verwenden, wenn Sie Domänenrichtlinien anwenden.
Hinweis: Wenn Sie die Citrix Receiver für Windows-Vorlage bereits in den Gruppenrichtlinien-Editor importiert haben, können Sie die Schritte 2 bis 5 überspringen.
2. Wählen Sie im linken Bereich des Gruppenrichtlinien-Editors den Ordner Administrative Vorlagen aus.
3. Klicken Sie im Menü "Aktion" auf Vorlagen hinzufügen/entfernen.
4. Wählen Sie "Hinzufügen" und navigieren Sie zum Speicherort der Vorlagendatei: <Installationsverzeichnis>\ICA Client\Configuration\receiver.adm
5. Klicken Sie auf "Öffnen", um die Vorlage hinzuzufügen, und klicken Sie dann auf "Schließen", um zum Gruppenrichtlinien-Editor zurückzukehren.
Die Citrix Receiver für Windows-Vorlagendatei ist im lokalen Gruppenrichtlinienobjekt in folgendem Pfad verfügbar: Administrative Vorlagen > Klassische administrative Vorlagen (ADM) > Citrix Komponenten > Citrix Receiver.

Nachdem die ADM-Vorlagendateien dem lokalen Gruppenrichtlinienobjekt hinzugefügt wurden, wird die folgende Meldung angezeigt:
"Der folgende Eintrag im Abschnitt "[strings]" ist zu lang und wurde abgeschnitten:
Klicken Sie auf OK, um diese Meldung ignorieren.

Hinzufügen der Vorlagendateien receiver.admx/adml zum lokalen Gruppenrichtlinienobjekt (höhere Versionen des Windows-Betriebsystems)

Hinweis: Sie können ADMX/ADML-Vorlagendateien zum Konfigurieren von lokalen GPO und domänenbasierten GPO verwenden. Weitere Informationen zum Verwalten von ADMX-Dateien finden Sie im Microsoft MSDN-Artikel.
1. Kopieren Sie nach der Installation von Citrix Receiver für Windows die Vorlagendateien.

ADMX:
Von: <Installationsverzeichnis>\ICA Client\Configuration\receiver.admx
Nach: %systemroot%\policyDefinitions

Von: <Installationsverzeichnis>\ICA Client\Configuration\CitrixBase.admx
Nach: %systemroot%\policyDefinitions

ADML:
Von: <Installationsverzeichnis>\ICA Client\Configuration\[MUIculture]receiver.adml
Nach: %systemroot%\policyDefinitions\[MUIculture]

Von: <Installationsverzeichnis>\ICA Client\Configuration\[MUIculture]\CitrixBase.adml
Nach: %systemroot%\policyDefinitions\[MUIculture]

Hinweis

Citrix Receiver für Windows-Vorlagendateien sind im lokalen Gruppenrichtlinienobjekt unter "Administrative Vorlagen > Citrix Komponenten > Citrix Receiver" nur verfügbar, wenn der Benutzer die Dateien CitrixBase.admx/CitrixBase.adml dem Ordner \policyDefinitions hinzufügt.

Info zu TLS und Gruppenrichtlinien

Diese Richtlinie ermöglicht das Konfigurieren der TLS-Optionen, sodass Citrix Receiver für Windows den Server für die Verbindung sicher identifizieren kann, und sie ermöglicht die Verschlüsselung der gesamten Kommunikation mit dem Server.

Diese Optionen ermöglichen Folgendes:

  • Erzwingen der Verwendung von TLS. Citrix empfiehlt, für alle Verbindungen über nicht vertrauenswürdige Netzwerke, einschließlich für das Internet, TLS zu verwenden.
  • Erzwingen der Verwendung der für FIPS (Federal Information Processing Standards) genehmigten Kryptografie und Einhalten der Empfehlungen im Dokument NIST SP 800-52. Diese Optionen sind standardmäßig deaktiviert.
  • Erzwingen der Verwendung einer bestimmten Version von TLS und bestimmter TLS-Verschlüsselungssammlungen. Citrix unterstützt die Protokolle TLS 1.0, TLS 1.1 und TLS 1.2 zwischen Citrix Receiver für Windows und XenApp oder XenDesktop.
  • Herstellen von Verbindungen mit bestimmten Servern.
  • Überprüfen, ob das Serverzertifikat widerrufen wurde.
  • Überprüfen auf eine bestimmte Serverzertifikatausstellungsrichtlinie.
  • Auswählen eines bestimmten Clientzertifikats, wenn der Server für die Anforderung konfiguriert ist.


Bei aktivierter Richtlinie können Sie erzwingen, dass Citrix Receiver für Windows für alle Verbindungen mit veröffentlichten Anwendungen und Desktops TLS verwendet, indem Sie das Kontrollkästchen TLS für alle Verbindungen verwenden aktivieren.

Um die Verwendung von für FIPS genehmigte Kryptografie zu erzwingen, wählen Sie FIPS aktivieren.

localized image

Important

Wenn Sie "FIPS aktivieren" auswählen, müssen Sie auch die Windows-Sicherheitsoption Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, Hashing und Signatur verwenden aktivieren, andernfalls kann Citrix Receiver für Windows u. U. keine Verbindung zu veröffentlichten Anwendungen und Desktops herstellen.

Für die Einhaltung der Empfehlungen von NIST SP 800-52 wählen Sie den Sicherheitskonformitätsmodus SP800-52. Aktivieren Sie diesen Sicherheitskonformitätsmodus nur, wenn alle Server und Gateways ebenfalls den Empfehlungen von NIST SP 800-52 entsprechen.

Important

Wenn Sie den Sicherheitskonformitätsmodus SP800-52 auswählen, wird automatisch für FIPS genehmigte Kryptografie verwendet, selbst wenn "FIPS aktivieren" nicht ausgewählt ist. Sie müssen auch die Windows-Sicherheitsoption Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, Hashing und Signatur verwenden aktivieren, andernfalls kann Citrix Receiver für Windows u. U. keine Verbindung zu veröffentlichten Anwendungen und Desktops herstellen.

 Wenn Sie den Sicherheitskonformitätsmodus SP800-52 auswählen, müssen Sie für die Richtlinie "Zertifikatsperrüberprüfung" die Einstellung "Volle Zugriffsprüfung" oder "Volle Zugriffsprüfung und CRL erforderlich" aktivieren.

Wenn Sie den Sicherheitskonformitätsmodus SP800-52 auswählen, überprüft Citrix Receiver für Windows, ob das Serverzertifikat den Empfehlungen in NIST SP 800-52 entspricht.  Wenn dies nicht der Fall ist, kann Citrix Receiver für Windows keine Verbindung herstellen.

Um die Verwendung einer bestimmten Version von TLS zu erzwingen, legen Sie die TLS-Version fest.

Einige Vorschriften erlauben die Verwendung von TLS 1.0 nicht und bevorzugen TLS 1.2. Citrix Receiver verwendet die höchste Version von TLS, die auch auf dem Server oder dem Gateway verfügbar ist.

 

Folgende Optionen stehen zur Auswahl:

  • TLS1.0 | TLS1.1 | TLS1.2: Dies ist die Standardeinstellung. Diese Option wird nur empfohlen, wenn die Kompatibilität mit TLS 1.0 eine Geschäftsanforderung ist.
  • TLS 1.1 | TLS 1.2
  • TLS 1.2: Diese Option wird empfohlen, wenn TLS 1.2 eine Geschäftsanforderung ist.

Um die Verwendung von bestimmten TLS-Verschlüsselungssammlungen zu erzwingen, wählen Sie "Behörden" (BEH), "Kommerziell" (KOM) oder "Alle" (ALLE).

Die verfügbaren Verschlüsselungssammlungen hängen von den Einstellungen für "FIPS aktivieren" und den Sicherheitskonformitätsmodus ab.

Die folgende Tabelle listet die Verschlüsselungssammlungen für die jeweiligen Einstellungen auf:

TLS-Verschlüsselungssammlung

 

BEH

KOM

ALLE

BEH

KOM

ALLE

BEH

KOM

ALLE

FIPS aktivieren

 

Aus

Aus

Aus

Ein

Ein

Ein

Ein

Ein

Ein

Sicherheitskonformitätsmodus SP800-52

Aus

Aus

Aus

Aus

Aus

Aus

Ein

Ein

Ein

Ein

           

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

 

X

 

X

X

 

X

   

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

X

 

X

X

 

X

    

TLS_RSA_WITH_AES_256_GCM_SHA384

 

X

 

X

X

 

X

X

 

X

TLS_RSA_WITH_AES_128_GCM_SHA256

 

X

X

X

X

X

X

X

X

X

TLS_RSA_WITH_AES_256_CBC_SHA256

X

 

X

X

 

X

    

TLS_RSA_WITH_AES_256_CBC_SHA

 

X

 

X

X

 

X

X

 

X

TLS_RSA_WITH_AES_128_CBC_SHA

 

X

X

 

X

X

  

X

X

TLS_RSA_WITH_RC4_128_SHA

X

X

        

TLS_RSA_WITH_RC4_128_MD5

X

X

        

TLS_RSA_WITH_3DES_EDE_CBC_SHA

 

X

 

X

X

 

X

X

 

X

Sie können Citrix Receiver für Windows auf Verbindungen mit bestimmten Servern beschränken. Citrix Receiver für Windows identifiziert den Server nach dem Namen auf dem Sicherheitszertifikat, das der Server präsentiert. Das Format ist ein DNS-Name (z. B. www.citrix.com). Geben Sie unter Zulässige TLS-Server die Liste mit den Namen durch Kommas getrennt an. Platzhalter und Portnummern können hier angegeben werden: z. B. ermöglicht *.citrix.com:4433 die Verbindung mit allen Servern auf Port 4433, deren allgemeiner Name mit .citrix.com endet. Die Genauigkeit der Informationen in einem Sicherheitszertifikat wird durch den Aussteller des Zertifikats bestätigt. Wenn Citrix Receiver für Windows den Aussteller des Zertifikats nicht erkennt und ihm nicht traut, wird die Verbindung abgelehnt.

Citrix Receiver für Windows überprüft anhand einer Zertifikatsperrliste (CRL), ob ein Serverzertifikat gesperrt wurde. Wenn das Zertifikat gesperrt wurde, wird die Verbindung abgelehnt. Der Aussteller des Zertifikats kann ein Zertifikat sperren, wenn der Server kompromittiert wurde.

Wählen Sie die Einstellung für die Richtlinie "Zertifikatsperrüberprüfung" wie folgt:

  • Keine Prüfung: Wählen Sie diese Option aus, wenn die Verbindung ohne Prüfung der Zertifikatsperrliste hergestellt werden soll.
  • Prüfung ohne Netzwerkzugriff: Wählen Sie diese Option, wenn die Zertifikatsperrliste überprüft werden soll, ohne eine aktuelle Zertifikatsperrliste abzurufen. 
  • Volle Zugriffsprüfung: Wählen Sie diese Option, wenn die Zertifikatsperrliste nach dem Abrufen einer aktuellen Zertifikatsperrliste (wenn möglich) überprüft werden soll.
  • Volle Zugriffsprüfung und CRL erforderlich: Wählen Sie diese Option, wenn die Zertifikatsperrliste überprüft werden soll. Die Verbindung wird abgelehnt, wenn keine aktuelle Zertifikatsperrliste verfügbar ist.

Sie können Citrix Receiver für Windows auf Verbindungen mit Servern beschränken, auf denen eine bestimmte Zertifikatausstellungsrichtlinie festgelegt ist. Diese wird durch die Richtlinienerweiterungs-OID identifiziert. Wenn die Option aktiviert ist, akzeptiert Citrix Receiver für Windows nur Serverzertifikate mit Richtlinienerweiterungs-OID.

Bei Verbindungen über TLS kann die Konfiguration des Servers erfordern, dass Citrix Receiver für Windows ein Clientzertifikat hat.
Aktivieren Sie die Einstellung Clientauthentifizierung wie folgt:

  • Deaktiviert: Wählen Sie diese Option aus, wenn die Konfiguration des Servers kein Clientzertifikat erfordert. Dadurch werden die Informationen im Clientzertifikat davor geschützt, fälschlicherweise offengelegt zu werden.
  • Wenn möglich automatisch auswählen: Dies ist normalerweise die beste Option, wenn die Konfiguration des Servers ein Clientzertifikat erfordert.
  • Zertifikatauswähler anzeigen: Wählen Sie diese Option, wenn mit der Option Wenn möglich automatisch auswählen nicht das richtige Zertifikat ausgewählt wird. Der Benutzer wird zu einer Eingabe aufgefordert.
  • Angegebenes Zertifikat verwenden: Wählen Sie diese Option, wenn mit der Option Wenn möglich automatisch auswählen nicht das richtige Zertifikat ausgewählt wird und der Benutzer nicht zu einer Eingabe aufgefordert werden soll. Sie müssen dann den Fingerabdruck des Zertifikats angeben.

Gruppenrichtlinie für Sitzungszuverlässigkeit

Legen Sie beim Konfigurieren der Gruppenrichtlinie für die Sitzungszuverlässigkeit die Transparenzstufe fest. Mit dieser Option können Sie die Transparenzstufe steuern, die auf eine veröffentlichte App oder einen veröffentlichten Desktop während des für die Sitzungszuverlässigkeit erforderlichen Wiederverbindungszeitraums angewendet wird. 

Wählen Sie zum Konfigurieren der Transparenzstufe folgende Optionen: Computerkonfiguration -> Administrative Vorlagen -> Citrix Komponenten -> Netzwerkrouting -> Sitzungszuverlässigkeit und automatische Wiederverbindung -> Transparenzstufe.

Hinweis

 Standardmäßig ist der Wert für die Transparenzstufe auf 80 festgelegt.

localized image