Product Documentation

Konfigurieren über die administrative Gruppenrichtlinienobjektvorlage

Apr 06, 2017

Citrix empfiehlt, für die Konfiguration von Citrix Receiver für Windows den Windows Gruppenrichtlinienobjekt-Editor zu verwenden. Im Installationsverzeichnis von Citrix Receiver für Windows befinden sich administrative Vorlagendateien (receiver.adm oder receiver.admx\receiver.adml, je nach Betriebssystem).

Hinweis

  • Ab Citrix Receiver für Windows-Version 4.6 enthält das Installationsverzeichnis die Dateien CitrixBase.admx und CitrixBase.adml.
    Citrix empfiehlt die Verwendung von CitrixBase.admx und CitrixBase.adml um sicherzustellen, dass die Optionen im Gruppenrichtlinienobjekt-Editor richtig sortiert angezeigt werden.
  • Die ADM-Datei ist nur zur Verwendung mit Windows XP Embedded-Plattformen. Die ADMX/ADML-Dateien sind zur Verwendung mit Windows Vista/Windows Server 2008 und allen höheren Versionen von Windows.
  • Wenn Citrix Receiver für Windows per VDA installiert wird, sind die ADMX/ADML-Dateien im Citrix Receiver für Windows-Installationsverzeichnis. Beispiel: \Online Plugin\Configuration.
  • Wenn Citrix Receiver für Windows ohne VDA installiert wird, sind die ADMX/ADML-Dateien normalerweise im Verzeichnis C:\Programme\Citrix\ICA Client\Configuration.

In der Tabelle unten finden Sie Informationen zu Citrix Receiver für Windows-Vorlagendateien und die entsprechenden Speicherorte.

Hinweis: Citrix empfiehlt, dass Sie die GPO-Vorlagendateien verwenden, die mit der aktuellen Version von Citrix Receiver bereitgestellt werden.

Dateityp

Dateispeicherort

receiver.adm

\ICA Client\Configuration

receiver.admx

\ICA Client\Configuration

receiver.adml

\ICA Client\Configuration\[MUIculture]

CitrixBase.admx \ICA Client\Configuration
CitrixBase.adml \ICA Client\Configuration\[MUIculture]

Hinweis

  • Wenn CitrixBase.admx\adml nicht dem lokalen Gruppenrichtlinienobjekt hinzugefügt wird, geht möglicherweise die Richtlinie zum Aktivieren der ICA-Dateisignierung verloren.
  • Beim Upgrade von Citrix Receiver für Windows müssen Sie die aktuellen Vorlagendateien wie im Folgenden beschrieben zum lokalen Gruppenrichtlinienobjekt hinzufügen. Beim Import der aktuellen Dateien werden die vorherigen Einstellungen beibehalten.

Hinzufügen der Vorlagendatei receiver.adm zum lokalen Gruppenrichtlinienobjekt (nur für Windows XP Embedded-Betriebssysteme)

Hinweis: Sie können ADM-Vorlagendateien zum Konfigurieren von lokalen und domänenbasierten Gruppenrichtlinienobjekten verwenden.

1. Öffnen Sie als Administrator den Gruppenrichtlinien-Editor, indem Sie gpedit.msc lokal vomStartmenü ausführen, wenn Sie einen einzelnen Computer ändern, oder indem Sie die Gruppenrichtlinien-Verwaltungskonsole verwenden, wenn Sie Domänenrichtlinien anwenden.
Hinweis: Wenn Sie die Citrix Receiver für Windows-Vorlage bereits in den Gruppenrichtlinien-Editor importiert haben, können Sie die Schritte 2 bis 5 überspringen.
2. Wählen Sie im linken Bereich des Gruppenrichtlinien-Editors den Ordner Administrative Vorlagen aus.
3. Klicken Sie im Menü "Aktion" auf Vorlagen hinzufügen/entfernen.
4. Wählen Sie "Hinzufügen" und navigieren Sie zum Speicherort der Vorlagendatei: \ICA Client\Configuration\receiver.adm
5. Klicken Sie auf "Öffnen", um die Vorlage hinzuzufügen, und klicken Sie dann auf "Schließen", um zum Gruppenrichtlinien-Editor zurückzukehren.
Die Citrix Receiver für Windows-Vorlagendatei ist im lokalen Gruppenrichtlinienobjekt in folgendem Pfad verfügbar: Administrative Vorlagen > Klassische administrative Vorlagen (ADM) > Citrix Komponenten > Citrix Receiver.

Nachdem die ADM-Vorlagendateien dem lokalen Gruppenrichtlinienobjekt hinzugefügt wurden, wird die folgende Meldung angezeigt:
"Der folgende Eintrag im Abschnitt "[strings]" ist zu lang und wurde abgeschnitten:
Klicken Sie auf OK, um diese Meldung ignorieren.

Hinzufügen der Vorlagendateien receiver.admx/adml zum lokalen Gruppenrichtlinienobjekt (höhere Versionen des Windows-Betriebsystems)

Hinweis: Sie können ADMX/ADML-Vorlagendateien zum Konfigurieren von lokalen GPO und domänenbasierten GPO verwenden. Weitere Informationen finden Sie unter im Microsoft MSDN-Artikel zum Verwalten von ADMX-Dateien.
1. Kopieren Sie nach der Installation von Citrix Receiver für Windows die Vorlagendateien.

ADMX:
Von : \ICA Client\Configuration\receiver.admx
Nach : %systemroot%\policyDefinitions

Von: \ICA Client\Configuration\CitrixBase.admx
Nach: %systemroot%\policyDefinitions

ADML:
Von: \ICA Client\Configuration\[MUIculture]receiver.adml
Nach: %systemroot%\policyDefinitions\[MUIculture]

Von: \ICA Client\Configuration\[MUIculture]\CitrixBase.adml
Nach: %systemroot%\policyDefinitions\[MUIculture]

Hinweis

Citrix Receiver für Windows-Vorlagendateien sind im lokalen Gruppenrichtlinienobjekt unter "Administrative Vorlagen > Citrix Komponenten > Citrix Receiver" nur verfügbar, wenn der Benutzer die Dateien CitrixBase.admx/CitrixBase.adml dem Ordner \policyDefinitions hinzufügt.

Info zu TLS und Gruppenrichtlinien

Diese Richtlinie ermöglicht das Konfigurieren der TLS-Optionen, sodass Citrix Receiver für Windows den Server für die Verbindung sicher identifizieren kann, und sie ermöglicht die Verschlüsselung der gesamten Kommunikation mit dem Server.

Diese Optionen ermöglichen Folgendes:

  • Erzwingen der Verwendung von TLS. Citrix empfiehlt, für alle Verbindungen über nicht vertrauenswürdige Netzwerke, einschließlich für das Internet, TLS zu verwenden.
  • Erzwingen der Verwendung der für FIPS (Federal Information Processing Standards) genehmigten Kryptografie und Einhalten der Empfehlungen im Dokument NIST SP 800-52. Diese Optionen sind standardmäßig deaktiviert.
  • Erzwingen der Verwendung einer bestimmten Version von TLS und bestimmter TLS-Verschlüsselungssammlungen. Citrix unterstützt die Protokolle TLS 1.0, TLS 1.1 und TLS 1.2 zwischen Citrix Receiver für Windows und XenApp oder XenDesktop.
  • Herstellen von Verbindungen mit bestimmten Servern.
  • Überprüfen, ob das Serverzertifikat widerrufen wurde.
  • Überprüfen auf eine bestimmte Serverzertifikatausstellungsrichtlinie.
  • Auswählen eines bestimmten Clientzertifikats, wenn der Server für die Anforderung konfiguriert ist.

Bei aktivierter Richtlinie können Sie erzwingen, dass Citrix Receiver für Windows für alle Verbindungen mit veröffentlichten Anwendungen und Desktops TLS verwendet, indem Sie das Kontrollkästchen TLS für alle Verbindungen verwenden aktivieren.

Um die Verwendung von für FIPS genehmigte Kryptografie zu erzwingen, wählen Sie FIPS aktivieren.

localized image

Important

Wenn Sie "FIPS aktivieren" auswählen, müssen Sie auch die Windows-Sicherheitsoption Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, Hashing und Signatur verwenden aktivieren, andernfalls kann Citrix Receiver für Windows u. U. keine Verbindung zu veröffentlichten Anwendungen und Desktops herstellen.

Für die Einhaltung der Empfehlungen von NIST SP 800-52 wählen Sie den Sicherheitskonformitätsmodus SP800-52. Aktivieren Sie diesen Sicherheitskonformitätsmodus nur, wenn alle Server und Gateways ebenfalls den Empfehlungen von NIST SP 800-52 entsprechen.

Important

Wenn Sie den Sicherheitskonformitätsmodus SP800-52 auswählen, wird automatisch für FIPS genehmigte Kryptografie verwendet, selbst wenn "FIPS aktivieren" nicht ausgewählt ist. Sie müssen auch die Windows-Sicherheitsoption Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, Hashing und Signatur verwenden aktivieren, andernfalls kann Citrix Receiver für Windows u. U. keine Verbindung zu veröffentlichten Anwendungen und Desktops herstellen.

Wenn Sie den Sicherheitskonformitätsmodus SP800-52 auswählen, müssen Sie für die Richtlinie "Zertifikatsperrüberprüfung" die Einstellung "Volle Zugriffsprüfung" oder "Volle Zugriffsprüfung und CRL erforderlich" aktivieren.

Wenn Sie den Sicherheitskonformitätsmodus SP800-52 auswählen, überprüft Citrix Receiver für Windows, ob das Serverzertifikat den Empfehlungen in NIST SP 800-52 entspricht.Wenn dies nicht der Fall ist, kann Citrix Receiver für Windows keine Verbindung herstellen.

Citrix Receiver für Windows unterstützt RSA-Schlüssellängen von 1024, 2048 und 3072 Bits Darüber hinaus werden Stammzertifikate mit RSA-Schlüsseln von 4096 Bits Länge unterstützt.

Hinweis

RSA-Schlüssel mit einer Länge von 1024 Bits werden von Citrix nicht empfohlen.

Um die Verwendung einer bestimmten Version von TLS zu erzwingen, legen Sie die TLS-Version fest.

Einige Vorschriften erlauben die Verwendung von TLS 1.0 nicht und bevorzugen TLS 1.2. Citrix Receiver verwendet die höchste Version von TLS, die auch auf dem Server oder dem Gateway verfügbar ist.

Folgende Optionen stehen zur Auswahl:

  • TLS1.0 | TLS1.1 | TLS1.2: Dies ist die Standardeinstellung. Diese Option wird nur empfohlen, wenn die Kompatibilität mit TLS 1.0 eine Geschäftsanforderung ist.
  • TLS 1.1 | TLS 1.2
  • TLS 1.2: Diese Option wird empfohlen, wenn TLS 1.2 eine Geschäftsanforderung ist.

Um die Verwendung von bestimmten TLS-Verschlüsselungssammlungen zu erzwingen, wählen Sie "Behörden" (BEH), "Kommerziell" (KOM) oder "Alle" (ALLE). Bei bestimmten NetScaler Gateway-Konfigurationen müssen Sie u. U. die Option "Kommerziell (KOM)" wählen.

Die verfügbaren Verschlüsselungssammlungen hängen von den Einstellungen für "FIPS aktivieren" und den Sicherheitskonformitätsmodus ab.

Die folgende Tabelle enthält die Verschlüsselungssammlungen in jeder Gruppe:

TLS-Verschlüsselungssammlung BEH KOM ALLE BEH KOM ALLE BEH KOM ALLE
FIPS aktivieren Aus Aus Aus Ein Ein Ein Ein Ein Ein
Sicherheitskonformitätsmodus SP800-52 Aus Aus Aus Aus Aus Aus Ein Ein Ein
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384                 X   X X   X      
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384                 X   X X   X      
TLS_RSA_WITH_AES_256_GCM_SHA384 X   X X   X X   X
TLS_RSA_WITH_AES_128_GCM_SHA256  X X X X X X X X X
TLS_RSA_WITH_AES_256_CBC_SHA256                   X   X X   X      
TLS_RSA_WITH_AES_256_CBC_SHA X   X X   X X   X
TLS_RSA_WITH_AES_128_CBC_SHA        X X   X X   X X
TLS_RSA_WITH_RC4_128_SHA                       X X            
TLS_RSA_WITH_RC4_128_MD5                       X X            
TLS_RSA_WITH_3DES_EDE_CBC_SHA             X   X X   X X   X

Sie können Citrix Receiver für Windows auf Verbindungen mit bestimmten Servern beschränken. Citrix Receiver für Windows identifiziert den Server nach dem Namen auf dem Sicherheitszertifikat, das der Server präsentiert. Das Format ist ein DNS-Name (z. B. www.citrix.com). Geben Sie unter Zulässige TLS-Server die Liste mit den Namen durch Kommas getrennt an. Platzhalter und Portnummern können hier angegeben werden: z. B. ermöglicht *.citrix.com:4433 die Verbindung mit allen Servern auf Port 4433, deren allgemeiner Name mit .citrix.com endet. Die Genauigkeit der Informationen in einem Sicherheitszertifikat wird durch den Aussteller des Zertifikats bestätigt. Wenn Citrix Receiver für Windows den Aussteller des Zertifikats nicht erkennt und ihm nicht traut, wird die Verbindung abgelehnt.

Citrix Receiver für Windows überprüft anhand einer Zertifikatsperrliste (CRL), ob ein Serverzertifikat gesperrt wurde. Wenn das Zertifikat gesperrt wurde, wird die Verbindung abgelehnt. Der Aussteller des Zertifikats kann ein Zertifikat sperren, wenn der Server kompromittiert wurde.

Wählen Sie die Einstellung für die Richtlinie "Zertifikatsperrüberprüfung" wie folgt:

  • Keine Prüfung: Wählen Sie diese Option aus, wenn die Verbindung ohne Prüfung der Zertifikatsperrliste hergestellt werden soll.
  • Prüfung ohne Netzwerkzugriff: Wählen Sie diese Option, wenn die Zertifikatsperrliste überprüft werden soll, ohne eine aktuelle Zertifikatsperrliste abzurufen. 
  • Volle Zugriffsprüfung: Wählen Sie diese Option, wenn die Zertifikatsperrliste nach dem Abrufen einer aktuellen Zertifikatsperrliste (wenn möglich) überprüft werden soll.
  • Volle Zugriffsprüfung und CRL erforderlich: Wählen Sie diese Option, wenn die Zertifikatsperrliste überprüft werden soll. Die Verbindung wird abgelehnt, wenn keine aktuelle Zertifikatsperrliste verfügbar ist.

Sie können Citrix Receiver für Windows auf Verbindungen mit Servern beschränken, auf denen eine bestimmte Zertifikatausstellungsrichtlinie festgelegt ist. Diese wird durch die Richtlinienerweiterungs-OID identifiziert. Wenn die Option aktiviert ist, akzeptiert Citrix Receiver für Windows nur Serverzertifikate mit Richtlinienerweiterungs-OID.

Bei Verbindungen über TLS kann die Konfiguration des Servers erfordern, dass Citrix Receiver für Windows ein Clientzertifikat hat.
Aktivieren Sie die Einstellung Clientauthentifizierung wie folgt:

  • Deaktiviert: Wählen Sie diese Option aus, wenn die Konfiguration des Servers kein Clientzertifikat erfordert. Dadurch werden die Informationen im Clientzertifikat davor geschützt, fälschlicherweise offengelegt zu werden.
  • Wenn möglich automatisch auswählen: Dies ist normalerweise die beste Option, wenn die Konfiguration des Servers ein Clientzertifikat erfordert.
  • Zertifikatauswähler anzeigen: Wählen Sie diese Option, wenn mit der Option Wenn möglich automatisch auswählen nicht das richtige Zertifikat ausgewählt wird. Der Benutzer wird zu einer Eingabe aufgefordert.
  • Angegebenes Zertifikat verwenden: Wählen Sie diese Option, wenn mit der Option Wenn möglich automatisch auswählen nicht das richtige Zertifikat ausgewählt wird und der Benutzer nicht zu einer Eingabe aufgefordert werden soll. Sie müssen dann den Fingerabdruck des Zertifikats angeben.