Produktdokumentation
XenApp and XenDesktop
7.15 LTSR
PDF anzeigen

Sicherheitsaspekte und Best Practices

June 10, 2026
Beitrag von: 
C

Hinweis:

Ihre Organisation muss möglicherweise bestimmte Sicherheitsstandards erfüllen, um gesetzliche Anforderungen zu erfüllen. Dieses Dokument behandelt dieses Thema nicht, da sich solche Sicherheitsstandards im Laufe der Zeit ändern. Aktuelle Informationen zu Sicherheitsstandards und Citrix-Produkten finden Sie unter https://www.citrix.com/security/.

Best Practices für die Sicherheit

Halten Sie alle Maschinen in Ihrer Umgebung mit Sicherheitspatches auf dem neuesten Stand. Ein Vorteil ist, dass Sie Thin Clients als Terminals verwenden können, was diese Aufgabe vereinfacht.

Schützen Sie alle Maschinen in Ihrer Umgebung mit Antivirensoftware.

Erwägen Sie die Verwendung plattformspezifischer Anti-Malware-Software wie des Microsoft Enhanced Mitigation Experience Toolkit (EMET) für Windows-Maschinen. Einige Behörden empfehlen die Verwendung der neuesten von Microsoft unterstützten EMET-Version in ihren regulierten Umgebungen. Beachten Sie, dass EMET laut Microsoft möglicherweise nicht mit jeder Software kompatibel ist und daher vor der Bereitstellung in einer Produktionsumgebung gründlich mit Ihren Anwendungen getestet werden sollte. XenApp und XenDesktop wurden mit EMET 5.5 in der Standardkonfiguration getestet. Derzeit wird EMET nicht für die Verwendung auf einer Maschine empfohlen, auf der ein Virtual Delivery Agent (VDA) installiert ist.

Schützen Sie alle Maschinen in Ihrer Umgebung mit Perimeter-Firewalls, gegebenenfalls auch an Enklavengrenzen.

Wenn Sie eine konventionelle Umgebung auf diese Version migrieren, müssen Sie möglicherweise eine vorhandene Perimeter-Firewall neu positionieren oder neue Perimeter-Firewalls hinzufügen. Angenommen, es gibt eine Perimeter-Firewall zwischen einem konventionellen Client und einem Datenbankserver im Rechenzentrum. Bei Verwendung dieser Version muss diese Perimeter-Firewall so platziert werden, dass der virtuelle Desktop und das Benutzergerät auf der einen Seite und die Datenbankserver und Delivery Controller im Rechenzentrum auf der anderen Seite sind. Erwägen Sie daher, eine Enklave in Ihrem Rechenzentrum zu erstellen, um die Datenbankserver und Controller aufzunehmen. Erwägen Sie auch einen Schutz zwischen dem Benutzergerät und dem virtuellen Desktop.

Alle Maschinen in Ihrer Umgebung sollten durch eine persönliche Firewall geschützt sein. Wenn Sie Kernkomponenten und VDAs installieren, können Sie wählen, ob die für die Komponenten- und Feature-Kommunikation erforderlichen Ports automatisch geöffnet werden sollen, wenn der Windows-Firewall-Dienst erkannt wird (auch wenn die Firewall nicht aktiviert ist). Sie können diese Firewall-Ports auch manuell konfigurieren. Wenn Sie eine andere Firewall verwenden, müssen Sie die Firewall manuell konfigurieren.

Hinweis: Die TCP-Ports 1494 und 2598 werden für ICA und CGP verwendet und sind daher wahrscheinlich an Firewalls geöffnet, damit Benutzer außerhalb des Rechenzentrums darauf zugreifen können. Citrix empfiehlt, diese Ports nicht für andere Zwecke zu verwenden, um die Möglichkeit zu vermeiden, dass administrative Schnittstellen unbeabsichtigt Angriffen ausgesetzt sind. Die Ports 1494 und 2598 sind offiziell bei der Internet Assigned Number Authority (https://www.iana.org/) registriert.

Alle Netzwerkkommunikationen sollten entsprechend Ihrer Sicherheitsrichtlinie gesichert und verschlüsselt werden. Sie können die gesamte Kommunikation zwischen Microsoft Windows-Computern mit IPSec sichern; Einzelheiten dazu finden Sie in der Dokumentation Ihres Betriebssystems. Darüber hinaus wird die Kommunikation zwischen Benutzergeräten und Desktops durch Citrix SecureICA gesichert, das standardmäßig mit 128-Bit-Verschlüsselung konfiguriert ist. Sie können SecureICA konfigurieren, wenn Sie eine Bereitstellungsgruppe erstellen oder aktualisieren.

Hinweis:

Citrix SecureICA ist Teil des ICA/HDX-Protokolls, aber kein standardkonformes Netzwerksicherheitsprotokoll wie Transport Layer Security (TLS). Sie können die Netzwerkkommunikation zwischen Benutzergeräten und Desktops auch mit TLS sichern. Informationen zum Konfigurieren von TLS finden Sie unter Transport Layer Security (TLS).

Wenden Sie die Windows-Best-Practice für die Kontoverwaltung an. Erstellen Sie kein Konto auf einer Vorlage oder einem Image, bevor es von Machine Creation Services oder Provisioning Services dupliziert wird. Planen Sie keine Aufgaben mit gespeicherten privilegierten Domänenkonten. Erstellen Sie keine freigegebenen Active Directory-Computerkonten manuell. Diese Praktiken helfen, zu verhindern, dass ein Maschinenangriff lokale persistente Kontopasswörter erhält und diese dann verwendet, um sich bei MCS/PVS-Freigabe-Images anderer anzumelden.

Anwendungssicherheit

Um zu verhindern, dass Nicht-Administrator-Benutzer bösartige Aktionen ausführen, empfehlen wir Ihnen, Windows AppLocker-Regeln für Installationsprogramme, Anwendungen, ausführbare Dateien und Skripte auf dem VDA-Host und auf dem lokalen Windows-Client zu konfigurieren.

Benutzerberechtigungen verwalten

Gewähren Sie Benutzern nur die Berechtigungen, die sie benötigen. Microsoft Windows-Berechtigungen werden wie gewohnt auf Desktops angewendet: Konfigurieren Sie Berechtigungen über die Zuweisung von Benutzerrechten und Gruppenmitgliedschaften über die Gruppenrichtlinie. Ein Vorteil dieser Version ist, dass es möglich ist, einem Benutzer Administratorrechte für einen Desktop zu gewähren, ohne ihm gleichzeitig die physische Kontrolle über den Computer zu geben, auf dem der Desktop gespeichert ist.

Beachten Sie bei der Planung von Desktop-Berechtigungen Folgendes:

  • Standardmäßig sehen nicht privilegierte Benutzer, wenn sie sich mit einem Desktop verbinden, die Zeitzone des Systems, auf dem der Desktop ausgeführt wird, anstatt der Zeitzone ihres eigenen Benutzergeräts. Informationen dazu, wie Benutzer ihre lokale Zeit bei der Verwendung von Desktops sehen können, finden Sie unter Grundlegende Einstellungen ändern.
  • Ein Benutzer, der Administrator auf einem Desktop ist, hat die volle Kontrolle über diesen Desktop. Wenn ein Desktop ein gepoolter Desktop und kein dedizierter Desktop ist, muss dem Benutzer in Bezug auf alle anderen Benutzer dieses Desktops, einschließlich zukünftiger Benutzer, vertraut werden. Alle Benutzer des Desktops müssen sich des potenziellen dauerhaften Risikos für ihre Datensicherheit bewusst sein, das diese Situation birgt. Diese Überlegung gilt nicht für dedizierte Desktops, die nur einen einzigen Benutzer haben; dieser Benutzer sollte kein Administrator auf einem anderen Desktop sein.
  • Ein Benutzer, der Administrator auf einem Desktop ist, kann im Allgemeinen Software auf diesem Desktop installieren, einschließlich potenziell bösartiger Software. Der Benutzer kann auch potenziell den Datenverkehr in jedem mit dem Desktop verbundenen Netzwerk überwachen oder steuern.

Einige Anwendungen erfordern Desktop-Berechtigungen, obwohl sie für Benutzer und nicht für Administratoren gedacht sind. Diese Benutzer sind sich der Sicherheitsrisiken möglicherweise nicht so bewusst.

Behandeln Sie diese Anwendungen als hochsensible Anwendungen, auch wenn ihre Daten nicht sensibel sind. Ziehen Sie diese Ansätze in Betracht, um das Sicherheitsrisiko zu reduzieren:

  • Erzwingen Sie die Zwei-Faktor-Authentifizierung und deaktivieren Sie jeden Single Sign-On-Mechanismus für die Anwendung
  • Erzwingen Sie kontextbezogene Zugriffsrichtlinien
  • Veröffentlichen Sie die Anwendung auf einem dedizierten Desktop. Wenn die Anwendung auf einem gemeinsam genutzten gehosteten Desktop veröffentlicht werden muss, veröffentlichen Sie keine anderen Anwendungen auf diesem gemeinsam genutzten gehosteten Desktop
  • Stellen Sie sicher, dass die Desktop-Berechtigungen nur auf diesen Desktop und nicht auf andere Computer angewendet werden
  • Aktivieren Sie die Sitzungsaufzeichnung für die Anwendung. Aktivieren Sie auch andere Sicherheits-Logging-Funktionen in der Anwendung und innerhalb von Windows selbst.
  • Konfigurieren Sie XenApp and XenDesktop® so, dass die mit der Anwendung verwendeten Funktionen eingeschränkt werden (z. B. Zwischenablage, Drucker, Clientlaufwerk und USB-Umleitung).
  • Aktivieren Sie alle Sicherheitsfunktionen der Anwendung. Beschränken Sie sie streng auf die Anforderungen der Benutzer – nicht mehr.
  • Konfigurieren Sie die Sicherheitsfunktionen von Windows so, dass sie streng den Anforderungen der Benutzer entsprechen. Dies ist eine einfachere Konfiguration, wenn nur diese eine Anwendung auf dem Desktop veröffentlicht wird; zum Beispiel kann eine restriktive AppLocker-Konfiguration verwendet werden. Kontrollieren Sie den Zugriff auf das Dateisystem.
  • Planen Sie, die Anwendung neu zu konfigurieren, zu aktualisieren oder zu ersetzen, damit in Zukunft keine Desktop-Berechtigungen mehr erforderlich sind.

Diese Ansätze beseitigen nicht alle Sicherheitsrisiken von Anwendungen, die Desktop-Berechtigungen erfordern.

Anmeldeberechtigungen verwalten

Anmeldeberechtigungen sind sowohl für Benutzerkonten als auch für Computerkonten erforderlich. Wie bei Microsoft Windows-Berechtigungen werden Anmeldeberechtigungen weiterhin auf die übliche Weise auf Desktops angewendet: Konfigurieren Sie Anmeldeberechtigungen über die Zuweisung von Benutzerrechten und Gruppenmitgliedschaften über die Gruppenrichtlinie.

Die Windows-Anmeldeberechtigungen sind: lokal anmelden, über Remotedesktopdienste anmelden, über das Netzwerk anmelden (auf diesen Computer vom Netzwerk aus zugreifen), als Batchauftrag anmelden und als Dienst anmelden.

Gewähren Sie Computerkonten nur die Anmeldeberechtigungen, die sie benötigen. Die Anmeldeberechtigung „Auf diesen Computer vom Netzwerk aus zugreifen“ ist erforderlich:

  • Bei VDAs für die Computerkonten von Delivery Controllern
  • Bei Delivery Controllern für die Computerkonten von VDAs. Siehe Active Directory OU-basierte Controller-Erkennung.
  • Auf StoreFront™-Servern für die Computerkonten anderer Server in derselben StoreFront-Servergruppe

Gewähren Sie Benutzerkonten nur die Anmeldeberechtigungen, die sie benötigen.

Laut Microsoft wird der Gruppe Remote Desktop Users standardmäßig die Anmeldeberechtigung „Anmeldung über Remotedesktopdienste zulassen“ gewährt (außer auf Domänencontrollern).

Die Sicherheitsrichtlinie Ihrer Organisation kann ausdrücklich festlegen, dass diese Gruppe von dieser Anmeldeberechtigung entfernt werden sollte. Berücksichtigen Sie den folgenden Ansatz:

  • Der Virtual Delivery Agent (VDA) für Server-Betriebssysteme verwendet Microsoft Remote Desktop Services. Sie können die Gruppe „Remotedesktopbenutzer“ als eingeschränkte Gruppe konfigurieren und die Mitgliedschaft in der Gruppe über Active Directory-Gruppenrichtlinien steuern. Weitere Informationen finden Sie in der Microsoft-Dokumentation.
  • Für andere Komponenten von XenApp® und XenDesktop, einschließlich des VDA für Desktop-Betriebssysteme, ist die Gruppe „Remotedesktopbenutzer“ nicht erforderlich. Für diese Komponenten benötigt die Gruppe „Remotedesktopbenutzer“ daher nicht das Anmelde-Recht „Anmeldung über Remotedesktopdienste zulassen“; Sie können es entfernen. Zusätzlich gilt:
    • Wenn Sie diese Computer über Remotedesktopdienste verwalten, stellen Sie sicher, dass alle Administratoren bereits Mitglieder der Gruppe „Administratoren“ sind.
    • Wenn Sie diese Computer nicht über Remotedesktopdienste verwalten, sollten Sie die Remotedesktopdienste auf diesen Computern deaktivieren.

Obwohl es möglich ist, Benutzer und Gruppen dem Anmelde-Recht „Anmeldung über Remotedesktopdienste verweigern“ hinzuzufügen, wird die Verwendung von Anmelde-Verweigerungsrechten im Allgemeinen nicht empfohlen. Weitere Informationen finden Sie in der Microsoft-Dokumentation.

Benutzerrechte konfigurieren

Die Installation des Delivery Controller™ erstellt die folgenden Windows-Dienste:

  • Citrix AD Identity Service (NT SERVICE\CitrixADIdentityService): Verwaltet Microsoft Active Directory-Computerkonten für VMs.
  • Citrix Analytics (NT SERVICE\CitrixAnalytics): Erfasst Informationen zur Sitekonfigurationsnutzung zur Verwendung durch Citrix, sofern diese Erfassung vom Siteadministrator genehmigt wurde. Anschließend werden diese Informationen an Citrix übermittelt, um das Produkt zu verbessern.
  • Citrix App Library (NT SERVICE\CitrixAppLibrary): Unterstützt die Verwaltung und Bereitstellung von AppDisks, die AppDNA-Integration und die Verwaltung von App-V.
  • Citrix Broker Service (NT SERVICE\CitrixBrokerService): Wählt die virtuellen Desktops oder Anwendungen aus, die Benutzern zur Verfügung stehen.
  • Citrix Configuration Logging Service (NT SERVICE\CitrixConfigurationLogging): Zeichnet alle Konfigurationsänderungen und andere Statusänderungen auf, die von Administratoren an der Site vorgenommen wurden.
  • Citrix Configuration Service (NT SERVICE\CitrixConfigurationService): Site-weites Repository für gemeinsame Konfigurationen.
  • Citrix Delegated Administration Service (NT SERVICE\CitrixDelegatedAdmin): Verwaltet die Berechtigungen, die Administratoren erteilt werden.
  • Citrix Environment Test Service (NT SERVICE\CitrixEnvTest): Verwaltet Selbsttests der anderen Delivery Controller-Dienste.
  • Citrix Host Service (NT SERVICE\CitrixHostService): Speichert Informationen über die Hypervisor-Infrastrukturen, die in einer XenApp- oder XenDesktop-Bereitstellung verwendet werden, und bietet auch Funktionen, die von der Konsole zur Auflistung von Ressourcen in einem Hypervisor-Pool verwendet werden.
  • Citrix Machine Creation Service (NT SERVICE\CitrixMachineCreationService): Orchestriert die Erstellung von Desktop-VMs.
  • Citrix Monitor Service (NT SERVICE\CitrixMonitor): Sammelt Metriken für XenApp oder XenDesktop, speichert historische Informationen und bietet eine Abfrageschnittstelle für Fehlerbehebungs- und Berichtstools.
  • Citrix Storefront Service (NT SERVICE\ CitrixStorefront): Unterstützt die Verwaltung von StoreFront. (Es ist nicht Teil der StoreFront-Komponente selbst.)
  • Citrix Storefront Privileged Administration Service (NT SERVICE\CitrixPrivilegedService): Unterstützt privilegierte Verwaltungsoperationen von StoreFront. (Es ist nicht Teil der StoreFront-Komponente selbst.)
  • Citrix Config Synchronizer Service (NT SERVICE\CitrixConfigSyncService): Verbreitet Konfigurationsdaten von der Haupt-Site-Datenbank an den lokalen Host-Cache.
  • Citrix High Availability Service (NT SERVICE\CitrixHighAvailabilityService): Wählt die virtuellen Desktops oder Anwendungen aus, die Benutzern zur Verfügung stehen, wenn die Haupt-Site-Datenbank nicht verfügbar ist.

Die Installation des Delivery Controllers erstellt auch die folgenden Windows-Dienste. Diese werden auch bei der Installation mit anderen Citrix-Komponenten erstellt:

  • Citrix Diagnostic Facility COM Server (NT SERVICE\CdfSvc): Unterstützt die Sammlung diagnostischer Informationen zur Verwendung durch den Citrix Support.
  • Citrix Telemetry Service (NT SERVICE\CitrixTelemetryService): Sammelt diagnostische Informationen zur Analyse durch Citrix, sodass die Analyseergebnisse und Empfehlungen von Administratoren eingesehen werden können, um Probleme mit der Site zu diagnostizieren.

Die Installation des Delivery Controllers erstellt auch den folgenden Windows-Dienst. Dieser wird derzeit nicht verwendet. Falls er aktiviert wurde, deaktivieren Sie ihn.

  • Citrix Remote Broker Provider (NT SERVICE\XaXdCloudProxy)

Die Installation des Delivery Controllers erstellt auch die folgenden Windows-Dienste. Diese werden derzeit nicht verwendet, müssen aber aktiviert sein. Deaktivieren Sie sie nicht.

  • Citrix Orchestration Service (NT SERVICE\CitrixOrchestration)
  • Citrix Trust Service (NT SERVICE\CitrixTrust)

Mit Ausnahme des Citrix Storefront Privileged Administration Service erhalten diese Dienste das Anmelde-Recht „Als Dienst anmelden“ und die Berechtigungen „Arbeitsspeicher-Kontingente für einen Prozess anpassen“, „Sicherheitsüberwachungen generieren“ und „Prozess-Ebene-Token ersetzen“. Sie müssen diese Benutzerrechte nicht ändern. Diese Berechtigungen werden vom Delivery Controller nicht verwendet und sind automatisch deaktiviert.

Diensteinstellungen konfigurieren

Mit Ausnahme des Citrix Storefront Privileged Administration Service und des Citrix Telemetry Service sind die oben im Abschnitt Benutzerrechte konfigurieren aufgeführten Windows-Dienste des Delivery Controller so konfiguriert, dass sie sich als NETWORK SERVICE-Identität anmelden. Ändern Sie diese Diensteinstellungen nicht.

Der Citrix Storefront Privileged Administration Service ist so konfiguriert, dass er sich als Lokales System (NT AUTHORITY\SYSTEM) anmeldet. Dies ist für Delivery Controller StoreFront-Vorgänge erforderlich, die normalerweise für Dienste nicht verfügbar sind (einschließlich der Erstellung von Microsoft IIS-Sites). Ändern Sie die Diensteinstellungen nicht.

Der Citrix Telemetry Service ist so konfiguriert, dass er sich als eigene dienstspezifische Identität anmeldet.

Sie können den Citrix Telemetry Service deaktivieren. Abgesehen von diesem Dienst und bereits deaktivierten Diensten sollten Sie keine anderen Windows-Dienste des Delivery Controller deaktivieren.

Registrierungseinstellungen konfigurieren

Es ist nicht mehr erforderlich, die Erstellung von 8.3-Dateinamen und -Ordnern auf dem VDA-Dateisystem zu aktivieren. Der Registrierungsschlüssel NtfsDisable8dot3NameCreation kann so konfiguriert werden, dass die Erstellung von 8.3-Dateinamen und -Ordnern deaktiviert wird. Sie können dies auch mit dem Befehl fsutil.exe behavior set disable8dot3 konfigurieren.

Sicherheitsauswirkungen von Bereitstellungsszenarien

Ihre Benutzerumgebung kann entweder Benutzergeräte enthalten, die von Ihrer Organisation nicht verwaltet werden und vollständig unter der Kontrolle des Benutzers stehen, oder Benutzergeräte, die von Ihrer Organisation verwaltet und administriert werden. Die Sicherheitsaspekte für diese beiden Umgebungen sind im Allgemeinen unterschiedlich.

Verwaltete Benutzergeräte

Verwaltete Benutzergeräte unterliegen der administrativen Kontrolle; sie stehen entweder unter Ihrer eigenen Kontrolle oder der Kontrolle einer anderen Organisation, der Sie vertrauen. Sie können Benutzergeräte direkt für Benutzer konfigurieren und bereitstellen; alternativ können Sie Terminals bereitstellen, auf denen ein einzelner Desktop nur im Vollbildmodus ausgeführt wird. Befolgen Sie die oben beschriebenen allgemeinen Best Practices für die Sicherheit für alle verwalteten Benutzergeräte. Diese Version hat den Vorteil, dass auf einem Benutzergerät nur minimale Software erforderlich ist.

Ein verwaltetes Benutzergerät kann so konfiguriert werden, dass es im Vollbildmodus oder im Fenstermodus verwendet wird:

  • Nur Vollbildmodus: Benutzer melden sich mit dem üblichen Anmeldebildschirm von Windows an. Dieselben Benutzeranmeldeinformationen werden dann verwendet, um sich automatisch bei dieser Version anzumelden.
  • Benutzer sehen ihren Desktop in einem Fenster: Benutzer melden sich zuerst am Benutzergerät an und melden sich dann über eine mit der Version bereitgestellte Website bei dieser Version an.

Nicht verwaltete Benutzergeräte

Benutzergeräte, die nicht von einer vertrauenswürdigen Organisation verwaltet und administriert werden, können nicht als unter administrativer Kontrolle stehend angesehen werden. Beispielsweise können Sie Benutzern erlauben, ihre eigenen Geräte zu beschaffen und zu konfigurieren, aber Benutzer halten sich möglicherweise nicht an die oben beschriebenen allgemeinen Best Practices für die Sicherheit. Diese Version hat den Vorteil, dass Desktops sicher auf nicht verwaltete Benutzergeräte bereitgestellt werden können. Diese Geräte sollten dennoch über einen grundlegenden Virenschutz verfügen, der Keylogger und ähnliche Eingabeangriffe abwehrt.

Überlegungen zur Datenspeicherung

Bei Verwendung dieser Version können Sie Benutzer daran hindern, Daten auf Benutzergeräten zu speichern, die sich unter ihrer physischen Kontrolle befinden. Sie müssen jedoch weiterhin die Auswirkungen der Datenspeicherung von Benutzern auf Desktops berücksichtigen. Es ist keine gute Praxis für Benutzer, Daten auf Desktops zu speichern; Daten sollten auf Dateiservern, Datenbankservern oder anderen Repositorys gespeichert werden, wo sie angemessen geschützt werden können.

Ihre Desktop-Umgebung kann aus verschiedenen Desktop-Typen bestehen, z. B. gepoolten und dedizierten Desktops. Benutzer sollten niemals Daten auf Desktops speichern, die von mehreren Benutzern gemeinsam genutzt werden, wie z. B. gepoolte Desktops. Wenn Benutzer Daten auf dedizierten Desktops speichern, sollten diese Daten entfernt werden, wenn der Desktop später anderen Benutzern zur Verfügung gestellt wird.

Umgebungen mit gemischten Versionen

Umgebungen mit gemischten Versionen sind bei einigen Upgrades unvermeidlich. Befolgen Sie Best Practices und minimieren Sie die Zeit, in der Citrix-Komponenten unterschiedlicher Versionen koexistieren. In Umgebungen mit gemischten Versionen wird die Sicherheitsrichtlinie beispielsweise möglicherweise nicht einheitlich durchgesetzt.

Hinweis: Dies ist typisch für andere Softwareprodukte; die Verwendung einer früheren Version von Active Directory erzwingt die Gruppenrichtlinie nur teilweise mit späteren Windows-Versionen.

Das folgende Szenario beschreibt ein Sicherheitsproblem, das in einer spezifischen Citrix-Umgebung mit gemischten Versionen auftreten kann. Wenn Citrix Receiver 1.7 verwendet wird, um eine Verbindung zu einem virtuellen Desktop herzustellen, auf dem der VDA in XenApp und XenDesktop 7.6 Feature Pack 2 ausgeführt wird, ist die Richtlinieneinstellung Dateitransfer zwischen Desktop und Client zulassen in der Site aktiviert, kann aber nicht von einem Delivery Controller deaktiviert werden, der XenApp und XenDesktop 7.1 ausführt. Dieser erkennt die Richtlinieneinstellung nicht, die in der späteren Version des Produkts veröffentlicht wurde. Diese Richtlinieneinstellung ermöglicht Benutzern das Hoch- und Herunterladen von Dateien auf ihren virtuellen Desktop, was das Sicherheitsproblem darstellt. Um dies zu umgehen, aktualisieren Sie den Delivery Controller (oder eine eigenständige Instanz von Studio) auf Version 7.6 Feature Pack 2 und verwenden Sie dann die Gruppenrichtlinie, um die Richtlinieneinstellung zu deaktivieren. Alternativ können Sie die lokale Richtlinie auf allen betroffenen virtuellen Desktops verwenden.

Sicherheitsüberlegungen für Remote PC Access

Remote PC Access implementiert die folgenden Sicherheitsfunktionen:

  • Die Verwendung von Smartcards wird unterstützt.
  • Wenn eine Remotesitzung verbunden wird, erscheint der Monitor des Büro-PCs leer.
  • Remote PC Access leitet alle Tastatur- und Mauseingaben an die Remotesitzung um, außer STRG+ALT+ENTF und USB-fähige Smartcards und biometrische Geräte.
  • SmoothRoaming wird nur für einen einzelnen Benutzer unterstützt.
  • Wenn ein Benutzer eine Remotesitzung mit einem Büro-PC verbunden hat, kann nur dieser Benutzer den lokalen Zugriff auf den Büro-PC wieder aufnehmen. Um den lokalen Zugriff wieder aufzunehmen, drückt der Benutzer Strg-Alt-Entf auf dem lokalen PC und meldet sich dann mit denselben Anmeldeinformationen an, die von der Remotesitzung verwendet wurden. Der Benutzer kann den lokalen Zugriff auch durch Einstecken einer Smartcard oder durch Nutzung biometrischer Daten wieder aufnehmen, sofern Ihr System über eine entsprechende Integration eines Drittanbieter-Credential Providers verfügt. Dieses Standardverhalten kann durch Aktivieren der schnellen Benutzerumschaltung (Fast User Switching) über Gruppenrichtlinienobjekte (GPOs) oder durch Bearbeiten der Registrierung außer Kraft gesetzt werden.

Hinweis: Citrix empfiehlt, dass Sie allgemeinen Sitzungsbenutzern keine VDA-Administratorrechte zuweisen.

Automatische Zuweisungen

Standardmäßig unterstützt Remote PC Access die automatische Zuweisung mehrerer Benutzer zu einem VDA. In XenDesktop 5.6 Feature Pack 1 konnten Administratoren dieses Verhalten mithilfe des PowerShell-Skripts RemotePCAccess.ps1 außer Kraft setzen. Diese Version verwendet einen Registrierungseintrag, um mehrere automatische Remote-PC-Zuweisungen zuzulassen oder zu verbieten; diese Einstellung gilt für die gesamte Site.

Vorsicht: Eine falsche Bearbeitung der Registrierung kann schwerwiegende Probleme verursachen, die eine Neuinstallation Ihres Betriebssystems erforderlich machen können. Citrix kann nicht garantieren, dass Probleme, die aus der falschen Verwendung des Registrierungs-Editors resultieren, behoben werden können. Verwenden Sie den Registrierungs-Editor auf eigenes Risiko. Sichern Sie die Registrierung unbedingt, bevor Sie sie bearbeiten.

So schränken Sie automatische Zuweisungen auf einen einzelnen Benutzer ein:

Legen Sie auf jedem Controller in der Site den folgenden Registrierungseintrag fest:

HKEY\_LOCAL\_MACHINE\Software\Citrix|DesktopServer

Name: AllowMultipleRemotePCAssignments

Type: REG\_DWORD

Data: 0 = Disable multiple user assignment, 1 = (Default) Enable multiple user assignment.

Wenn vorhandene Benutzerzuweisungen bestehen, entfernen Sie diese mithilfe von SDK-Befehlen, damit der VDA anschließend für eine einzelne automatische Zuweisung infrage kommt.

  • Entfernen Sie alle zugewiesenen Benutzer vom VDA: $machine.AssociatedUserNames | %{ Remove-BrokerUser-Name $_ -Machine $machine
  • Entfernen Sie den VDA aus der Delivery Group: $machine | Remove-BrokerMachine -DesktopGroup $desktopGroup

Starten Sie den physischen Büro-PC neu.

Sicherheitsaspekte und Best Practices
June 10, 2026
Beitrag von: 
C
June 10, 2026
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.