Product Documentation

Sichern und Einschränken des Zugriffs auf Maschinen einer Bereitstellungsgruppe

Sep 29, 2015

Sichern von Bereitstellungsgruppen mit SecureICA

Sie können alle ein- und ausgehenden Kommunikationsvorgänge mit Maschinen in einer Bereitstellungsgruppe mit dem SecureICA-Feature verbergen, mit dem das ICA-Protokoll verschlüsselt wird.

Wenn öffentliche Netzwerke beteiligt sind, empfiehlt Citrix, außer SecureICA noch zusätzliche Verschlüsselungsmethoden einzusetzen. Für Datenübertragungen über öffentliche Netzwerke empfiehlt Citrix die Verwendung der SSL/TLS-Verschlüsselung. Bei SecureICA wird die Datenintegrität auch nicht geprüft.

Standardmäßig ist SecureICA im System deaktiviert. Wenn Sie es aktivieren, ist der Standardverschlüsselungsgrad 128 Bit. Sie können den Verschlüsselungsgrad mit dem SDK konfigurieren. Weitere Informationen finden Sie unter Informationen zum XenApp- und XenDesktop-SDK.
  1. Wählen Sie in Studio den Knoten Bereitstellungsgruppen und dann die Bereitstellungsgruppe, deren Kommunikation Sie sichern möchten.
  2. Klicken Sie auf Bereitstellungsgruppe bearbeiten und anschließend auf Grundeinstellungen.
  3. Wählen Sie Secure ICA aktivieren.

Einschränken des Administratorzugriffs über Geltungsbereiche

Sie können den Zugriff auf Maschinen in einer Bereitstellungsgruppe einschränken. Unabhängig von der verwendeten Methode ersetzen jegliche vorgenommene Änderungen die vorherigen Einstellungen.

  • Schränken Sie den Zugriff für Administratoren über Geltungsbereiche ein, um den Administratorzugriff auf Objektgruppen wie Maschinenkataloge, Bereitstellungsgruppen und Ressourcen zu steuern. Sie können einen Geltungsbereich erstellen und zuweisen, in dem Administratoren auf alle Anwendungen zugreifen können, und einen zweiten Geltungsbereich, der nur den Zugriff auf spezifische Anwendungen zulässt.
  • Schränken Sie den Benutzerzugriff wie folgt ein:
    • SmartAccess-Richtlinienausdrücke, mit denen über NetScaler Gateway hergestellte Benutzerverbindungen gefiltert werden. Der Richtlinienadministrator kann diese Aufgabe im Knoten "Richtlinie" in Studio oder über Richtlinieneinstellungen durchführen, wie unter Referenztabelle beschrieben.
    • Ausschlussfilter für Zugriffsrichtlinien, die Sie mit dem Software Development Kit (SDK) festlegen. Zugriffsrichtlinien werden auf Bereitstellungsgruppen angewendet, um bestimmte Aspekte virtueller Desktopverbindungen genauer zu definieren. Sie können beispielsweise den Maschinenzugriff auf eine Untergruppe der Benutzer beschränken, die auf der Seite Endbenutzereinstellungen für die Bereitstellungsgruppe aufgeführt werden, sowie festlegen, welche Benutzergeräte eine Verbindung mit den Maschinen herstellen können. Mit Zugriffsrichtlinien können Sie ähnliche Ergebnisse erzielen; sie unterscheiden sich jedoch von Richtlinien.

      Durch die Verwendung von Ausschlussfiltern können Zugriffsrichtlinien weiter angepasst werden. Aus Geschäfts- und Sicherheitsgründen können Sie den Zugriff für eine Untergruppe der Benutzer oder Geräte z. B. verweigern. Ausschlussfilter sind in der Standardeinstellung deaktiviert und können mit dem SDK festgelegt werden.

  1. Wählen Sie in Studio den Knoten Bereitstellungsgruppen und dann die Bereitstellungsgruppe, deren Zugriff Sie einschränken möchten.
  2. Klicken Sie auf Bereitstellungsgruppe bearbeiten und anschließend auf Geltungsbereiche.
  3. Wählen Sie einen vorhandenen Geltungsbereich.
  4. Fügen Sie die Objekte dem Geltungsbereich hinzu bzw. entfernen Sie sie.
  5. Sie können Unterobjekte auswählen, indem Sie auf den Pfeil nach links klicken, die Unterobjekte auswählen und dann auf OK klicken.

Einschränken von Benutzerzugriff mit SmartAccess-Richtlinienausdrücken

SmartAccess-Richtlinienausdrücke werden über NetScaler Gateway verwendet.
  1. Wählen Sie in Studio unter Bereitstellungsgruppen die Gruppe aus, die Sie einschränken möchten.
  2. Klicken Sie auf Bereitstellungsgruppe bearbeiten und anschließend auf Zugriffsrichtlinie.
  3. Wählen Sie auf der Seite Zugriffsrichtlinie die Option Über NetScaler Gateway hergestellte Verbindungen aus. Es sind nur Verbindungen über NetScaler Gateway zulässig.
  4. Wenn Sie nur einen Teil dieser Verbindungen auswählen möchten, wählen Sie Verbindungen, auf die mindestens einer der folgenden Filter zutrifft und tun Sie Folgendes:
    1. Definieren Sie die NetScaler Gateway-Site.
    2. Fügen Sie die SmartAccess-Richtlinienausdrücke hinzu bzw. bearbeiten oder löschen Sie die Richtlinienausdrücke, die für Benutzerzugriffsszenarios für die Bereitstellungsgruppe zulässig sind. Weitere Informationen zu NetScaler Gateway und SmartAccess-Richtlinienausdrücken finden Sie unter Configuring SmartAccess on NetScaler Gateway.

Einschränken von Benutzerzugriff mit Ausschlussfiltern

Ausschlussfilter werden mit dem SDK festgelegt.

Dieses Beispiel zeigt ein Unternehmensnetzwerk mit einem Lehrlabor in einem Subnetz, von dem aus aber kein Zugriff auf eine bestimmte Bereitstellungsgruppe möglich sein soll, unabhängig davon, welcher Benutzer die Maschinen im Labor verwendet. Führen Sie dazu den folgenden SDK-Befehl aus:

 Set-BrokerAccessPolicy -Name VPDesktops_Direct -ExcludedClientIPFilterEnabled $True - 
Hinweis: Sie können das Sternchen (*) als Platzhalter verwenden, um alle Tags zu finden, die mit dem gleichen Richtlinienausdruck beginnen. Wenn Sie beispielsweise auf einer Maschine das Tag VPDesktops_Direct hinzugefügt haben und auf einer anderen das Tag VPDesktops_Test, wird der Filter durch Festlegen des Tags auf VPDesktops_* im Skript Set-BrokerAccessPolicy auf beide Maschinen angewendet.

Weitere Informationen zum SDK finden Sie unter Informationen zum XenApp- und XenDesktop-SDK.

Entfernen des Befehls "Herunterfahren"

Citrix empfiehlt, dass Sie diese Microsoft Richtlinie auf alle Benutzer anwenden, die auf Desktopbetriebssystemmaschinen zugreifen. Hiermit wird verhindert, dass Benutzer den Befehl Herunterfahren in einer Sitzung auswählen und den Desktop ausschalten, was ein manuelles Eingreifen des Systemadministrators erforderlich machen würde.

Navigieren Sie auf diese Richtlinie unter Benutzerkonfiguration\Administrative Vorlagen\Startmenü und Taskleiste\Befehl "Herunterfahren" entfernen und Zugriff darauf verweigern und setzen Sie den Befehl auf Aktiviert.