Sicurezza dei canali virtuali
Per impostazione predefinita, la funzionalità di elenco consentiti dei canali virtuali è abilitata. Di conseguenza, solo i canali virtuali Citrix® sono autorizzati ad aprirsi nelle sessioni di app e desktop virtuali. Se è necessario utilizzare canali virtuali personalizzati, sia sviluppati internamente che di terze parti, aggiungerli esplicitamente all’elenco consentiti.
Aggiunta di canali virtuali all’elenco consentiti
Per aggiungere un canale virtuale all’elenco consentiti, è necessario:
-
Il nome del canale virtuale come definito nel codice, che può essere lungo fino a sette caratteri. Ad esempio,
CTXCVC1. -
I percorsi dei processi che aprono il canale virtuale sulla macchina VDA. Ad esempio,
C:\Program Files\Application\run.exe.
Una volta ottenute le informazioni richieste, è necessario aggiungere il canale virtuale all’elenco consentiti utilizzando l’impostazione dei criteri dell’elenco consentiti dei canali virtuali. Per aggiungere un canale virtuale all’elenco, immettere il nome del canale virtuale seguito da una virgola, quindi il percorso del processo che accede al canale virtuale. Se ci sono più processi, questi possono essere aggiunti separati da virgole.
Utilizzando gli esempi precedenti, si aggiungerebbe quanto segue all’elenco:
CTXCVC1,C:\Program Files\Application\run.exe
Se ci sono più processi, aggiungere quanto segue all’elenco:
CTXCVC1,C:\Program Files\Application\run.exe,C:\Program Files\Application\run2.exe
L’uso di caratteri jolly (*) è supportato. È possibile utilizzare i caratteri jolly quando i nomi delle directory o degli eseguibili cambiano in base alla versione dell’applicazione, o se il componente di terze parti è installato nei profili degli utenti.
È possibile utilizzare i caratteri jolly per quanto segue:
- Per sostituire il nome completo della directory. Ad esempio:
C:\Program Files\Application\*\run1.exe - Per sostituire parte del nome della directory. Ad esempio:
C:\Program Files\Application\v*\run1.exe - Per sostituire il nome dell’eseguibile. Ad esempio:
C:\Program Files\Application\v1.2\*.exe - Per sostituire parte del nome dell’eseguibile. Ad esempio:
C:\Program Files\Application\v1.2\run*.exe
Si applicano le seguenti restrizioni:
- Il carattere jolly può essere utilizzato solo per sostituire una singola directory. Ad esempio, se l’eseguibile si trova in
C:\Program Files\Application\v1.2\run1.exe- Consentito:
C:\Program Files\Application\*\run1.exe - Non consentito:
C:\Program Files\*\run1.exe
- Consentito:
- Le voci devono contenere l’estensione del file.
- Consentito:
C:\Program Files\Application\v1.2\*.exe - Non consentito:
C:\Program Files\Application\v1.2\*
- Consentito:
- Tutti i percorsi devono essere locali.
Nota:
I percorsi di rete non sono consentiti a partire dalla versione Citrix Virtual Apps and Desktops™ 2109.
Considerazioni sui canali virtuali Citrix
Tutti i canali virtuali Citrix integrati sono considerati attendibili e possono essere aperti senza ulteriori configurazioni. Tuttavia, esistono due funzionalità che richiedono voci esplicite nell’elenco di autorizzazione a causa di dipendenze esterne:
- Reindirizzamento multimediale
- HDX™ RealTime Optimization Pack per Skype for Business
Reindirizzamento multimediale
Queste informazioni sono necessarie per la voce dell’elenco di elementi consentiti:
- Nome canale virtuale: CTXMM
- Processo: Percorso del lettore multimediale utilizzato nella macchina VDA. Ad esempio, C:\Program Files (x86)\Windows Media Player\wmplayer.exe
- Voce dell’elenco di elementi consentiti:
CTXMM,C:\Program Files (x86)\Windows Media Player\wmplayer.exe
HDX RealTime Optimization Pack per Skype for Business
Queste informazioni sono necessarie per la voce dell’elenco di elementi consentiti:
- Nome canale virtuale: CTXRMEP
- Processo: Percorso dell’eseguibile di Skype for Business nella macchina VDA, che può variare in base alla versione di Skype for Business o se è stato utilizzato un percorso di installazione personalizzato. Ad esempio, C:\Program Files\Microsoft Office\root\Office16\lync.exe.
- Voce dell’elenco di elementi consentiti:
CTXRMEP,C:\Program Files\Microsoft Office\root\Office16\lync.exe
Ottenere nomi e processi dei canali virtuali
Il modo più semplice per ottenere il nome del canale virtuale e il processo che lo apre sulla macchina VDA è richiedere le informazioni allo sviluppatore o al fornitore di terze parti che ha fornito il canale virtuale.
In alternativa, queste informazioni possono essere ottenute applicando i log della funzionalità e seguendo questi passaggi:
- Una volta che i componenti client e server del canale virtuale personalizzato sono a posto, avviare un’applicazione virtuale o un desktop virtuale.
- Nel registro eventi di sistema della macchina VDA, cercare il nome del canale virtuale personalizzato e il processo che ha tentato di aprirlo nel seguente evento:
- In un VDA a sessione singola, ID evento 2002 dalla sorgente Picadd.
- In un VDA multi-sessione, ID evento 14 dalla sorgente Rpm.
- Disconnettersi dalla sessione.
- Aggiungere una voce nell’impostazione dei criteri dell’elenco di autorizzazione dei canali virtuali per il canale virtuale e il processo identificati.
- Avviare l’applicazione virtuale o il desktop virtuale per verificare che il canale virtuale personalizzato si apra correttamente.
Registrazione dell’elenco di autorizzazione dei canali virtuali
I seguenti eventi vengono registrati nel registro eventi della macchina VDA a sessione singola:
| Nome registro | Sistema | |
| ID | 2001 | |
| Origine | Picadd | |
| Livello | Informazioni | |
| Descrizione | Il canale virtuale personalizzato <vcName> è stato aperto dal processo <processName>
|
|
| Nome registro | Sistema | |
| ID | 2002 | |
| Origine | Picadd | |
| Livello | Avviso | |
| Descrizione | Il canale virtuale personalizzato <vcName> non può essere aperto dal processo <processName>
|
|
| Nome registro | Sistema | |
| ID | 2003 | |
| Origine | Picadd | |
| Livello | Informazioni | |
| Descrizione |
<username> ha aperto il canale virtuale personalizzato <vcName>
|
|
| Nome registro | Sistema | |
| ID | 2004 | |
| Origine | Picadd | |
| Livello | Avviso | |
| Descrizione |
<username> ha tentato di aprire il canale virtuale personalizzato <vcName>
|
|
I seguenti eventi vengono registrati nel registro eventi della macchina VDA multisessione:
| Nome registro | Sistema | |
| ID | 13 | |
| Origine | Rpm | |
| Livello | Informazioni | |
| Descrizione | Il canale virtuale personalizzato <vcName> è stato aperto dal processo <processName>
|
|
| Nome registro | Sistema | |
| Id | 14 | |
| Origine | Rpm | |
| Livello | Avviso | |
| Descrizione | Il canale virtuale personalizzato <vcName> non può essere aperto dal processo <processName>
|
|
| Nome registro | Sistema | |
| Id | 15 | |
| Origine | Rpm | |
| Livello | Informazioni | |
| Descrizione |
<username> ha aperto il canale virtuale personalizzato <vcName>
|
|
| Nome log | Sistema | |
| ID | 16 | |
| Origine | Rpm | |
| Livello | Avviso | |
| Descrizione |
<username> ha tentato di aprire il canale virtuale personalizzato <vcName>
|
|
Canali virtuali di terze parti noti
Di seguito sono riportate soluzioni di terze parti note che utilizzano canali virtuali Citrix personalizzati. Questo elenco non include tutte le soluzioni che utilizzano un canale virtuale Citrix personalizzato.
- Cerner
- Cisco WebEx Teams
- Cisco WebEx Meetings Virtual Desktop Software
- Epic Slingshot
- Epic Warp Drive
- Midmark IQPath Client Extensions
- Nuance PowerMic Client Extensions
- Nuance Dragon Medical Network Edition 360 vSync
- Zoom Meetings per VDI
- Ultima IA-Connect
Per ottenere i dettagli per l’aggiunta dei canali virtuali associati all’elenco consentiti, contattare i fornitori delle soluzioni. In alternativa, seguire i passaggi descritti nella sezione Obtaining virtual channel names and processes.