Citrix Virtual Apps and Desktops

セキュリティのポリシー設定

セキュリティセクションには、セッションの暗号化とログオンデータの暗号化の構成に関するポリシー設定が含まれています。

SecureICAの最低暗号化レベル

この設定では、サーバーとユーザーデバイスの間で送信するセッションデータの暗号化に必要な最低限の暗号化レベルを指定します。

重要:Virtual Delivery Agent 7.xの場合、この設定をRC5 128ビット暗号化によるログオンデータの暗号化を有効にするためだけに使用できます。ほかの暗号化レベルは、以前のバージョンのCitrix Virtual Apps and Desktopsとの互換性を保持する場合に使用します。

VDA 7.xの場合、セッションデータの暗号化はVDAのデリバリーグループの基本設定を使って設定されます。デリバリーグループに対して[Secure ICAを有効にする]がオンになっている場合、セッションデータはRC5(128ビット)暗号化で暗号化されます。デリバリーグループに対して[Secure ICAを有効にする]がオフになっている場合、セッションデータは基本レベルの暗号化で暗号化されます。

この設定では、次のオプションを選択します。

  • [基本]では、非RC5のアルゴリズムを使ってクライアント接続を暗号化します。この暗号化レベルでは、データストリームが直接読み取られることはありませんが、解読される恐れがあります。デフォルトでは、クライアントとサーバーの間のトラフィックには基本レベルの暗号化が使用されます。
  • [RC5(128ビット、ログオンのみ)]では、RC5 128ビット暗号化を使ってログオンデータを暗号化し、基本レベルの暗号化を使ってクライアント接続を暗号化します。
  • [RC5(40ビット)]では、RC5 40ビット暗号化を使ってクライアント接続を暗号化します。
  • [RC5(56ビット)]では、RC5 56ビット暗号化を使ってクライアント接続を暗号化します。
  • [RC5(128ビット)]では、RC5 128ビット暗号化を使ってクライアント接続を暗号化します。

クライアントとサーバー間の実際の通信では、Citrix製品やWindowsオペレーティングシステムでの暗号化設定も考慮されます。サーバーやユーザーデバイスでより高い暗号化レベルが設定されている場合は、その設定が優先されます。

機密データを使用するユーザーなど、特定のユーザーの通信データを保護してメッセージの整合性を保証するために、より高度な暗号化レベルを設定することもできます。ポリシーでより高度な暗号化レベルを指定すると、そのレベルよりも低い暗号化機能を使用するCitrix Receiverは、サーバーに接続できなくなります。

SecureICAでは認証の実行またはデータの整合性のチェックはされません。エンドツーエンドの暗号化を提供するには、SecureICAをTLSと共に使用します。

SecureICAではFIPS準拠のアルゴリズムは使用されません。このことが問題になる場合は、SecureICAを使用しないようにサーバーとCitrix Receiverを設定します。

SecureICAは、秘密保持のためにRFC 2040で説明されているようにRC5ブロック暗号を使用します。ブロックサイズは、64ビット(32ビットワード単位の倍数)です。キーの長さは、128ビットです。ラウンド数は、12です。

RC5ブロック暗号のキーは、セッションの作成時にネゴシエートされます。ネゴシエーションは、Diffie-Hellmanアルゴリズムを使用して実行されます。このネゴシエーションでは、Virtual Delivery Agentのインストール時にWindowsレジストリに保存されるDiffie-Hellmanパブリックパラメーターを使用します。パブリックパラメーターは秘密ではありません。Diffie-Hellmanネゴシエーションの結果は秘密キーであり、その秘密キーからRC5ブロック暗号のセッションキーが導出されます。個別のセッションキーは、ユーザーログオンおよびデータ転送に使用されます。また、Virtual Delivery Agent間のトラフィックにも使用されます。したがって、セッションごとに4つのセッションキーがあります。秘密キーとセッションキーは保存されません。RC5ブロック暗号の初期化ベクトルも秘密キーから導出されます。

セキュリティのポリシー設定