Citrix Virtual Apps and Desktops

仮想チャネルのセキュリティ

デフォルトでは、仮想チャネル許可リスト機能が有効になっています。その結果、Citrix仮想チャネルのみがVirtual Apps and Desktopsセッションで開けるようになっています。自社製、サードパーティ製を問わず、カスタム仮想チャネルを使用する必要がある場合は、これらを許可リストに明示的に追加する必要があります。

許可リストへの仮想チャネルの追加

許可リストに仮想チャネルを追加するにあたって必要なものは、次のとおりです:

  1. コードで定義されている仮想チャネル名。最大7文字の長さにすることができます。例:CTXCVC1

  2. VDAマシンで仮想チャネルを開くプロセスのパス。例:C:\Program Files\Application\run.exe

必要な情報を取得したら、仮想チャネルの許可リストポリシー設定を使用して、仮想チャネルを許可リストに追加する必要があります。仮想チャネルをリストに追加するには、仮想チャネル名のあとにコンマを入力してから、その仮想チャネルにアクセスするプロセスへのパスを入力します。複数のプロセスがある場合は、コンマで区切って追加できます。

前の例を使用して、以下をリストに追加します:

CTXCVC1,C:\Program Files\Application\run.exe

複数のプロセスがある場合は、以下をリストに追加します:

CTXCVC1,C:\Program Files\Application\run.exe,C:\Program Files\Application\run2.exe

ワイルドカードの使用(*)がサポートされています。アプリケーションのバージョンに基づいてディレクトリまたは実行可能ファイルの名前が変更された場合、またはサードパーティコンポーネントがユーザーのプロファイルにインストールされている場合は、ワイルドカードを使用できます。

次の場合にワイルドカードを使用できます:

  • 完全なディレクトリ名を置き換える場合。例:C:\Program Files\Application\*\run1.exe
  • ディレクトリ名の一部を置き換える場合。例:C:\Program Files\Application\v*\run1.exe
  • 実行可能ファイルの名前を置き換える場合。例:C:\Program Files\Application\v1.2\*.exe
  • 実行可能ファイルの名前の一部を置き換える場合。例:C:\Program Files\Application\v1.2\run*.exe

次の制限事項が適用されます:

  • ワイルドカードは、単一のディレクトリを置き換えるためにのみ使用できます。たとえば、実行可能ファイルがC:\Program Files\Application\v1.2\run1.exeにある場合、以下のようになります
    • 使用可能:C:\Program Files\Application\*\run1.exe
    • 使用不可:C:\Program Files\*\run1.exe
  • エントリにはファイル拡張子が含まれている必要があります。
    • 使用可能:C:\Program Files\Application\v1.2\*.exe
    • 使用不可:C:\Program Files\Application\v1.2\*
  • すべてのパスはローカルである必要があります。

注:

Citrix Virtual Apps and Desktops 2109リリース以降、ネットワークパスは許可されません。

Citrix仮想チャネルに関する考慮事項

組み込みのCitrix仮想チャネルはすべて信頼されており、追加の構成なしで開くことができます。ただし、次の2つの機能は、外部の依存関係のために許可リストに明示的なエントリを必要とします:

  • マルチメディアリダイレクト
  • HDX RealTime Optimization Pack for Skype for Business

マルチメディアリダイレクト

この情報は、許可リストのエントリに必要です:

  • 仮想チャネル名:CTXMM
  • プロセス:VDAマシンで使用されているメディアプレーヤーのパス。例:C:\Program Files (x86)\Windows Media Player\wmplayer.exe
  • 許可リストのエントリ:CTXMM,C:\Program Files (x86)\Windows Media Player\wmplayer.exe

HDX RealTime Optimization Pack for Skype for Business

この情報は、許可リストのエントリに必要です:

  • 仮想チャネル名: CTXRMEP
  • プロセス:VDAマシン内のSkype for Business実行可能ファイルのパス。Skype for Businessのバージョンや、カスタムインストールパスの使用の有無によって異なる場合があります。例:C:\Program Files\Microsoft Office\root\Office16\lync.exe.
  • 許可リストのエントリ:CTXRMEP,C:\Program Files\Microsoft Office\root\Office16\lync.exe

仮想チャネル名とプロセスの取得

仮想チャネルの名前とVDAマシンで仮想チャネルを開くプロセスを取得する最も簡単な方法は、仮想チャネルを提供した開発者またはサードパーティベンダーから情報を取得することです。

別の方法としては、機能のログを適用し、次の手順に従うことで情報を取得することもできます:

  1. カスタム仮想チャネルのクライアントコンポーネントとサーバーコンポーネントを配置したら、仮想アプリケーションまたは仮想デスクトップを起動します。
  2. VDAマシンのシステムイベントログにて、次のイベントで開こうとしたカスタム仮想チャネルの名前とプロセスを探します:
    • シングルセッションVDAでは、ソースPicaddからのイベントID 2002。
    • マルチセッションVDAでは、ソースRpmからのイベントID 14。
  3. セッションからログオフします。
  4. 仮想チャネル許可リストポリシー設定に、識別された仮想チャネルとプロセスに関するエントリを追加します。
  5. 仮想アプリケーションまたは仮想デスクトップを起動して、カスタム仮想チャネルが正常に開くことを確認します。

仮想チャネル許可リストのログ

次のイベントは、シングルセッションVDAマシンのイベントログに記録されます:

  ログ名 システム
  Id 2001
  接続元 Picadd
  レベル 情報
  説明 カスタム仮想チャネル<vcName>がプロセス<processName>によって開かれました
  ログ名 システム
  Id 2002
  接続元 Picadd
  レベル 警告
  説明 カスタム仮想チャネル<vcName>をプロセス<processName>で開くことはできません
  ログ名 システム
  Id 2003
  接続元 Picadd
  レベル 情報
  説明 <username>がカスタム仮想チャネル<vcName>を開きました
  ログ名 システム
  Id 2004
  接続元 Picadd
  レベル 警告
  説明 <username>がカスタム仮想チャネル<vcName>を開こうとしました

次のイベントは、マルチセッションVDAマシンのイベントログに記録されます:

  ログ名 システム
  Id 13
  接続元 Rpm
  レベル 情報
  説明 カスタム仮想チャネル<vcName>がプロセス<processName>によって開かれました
  ログ名 システム
  Id 14
  接続元 Rpm
  レベル 警告
  説明 カスタム仮想チャネル<vcName>をプロセス<processName>で開くことはできません
  ログ名 システム
  Id 15
  接続元 Rpm
  レベル 情報
  説明 <username>がカスタム仮想チャネル<vcName>を開きました
  ログ名 システム
  Id 16
  接続元 Rpm
  レベル 警告
  説明 <username>がカスタム仮想チャネル<vcName>を開こうとしました

既知のサードパーティ仮想チャネル

以下は、カスタムCitrix仮想チャネルを使用する既知のサードパーティソリューションです。このリストには、カスタムCitrix仮想チャネルを使用するすべてのソリューションが含まれているわけではありません。

  • Cerner
  • Cisco WebEx Teams
  • Cisco WebEx Meetings仮想デスクトップソフトウェア
  • Epic Warp Drive
  • Midmark IQPathクライアント拡張機能
  • Nuance PowerMicクライアント拡張機能
  • Nuance Dragon Medical Network Edition 360 vSync
  • Zoom Meetings for VDI
  • Ultima IA-Connect

関連する仮想チャネルを許可リストに追加することについて詳細を取得するには、ソリューションのベンダーに連絡してください。または、「仮想チャネル名とプロセスの取得」に記載されている手順に従ってください。

仮想チャネルのセキュリティ