PDFを表示
セキュリティで保護された通信
Citrix Virtual Apps and DesktopsサーバーとCitrix Workspaceアプリ間の通信を保護するには、以下のセキュリティ保護技術をセットで使用します。
- Citrix Gateway:詳しくは、このセクションのトピックと、Citrix GatewayおよびStoreFrontのドキュメントを参照してください。
注:
StoreFrontサーバーとユーザーデバイス間の通信にCitrix Gatewayを使用することをお勧めします。
- ファイアウォール:ネットワークファイアウォールは、送信先アドレスとポート番号に基づいてパケットを通過させたりブロックしたりできます。サーバーの内部IPアドレスを外部インターネットアドレスにマップするネットワークファイアウォール(つまりNAT(Network Address Translation:ネットワークアドレス変換))を介してCitrix Workspaceアプリを使用する場合は、外部アドレスを構成します。
- 信頼されたサーバー。
- Citrix Virtual AppsまたはWeb Interface展開環境でのみ(XenDesktop 7には適用されません):SOCKSプロキシサーバーまたはセキュアプロキシサーバー(セキュリティプロキシサーバー、HTTPSプロキシサーバーとも呼ばれます)。プロキシサーバーでネットワークから外部へのアクセスや外部からネットワークへのアクセスを制限して、Citrix Workspaceアプリとサーバー間の接続を制御できます。Citrix Workspaceアプリは、SOCKSプロトコルとセキュアプロキシプロトコルをサポートしています。
- Citrix Virtual AppsまたはWeb Interface展開環境では、TLS(Transport Layer Security)プロトコルを使用するCitrix SSL Relay(XenDesktop 7、XenDesktop 7.1、XenDesktop 7.5、またはXenApp 7.5には適用されません)。
- Citrix Virtual Apps and Desktops 7.6の場合、ユーザーとVDA間で直接SSL接続を有効にできます
Citrix Workspaceアプリは、Microsoft社のセキュリティ特化 - 機能制限(SSLF)デスクトップセキュリティテンプレートが使用されている環境と互換性があります。これらのテンプレートは、さまざまなWindowsプラットフォームでサポートされています。
TLS
このトピックは、Citrix Virtual Apps and Desktopsのバージョン7.6以降に適用されます。
サーバーのすべてのCitrix Workspaceアプリ通信をTLSで暗号化するには、ユーザーデバイス、Citrix Workspaceアプリ、およびWeb Interfaceサーバー(使用している場合)を構成します。StoreFront通信の保護については、StoreFrontのドキュメントのセキュリティに関するセクションを参照してください。Web Interfaceの保護については、Web Interfaceのドキュメントのセキュリティに関するセクションを参照してください。
前提条件:
ユーザーデバイスは、「システム要件」で指定された要件を満たす必要があります。
このポリシーを使用してTLSオプションを構成します。このオプションにより、Citrix Workspaceアプリで接続先のサーバーをセキュアに識別して、サーバーとのすべての通信を暗号化できます。
このオプションで、以下が可能になります:
- TLSの使用を適用する:インターネットを含めて、信頼されていないネットワークを介するすべての接続で、TLSの使用をお勧めします。
- FIPS(Federal Information Processing Standards)準拠の暗号化の使用を適用し、NIST SP 800-52の推奨セキュリティへの準拠を可能にする。デフォルトでは、これらのオプションは無効になっています。
- TLSの特定のバージョンおよび特定のTLS暗号の組み合わせの使用を適用する:Windows向けCitrix WorkspaceアプリとCitrix Virtual Apps and Desktops間でTLS 1.0、TLS 1.1、TLS 1.2プロトコルがサポートされます。
- 特定のサーバーのみに接続する。
- サーバー証明書の失効を確認する。
- 特定のサーバー証明書発行ポリシーを確認する。
- 特定のクライアント証明書を選択する(サーバーが要求するよう構成されている場合)。
TLSのサポート
- gpedit.mscを実行して、Citrix WorkspaceアプリのGPO管理用テンプレートを開きます。
-
[コンピューターの構成]ノードで、[管理用テンプレート]>[Citrix Workspace]>[ネットワークルーティング] の順に移動して、[TLSおよびコンプライアンスモードの構成] ポリシーを選択します。
-
[有効] を選択してセキュリティで保護された接続を有効にし、サーバー上の通信を暗号化します。次のオプションを設定します。
注:
セキュリティで保護された接続で、TLSを使用することをお勧めします。
-
[すべての接続でTLSが必要] を選択することによって、公開アプリケーションおよびデスクトップに対するCitrix Workspaceアプリのすべての通信で強制的にTLSを使用させることができます。
-
[セキュリティコンプライアンスモード] メニューから、適切なオプションを選択します:
- なし - コンプライアンスモードが適用されません。
- SP800-52 - SP800-52を選択してNIST SP800-52に準拠します。このオプションは、サーバーまたはゲートウェイをNIST SP 800-52推奨セキュリティに準拠させる場合にのみ選択してください。
注:
[SP800-52] を選択すると、[FIPSを有効にします] が選択されていない場合でも、自動的にFIPS準拠の暗号化が使用されます。Windowsセキュリティオプションの [システム暗号化:暗号化、ハッシュ、署名のためのFIPS準拠アルゴリズムを使う] も有効にする必要があります。有効にしない場合、Citrix Workspaceアプリが公開アプリケーションおよびデスクトップに接続できないことがあります。
[SP800-52] を選択した場合、[証明書失効チェックのポリシー] で [完全なアクセス権のチェック] または [完全なアクセス権のチェックとCRLが必要です] のいずれかも選択する必要があります。
[SP800-52] を選択すると、Citrix Workspaceアプリはサーバー証明書がNIST SP 800-52の推奨セキュリティに準拠しているかを検証します。サーバー証明書が準拠していない場合、Citrix Workspaceアプリが接続できないことがあります。
- FIPSを有効にします - FIPS準拠の暗号化の使用を適用するには、このオプションを選択します。オペレーティングシステムのグループポリシーからWindowsセキュリティオプションの [システム暗号化:暗号化、ハッシュ、署名のためのFIPS準拠アルゴリズムを使う] も有効にする必要があります。有効にしない場合、Citrix Workspaceアプリが公開アプリケーションおよびデスクトップに接続できないことがあります。
-
[許可されたTLSサーバー] ドロップダウンリストから、ポート番号を選択します。Citrix Workspaceアプリがコンマ区切りの一覧で指定されたサーバーにのみ接続できるようにします。ワイルド―カードおよびポート番号を指定できます。たとえば、「*.citrix.com: 4433」により、共通名が「.citrix.com」で終わるどのサーバーともポート4433での接続が許可されます。セキュリティ証明書の情報の正確さは、証明書の発行者によって異なります。Citrix Workspaceが証明書の発行者を認識して信頼しないと、接続は拒否されます。
-
[TLSバージョン] メニューから、次のいずれかのオプションを選択します:
-
TLS 1.0、TLS 1.1、またはTLS 1.2 - これはデフォルトの設定です。このオプションは、業務上TLS 1.0との互換性が必要な場合のみお勧めします。
-
TLS 1.1またはTLS 1.2 - このオプションでICA接続がTLS 1.1またはTLS 1.2を使用するようにします。
-
TLS 1.2 - このオプションは、業務上TLS 1.2が必要な場合のみお勧めします。
- TLS暗号セット - 特定のTLS暗号セットの使用を適用するには、GOV(行政機関)、COM(営利企業)、ALL(すべて)の中から選択します。一部のCitrix Gateway構成では、COMの選択が必要になることがあります。Citrix Workspaceアプリは、ビット長1024、2048および、3072のRSAキーをサポートします。さらに、ビット長4096のRSAキーを持つルート証明書がサポートされます。
注:
ビット長1024のRSAキーの使用はお勧めしません。
-
任意:「任意」が設定されると、ポリシーは構成されず次のいずれかの暗号の組み合わせが許可されます:
- TLS_RSA_WITH_RC4_128_MD5
- TLS_RSA_WITH_RC4_128_SHA
- TLS_RSA_WITH_3DES_EDE_CBC_SHA
- TLS_RSA_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_256_GCM_SHA384
-
商用:「商用」が設定されると、次の暗号の組み合わせのみが許可されます:
- TLS_RSA_WITH_RC4_128_MD5
- TLS_RSA_WITH_RC4_128_SHA
- TLS_RSA_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_AES_128_GCM_SHA256
-
自治体:「自治体」が設定されると、暗号の組み合わせのみが許可されます:
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_3DES_EDE_CBC_SHA
- TLS_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_256_GCM_SHA384
- [証明書失効チェックのポリシー] メニューから、次の任意のオプションを選択します:
-
ネットワークアクセスなしでチェックします - 証明書失効一覧チェックが実行されます。ローカルの証明書失効一覧のストアのみが使用されます。すべての配布ポイントが無視されます。証明書失効一覧の検索は、対象のSSL Relay/Citrix Secure Web Gatewayサーバーによって提示されるサーバー証明書の検証に必須ではありません。
-
完全なアクセス権のチェック - 証明書失効一覧チェックが実行されます。ローカルの証明書失効一覧のストアおよびすべての配布ポイントが使用されます。証明書の失効情報が検出されると、接続は拒否されます。証明書失効一覧の検出は、ターゲットサーバーで提示されるサーバー証明書の検証に必要ではありません。
-
完全なアクセス権とCRLのチェックが必要です - ルートCAを除いて証明書失効一覧チェックが実行されます。ローカルの証明書失効一覧のストアおよびすべての配布ポイントが使用されます。証明書の失効情報が検出されると、接続は拒否されます。すべての必要な証明書失効一覧の検索が、検証において重大な意味を持ちます。
-
すべてに完全なアクセス権とCRLのチェックが必要です - ルートCAを含めた証明書失効一覧チェックが実行されます。ローカルの証明書失効一覧のストアおよびすべての配布ポイントが使用されます。証明書の失効情報が検出されると、接続は拒否されます。すべての必要な証明書失効一覧の検索が、検証において重大な意味を持ちます。
-
チェックなし - 証明書失効一覧チェックは実行されません。
-
[ポリシーの拡張OID] を使用して、Citrix Workspaceアプリが特定の証明書の発行ポリシーがあるサーバーにのみ接続するように制限できます。[ポリシーの拡張OID] を選択すると、Citrix Workspaceアプリはポリシーの拡張OIDがあるサーバー証明書のみを受け入れます。
-
[クライアント認証] メニューから、以下の任意のオプションを選択します:
-
無効 - クライアント認証が無効になります。
-
証明書セレクタを表示します - 常にユーザーが証明書を選択するよう求めます。
-
可能な場合、自動的に選択します - 特定する証明書に選択肢がある場合のみ、ユーザーに表示します。
-
未構成 - クライアント認証が構成されていないことを意味します。
-
指定された証明書を使用します - [クライアント証明書]オプションの設定で指定された「クライアント証明書」を使用します。
-
[Client Certificate] 設定を使用して、識別証明書の拇印を指定します。これにより、ユーザーに不要なプロンプトを表示しないようにすることができます。
-
[適用] および [OK] をクリックしてポリシーを保存します。
-
次の表は、各セットの暗号の組み合わせを示しています:
ファイアウォール
ネットワークファイアウォールは、送信先アドレスとポート番号に基づいてパケットを通過させたりブロックしたりできます。ファイアウォールが使用されている環境では、Windows向けCitrix WorkspaceアプリとWebサーバーおよびCitrix製品のサーバーとの通信がファイアウォールでブロックされないように設定する必要があります。
共通のCitrix通信ポート
| 接続元 | 種類 | ポート | 詳細 |
|---|---|---|---|
| Citrix Workspaceアプリ | TCP | 80/443 | StoreFrontとの通信 |
| ICA/HDX | TCP | 1494 | アプリケーションおよび仮想デスクトップへのアクセス |
| ICA/HDX(セッション画面の保持機能) | TCP | 2598 | アプリケーションおよび仮想デスクトップへのアクセス |
| ICA/HDX(SSL経由) | TCP | 443 | アプリケーションおよび仮想デスクトップへのアクセス |
| HTML5ワークスペースからのICA/HDX | TCP | 8008 | アプリケーションおよび仮想デスクトップへのアクセス |
| ICA/HDXオーディオ(UDP経由) | TCP | 16500〜16509 | ICA/HDXオーディオのポート範囲 |
| IMA | TCP | 2512 | Independent Management Architecture(IMA) |
| 管理コンソール | TCP | 2513 | Citrix管理コンソールおよび*WCFサービス。注:FMAベースのプラットフォーム7.5以降では、ポート2513は使用されません。 |
| アプリケーション/デスクトップ要求 | TCP | 80/8080/443 | XML Service |
| STA | TCP | 80/8080/443 | Secure Ticketing Authority(XML Serviceに組み込み済み) |
注:
XenApp 6.5では、ポート2513はWCF経由のXenApp Command Remotingサービスに使用されます。
ファイヤウォールによるネットワークアドレス変換(NAT:Network Address Translation)を使用している場合は、Web Interfaceを使って内部アドレスから外部アドレスおよびポートへのマッピングを定義できます。たとえば、Citrix Virtual Apps and Desktopsサーバーに代替アドレスが設定されていない場合は、Web InterfaceからCitrix Workspaceアプリに代替アドレスが提供されるように設定できます。これにより、Citrix Workspaceアプリでのサーバー接続で、外部アドレスおよびポート番号が使用されるようになります。詳しくは、Web Interfaceのドキュメントを参照してください。
プロキシサーバー
プロキシサーバーは、ネットワークから外部へのアクセスや外部からネットワークへのアクセスを制限して、Windows向けCitrix Workspaceアプリとサーバー間の接続を制御するために使います。Citrix Workspaceアプリは、SOCKSプロトコルとセキュアプロキシプロトコルをサポートしています。
Citrix Workspaceアプリでサーバーと通信する場合、Web向けWorkspaceまたはWeb Interfaceサーバー上でリモートで構成されているプロキシサーバー設定が使用されます。プロキシサーバーの構成については、StoreFrontまたはWeb Interfaceのドキュメントを参照してください。
また、Citrix WorkspaceアプリがWebサーバーと通信するときは、ユーザーデバイス上でデフォルトのWebブラウザーのインターネット設定で構成したプロキシサーバー設定が使用されます。各ユーザーデバイス上のデフォルトのWebブラウザーで、インターネット設定を構成する必要があります。
接続中にCitrix Workspaceアプリがプロキシサーバーを優先するか無視するかについて、レジストリエディターでプロキシ設定を構成します。
警告
レジストリエディターの使用を誤ると、深刻な問題が発生する可能性があり、Windowsの再インストールが必要になる場合もあります。レジストリエディターの誤用による障害に対して、シトリックスでは一切責任を負いません。
-
\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\AuthManagerにアクセスします。 -
ProxyEnabled(REG_SZ)を設定します。
- True – Citrix Workspaceアプリは接続でプロキシサーバーを優先します。
- False – Citrix Workspaceアプリは接続でプロキシサーバーを無視します。
- Citrix Workspaceアプリのセッションを再起動して、この変更を適用します。
Citrix Secure Web Gateway
このトピックの内容は、Web Interface環境にのみ適用されます。
Citrix Secure Web Gatewayを通常モードまたはリレーモードのどちらかで使用すると、Windows向けCitrix Workspaceアプリとサーバー間の通信チャネルをセキュリティで保護することができます。Citrix Secure Web Gatewayを通常モードで使用し、ユーザーがWeb Interface経由で接続する場合は、Citrix Workspaceアプリ側での構成は不要です。
Citrix WorkspaceアプリがCitrix Secure Web Gatewayサーバーと通信するときは、リモートのWeb Interfaceサーバーで構成されている設定が使用されます。Citrix Workspaceアプリのためにプロキシサーバー設定を構成する方法については、Web Interfaceのトピックを参照してください。
プロキシサーバー設定の構成について詳しくは、Web Interfaceのドキュメントを参照してください。
ただし、リレーモードで使用する場合、Citrix Secure Web Gatewayサーバーはプロキシサーバーとして機能するため、Windows向けWorkspaceで次の項目を構成する必要があります:
- Citrix Secure Web Gatewayサーバーの完全修飾ドメイン名。
- Citrix Secure Web Gatewayサーバーのポート番号。
完全修飾ドメイン名には、以下の3つの要素を順に指定する必要があります:
- ホスト名
- サブドメイン名
- 最上位ドメイン名
たとえば、my_computer.my_company.comは完全修飾ドメイン名です。ホスト名(my_computer)、サブドメイン名(my_company)、最上位ドメイン名(com)が順に指定されています。サブドメイン名と最上位ドメイン名の組み合わせ(my_company.com)をドメイン名といいます。
信頼されたサーバー
信頼済みサーバー構成を使用して、Citrix Workspaceアプリの接続で信頼関係を識別し適用できます。
信頼済みサーバーを有効にすることで、要件を指定し、サーバーへの接続が信頼済みかどうかを判断できます。たとえば、特定のアドレス(https://\*.citrix.comなど)に特定の接続の種類(TLSなど)を使用して接続するCitrix Workspaceアプリは、サーバーの信頼済みゾーンに接続されます。
この機能を有効にすると、接続されたサーバーはWindowsの信頼済みサイトゾーンに配置されます。Windowsの信頼済みサイトゾーンにサーバーを追加する手順について詳しくは、Internet Explorerのオンラインヘルプを参照してください。
グループポリシーオブジェクト管理用テンプレートを使用して信頼済みサーバーの構成を有効にするには
前提要件:
コネクションセンターなどのCitrix Workspaceアプリコンポーネントを終了します。
- gpedit.mscを実行して、Citrix WorkspaceアプリのGPO管理用テンプレートを開きます。
- [コンピューターの構成] ノードで、[管理用テンプレート]>[従来の管理用テンプレート(ADM)]>[Citrixコンポーネント]>[Citrix Workspace]>[ネットワークルーティング]>[信頼済みサーバーの構成を構成します] の順に選択します。
- [有効] を選択して、Citrix Workspaceアプリに領域の識別を適用します。
- [信頼済みサーバーの構成を適用します] を選択します。これによって、クライアントに信頼済みサーバーを使用した識別を適用します。
- [Windowsインターネットゾーン] ドロップダウンリストから、クライアントのサーバーアドレスを選択します。この設定はWindowsの信頼済みサイトにのみ適用できます。
- [アドレス] フィールドで、Windows以外の信頼済みサイトゾーンのクライアントサーバーアドレスを設定します。コンマ区切り一覧を使用できます。
- [OK] および [適用] をクリックします。
ICAファイルの署名
ICAファイル署名機能は、認証していないアプリケーションやデスクトップの起動を回避するために役立ちます。Citrix Workspaceアプリは、信頼できるソースからアプリケーションまたはデスクトップが起動されることを管理ポリシーに基づいて検証し、信頼されていないサーバーからの起動を防ぎます。グループポリシーオブジェクトの管理用テンプレート、StoreFront、またはCitrix Merchandising Serverを使用して、ICAファイルの署名を構成できます。ICAファイル署名はデフォルトで無効になっています。
Storefrontに対するICAファイル署名については、Storefrontのドキュメントの「ICAファイル署名の有効化」を参照してください。
Web Interface展開の場合、Web Interfaceでこの機能を有効にして構成し、Citrix ICA File Signing Serviceを使用して起動処理中にアプリケーションまたはデスクトップの起動に署名を含めることができます。このサービスにより、コンピューターの個人証明書ストアにある証明書を使用してICAファイルに署名できます。
Citrix Merchandising ServerとCitrix Workspaceアプリを組み合わせて、起動署名検証を有効にして構成できます。これを行うには、Citrix Merchandising Server Administrator ConsoleのDeliveriesウィザードを使用して、信頼できる証明書の「拇印」を追加します。
ICAファイルの署名の構成
注:
CitrixBase.admx\admlがローカルGPOに追加されないと、[ICAファイルの署名を有効にします] ポリシーが表示されないことがあります。
- gpedit.mscを実行して、Citrix Workspaceアプリグループポリシーオブジェクト管理用テンプレートを開きます。
- [コンピューターの構成] ノードで、[管理用テンプレート]>[Citrixコンポーネント] に移動します。
-
[ICAファイルの署名を有効にします] を選択し、必要に応じて次のいずれかのオプションを選択します。
- 有効 - 署名証明書の拇印を信頼された機関からの証明書の拇印のホワイトリストに追加できます。
- 信頼証明書 - [表示] をクリックして、ホワイトリストから既存の署名証明書の拇印を削除します。署名証明書のサムプリントは署名証明書のプロパティからコピーして貼り付けることができます。
- セキュリティポリシー - メニューから次のいずれかのオプションを選択します。
- 署名による起動のみを許可します(安全性が高い):信頼できるサーバーからの署名されたアプリケーションまたはデスクトップの起動のみを許可します。無効な署名の場合、セキュリティ警告が表示されます。認証されていないため、セッションを開始できません。
- 署名されていない起動(安全性が低い)でユーザーにプロンプトを表示します:署名されていないセッション、または署名が無効なセッションが開始されると、メッセージが表示されます。起動を続行するか、起動をキャンセルするか(デフォルト)を選択できます。
- [適用] および [OK] をクリックしてポリシーを保存します。
- Citrix Workspaceアプリのセッションを再起動して、この変更を適用します。
デジタル署名証明書を選択して配布するには:
デジタル署名証明書を選択するときは、次の一覧の上位のオプションから順にお勧めします:
- 周知の証明機関からコード署名証明書またはSSL署名証明書を購入する。
- 社内に証明機関がある場合はその証明機関を使用して、コード署名証明書またはSSL署名証明書を作成する。
- Web Interfaceのサーバー証明書などの既存のSSL証明書を使用する。
- ルート証明書を作成して、GPOまたは手動インストールによりユーザーデバイスに配布する。
昇格レベル
Windows 10、Windows 8、またはWindows7 を実行するデバイスでユーザーアカウント制御(UAC)が有効な場合は、wfcrun32.exeと同じ昇格/整合性レベルのプロセスのみが仮想アプリケーションを起動できます。
例1:
wfcrun32.exeを(昇格されていない)標準ユーザーとして実行する場合、Citrix Workspaceアプリなどの他のプロセスがwfcrun32.exeでアプリケーションを起動するためには、標準ユーザーとして実行する必要があります。
例2:
wfcrun32.exeを昇格モードで実行する場合は、非昇格モードで動作するCitrix Workspaceアプリ、コネクションセンター、およびICAクライアントオブジェクトを使用するサードパーティアプリケーションはwfcrun32.exeと通信できません。