ICAファイルに署名して信頼されていないサーバー上のアプリケーションやデスクトップが起動しないようにする

このトピックの内容は、管理用テンプレートを使用するWeb Interface環境にのみ適用されます。

ICAファイル署名機能は、認証していないアプリケーションやデスクトップをユーザーが起動しないようにするのに役立ちます。Citrix Receiver for Windowsは、信頼できるソースからアプリケーションまたはデスクトップが起動されることを管理ポリシーに基づいて検証し、信頼されていないサーバーからの起動を防ぎます。このアプリケーションまたはデスクトップの起動署名検証ためのCitrix Receiver for Windowsセキュリティポリシーは、グループポリシーオブジェクト、Storefront、またはCitrix Merchandising Serverを使用して構成できます。ICAファイル署名はデフォルトで無効になっています。Storefrontに対するICAファイル署名については、Storefrontのドキュメントを参照してください。

Web Interface展開の場合、Web Interfaceでこの機能を有効にして構成し、Citrix ICA File Signing Serviceを使用して起動処理中にアプリケーションまたはデスクトップの起動に署名を含めることができます。このサービスにより、コンピューターの個人証明書ストアにある証明書を使用してICAファイルに署名できます。

Citrix Merchandising ServerとCitrix Receiver for Windowsを組み合わせて、起動署名検証を有効にして構成できます。これを行うには、Citrix Merchandising Server Administrator ConsoleのDeliveriesウィザードを使用して、信頼できる証明書の「拇印」を追加します。

グループポリシーオブジェクトを使用してアプリケーションまたはデスクトップの起動署名検証を有効にし設定するには、次の手順に従います。

  1. 管理者として、[スタート]メニューからgpedit.mscを実行(単一のコンピューターにポリシーを適用する場合)するか、グループポリシー管理コンソールを使用(ドメインポリシーを適用する場合)して、グループポリシーエディターを開きます。 注:既にica-file-signing.admテンプレートをグループポリシーオブジェクトエディターにインポートしている場合は、手順2.~5.は省略できます。
  2. グループポリシーエディターで [管理用テンプレート] を選択します。
  3. [操作]メニューの [テンプレートの追加と削除] を選択します。
  4. [追加]を選択し、Citrix Receiver for WindowsのConfigurationフォルダー(通常は、C:\Program Files\Citrix\ICA Client\Configuration)を参照してica-file-signing.admを選択します。
  5. [開く]をクリックしてテンプレートを追加し、[閉じる]をクリックしてグループポリシーエディターのメインウィンドウに戻ります。
  6. グループポリシーエディターで、[管理用テンプレート]>[従来の管理用テンプレート(ADM)]>[Citrixコンポーネント]>[Citrix Receiver]の順に選択し、[ICAファイルの署名を有効にします]を開きます。
  7. [有効]をクリックすると、信頼できる証明書のサムプリントのホワイトリストに署名証明書のサムプリントを追加したり、ホワイトリストから署名証明書のサムプリントを削除したりできます。これは、[表示]をクリックして[内容の表示]ダイアログボックスを使用して行います。署名証明書のサムプリントは署名証明書のプロパティからコピーして貼り付けることができます。[セキュリティポリシー]ボックスの一覧から[署名による起動のみを許可します (安全性が高い)]または[署名されていない起動 (安全性が低い) でユーザーにプロンプトを表示します]を選択します。
オプション 説明
署名による起動のみを許可します(安全性が高い) 正しく署名された、信頼できるサーバーからのアプリケーションまたはデスクトップの起動のみを許可します。アプリケーションまたはデスクトップの起動に無効な署名がされている場合は、Citrix Receiver for Windowsにセキュリティの警告メッセージが表示されます。ユーザーは続行できず、承認されていない起動が禁止されます。
署名されていない起動(安全性が低い)でユーザーにプロンプトを表示します 未署名または無効な署名のアプリケーションまたはデスクトップの起動が試行されるたびに、確認ダイアログボックスが開きます。ユーザーはアプリケーションの起動を続行することも、起動を中止する(デフォルト)こともできます。

デジタル署名証明書を選択して配布するには

デジタル署名証明書を選択するときは、次の一覧の上位のオプションから順にお勧めします。

  1. 周知の証明機関からコード署名証明書またはSSL署名証明書を購入する。
  2. 社内に証明機関がある場合はその証明機関を使用して、コード署名証明書またはSSL署名証明書を作成する。
  3. Web Interfaceのサーバー証明書などの既存のSSL証明書を使用する。
  4. 新しいルート証明書を作成して、GPOまたは手動インストールによりユーザーデバイスに配布する。

ICAファイルに署名して信頼されていないサーバー上のアプリケーションやデスクトップが起動しないようにする