ICAファイルに署名して信頼されていないサーバー上のアプリケーションやデスクトップが起動しないようにする

ICAファイル署名機能は、認証していないアプリケーションやデスクトップの起動を回避するために役立ちます。Citrix Receiver for Windowsは、信頼できるソースからアプリケーションまたはデスクトップが起動されることを管理ポリシーに基づいて検証し、信頼されていないサーバーからの起動を防ぎます。グループポリシーオブジェクトの管理用テンプレート、StoreFront、またはCitrix Merchandising Serverを使用して、ICAファイルの署名を構成できます。ICAファイル署名はデフォルトで無効になっています。Storefrontに対するICAファイル署名については、Storefrontのドキュメントを参照してください。

Web Interface展開の場合、Web Interfaceでこの機能を有効にして構成し、Citrix ICA File Signing Serviceを使用して起動処理中にアプリケーションまたはデスクトップの起動に署名を含めることができます。このサービスにより、コンピューターの個人証明書ストアにある証明書を使用してICAファイルに署名できます。

Citrix Merchandising ServerとCitrix Receiver for Windowsを組み合わせて、起動署名検証を有効にして構成できます。これを行うには、Citrix Merchandising Server Administrator ConsoleのDeliveriesウィザードを使用して、信頼できる証明書の「拇印」を追加します。

グループポリシーオブジェクト管理用テンプレートでICAファイルの署名を構成する

メモ

CitrixBase.admx\admlがローカルGPOに追加されないと、[ICAファイルの署名を有効にします] ポリシーが表示されないことがあります。

  1. gpedit.mscを実行して、Citrix Receiverグループポリシーオブジェクト管理用テンプレートを開きます。
  2. [コンピューター構成]ノードで、[管理用テンプレート]、[Citrixコンポーネント]の順に移動します。
  3. [ICAファイルの署名を有効にします] を選択し、必要に応じて次のいずれかのオプションを選択します。
    1. 有効 - 署名証明書の拇印を信頼された機関からの証明書の拇印のホワイトリストに追加できます。
    2. 信頼証明書 - [表示]をクリックして、ホワイトリストから既存の署名証明書の拇印を削除します。署名証明書のサムプリントは署名証明書のプロパティからコピーして貼り付けることができます。
    3. セキュリティポリシー - ドロップダウンメニューから次のいずれかのオプションを選択します。
      1. 署名による起動のみを許可します(安全性が高い):信頼できるサーバーからの署名されたアプリケーションまたはデスクトップの起動のみを許可します。無効な署名の場合、セキュリティ警告が表示されます。認証されていないため、セッションを開始できません。
      2. 署名されていない起動(安全性が低い)でユーザーにプロンプトを表示します:署名されていないセッション、または署名が無効なセッションが開始されると、メッセージが表示されます。起動を続行するか、起動をキャンセルするか(デフォルト)を選択できます。
  4. [適用] および [OK] をクリックしてポリシーを保存します。

デジタル署名証明書を選択して配布するには

デジタル署名証明書を選択するときは、次の一覧の上位のオプションから順にお勧めします。

  1. 周知の証明機関からコード署名証明書またはSSL署名証明書を購入する。
  2. 社内に証明機関がある場合はその証明機関を使用して、コード署名証明書またはSSL署名証明書を作成する。
  3. Web Interfaceのサーバー証明書などの既存のSSL証明書を使用する。
  4. 新しいルート証明書を作成して、GPOまたは手動インストールによりユーザーデバイスに配布する。

ICAファイルに署名して信頼されていないサーバー上のアプリケーションやデスクトップが起動しないようにする