Segurança de canais virtuais
Por padrão, o recurso Virtual channel allow list está ativado. Como resultado, apenas os canais virtuais Citrix podem abrir nas sessões de aplicativos e áreas de trabalho virtuais. Se houver necessidade de usar canais virtuais personalizados, sejam eles internos ou de terceiros, eles precisam ser adicionados explicitamente à lista de permissões.
Adicionar canais virtuais à lista de permissões
Para adicionar um canal virtual à lista de permissões, você precisa ter:
-
O nome do canal virtual conforme definido no código, que pode ter até sete caracteres. Por exemplo,
CTXCVC1. -
Os caminhos para os processos que abrem o canal virtual na máquina VDA. Por exemplo,
C:\Program Files\Application\run.exe.
Quando tiver as informações necessárias, você deve adicionar o canal virtual à lista de permissões usando as Configurações de política de lista de permissão de canal virtual. Para adicionar um canal virtual à lista, insira o nome do canal virtual seguido por uma vírgula e, em seguida, o caminho para o processo que acessa o canal virtual. Se houver vários processos, eles podem ser adicionados separados por vírgula.
Usando os exemplos anteriores, você adicionaria o seguinte à lista:
CTXCVC1,C:\Program Files\Application\run.exe
Se houvesse vários processos, você adicionaria o seguinte à lista:
CTXCVC1,C:\Program Files\Application\run.exe,C:\Program Files\Application\run2.exe
O uso de curingas (*) é suportado. Você pode usar caracteres curinga quando os nomes de diretórios ou executáveis forem alterados com base na versão do aplicativo, ou se o componente de terceiros estiver instalado nos perfis dos usuários.
Você pode usar curingas para o seguinte:
- Para substituir o nome completo do diretório. Por exemplo:
C:\Program Files\Application\*\run1.exe - Para substituir parte do nome do diretório. Por exemplo:
C:\Program Files\Application\v*\run1.exe - Para substituir o nome do executável. Por exemplo:
C:\Program Files\Application\v1.2\*.exe - Para substituir parte do nome do executável. Por exemplo:
C:\Program Files\Application\v1.2\run*.exe
As seguintes restrições se aplicam:
- O curinga só pode ser usado para substituir um único diretório. Por exemplo, se o executável estiver localizado em
C:\Program Files\Application\v1.2\run1.exe- Permitido:
C:\Program Files\Application\*\run1.exe - Não permitido:
C:\Program Files\*\run1.exe
- Permitido:
- As entradas devem conter a extensão do arquivo.
- Permitido:
C:\Program Files\Application\v1.2\*.exe - Não permitido:
C:\Program Files\Application\v1.2\*
- Permitido:
- Todos os caminhos devem ser locais. Caminhos de rede não são permitidos.
Considerações sobre o canal virtual Citrix
Todos os canais virtuais Citrix internos são confiáveis e podem ser abertos sem configurações extras. No entanto, existem dois recursos que exigem entradas explícitas na lista de permissões devido a dependências externas:
- Multimedia Redirection
- HDX RealTime Optimization Pack for Skype for Business
Multimedia Redirection
Esta informação é necessária para a entrada na lista de permissão:
- Nome do canal virtual: CTXMM
- Processo: caminho para o media player usado em sua máquina VDA. Por exemplo, C:\Program Files (x86)\Windows Media Player\wmplayer.exe
- Entrada na lista de permissão:
CTXMM,C:\Program Files (x86)\Windows Media Player\wmplayer.exe
HDX RealTime Optimization Pack for Skype for Business
Esta informação é necessária para a entrada na lista de permissão:
- Nome do canal virtual: CTXRMEP
- Processo: caminho para o arquivo executável do Skype for Business na sua máquina VDA, que pode variar de acordo com a versão do Skype for Business ou se você usou um caminho de instalação personalizado. Por exemplo, C:\Program Files\Microsoft Office\root\Office16\lync.exe.
- Entrada na lista de permissão:
CTXRMEP,C:\Program Files\Microsoft Office\root\Office16\lync.exe
Obter nomes e processos de canais virtuais
A maneira mais fácil de obter o nome do canal virtual e o processo que o abre na máquina VDA é obtendo as informações diretamente do desenvolvedor ou fornecedor terceirizado que forneceu o canal virtual.
Como alternativa, essas informações podem ser obtidas aplicando os logs do recurso e seguindo estas etapas:
- Quando os componentes cliente e servidor do canal virtual personalizado estiverem instalados, inicie um aplicativo virtual ou uma área de trabalho virtual.
- No log de eventos do sistema da máquina VDA, procure o nome do canal virtual personalizado e o processo que tentou abri-lo no seguinte evento:
- Em um VDA de sessão única, ID de evento 2002, origem Picadd.
- Em um VDA multissessão, ID de evento 14, origem Rpm.
- Faça logoff da sessão.
- Adicione uma entrada na configuração da política de lista de permissão de canal virtual para o canal virtual identificado e o processo.
- Inicie o aplicativo virtual ou a área de trabalho virtual para confirmar que o canal virtual personalizado é aberto com êxito.
Registro em log da lista de permissão do canal virtual
Os seguintes eventos são registrados no log de eventos da máquina VDA de sessão única:
| Nome do log | System | |
| Id | 2001 | |
| Origem | Picadd | |
| Nível | Informativo | |
| Descrição | O canal virtual personalizado <vcName> foi aberto pelo processo <processName>
|
|
| Nome do log | System | |
| Id | 2002 | |
| Origem | Picadd | |
| Nível | Aviso | |
| Descrição | O canal virtual personalizado <vcName> não pode ser aberto pelo processo <processName>
|
|
| Nome do log | System | |
| Id | 2003 | |
| Origem | Picadd | |
| Nível | Informativo | |
| Descrição |
<username> abriu o canal virtual personalizado <vcName>
|
|
| Nome do log | System | |
| Id | 2004 | |
| Origem | Picadd | |
| Nível | Aviso | |
| Descrição |
<username> tentou abrir o canal virtual personalizado <vcName>
|
|
Os seguintes eventos são registrados no log de eventos da máquina VDA multissessão:
| Nome do log | System | |
| Id | 13 | |
| Origem | Rpm | |
| Nível | Informativo | |
| Descrição | O canal virtual personalizado <vcName> foi aberto pelo processo <processName>
|
|
| Nome do log | System | |
| Id | 14 | |
| Origem | Rpm | |
| Nível | Aviso | |
| Descrição | O canal virtual personalizado <vcName> não pode ser aberto pelo processo <processName>
|
|
| Nome do log | System | |
| Id | 15 | |
| Origem | Rpm | |
| Nível | Informativo | |
| Descrição |
<username> abriu o canal virtual personalizado <vcName>
|
|
| Nome do log | System | |
| Id | 16 | |
| Origem | Rpm | |
| Nível | Aviso | |
| Descrição |
<username> tentou abrir o canal virtual personalizado <vcName>
|
|
Canais virtuais de terceiros conhecidos
A seguir, listamos as soluções de terceiros conhecidas que usam canais virtuais Citrix personalizados. Esta lista não inclui todas as soluções que usam um canal virtual Citrix personalizado.
- Cerner
- Cisco WebEx Teams
- Cisco WebEx Meetings Virtual Desktop Software
- Epic Warp Drive
- Midmark IQPath Client Extensions
- Nuance PowerMic Client Extensions
- Nuance Dragon Medical Network Edition 360 vSync
- Zoom Meetings for VDI
Para obter detalhes sobre como adicionar os canais virtuais associados à lista de permissão, entre em contato com os fornecedores das soluções. Como alternativa, siga as etapas descritas na seção Obter nomes e processos de canais virtuais.