Configurações da política de segurança
A seção Security inclui a configuração de política para configurar a criptografia de sessão e a criptografia de dados de logon.
SecureICA minimum encryption level
Essa configuração especifica o nível mínimo no qual criptografar os dados de sessão enviados entre o servidor e um dispositivo de usuário.
Importante: No Virtual Delivery Agent 7.x, essa configuração de política só pode ser usada para habilitar a criptografia dos dados de logon com criptografia RC5 de 128 bits. Outras configurações são fornecidas apenas para compatibilidade com versões anteriores do Citrix Virtual Apps and Desktops.
Para o VDA 7.x, a criptografia de dados da sessão é definida usando as configurações básicas do grupo de entrega do VDA. Se Enable Secure ICA estiver selecionado para o grupo de entrega, os dados da sessão serão criptografados usando criptografia RC5 (128 bits). Se Enable Secure ICA não estiver selecionado para o grupo de entrega, os dados da sessão serão criptografados com criptografia básica.
Ao adicionar essa configuração a uma política, selecione uma opção:
- A opção Basic criptografa a conexão do cliente usando um algoritmo não RC5. Ela protege o fluxo de dados de ser lido diretamente, mas pode ser descriptografada. Por padrão, o servidor usa criptografia básica para tráfego cliente-servidor.
- O logon RC5 (128 bits) criptografa somente os dados de logon usando criptografia RC5 128 bits e a conexão do cliente usando criptografia básica.
- RC5 (40 bits) criptografa a conexão do cliente usando criptografia RC5 de 40 bits.
- O RC5 (56 bit) criptografa a conexão do cliente usando a criptografia RC5 de 56 bits.
- RC5 (128 bits) criptografa a conexão do cliente usando criptografia RC5 128 bits.
As configurações especificadas para criptografia cliente-servidor podem interagir com quaisquer outras configurações de criptografia no ambiente e no sistema operacional Windows. Considere que um nível de criptografia de prioridade mais alta está definido em um servidor ou dispositivo de usuário. Nesse caso, as configurações especificadas para os recursos publicados podem ser substituídas.
Você pode aumentar os níveis de criptografia para proteger ainda mais as comunicações e a integridade da mensagem para determinados usuários. Se uma política exigir um nível de criptografia mais alto, a conexão por meio de um nível de criptografia mais baixo será negados aos Citrix Receivers.
SecureICA não executa autenticação nem verifica a integridade dos dados. Para fornecer criptografia de ponta a ponta para seu site, use SecureICA com criptografia TLS.
SecureICA não usa algoritmos compatíveis com FIPS. Se essa configuração for um problema, configure o servidor e o Citrix Receivers para evitar o uso do SecureICA.
O SecureICA usa a codificação de bloco RC5 conforme descrito no RFC 2040 para confidencialidade. O tamanho do bloco é de 64 bits (um múltiplo de unidades de palavras de 32 bits). O comprimento da chave é 128 bits. O número de rodadas é 12.
As chaves para a codificação de bloco RC5 são negociadas quando uma sessão é criada. A negociação é realizada usando o algoritmo Diffie-Hellman. Essa negociação usa parâmetros públicos Diffie-Hellman. Esses parâmetros são armazenados no registro do Windows quando o Virtual Delivery Agent é instalado. Parâmetros públicos não são secretos. O resultado da negociação Diffie-Hellman é uma chave secreta, da qual as chaves de sessão para a codificação de bloco RC5 são derivadas. Chaves de sessão separadas são usadas para logon do usuário e transferência de dados. Além disso, chaves de sessão separadas são usadas para tráfego de e para o Virtual Delivery Agent. Portanto, existem quatro chaves de sessão para cada sessão. As chaves secretas e as chaves de sessão não são armazenadas. Vetores de inicialização para a codificação de bloco RC5 também são derivados da chave secreta.