Citrix Virtual Apps and Desktops

安全策略设置

“安全”部分介绍了配置会话加密和登录数据加密的相关策略设置。

SecureICA 最低加密级别

此设置指定服务器与用户设备之间所传输会话数据的最低加密级别。

重要:对于 Virtual Delivery Agent 7.x,只能使用此策略设置来启用通过“RC5 (128 位)”加密实现的登录数据加密。其他设置仅在用于向后兼容旧版 Citrix Virtual Apps and Desktops 时提供。

对于 VDA 7.x,使用 VDA 交付组的基本设置来设置会话数据的加密。如果为交付组选择了“启用安全 ICA”,会话数据将使用“RC5 (128 位)”加密进行加密。如果没有为交付组选择“启用安全 ICA”,会话数据将通过基本加密进行加密。

将此设置添加到策略时,请选择一个选项:

  • 基本可使用一种非 RC5 算法加密客户端连接。它保护数据流使之不能被直接读取,但可以解密。默认情况下,服务器对客户端-服务器通信流使用基本加密。
  • 仅限 RC5 (128 位)登录使用 RC5 128 位加密来加密登录数据,使用基本加密来加密客户端连接。
  • RC5 (40 位) 使用 RC5 40 位加密来加密客户端连接。
  • RC5 (56 位) 使用 RC5 56 位加密来加密客户端连接。
  • RC5 (128 位) 使用 RC5 128 位加密来加密客户端连接。

为客户端-服务器加密指定的设置可能会与您的环境和 Windows 操作系统中的任何其他加密设置进行交互。如果在服务器或用户设备上设置了优先级更高的加密级别,则您为已发布的资源指定的设置可能会被覆盖。

您可以为特定用户提高加密级别,以进一步加强其通信安全和消息的完整性。如果某项策略需要更高的加密级别,则使用较低加密级别的 Citrix Receiver 将被拒绝连接。

SecureICA 不执行身份验证,也不检查数据完整性。要为站点提供端到端加密,请将 SecureICA 与 TLS 加密一起使用。

SecureICA 不使用符合 FIPS 标准的算法。如果这样会带来问题,请将服务器和 Citrix Receiver 配置为避免使用 SecureICA。

SecureICA 使用 RFC 2040 中介绍的 RC5 块密码来保密。块大小为 64 位(32 位字单位的倍数)。密钥长度为 128 位。循环次数为 12。

创建会话时会协商 RC5 块加密的密钥。使用 Diffie-Hellman 算法进行协商。此协商使用 Diffie-Hellman 公共参数,这些参数在安装 Virtual Delivery Agent 时存储在 Windows 注册表中。公共参数不是机密参数。Diffie-Hellman 协商的结果是一个私钥,从中派生出 RC5 块加密的会话密钥。单独的会话密钥用于用户登录和数据传输;单独的会话密钥用于进出 Virtual Delivery Agent 的流量。因此,每个会话有四个会话密钥。不存储密钥和会话密钥。RC5 块加密的初始化向量也是从密钥派生的。

安全策略设置