Citrix Virtual Apps and Desktops

安全策略设置

May 6, 2022

投稿者:

“安全”部分介绍了配置会话加密和登录数据加密的相关策略设置。

SecureICA 最低加密级别

此设置指定服务器与用户设备之间所传输会话数据的最低加密级别。

重要：对于 Virtual Delivery Agent 7.x，只能使用此策略设置来启用通过“RC5 (128 位)”加密实现的登录数据加密。其他设置仅在用于向后兼容旧版 Citrix Virtual Apps and Desktops 时提供。

对于 VDA 7.x，使用 VDA 交付组的基本设置来设置会话数据的加密。如果为交付组选择了“启用安全 ICA”，会话数据将使用“RC5 (128 位)”加密进行加密。如果没有为交付组选择“启用安全 ICA”，会话数据将通过基本加密进行加密。

将此设置添加到策略时，请选择一个选项：

基本可使用一种非 RC5 算法加密客户端连接。它保护数据流使之不能被直接读取，但可以解密。默认情况下，服务器对客户端-服务器通信流使用基本加密。
仅限 RC5 (128 位)登录使用 RC5 128 位加密来加密登录数据，使用基本加密来加密客户端连接。
RC5 (40 位) 使用 RC5 40 位加密来加密客户端连接。
RC5 (56 位) 使用 RC5 56 位加密来加密客户端连接。
RC5 (128 位) 使用 RC5 128 位加密来加密客户端连接。

为客户端-服务器加密指定的设置可能会与您的环境和 Windows 操作系统中的任何其他加密设置进行交互。如果在服务器或用户设备上设置了优先级更高的加密级别，则您为已发布的资源指定的设置可能会被覆盖。

您可以为特定用户提高加密级别，以进一步加强其通信安全和消息的完整性。如果某项策略需要更高的加密级别，则使用较低加密级别的 Citrix Receiver 将被拒绝连接。

SecureICA 不执行身份验证，也不检查数据完整性。要为站点提供端到端加密，请将 SecureICA 与 TLS 加密一起使用。

SecureICA 不使用符合 FIPS 标准的算法。如果这样会带来问题，请将服务器和 Citrix Receiver 配置为避免使用 SecureICA。

SecureICA 使用 RFC 2040 中介绍的 RC5 块密码来保密。块大小为 64 位（32 位字单位的倍数）。密钥长度为 128 位。循环次数为 12。

创建会话时会协商 RC5 块加密的密钥。使用 Diffie-Hellman 算法进行协商。此协商使用 Diffie-Hellman 公共参数，这些参数在安装 Virtual Delivery Agent 时存储在 Windows 注册表中。公共参数不是机密参数。Diffie-Hellman 协商的结果是一个私钥，从中派生出 RC5 块加密的会话密钥。单独的会话密钥用于用户登录和数据传输；单独的会话密钥用于进出 Virtual Delivery Agent 的流量。因此，每个会话有四个会话密钥。不存储密钥和会话密钥。RC5 块加密的初始化向量也是从密钥派生的。

本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译，仅供您参考。Cloud Software Group 无法控制机器翻译的内容，这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性，或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容，我们均不作任何明示或暗示的保证，并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议（产品或服务与已进行机器翻译的任何文档保持一致）下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题，Cloud Software Group 不承担任何责任。

安全策略设置

May 6, 2022

投稿者:

May 6, 2022

投稿者:

在本文中

SecureICA 最低加密级别