Citrix Virtual Apps and Desktops

虚拟通道安全性

默认情况下,虚拟频道允许列表功能处于启用状态。因此,只有 Citrix 虚拟通道才允许在虚拟应用程序和桌面会话中打开。如果需要使用自定义虚拟通道,则无论是自行开发的还是来自第三方的虚拟通道,都需要明确添加到允许列表中。

将虚拟通道添加到允许列表

要将虚拟通道添加到允许列表中,您需要:

  1. 在代码中定义的虚拟通道名称,最多可以包含七个字符。例如,CTXCVC1

  2. 指向在 VDA 计算机上打开虚拟通道的进程的路径。例如,C:\Program Files\Application\run.exe

获得所需的信息后,必须使用虚拟通道允许列表策略设置将虚拟通道添加到允许列表中。要将虚拟通道添加到列表中,请输入虚拟通道名称,后跟逗号,然后输入访问该虚拟通道的进程的路径。如果有多个进程,可以添加这些进程,用逗号分隔。

使用前面的示例,可以将以下进程添加到列表中:

CTXCVC1,C:\Program Files\Application\run.exe

如果有多个进程,可以将以下进程添加到列表中:

CTXCVC1,C:\Program Files\Application\run.exe,C:\Program Files\Application\run2.exe

支持使用通配符 (*)。当目录或可执行文件的名称随应用程序的版本而变化,或者如果用户的配置文件中安装了第三方组件,则可以使用通配符。

可以将通配符用于以下用途:

  • 替换完整的目录名称。例如: C:\Program Files\Application\*\run1.exe
  • 替换部分目录名称。例如: C:\Program Files\Application\v*\run1.exe
  • 替换可执行文件的名称。例如: C:\Program Files\Application\v1.2\*.exe
  • 替换部分可执行文件的名称。例如: C:\Program Files\Application\v1.2\run*.exe

以下限制适用:

  • 通配符只能用于替换单个目录。例如,如果可执行文件在 C:\Program Files\Application\v1.2\run1.exe
    • 允许:C:\Program Files\Application\*\run1.exe
    • 不允许: C:\Program Files\*\run1.exe
  • 条目必须包含文件扩展名。
    • 允许:C:\Program Files\Application\v1.2\*.exe
    • 不允许: C:\Program Files\Application\v1.2\*
  • 所有路径都必须是本地路径。不允许使用网络路径。

Citrix 虚拟通道注意事项

所有内置 Citrix 虚拟通道都受信任,允许在不进一步配置的情况下将其打开。但是,由于外部依赖关系,有两个功能需要允许列表中的显式条目:

  • 多媒体重定向
  • 适用于 Skype for Business 的 HDX RealTime Optimization Pack

多媒体重定向

允许列表条目需要以下信息:

  • 虚拟通道名称:CTXMM
  • 进程:指向 VDA 计算机中使用的媒体播放器的路径。例如,C:\Program Files (x86)\Windows Media Player\wmplayer.exe
  • 允许列表条目:CTXMM,C:\Program Files (x86)\Windows Media Player\wmplayer.exe

适用于 Skype for Business 的 HDX RealTime Optimization Pack

允许列表条目需要以下信息:

  • 虚拟通道名称: CTXRMEP
  • 进程:VDA 计算机中 Skype for Business 可执行文件的路径,该路径可能会因 Skype for Business 版本或是否使用自定义安装路径而异。例如,C:\Program Files\Microsoft Office\root\Office16\lync.exe。
  • 允许列表条目:CTXRMEP,C:\Program Files\Microsoft Office\root\Office16\lync.exe

获取虚拟通道名称和进程

获取虚拟通道名称以及在 VDA 计算机上打开虚拟通道的进程的最简单的方法是从提供虚拟通道的开发人员或第三方供应商处获取信息。

或者,可以通过应用功能的日志并执行以下步骤获取此信息:

  1. 自定义虚拟通道的客户端和服务器组件到位后,启动虚拟应用程序或虚拟桌面。
  2. 在 VDA 计算机的系统事件日志中,在以下事件中查找尝试打开的自定义虚拟通道的名称和进程:
    • 在单会话 VDA 中,来自源 Picadd 的事件 ID 2002。
    • 在多会话 VDA 中,来自源 RPM 的事件 ID 14。
  3. 从会话中注销。
  4. 在“虚拟通道允许列表”策略设置中为已识别的虚拟通道和进程添加一个条目。
  5. 启动虚拟应用程序或虚拟桌面以验证自定义虚拟通道是否成功打开。

虚拟通道允许列表日志记录

以下事件记录在单会话 VDA 计算机的事件日志中:

  日志名称 系统
  ID 2001
  Picadd
  级别 信息
  说明 自定义虚拟通道 <vcName> 已通过进程 <processName> 打开
  日志名称 系统
  ID 2002
  Picadd
  级别 警告
  说明 自定义虚拟通道 <vcName> 不能通过进程 <processName> 打开
  日志名称 系统
  ID 2003
  Picadd
  级别 信息
  说明 <username> 打开了自定义虚拟通道 <vcName>
  日志名称 系统
  ID 2004
  Picadd
  级别 警告
  说明 <username> 尝试打开自定义虚拟通道 <vcName>

以下事件记录在多会话 VDA 计算机的事件日志中:

  日志名称 系统
  ID 13
  Rpm
  级别 信息
  说明 自定义虚拟通道 <vcName> 已通过进程 <processName> 打开
  日志名称 系统
  ID 14
  Rpm
  级别 警告
  说明 自定义虚拟通道 <vcName> 不能通过进程 <processName> 打开
  日志名称 系统
  ID 15
  Rpm
  级别 信息
  说明 <username> 打开了自定义虚拟通道 <vcName>
  日志名称 系统
  ID 16
  Rpm
  级别 警告
  说明 <username> 尝试打开自定义虚拟通道 <vcName>

已知第三方虚拟通道

下面是使用自定义 Citrix 虚拟通道的已知第三方解决方案。此列表不包括使用自定义 Citrix 虚拟通道的所有解决方案。

  • Cerner
  • Cisco WebEx Teams
  • Cisco WebEx Meetings Virtual Desktop Software
  • Epic Warp Drive
  • Midmark IQPath Client Extensions
  • Nuance PowerMic Client Extensions
  • Nuance Dragon Medical Network Edition 360 vSync
  • 适用于 VDI 的 Zoom Meetings

要获取有关将关联的虚拟通道添加到允许列表的详细信息,请联系解决方案的供应商。或者,请按照获取虚拟通道名称和进程部分中概述的步骤进行操作。

虚拟通道安全性