安全策略设置

“安全”部分包含用于配置会话加密和登录数据加密的策略设置。

SecureICA 最低加密级别

此设置指定服务器与用户设备之间传输的会话数据的最低加密级别。

重要提示： 对于 Virtual Delivery Agent 7.x，此策略设置只能用于启用 RC5 128 位加密的登录数据加密。其他设置仅用于向后兼容旧版 Citrix Virtual Apps and Desktops。

对于 VDA 7.x，会话数据加密是使用 VDA 交付组的基本设置来配置的。如果为交付组选择了“启用 Secure ICA”，则会话数据将使用 RC5（128 位）加密。如果未为交付组选择“启用 Secure ICA”，则会话数据将使用基本加密。

将此设置添加到策略时，请选择一个选项：

• 基本加密使用非 RC5 算法加密客户端连接。它可保护数据流不被直接读取，但可以解密。默认情况下，服务器对客户端-服务器流量使用基本加密。
• 仅 RC5（128 位）登录使用 RC5 128 位加密对登录数据进行加密，并使用基本加密对客户端连接进行加密。
• RC5（40 位）使用 RC5 40 位加密对客户端连接进行加密。
• RC5（56 位）使用 RC5 56 位加密对客户端连接进行加密。
• RC5（128 位）使用 RC5 128 位加密对客户端连接进行加密。

您为客户端-服务器加密指定的设置可以与您的环境和 Windows 操作系统中的任何其他加密设置进行交互。如果服务器或用户设备上设置了更高优先级的加密级别，则您为已发布的资源指定的设置可能会被覆盖。

您可以提高加密级别，以进一步保护某些用户的通信和消息完整性。如果策略要求更高的加密级别，则使用较低加密级别的 Citrix Receiver 将被拒绝连接。

SecureICA 不执行身份验证或检查数据完整性。要为您的站点提供端到端加密，请将 SecureICA 与 TLS 加密结合使用。

SecureICA 不使用 FIPS 兼容算法。如果此设置存在问题，请配置服务器和 Citrix Receiver 以避免使用 SecureICA。

SecureICA 使用 RFC 2040 中描述的 RC5 分组密码进行保密。块大小为 64 位（32 位字单位的倍数）。密钥长度为 128 位。轮数为 12。

创建会话时会协商 RC5 分组密码的密钥。协商使用 Diffie-Hellman 算法执行。此协商使用 Diffie-Hellman 公共参数。这些参数在安装虚拟投递代理时存储在 Windows 注册表中。公共参数不是秘密的。Diffie-Hellman 协商的结果是一个秘密密钥，RC5 分组密码的会话密钥由此派生。单独的会话密钥用于用户登录和数据传输。此外，单独的会话密钥用于往返虚拟投递代理的流量。因此，每个会话有四个会话密钥。秘密密钥和会话密钥不存储。RC5 分组密码的初始化向量也从秘密密钥派生。