安全策略设置

“安全”部分包含用于配置会话加密和登录数据加密的策略设置。

SecureICA 最低加密级别

此设置指定了服务器与用户设备之间传输的会话数据的最低加密级别。

重要提示： 对于 Virtual Delivery Agent 7.x，此策略设置只能用于启用 RC5 128 位加密的登录数据加密。其他设置仅用于与旧版 Citrix Virtual Apps and Desktops 的向后兼容性。

对于 VDA 7.x，会话数据加密是使用 VDA 交付组的基本设置来配置的。如果为交付组选择了“启用 Secure ICA”，则会话数据将使用 RC5（128 位）加密。如果未为交付组选择“启用 Secure ICA”，则会话数据将使用基本加密进行加密。

将此设置添加到策略时，请选择一个选项：

• 基本加密使用非 RC5 算法加密客户端连接。它可保护数据流不被直接读取，但可以解密。默认情况下，服务器对客户端-服务器流量使用基本加密。
• RC5（128 位）仅登录加密使用 RC5 128 位加密对登录数据进行加密，并使用基本加密对客户端连接进行加密。
• RC5（40 位）加密使用 RC5 40 位加密对客户端连接进行加密。
• RC5（56 位）加密使用 RC5 56 位加密对客户端连接进行加密。
• RC5（128 位）加密使用 RC5 128 位加密对客户端连接进行加密。

您为客户端-服务器加密指定的设置可以与您的环境和 Windows 操作系统中的任何其他加密设置交互。请考虑在服务器或用户设备上设置了更高优先级的加密级别。在这种情况下，您为已发布的资源指定的设置可能会被覆盖。

您可以提高加密级别，以进一步保护某些用户的通信和消息完整性。如果策略要求更高的加密级别，则使用较低加密级别的 Citrix Receiver 将被拒绝连接。

SecureICA 不执行身份验证或检查数据完整性。要为您的站点提供端到端加密，请将 SecureICA 与 TLS 加密结合使用。

SecureICA 不使用 FIPS 兼容算法。如果此设置存在问题，请配置服务器和 Citrix Receivers 以避免使用 SecureICA。

SecureICA 使用 RFC 2040 中所述的 RC5 分组密码来实现机密性。块大小为 64 位（32 位字单元的倍数）。密钥长度为 128 位。轮数为 12。

Keys for the RC5 block cipher are negotiated when a session is created. Negotiation is performed using the Diffie-Hellman algorithm. This negotiation uses Diffie-Hellman public parameters. These parameters are stored in the Windows registry when the Virtual Delivery Agent is installed. Public parameters are not secret. The result of the Diffie-Hellman negotiation is a secret key, from which the session keys for the RC5 block cipher are derived. Separate session keys are used for user logon, and for data transfer. Also, separate session keys are used for traffic to and from the Virtual Delivery Agent. Therefore there are four session keys for each session. The secret keys and session keys are not stored. Initialization vectors for the RC5 block cipher are also derived from the secret key.