安全通信

要确保 Citrix Virtual Apps and Desktops 服务器与 Citrix Workspace 应用程序之间的通信安全,可以使用以下安全技术集成 Citrix Workspace 应用程序连接:

  • Citrix Gateway:有关信息,请参阅本节中的主题以及 Citrix Gateway 和 StoreFront 文档。

    注意:

    Citrix 建议使用 Citrix Gateway 以确保 StoreFront 服务器与用户设备之间的通信安全。

  • 防火墙:网络防火墙可以根据目标地址和端口允许或阻止数据包通过。在使用 Citrix Workspace 应用程序时,如果要经过将服务器内部网络 IP 地址映射到外部 Internet 地址(即网络地址转换,或 NAT)的网络防火墙,则应配置外部地址。
  • 可信的服务器。
  • 仅适用于 Citrix Virtual Apps 或 Web Interface 部署(不适用于 XenDesktop 7):SOCKS 代理服务器或安全代理服务器(也称为安全性代理服务器、HTTPS 代理服务器)。可以使用代理服务器来限制网络的入站和出站访问,并处理 Citrix Workspace 应用程序与服务器之间的连接。Citrix Workspace 应用程序支持 SOCKS 和安全代理协议。
  • 仅适用于 Citrix Virtual Apps 或 Web Interface 部署;不适用于 XenDesktop 7、XenDesktop 7.1、XenDesktop 7.5 或 XenApp 7.5:使用传输层安全性 (TLS) 协议的 SSL Relay 解决方案。
  • 对于 Citrix Virtual Apps and Desktops 7.6,您可以在用户和 VDA 之间直接启用 SSL 连接。

Citrix Workspace 应用程序与使用 Microsoft Specialized Security - Limited Functionality (SSLF) 桌面安全模板的环境兼容,并可在其中正常运行。这些模板在各种 Windows 平台上受支持。

弃用的密码套件

在版本 4.12 中,对 TLS/DTLS 安全通信协议进行了两个重要更改;支持 DTLS 版本 1.2,并且弃用了 TLS/DTLS 密码套件。

DTLS 1.2 支持 UDP 传输协议,为 TCP 传输协议提供 TLS 1.2 的等效功能。早期版本的适用于 Windows 的 Citrix Workspace 应用程序已支持 TLS 1.2。

前缀为 TLS_RSA_ 的密码套件不提供向前保密。这些密码套件现在通常已被行业弃用。但是,为支持与较旧版本的 Citrix Virtual Apps and Desktops 向后兼容,适用于 Windows 的 Citrix Workspace 应用程序可以利用这些密码套件。

创建了一个新的组策略对象管理模板,以允许使用已弃用的密码套件。在 Citrix Receiver for Windows 4.12 中,此策略默认处于启用状态,但默认情况下不强制弃用这些使用 AES 或 3DES 算法的密码套件。但是,可以修改和使用此策略以更加严格地强制执行弃用。

下面是已弃用的密码套件列表:

  • TLS_RSA_AES256_GCM_SHA384
  • TLS_RSA_AES128_GCM_SHA256
  • TLS_RSA_AES256_CBC_SHA256
  • TLS_RSA_AES256_CBC_SHA
  • TLS_RSA_AES128_CBC_SHA
  • TLS_RSA_3DES_CBC_EDE_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_RC4_128_SHA

注意:

最后两个密码套件使用 RC4 算法,弃用的原因是这些密码套件不安全。还可以考虑弃用 TLS_RSA_3DES_CBC_EDE_SHA 密码套件。可以使用此策略来强制执行所有这些弃用。

有关配置 DTLS v1.2 的信息,请参阅 Citrix Virtual Apps and Desktops 文档中的自适应传输

注意:

首次升级或安装适用于 Windows 的 Citrix Workspace 应用程序时,必须向本地 GPO 中添加最新的模板文件。有关向本地 GPO 中添加模板文件的详细信息,请参阅组策略对象管理模板。如果进行升级,导出最新文件时将保留现有设置。

  1. 通过运行 gpedit.msc 打开 Citrix Workspace 应用程序 GPO 管理模板
  2. 计算机配置节点下,转至管理模板 > Citrix 组件 > Citrix Workspace > 网络路由
  3. 选择弃用的密码套件策略。
  4. 选择已启用并从以下选项中进行选择:
    1. TLS_RSA_: 默认情况下,选择 TLS_RSA_。必须选择此选项,才能使用其他两个密码套件。选择此选项时,将包含以下密码套件:
      1. TLS_RSA_AES256_GCM_SHA384
      2. TLS_RSA_AES128_GCM_SHA256
      3. TLS_RSA_AES256_CBC_SHA256
      4. TLS_RSA_AES256_CBC_SHA
      5. TLS_RSA_AES128_CBC_SHA
      6. TLS_RSA_3DES_CBC_EDE_SHA
    2. TLS_RSA_WITH_RC4_128_MD5:选择此选项可使用 RC4-MD5 密码套件。
    3. TLS_RSA_WITH_RC4_128_SHA: 选择此选项将使用 RC4_128_SHA 密码套件。
  5. 单击应用确定
  6. 运行 gpupdate /force 以使更改生效。

下表列出了每组中的密码套件:

支持的 TLS 密码套件

TLS

本主题适用于 Citrix Virtual Apps and Desktops 7.6 及更高版本。

要对 Citrix Workspace 应用程序与服务器的所有通信使用 TLS 加密,请配置用户设备、Citrix Workspace 应用程序以及运行 Web Interface 的服务器(如果使用 Web Interface)。有关确保 StoreFront 通信安全的信息,请参阅 StoreFront 文档中安全部分。有关确保 Web Interface 安全的信息,请参阅 Web Interface 文档中的安全部分。

必备条件:

用户设备必须满足在[系统要求]中指定的要求。(/zh-cn/citrix-workspace-app-for-windows/system-requirements.html)

使用此策略可配置用于确保 Citrix Workspace 应用程序能够安全地标识其所连接到的服务器的 TLS 选项以及加密与服务器的所有通信。

可以使用以下选项执行相应操作:

  • 强制使用 TLS:Citrix 建议通过不可信网络(包括 Internet)建立的所有连接使用 TLS。
  • 强制使用 FIPS(Federal Information Processing Standards,联邦信息处理标准):使用 FIPS 批准的加密,有利于遵从 NIST SP 800-52 中的建议。这些选项默认处于禁用状态。
  • 强制使用特定版本的 TLS 以及特定的 TLS 密码套件:Citrix 支持在适用于 Windows 的 Citrix Workspace 应用程序与 Citrix Virtual Apps and Desktops 之间使用 TLS 1.0、TLS 1.1 和 TLS 1.2 协议。
  • 仅连接到特定服务器。
  • 检查是否已吊销服务器证书。
  • 检查特定服务器证书颁发策略。
  • 选择特定的客户端证书(如果将服务器配置为请求客户端证书)。

TLS 支持

  1. 通过运行 gpedit.msc 打开 Citrix Workspace 应用程序 GPO 管理模板。
  2. 计算机配置节点下,转至管理模板 > Citrix Workspace > 网络路由,然后选择 TLS 和合规模式配置策略。

    TLS 和合规模式策略

  3. 选择已启用启用安全连接以及加密服务器上的通信。设置以下选项:

    注意:

    Citrix 建议使用 TLS 以实现安全连接。

  4. 选择要求对所有连接使用 TLS 以强制 Citrix Workspace 应用程序对与已发布的应用程序和桌面的所有连接使用 TLS。

  5. 安全性合规模式下拉列表中,选择相应的选项:

    1. - 不强制执行合规模式
    2. SP800-52 - 选择 SP800-52 以遵从 NIST SP 800-52。仅当服务器或网关遵从 NIST SP 800-52 建议时才应选择此选项。

      注意:

      如果选择 SP800-52,则将自动使用 FIPS 批准的加密,即使未选择启用 FIPS 也是如此。还必须启用 Windows 安全选项“系统加密: 将 FIPS 兼容算法用于加密、哈希和签名”。否则,Citrix Workspace 应用程序可能会无法连接到已发布的应用程序和桌面。

      如果选择 SP800-52,则必须选择设置为完全访问检查需要完全访问检查和 CRL证书吊销检查策略设置。

      选择 SP800-52 后,Citrix Workspace 应用程序将验证服务器证书是否遵从 NIST SP 800-52 中的建议。如果服务器证书不遵从,Citrix Workspace 应用程序可能无法连接。

    3. 启用 FIPS - 选择此选项将强制使用 FIPS 批准的加密。还必须启用操作系统组策略中的 Windows 安全选项 系统加密: 将 FIPS 兼容算法用于加密、哈希和签名。否则,Citrix Workspace 应用程序可能会无法连接到已发布的应用程序和桌面。
  6. 允许的 TLS 服务器下拉列表中,选择端口号。可以确保适用于 Windows 的 Citrix Workspace 应用程序仅连接到逗号分隔的列表指定的服务器。可以指定通配符和端口号。例如,*.citrix.com: 4433 允许在端口 4433 上连接到公用名以 .citrix.com 结尾的任何服务器。证书的颁发者断言安全证书中的信息的准确性。如果 Citrix Workspace 无法识别和信任颁发者,连接将被拒绝。

  7. TLS 版本菜单中,选择以下选项之一:

    • TLS 1.0、TLS 1.1 或 TLS 1.2 - 这是默认设置。仅当对 TLS 1.0 有兼容性方面的业务要求时才建议使用此选项。

    • TLS 1.1 或 TLS 1.2 - 使用此选项可确保 ICA 连接使用 TLS 1.1 或 TLS 1.2

    • TLS 1.2 - 如果 TLS 1.2 属于业务要求,则建议使用此选项。

  8. TLS 密码集 - 要强制使用特定的 TLS 密码集,请选择“政府”(GOV)、“商务”(COM) 或“全部”(ALL)。在某些 Citrix Gateway 配置情况下,您可能需要选择 COM。Citrix Workspace 应用程序支持 1024、2048 和 3072 位长度的 RSA 密钥。此外,还支持 RSA 密钥长度为 4096 位的根证书。

    注意:

    Citrix 不建议使用 1024 位长度的 RSA 密钥。

    • 任意: 设置为“任意”时,将不配置策略并允许使用以下任意密码套件:

      1. TLS_RSA_WITH_RC4_128_MD5
      2. TLS_RSA_WITH_RC4_128_SHA
      3. TLS_RSA_WITH_3DES_EDE_CBC_SHA
      4. TLS_RSA_WITH_AES_128_CBC_SHA
      5. TLS_RSA_WITH_AES_256_CBC_SHA
      6. TLS_RSA_WITH_AES_128_GCM_SHA256
      7. TLS_RSA_WITH_AES_256_GCM_SHA384
    • 商用: 设置为“商用”时,仅允许使用以下密码套件:

      1. TLS_RSA_WITH_RC4_128_MD5
      2. TLS_RSA_WITH_RC4_128_SHA
      3. TLS_RSA_WITH_AES_128_CBC_SHA
      4. TLS_RSA_WITH_AES_128_GCM_SHA256
    • 政府: 设置为“政府”时,仅允许使用以下密码套件:

      1. TLS_RSA_WITH_AES_256_CBC_SHA
      2. TLS_RSA_WITH_3DES_EDE_CBC_SHA
      3. TLS_RSA_WITH_AES_128_GCM_SHA256
      4. TLS_RSA_WITH_AES_256_GCM_SHA384
  9. 证书吊销检查策略菜单中,选择以下任意选项:

    • 在不访问网络的情况下检查 - 执行证书吊销列表检查。仅使用本地证书吊销列表存储。所有分发点都被忽略。对于目标 SSL Relay/Citrix Secure Web Gateway 服务器出示的服务器证书验证来说,查找证书吊销列表并非强制性操作。

    • 完全访问检查 - 执行证书吊销列表检查。使用本地证书吊销列表存储和所有分发点。如果找到证书的吊销信息,连接将被拒绝。查找证书吊销列表并非验证目标服务器提供的服务器证书的关键。

    • 需要完全访问检查和 CRL - 执行证书吊销列表检查,但根 CA 除外。使用本地证书吊销列表存储和所有分发点。如果找到证书的吊销信息,连接将被拒绝。查找所有必要的证书吊销列表对验证非常重要。

    • 全部需要完全访问检查和 CRL - 执行证书吊销列表检查,包括根 CA。使用本地证书吊销列表存储和所有分发点。如果找到证书的吊销信息,连接将被拒绝。查找所有必要的证书吊销列表对验证非常重要。

    • 不检查 - 不执行任何证书吊销列表检查。

  10. 使用策略扩展 OID 可以将 Citrix Workspace 应用程序限制为仅连接到配置了特定证书颁发策略的服务器。如果选择策略扩展 OID,Citrix Workspace 应用程序将仅接受包含策略扩展 OID 的服务器证书。

  11. 客户端身份验证菜单中,选择以下任意选项:

    • 已禁用 - 禁用客户端身份验证。

    • 显示证书选择器 - 始终提示用户选择证书。

    • 如果可能,则自动选择 - 仅可以选择要识别的证书时提示用户。

    • 未配置 - 指示未配置客户端身份验证。

    • 使用指定的证书 - 使用在“客户端证书”选项中所设置的客户端证书。

  12. 使用客户端证书设置可指定标识证书的指纹,以避免不必要地提示用户。

  13. 单击应用确定保存此策略。

下表列出了每组中的密码套件:

本地化后的图片

防火墙

网络防火墙可以根据目标地址和端口允许或阻止数据包通过。如果在部署中使用防火墙,适用于 Windows 的 Citrix Workspace 应用程序必须能够经由防火墙与 Web 服务器和 Citrix 服务器通信。

常用 Citrix 通信端口

类型 端口 详细信息
Citrix Workspace 应用程序 TCP 80/443 与 StoreFront 通信
ICA/HDX TCP 1494 访问应用程序和虚拟桌面
ICA/HDX(启用了会话可靠性) TCP 2598 访问应用程序和虚拟桌面
ICA/HDX(通过 SSL) TCP 443 访问应用程序和虚拟桌面
ICA/HDX(从 HTML5 Workspace) TCP 8008 访问应用程序和虚拟桌面
ICA/HDX 音频(通过 UDP) TCP 16500–16509 ICA/HDX 音频的端口范围
IMA TCP 2512 Independent Management Architecture (IMA)
管理控制台 TCP 2513 Citrix 管理控制台和 *WCF 服务 注意:对于基于 FMA 的平台 7.5 及更高版本,不使用端口 2513。
Application/Desktop Request TCP 80/8080/443 XML Service
STA TCP 80/8080/443 Secure Ticketing Authority(嵌入在 XML Service 中)

注意:

在 XenApp 6.5 中,XenApp Command Remoting Services 通过 WCF 使用端口 2513。

如果为防火墙配置了网络地址转换 (NAT),则使用 Web Interface 定义从内部地址到外部地址的映射和端口。例如,如果没有为 Citrix Virtual Apps and Desktops 服务器配置备选地址,则您可以将 Web Interface 配置为向 Citrix Workspace 应用程序提供备选地址。之后,Citrix Workspace 应用程序使用外部地址和端口号连接到服务器。有关详细信息,请参阅 Web Interface 文档。

代理服务器

代理服务器用于限制网络的入站和出站访问,并处理适用于 Windows 的 Citrix Workspace 应用程序与服务器之间的连接。Citrix Workspace 应用程序支持 SOCKS 和安全代理协议。

与服务器进行通信时,Citrix Workspace 应用程序使用在运行适用于 Web 的 Workspace 或 Web Interface 的服务器上远程配置的代理服务器设置。有关代理服务器配置的信息,请参阅 StoreFront 或 Web Interface 文档。

在与 Web 服务器进行通信时,Citrix Workspace 应用程序使用通过用户设备上默认 Web 浏览器的 Internet 设置进行配置的代理服务器设置。您必须相应地配置用户设备上默认 Web 浏览器的 Internet 设置。

使用注册表编辑器配置代理设置,以强制 Citrix Workspace 应用程序在连接过程中遵从或放弃代理服务器的设置。

警告

注册表编辑不当会导致严重问题,可能需要重新安装操作系统。Citrix 无法保证因注册表编辑器使用不当导致出现的问题能够得以解决。

  1. 导航到 \HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\AuthManager
  2. 设置 ProxyEnabled(REG_SZ)。
    • True - 指示 Citrix Workspace 应用程序在连接过程中遵从代理服务器的设置。
    • False - 指示 Citrix Workspace 应用程序在连接过程中放弃使用代理服务器。
  3. 重新启动 Citrix Workspace 应用程序以使所做的更改生效。

Citrix Secure Web Gateway

本主题仅适用于使用 Web Interface 的部署。

可以在普通模式或中继模式下使用 Citrix Secure Web Gateway,来为适用于 Windows 的 Citrix Workspace 应用程序与服务器之间的通信提供安全通道。如果在普通模式下使用 Citrix Secure Web Gateway,并且用户通过 Web Interface 进行连接,则不需要 Citrix Workspace 应用程序配置。

Citrix Workspace 应用程序使用在运行 Web Interface 的服务器上远程配置的设置连接到运行 Citrix Secure Web Gateway 的服务器。有关为 Citrix Workspace 应用程序配置代理服务器设置的信息,请参阅 Web Interface 相关主题。

有关配置代理服务器设置的详细信息,请参阅 Web Interface 文档。

如果使用中继模式,Citrix Secure Web Gateway 服务器将相当于代理,您必须对适用于 Windows 的 Workspace 进行配置才能使用:

  • Citrix Secure Web Gateway 服务器的完全限定的域名 (FQDN)。
  • Citrix Secure Web Gateway 服务器的端口号。

FQDN 必须按顺序列出以下三个组成部分:

  • 主机名
  • 中间域
  • 顶级域

例如:my_computer.my_company.com 是一个 FQDN,因为它依次列出主机名 (my_computer)、中间域 (my_company) 和顶级域 (com)。中间域和顶级域的组合 (my_company.com) 称为域名。

可信服务器

可信服务器配置标识 Citrix Workspace 应用程序连接中的信任关系并强制执行该信任关系。

启用了可信服务器时,Citrix Workspace 应用程序将指定要求并确定与服务器的连接是否可信。例如,以特定连接类型(例如 TLS)连接到某个地址(例如 https://\*.citrix.com)的 Citrix Workspace 应用程序被定向到服务器上的某个可信区域

启用了此功能时,已连接的服务器驻留在 Windows 的可信站点区域中。有关将服务器添加到 Windows 的可信站点区域的说明,请参阅 Internet Explorer 联机帮助。

使用组策略对象管理模板启用可信服务器配置

必备条件:

从 Citrix Workspace 应用程序组件(包括连接中心)退出。

  1. 通过运行 gpedit.msc 打开 Citrix Workspace 应用程序 GPO 管理模板。
  2. 计算机配置节点下,转至管理模板 > 经典管理模板(ADM) > Citrix 组件 > Citrix Workspace > 网络路由 > 配置可信服务器配置
  3. 选择已启用强制 Citrix Workspace 应用程序执行区域识别。
  4. 选择强制使用可信服务器配置。这将强制客户端使用可信服务器执行识别。
  5. Windows Internet 区域下拉列表中,选择客户端服务器地址。此设置仅适用于 Windows 的“可信站点”区域。
  6. 地址字段中,设置除 Windows 以外的可信站点区域的客户端服务器地址。可以使用逗号分隔的列表。
  7. 单击确定应用

ICA 文件签名服务

ICA 文件签名可帮助保护您免于启动未经授权的应用程序或桌面。Citrix Workspace 应用程序根据管理策略确认由可信源生成应用程序或桌面启动,并防止从不可信服务器进行启动。可以使用组策略对象管理模板、StoreFront 或 Citrix Merchandising Server 配置 ICA 文件签名。默认情况下,不启用 ICA 文件签名。

有关为 StoreFront 启用 ICA 文件签名服务的信息,请参阅 StoreFront 文档中的启用 ICA 文件签名服务

对于 Web Interface 部署,Web Interface 可在启动过程中使用 Citrix ICA 文件签名服务启用并配置应用程序或桌面启动,使其包含签名。该服务可以使用计算机的个人证书存储中的证书对 ICA 文件进行签名。

包哈 Citrix Workspace 应用程序的 Citrix Merchandising Server 可以使用 Citrix Merchandising Server 管理员控制台 >“交付”向导启用并配置启动签名验证功能,从而添加可信证书指纹。

配置 ICA 文件签名

注意:

如果未将 CitrixBase.admx\adml 添加到本地 GPO,则启用 ICA 文件签名策略可能不存在。

  1. 通过运行 gpedit.msc 打开 Citrix Workspace 应用程序组策略对象管理模板
  2. 计算机配置节点下,转至“管理模板”>“Citrix 组件”。
  3. 选择启用 ICA 文件签名策略并根据需要选择其中一个选项:
    1. 已启用 - 指示您可以将签名证书指纹添加到可信证书指纹的白名单中。
    2. 信任证书 - 单击显示可从白名单中删除现有的签名证书指纹。可以从签名证书属性中复制并粘贴签名证书指纹。
    3. 安全策略 - 从菜单中选择以下选项之一。
      1. 仅允许签名的启动(更安全):仅允许来自可信服务器且已签名的应用程序或桌面启动。如果签名无效,则将显示安全警告。由于未授权,您无法启动会话。
      2. 在进行未签名的启动时提示用户(不安全) - 启动未签名或无效签名的会话时将显示一条消息提示。可以选择继续启动或取消启动(默认设置)。
  4. 单击应用确定保存此策略。
  5. 重新启动 Citrix Workspace 应用程序会话以使所做的更改生效。

选择并分发数字签名证书:

选择数字签名证书时,Citrix 建议您从下面已排好优先级顺序的列表中进行选择:

  1. 从公共证书颁发机构 (CA) 购买一个代码签名证书或 SSL 签名证书。
  2. 如果您的企业具有专用 CA,请使用该专用 CA 创建一个代码签名证书或 SSL 签名证书。
  3. 使用现有的 SSL 证书,例如 Web Interface 服务器证书。
  4. 创建一个根 CA 证书,并使用 GPO 或通过手动安装将其分发给用户设备。

提升级别

在运行 Windows 10、Windows 8 或 Windows 7 的设备上启用了用户访问控制 (UAC) 之后,只有与 wfcrun32.exe 具有相同提升/完整性级别的进程才能启动虚拟应用程序。

示例 1:

以普通用户身份运行(未提升)wfcrun32.exe 时,必须以普通用户身份运行其他进程(例如 Citrix Workspace 应用程序),才能通过 wfcrun32.exe 启动应用程序。

示例 2:

在提升模式下运行 wfcrun32.exe 时,其他进程(例如 Citrix Workspace 应用程序、连接中心以及在非提升模式下使用 ICA Client Object 运行的第三方应用程序)无法与 wfcrun32.exe 进行通信。