安全通信

• 为了保护 Citrix Virtual Apps and Desktops 服务器与 Citrix Workspace 应用程序之间的通信安全，您可以使用以下一系列安全技术来集成您的 Citrix Workspace 应用程序连接：

• Citrix Gateway：有关信息，请参阅本节中的主题以及 Citrix Gateway 和 StoreFront 文档。
• 防火墙：网络防火墙可以根据目标地址和端口允许或阻止数据包。
• 支持传输层安全性 (TLS) 1.2 和 1.3 版本。
• 受信任的服务器，用于在 Citrix Workspace 应用程序连接中建立信任关系。
• ICA® 文件签名
• 本地安全机构 (LSA) 保护
• 仅适用于 Citrix Virtual Apps 部署的代理服务器：SOCKS 代理服务器或安全代理服务器。代理服务器有助于限制对网络的访问以及从网络进行的访问。它们还处理 Citrix Workspace 应用程序与服务器之间的连接。Citrix Workspace 应用程序支持 SOCKS 和安全代理协议。
  • 出站代理

Citrix Gateway

-  Citrix Gateway（以前称为 Access Gateway）可保护与 StoreFront 商店的连接。此外，它还允许管理员详细控制用户对桌面和应用程序的访问。

要通过 Citrix Gateway 连接到桌面和应用程序：

-  1.  使用以下方法之一指定管理员提供的 Citrix Gateway URL：

-  首次使用自助服务用户界面时，系统会提示您在“**添加帐户**”对话框中输入 URL。
-  以后使用自助服务用户界面时，通过单击“**首选项**”>“**帐户**”>“**添加**”来输入 URL。
-  如果您正在使用 `storebrowse` 命令建立连接，请在命令行中输入 URL。

URL 指定网关，并且可选地指定一个特定的商店：

• 要连接到 Citrix Workspace 应用程序找到的第一个商店，请使用以下格式的 URL：

  • https://gateway.company.com

• 要连接到特定商店，请使用以下形式的 URL，例如：https://gateway.company.com?<storename>。此动态 URL 采用非标准形式；URL 中不要包含“=”（等号字符）。如果您正在使用 storebrowse 连接到特定商店，则可能需要在 storebrowse 命令中为 URL 添加引号。

1. 出现提示时，使用您的用户名、密码和安全令牌连接到商店（通过网关）。有关此步骤的更多信息，请参阅 Citrix Gateway 文档。

身份验证完成后，将显示您的桌面和应用程序。

通过防火墙连接

• 网络防火墙可以根据目标地址和端口允许或阻止数据包。如果您正在使用防火墙，Citrix Workspace 应用程序 for Windows 可以通过防火墙与 Web 服务器和 Citrix 服务器进行通信。

• 常用 Citrix 通信端口

• 源

  类型

  端口

  详细信息

• Citrix Workspace 应用程序

  TCP

  80/443

  与 StoreFront 通信

• ICA 或 HDX

  TCP/UDP

  1494

  访问应用程序和虚拟桌面

• 启用会话可靠性的 ICA 或 HDX

  TCP/UDP

  2598

  访问应用程序和虚拟桌面

• 基于 TLS 的 ICA 或 HDX

  TCP/UDP

  443

  访问应用程序和虚拟桌面

• 有关端口的更多信息，请参阅知识中心文章 CTX101810。

传输层安全性

传输层安全性 (TLS) 是 SSL（安全套接字层）协议的替代品。当互联网工程任务组 (IETF) 接管 TLS 作为开放标准的开发职责时，将其更名为 TLS。

TLS 通过提供服务器身份验证、数据流加密和消息完整性检查来保护数据通信。一些组织，包括美国政府组织，要求使用 TLS 来保护数据通信。这些组织可能还需要使用经过验证的加密技术，例如联邦信息处理标准 (FIPS) 140。FIPS 140 是一种加密标准。

要使用 TLS 加密作为通信介质，您必须配置用户设备和 Citrix Workspace 应用程序。有关保护 StoreFront 通信安全的信息，请参阅 StoreFront 文档中的“安全”部分。有关保护 VDA 安全的信息，请参阅 Citrix Virtual Apps and Desktops 文档中的“传输层安全性 (TLS)”。

您可以使用以下策略来：

• 强制使用 TLS：我们建议您对使用不受信任网络（包括 Internet）的连接使用 TLS。
• 强制使用 FIPS（联邦信息处理标准）：批准的加密技术并遵循 NIST SP 800-52 中的建议。这些选项默认禁用。
• 强制使用特定版本的 TLS 和特定的 TLS 密码套件：Citrix 支持 TLS 1.2 和 1.3 协议。
• 仅连接到特定服务器。
• 检查服务器证书的吊销情况。
• 检查特定的服务器证书颁发策略。
• 如果服务器配置为请求客户端证书，则选择特定的客户端证书。

Citrix Workspace 应用程序 for Windows 支持 TLS 1.2 和 1.3 协议的以下密码套件：

• TLS_AES_256_GCM_SHA384
• TLS_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

重要提示：

以下密码套件已弃用，以增强安全性：

-  RC4 和 3DES 密码套件
-  带有前缀“TLS_RSA_*”的密码套件

-  > -  TLS_RSA_WITH_AES_256_GCM_SHA384 (0x009d)
-  > -  TLS_RSA_WITH_AES_128_GCM_SHA256 (0x009c)
-  > -  TLS_RSA_WITH_AES_256_CBC_SHA256 (0x003d)

-  TLS_RSA_WITH_AES_256_CBC_SHA (0x0035)
-  TLS_RSA_WITH_AES_128_CBC_SHA (0x002f)

-  > -  TLS_RSA_WITH_RC4_128_SHA (0x0005)
-  > -  TLS_RSA_WITH_3DES_EDE_CBC_SHA (0x000a)

-  ### TLS 支持

1. 通过运行 gpedit.msc 打开 Citrix Workspace 应用程序 GPO 管理模板。

2. 在“计算机配置”节点下，导航到“管理模板”>“Citrix Workspace”>“网络路由”，并选择“TLS 和合规模式配置”策略。

   • 

   • 1. 选择“已启用”以启用安全连接并加密服务器上的通信。设置以下选项：

   注意：

   Citrix 建议将 TLS 用于安全连接。

   1. 选择“所有连接都需要 TLS”以强制 Citrix Workspace 应用程序使用 TLS 用于连接到已发布的应用程序和桌面。

   2. 从“安全合规模式”菜单中，选择相应的选项：

      1. 无 - 不强制执行任何合规模式。
      2. SP800-52 - 选择“SP800-52”以符合 NIST SP 800-52。仅当服务器或网关遵循 NIST SP 800-52 建议时才选择此选项。

      注意：

      -  >
      -  > 如果您选择“**SP800-52**”，则会自动使用 FIPS 批准的加密，即使未选择“**启用 FIPS**”也是如此。此外，请启用 Windows 安全选项“**系统加密: 将 FIPS 兼容算法用于加密、哈希和签名**”。否则，Citrix Workspace 应用程序可能无法连接到已发布的应用程序和桌面。
      

      如果您选择“SP800-52”，请将“证书吊销检查策略”设置设为“完全访问检查和 CRL 必需”。

      当您选择“SP800-52”时，Citrix Workspace 应用程序会验证服务器证书是否遵循 NIST SP 800-52 中的建议。如果服务器证书不符合要求，Citrix Workspace 应用程序可能无法连接。

      1. 启用 FIPS - 选择此选项以强制使用 FIPS 批准的加密。此外，请从操作系统组策略中启用 Windows 安全选项“系统加密: 将 FIPS 兼容算法用于加密、哈希和签名”。否则，Citrix Workspace 应用程序可能无法连接到已发布的应用程序和桌面。

   3. 从“允许的 TLS 服务器”下拉菜单中，选择端口号。使用逗号分隔的列表，以确保 Citrix Workspace 应用程序仅连接到指定的服务器。您可以指定通配符和端口号。例如，*.citrix.com: 4433 允许连接到通用名称以 .citrix.com 结尾且端口为 4433 的任何服务器。证书颁发者声明安全证书中信息的准确性。如果 Citrix Workspace 不识别或不信任颁发者，则连接将被拒绝。

• 1. 从“TLS 版本”菜单中，选择以下选项之一：

  • TLS 1.0、TLS 1.1 或 TLS 1.2 - 这是默认设置，仅当出于兼容性原因存在 TLS 1.0 的业务要求时才建议使用。

  • TLS 1.1 或 TLS 1.2 - 使用此选项可确保连接使用 TLS 1.1 或 TLS 1.2。

  • TLS 1.2 - 如果 TLS 1.2 是业务要求，则建议使用此选项。

  1. TLS 密码套件 - 要强制使用特定的 TLS 密码套件，请选择“政府 (GOV)”、“商业 (COM)”或“全部 (ALL)”。

  2. 从“证书吊销检查策略”菜单中，选择以下任一选项：

  • 检查（无网络访问） - 执行证书吊销列表检查。仅使用本地证书吊销列表存储。所有分发点均被忽略。验证目标 SSL Relay/Citrix Secure Web Gateway 服务器提供的服务器证书的证书吊销列表检查不是强制性的。

  • 完全访问检查 - 执行证书吊销列表检查。使用本地证书吊销列表存储和所有分发点。如果找到证书的吊销信息，则拒绝连接。验证目标服务器提供的服务器证书的证书吊销列表检查不是关键。

  • 完全访问检查和 CRL 必需 - 执行证书吊销列表检查，根证书颁发机构除外。使用本地证书吊销列表存储和所有分发点。如果找到证书的吊销信息，则拒绝连接。查找所有必需的证书吊销列表对于验证至关重要。

  • 完全访问检查和所有 CRL 必需 - 执行证书吊销列表检查，包括根 CA。使用本地证书吊销列表存储和所有分发点。如果找到证书的吊销信息，则拒绝连接。查找所有必需的证书吊销列表对于验证至关重要。

  • 不检查 - 不执行证书吊销列表检查。

  1. 使用“策略扩展 OID”，您可以将 Citrix Workspace 应用程序限制为仅连接到具有特定证书颁发策略的服务器。当您选择“策略扩展 OID”时，Citrix Workspace 应用程序仅接受包含策略扩展 OID 的服务器证书。

  2. 从“客户端身份验证”菜单中，选择以下任一选项：

  • 已禁用 - 客户端身份验证已禁用。

  • 显示证书选择器 - 始终提示用户选择证书。

  • 如果可能，自动选择 - 仅当存在可供选择的证书以进行身份验证时才提示用户。

  • 未配置 - 表示未配置客户端身份验证。

  • 使用指定证书 - 根据“客户端证书”选项中的设置使用客户端证书。

  1. 使用客户端证书设置指定识别证书的指纹，以避免不必要的提示用户。

  2. 单击应用和确定以保存策略。

支持 TLS 协议版本 1.3

从 2409 版本开始，Citrix Workspace 应用程序支持传输层安全协议 (TLS) 版本 1.3。

注意：

此增强功能需要 VDA 2303 或更高版本。

此功能默认启用。要禁用此功能，请执行以下操作：

1. 在运行命令中，使用 regedit 打开注册表编辑器。
2. 导航到 HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\ICA Client\TLS1.3。
3. 创建一个名称为 EnableTLS1.3 的 DWORD 键，并将该键的值设置为 0。

限制：

• 使用 Access Gateway 或 NetScaler Gateway Service 的连接尝试使用 TLS 1.3。但是，这些连接会回退到 TLS 1.2，因为 Access Gateway 和 NetScaler Gateway Service 尚不支持 TLS 1.3。
  • 直接连接到不支持 TLS 1.3 的 VDA 版本会回退到 TLS 1.2。

受信任的服务器

强制执行受信任的服务器连接

受信任的服务器配置策略识别并强制执行 Citrix Workspace 应用程序连接中的信任关系。

使用此策略，管理员可以控制客户端如何识别其正在连接的已发布应用程序或桌面。客户端确定一个信任级别，称为与连接相关联的信任区域。然后，信任区域确定如何为连接配置客户端。

启用此策略可防止连接到不在受信任区域中的服务器。

默认情况下，区域识别基于客户端正在连接的服务器地址。要成为受信任区域的成员，服务器必须是 Windows 受信任站点区域的成员。您可以使用Windows Internet 区域设置来配置此项。

-  或者，为了与非 Windows 客户端兼容，可以使用组策略中的**地址**设置专门信任服务器地址。服务器地址必须是逗号分隔的服务器列表，支持使用通配符，例如 `cps*.citrix.com`。

先决条件：

• 确保您已安装适用于 Windows 的 Citrix Workspace 应用程序 2409 或更高版本。

  • 在使用内部 StoreFront 并在 Windows Internet 选项中托管 FQDN 时，将 DNS 解析设置为 True。有关详细信息，请参阅知识中心文章 CTX135250。

  • 注意：

    如果 IP 地址用于 Windows Internet 安全区域选项，则无需在 DDC 上进行任何更改。

• 如下表所示复制并粘贴最新的 ICA 客户端策略模板：

• |—-|—|—|

• receiver.admx	Installation Directory\ICA Client\Configuration\receiver.admx	%systemroot%\policyDefinitions
  CitrixBase.admx	Installation Directory\ICA Client\Configuration\CitrixBase.admx	%systemroot%\policyDefinitions
  receiver.adml	Installation Directory\ICA Client\Configuration[MUIculture]receiver.adml	%systemroot%\policyDefinitions[MUIculture]
  CitrixBase.adml	Installation Directory\ICA Client\Configuration[MUIculture]\CitrixBase.adml	%systemroot%\policyDefinitions[MUIculture]

注意：

• 确保您正在使用适用于 Windows 的 Citrix Workspace 应用程序 2409 或更高版本随附的最新 .admx 和 .adml 文件。有关更多配置详细信息，请参阅组策略文档。

• 关闭所有正在运行的 Citrix Workspace 应用程序实例，并从系统托盘退出。

  • 

执行以下步骤以使用组策略对象管理模板启用受信任的服务器配置：

• 1. 通过运行 gpedit.msc 打开 Citrix Workspace 应用程序组策略对象管理模板。
     • 1. 在计算机配置节点下，转到管理模板 > Citrix 组件 > Citrix Workspace > 网络路由：
  • 对于 x64 部署，选择在 x64 计算机中配置受信任的服务器配置。
  • 对于 x86 部署，选择在 x86 计算机中配置受信任的服务器配置。

• 

  • 1. 启用所选策略并选择强制执行受信任的服务器配置复选框。

1. 从Windows Internet 区域下拉菜单中，选择受信任。

   

• 注意：

• 您可以跳过从地址下拉列表中选择选项。

1. 单击确定和应用。
2. 如果同一登录用户已发布 Citrix 资源，您可以继续执行以下操作或使用其他用户登录。

• 1. 打开Windows Internet 选项，然后导航到受信任的站点 > 站点以添加域地址或 VDA FQDN。

• 注意：

• 您可以添加无效域 *.test.com 或特定的无效或有效 VDA FQDN 来测试此功能。

  

1. 根据偏好，根据配置受信任的服务器配置策略中Windows Internet 区域内的区域选择，更改为受信任或本地 Intranet 站点。

   有关详细信息，请参阅身份验证部分中的修改 Internet Explorer 设置。

2. 使用管理员命令提示符更新安装了 Citrix Workspace 应用程序的目标设备上的组策略，或重新启动系统。
3. 确保根据配置受信任的服务器配置策略中Windows Internet 区域内的区域选择，将内部 StoreFront FQDN 添加到本地 Intranet 区域或受信任的站点区域。有关信息，请参阅身份验证部分中的修改 Internet Explorer 设置。此外，请确保在 Gateway 存储的情况下，必须将 Gateway URL 添加到受信任的站点。
4. 打开 Citrix Workspace 应用程序或已发布的资源并验证该功能。

注意：

如果您尚未配置上述步骤，会话启动可能会失败，并且您可能会收到以下错误消息：

作为一种解决方法，您可以在 GPO 中禁用配置受信任的服务器配置策略。

客户端选择性信任

除了允许或阻止与服务器的连接外，客户端还使用区域来识别文件、麦克风或网络摄像头以及 SSO 访问。

当用户为某个区域选择了默认值时，可能会出现以下对话框：

管理员可以通过使用组策略或在注册表中创建和配置客户端选择性信任注册表项来修改此默认行为。有关如何配置客户端选择性信任注册表项的详细信息，请参阅知识中心文章 CTX133565。

本地安全机构 (LSA) 保护

Citrix Workspace 应用程序支持 Windows 本地安全机构 (LSA) 保护，该保护维护有关系统上本地安全所有方面的信息。此支持为托管桌面提供了 LSA 级别的系统保护。

通过代理服务器连接

代理服务器用于限制对网络的访问以及处理 Citrix Workspace 应用程序（适用于 Windows）与服务器之间的连接。Citrix Workspace 应用程序支持 SOCKS 和安全代理协议。

与服务器通信时，Citrix Workspace 应用程序使用在运行 Web 版 Workspace 的服务器上远程配置的代理服务器设置。

与 Web 服务器通信时，Citrix Workspace 应用程序使用通过用户设备上默认 Web 浏览器的Internet设置配置的代理服务器设置。请相应地配置用户设备上默认 Web 浏览器的Internet设置。

要通过 StoreFront 上的 ICA 文件强制执行代理设置，请参阅知识中心文章 CTX136516。

EDT 的 SOCKS5 代理支持

以前，Citrix Workspace 应用程序仅支持在 TCP 上运行的 HTTP 代理。但是，SOCKS5 代理功能已在 Virtual Delivery Agent (VDA) 中得到全面支持。有关 VDA 支持的更多信息，请参阅 Rendezvous V2 文档。

从 2409 版本开始，Citrix Workspace 应用程序现在支持 Enlightened Data Transport (EDT) 的 SOCKS5 代理，从而增强了与现代企业网络配置的兼容性。

主要优势：

• 扩展的代理兼容性：通过 SOCKS5 代理无缝连接，企业网络团队广泛使用 SOCKS5 代理，因为它同时支持 TCP 和 UDP 流量。
• 改进的 EDT 性能：充分利用 EDT（基于 UDP）的优势，优化 Citrix Workspace 应用程序会话中的数据传输。

此功能默认禁用。要启用此功能，请执行以下操作：

1. 运行 gpedit.msc 打开 Citrix Workspace 应用程序 GPO 管理模板。

2. 在 计算机配置 节点下，转到 管理模板 > Citrix Workspace > 网络路由 > 代理 > 配置客户端代理设置，然后选择代理类型。

3. 设置以下参数：

   • ProxyType：SocksV5
   • ProxyHost：指定代理服务器的地址。

有关详细信息，请参阅 ICA 设置参考 和知识中心文章 CTX136516。

出站代理支持

SmartControl 允许管理员配置和实施影响环境的策略。例如，您可能希望禁止用户将其驱动器映射到其远程桌面。您可以使用 Citrix Gateway 上的 SmartControl 功能实现精细控制。

当 Citrix Workspace 应用程序和 Citrix Gateway 属于不同的企业帐户时，情况会发生变化。在这种情况下，客户端域无法应用 SmartControl 功能，因为网关不存在于该域上。然后，您可以使用出站 ICA 代理。出站 ICA 代理功能允许您即使在 Citrix Workspace 应用程序和 Citrix Gateway 部署在不同组织中时也能使用 SmartControl 功能。

Citrix Workspace 应用程序支持使用 NetScaler LAN 代理启动会话。使用出站代理插件配置单个静态代理或在运行时选择代理服务器。

您可以使用以下方法配置出站代理：

• 静态代理：通过提供代理主机名和端口号来配置代理服务器。
• 动态代理：可以使用代理插件 DLL 从一个或多个代理服务器中选择单个代理服务器。

您可以使用组策略对象管理模板或注册表编辑器配置出站代理。

有关出站代理的详细信息，请参阅 Citrix Gateway 文档中的 出站 ICA 代理支持。

出站代理支持 - 配置

注意：

如果同时配置了静态代理和动态代理，则动态代理配置优先。

使用 GPO 管理模板配置出站代理：

1. 运行 gpedit.msc 打开 Citrix Workspace 应用程序组策略对象管理模板。
2. 在 计算机配置 节点下，转到 管理模板 > Citrix Workspace > 网络路由。
3. 选择以下选项之一：
   • 对于静态代理：选择 手动配置 NetScaler® LAN 代理 策略。选择 已启用，然后提供主机名和端口号。
   • 对于动态代理：选择 使用 DLL 配置 NetScaler LAN 代理 策略。选择 已启用，然后提供 DLL 文件的完整路径。例如，C:\Workspace\Proxy\ProxyChooser.dll。
4. 单击 应用 和 确定。

使用注册表编辑器配置出站代理：

• 对于静态代理：
  • 启动注册表编辑器并导航到 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\ICA Client\Engine\Network Routing\Proxy\NetScaler。

  • 创建如下 DWORD 值项：

    "StaticProxyEnabled"=dword:00000001 "ProxyHost"="testproxy1.testdomain.com "ProxyPort"=dword:000001bb

• 对于动态代理：

  • 启动注册表编辑器并导航到 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\ICA Client\Engine\Network Routing\Proxy\NetScaler LAN Proxy。
  • 创建如下 DWORD 值项： "DynamicProxyEnabled"=dword:00000001 "ProxyChooserDLL"="c:\\Workspace\\Proxy\\ProxyChooser.dll"

连接和证书

连接

• HTTP 商店
• HTTPS 商店
• Citrix Gateway 10.5 及更高版本

证书

注意：

适用于 Windows 的 Citrix Workspace 应用程序经过数字签名。数字签名带有时间戳。因此，即使证书过期，该证书仍然有效。

• 私有（自签名）
• 根
• 通配符
• 中间

私有（自签名）证书

如果远程网关上存在私有证书，请在访问 Citrix 资源的用户设备上安装组织证书颁发机构的根证书。

注意：

如果连接时无法验证远程网关的证书，则会出现不受信任的证书警告。当本地密钥库中缺少根证书时，会出现此警告。当用户选择继续忽略警告时，应用程序会显示，但无法启动。

根证书

对于已加入域的计算机，您可以使用组策略对象管理模板来分发和信任 CA 证书。

对于未加入域的计算机，组织可以创建自定义安装包来分发和安装 CA 证书。请联系您的系统管理员寻求帮助。

通配符证书

通配符证书用于同一域中的服务器。

Citrix Workspace 应用程序支持通配符证书。请遵循组织的安全性策略使用通配符证书。通配符证书的替代方案是包含服务器名称列表和主题备用名称 (SAN) 扩展的证书。私有和公共证书颁发机构会颁发这些证书。

中间证书

如果您的证书链包含中间证书，则必须将中间证书附加到 Citrix Gateway 服务器证书。有关信息，请参阅配置中间证书。

证书吊销列表

证书吊销列表 (CRL) 允许 Citrix Workspace 应用程序检查服务器证书是否已吊销。证书检查可提高服务器的加密身份验证以及用户设备与服务器之间 TLS 连接的整体安全性。

您可以在多个级别启用 CRL 检查。例如，可以将 Citrix Workspace 应用程序配置为仅检查其本地证书列表，或者检查本地和网络证书列表。您还可以配置证书检查，以仅在所有 CRL 都经过验证的情况下才允许用户登录。

如果您正在本地计算机上配置证书检查，请退出 Citrix Workspace 应用程序。检查所有 Citrix Workspace 组件（包括连接中心）是否已关闭。

有关详细信息，请参阅传输层安全性部分。

支持缓解中间人攻击

适用于 Windows 的 Citrix Workspace 应用程序通过使用 Microsoft Windows 的企业证书固定功能，帮助您降低中间人攻击的风险。中间人攻击是一种网络攻击，攻击者在两个认为正在直接通信的双方之间秘密拦截和转发消息。

以前，当您联系应用商店服务器时，无法验证收到的响应是否来自您打算联系的服务器。通过使用 Microsoft Windows 的企业证书固定功能，您可以通过固定服务器证书来验证服务器的有效性和完整性。

适用于 Windows 的 Citrix Workspace 应用程序已预配置为通过证书固定规则了解特定域或站点应预期的服务器证书。如果服务器证书与预配置的服务器证书不匹配，则适用于 Windows 的 Citrix Workspace 应用程序会阻止会话发生。

有关如何部署企业证书固定功能的信息，请参阅 Microsoft 文档。

注意：

您必须了解证书的有效期，并正确更新组策略和证书信任列表。否则，即使没有攻击，您也可能无法启动会话。