Product Documentation

使用组策略对象模板配置 Receiver

Mar 23, 2018

Citrix 建议使用组策略对象,并提供模板文件 receiver.adm 或 receiver.admx\receiver.adml(具体取决于操作系统)来配置与 Citrix Receiver for Windows 相关的设置。 

注意

receiver.admx/receiver.adml  适用于 Windows Vista / Windows Server 2008 或更高版本。ADM 文件仅可用于 Windows XP 嵌入版平台。

注意

如果 Citrix Receiver for Windows 是通过 VDA 安装配置的,则会在 Citrix Receiver for Windows 安装目录中找到 admx/adml 文件。例如:<安装目录>\online plugin\Configuration。

请参见以下表格获取有关 Citrix Receiver for Windows 模板文件及其各自位置的信息。

文件类型

文件位置

receiver.adm     

<安装目录>\ICA Client\Configuration

 

receiver.admx    

<安装目录>\ICA Client\Configuration

receiver.adml    

<安装目录>\ICA Client\Configuration\[MUIculture]

注意

Citrix 建议您使用随最新的 Citrix Receiver for Windows 提供的模板文件。导入最新的文件时,将保留之前的设置。

将 adm 模板文件添加到本地 GPO

注意:可以使用 adm 模板文件配置本地 GPO 和/或基于域的 GPO。

1. 以管理员身份从开始菜单本地运行 gpedit.msc(将策略应用于单台计算机时)或者使用组策略管理控制台(应用域策略时),打开组策略编辑器。
注意:如果已将 Citrix Receiver for Windows 模板导入到组策略编辑器中,可以忽略步骤 2 到 5。
2. 在组策略编辑器的左侧窗格中,选择“管理模板”文件夹。
3. 在“操作”菜单中,选择“添加/删除模板”。
4. 选择“添加”并浏览到模板文件位置 \ICA Client\Configuration\receiver.adm
5. 选择“打开”添加该模板,然后选择“关闭”返回到组策略编辑器。
Citrix Receiver for Window 模板文件将在本地 GPO 中提供,路径为“管理模板”>“经典管理模板(ADM)”>“Citrix 组件”>“Citrix Receiver”。
将 .adm 模板文件添加到本地 GPO 后,将显示以下消息:
The following entry in the [strings] section is too long and has been truncated:([strings] 部分中的以下条目太长,已被截断:)
单击“确定”可忽略该消息。


将 admx/adml 模板文件添加到本地 GPO

注意:可以使用 admx/adml 模板文件配置本地 GPO 和/或基于域的 GPO。请参阅有关管理 ADMX 文件的 Microsoft MSDN 文章(此处
)1. 安装 Citrix Receiver for Windows 之后,复制模板文件。

admx:
从:<安装目录>\ICA Client\Configuration\receiver.admx
到:%systemroot%\policyDefinitions

adml:
从:<安装目录>\ICA Client\Configuration\[MUIculture]receiver.adml
到:%systemroot%\policyDefinitions\[MUIculture]

Citrix Receiver for Window 模板文件在“管理模板”>“Citrix 组件”>“Citrix Receiver”目录中的本地 GPO 上提供。 

Citrix 建议使用组策略对象 icaclient.adm 模板文件为网络路由、代理服务器、可信服务器配置、用户路由、远程用户设备和用户体验配置规则。

您可以将 icaclient.adm 模板文件用于域策略和本地计算机策略。对于域策略,请使用组策略管理控制台导入此模板文件。如果要将 Citrix Receiver 设置应用到整个企业内许多不同的用户设备,这一点非常有用。如果只希望影响单个用户设备,请使用设备上的本地组策略编辑器导入此模板文件。

使用组策略对象模板的 Receiver 配置

注意

Citrix 建议您使用随最新的 Citrix Receiver 提供的 GPO 模板文件。导入最新的文件时,将保留之前的设置。

关于 TLS 和组策略

使用此策略可配置用于确保 Citrix Receiver 能够安全地标识其连接到的服务器的 TLS 选项以及加密与服务器的所有通信。Citrix 建议通过不可信网络建立的连接使用 TLS。Citrix 支持在 Receiver 与 XenApp 或 XenDesktop 之间使用 TLS 1.0、TLS 1.1 和 TLS 1.2 协议。

启用此策略时,可以通过选中“Require SSL for all connections”(要求为所有连接使用 SSL)复选框,强制 Receiver 为与已发布的应用程序和桌面建立的所有连接使用 TLS。

Citrix Receiver 按服务器出示的安全证书上的名称标识服务器。其格式为 DNS 名称(例如 www.citrix.com)。可以将 Receiver 限制为仅连接到“Allowed SSL servers”(允许连接的 SSL 服务器)设置中逗号分隔的列表指定的特定服务器。可以在此处指定通配符和端口号;例如,*.citrix.com:4433 允许在端口 4433 上连接到通用名以 .citrix.com 结尾的任何服务器。安全证书中的信息准确度由证书的颁发者声明。如果 Receiver 无法识别和信任证书的颁发者,连接将被拒绝。

通过 TLS 连接时,服务器可能会配置为要求 Receiver 提供用于标识自身的安全证书。使用“Client Authentication”(客户端身份验证)设置可配置是否自动提供标识,以及是否通知用户。选项包括:

  • never supply identification(从不提供标识)
  • only use the certificate configured here(仅使用在此处配置的证书)
  • to always prompt the user to select a certificate(始终提示用户选择证书)
  • to prompt the user only if there a choice of certificate to supply(仅当需要选择提供的证书时才提示用户)

提示

使用“Client Certificate”(客户端证书)设置可指定标识证书的缩略图以避免不必要地提示用户。

验证服务器的安全证书时,可以将插件配置为与证书的颁发者联系以获取证书吊销列表 (CRL),从而确保服务器的证书尚未被吊销。这样可以在系统受到影响时允许颁发者使证书失效。使用“CRL verification setting”(CRL 验证设置)可将插件配置为:

  • not check CRLs at all(根本不检查 CRL)
  • only check CRLs that have been previously obtained from the issuer(仅检查以前从颁发者处获取的 CRL)
  • actively retrieve an up-to-date CRL(主动获取最新的 CRL)
  • to refuse to connect unless it can obtain an up-to-date CRL(除非能够获取最新的 CRL,否则拒绝连接)

为多种产品配置 TLS 的组织可以通过指定证书策略 OID 作为安全证书的一部分来选择标识用于 Citrix 插件的服务器。如果在此处配置了策略 OID,Receiver 将仅接受声明了兼容策略的证书。

某些安全策略对用于连接的加密算法有一定的要求。可以将插件限制为仅对“TLS version”(TLS 版本)设置使用 TLS v1.0、TLS 1.1 和 TLS 1.2。同样,可以将插件限制为仅使用某些加密密码集。这些密码集包括:

政府密码集:

  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384

商用密码集:

  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_AES_128_GCM_SHA256

FIPS 安全标准合规性

Citrix Receiver for Windows 4.4 引入了 TLS 和合规模式配置选项以配置 FIPS(联邦信息处理标准)。使用此功能可确保只能对所有 ICA 连接使用 FIPS (Publication 140-2) 批准的加密。 

新安全合规模式支持 NIST SP 800-52。默认情况下,此模式处于禁用状态(设置为“NONE”(无))。 

注意

有关 NIST SP 800-52 要求的合规性的其他信息,请参阅 NIST page describing guidelines for TLS implementations(用于说明 TLS 实现的准则的 NIST 页)。  

本版本的 Citirx Receiver 还允许您定义 TLS 版本,这将确定适用于 ICA 连接的 TLS 协议。应选择同时适用于客户端和服务器的最高版本。

使用这些功能时,请在“TLS and Compliance Mode Configuration”(TLS 和合规模式配置)屏幕中执行以下操作:

  • 选中“Enable FIPS”(启用 FIPS)复选框以使用批准的适用于所有 ICA 会话的加密。
  • 将“Security Compliance Mode”(安全合规模式)设置为“SP 800-52”。
  • 选择 TLS 版本。

下图说明了 FIPS 选项。

localized image

注意

默认情况下,FIPS 处于禁用状态(未选中)。

配置 FIPS

要在所有 ICA 客户端之间配置 FIPS 加密,请执行以下操作:

  1. 选择“计算机配置”>“管理模板”>“Citrix 组件”>“网络路由”> TLS and Compliance Mode Configuration(TLS 和合规模式配置)。
  2. 在“TLS and Compliance Mode Configuration”(TLS 和合规模式配置)屏幕中,选择 Enable FIPS(启用 FIPS)。
  3. 在“Security Compliance Mode”(安全合规模式)部分中,使用下拉菜单选择 SP 800-52。配置此选项时请注意:
    • SP 800-52 合规模式要求 FIPS 合规;启用了 SP 800-52 时,无论 FIPS 设置为何,都会启用 FIPS 模式。
    • “Certificate Revocation Check Policy”(证书吊销检查策略)设置为 Full access check and CRL required(需要执行完全访问权限检查和 CRL)或 Full access check and CRL required all(全部需要执行完全访问权限检查和 CRL)。
  4. 选择适用于 ICA 连接的恰当 TLS 协议版本;应选择同时适用于客户端和服务器的最高 TLS 版本,选项包括:
    • TLS 1.0 | TLS 1.1 | TLS 1.2(默认)
    • TLS 1.1 | TLS 1.2
    • TLS 1.2。

关于 ADMX 模板的使用

安装 StoreFront 3.0 和 Citrix Receiver 4.3 后,Citrix XenApp 和 XenDesktop 支持 Microsoft 用于显示基于注册表的策略设置的新格式(使用基于标准 XML 文件格式),称为 ADMX 文件。

在 Windows Vista/ Windows Server 2008 及更高版本中,这些新文件替代了 ADM 文件,后者使用自己的标记语言。ADM 文件仍可用于 Windows XP 嵌入版平台。您使用的管理工具(组策略对象编辑器和组策略管理控制台)大致保持不变。在大多数情况下,您在执行日常组策略管理任务过程中不会注意到 ADMX 文件的存在。

中央应用商店是使用新 ADMX 文件的主要优势之一。虽然默认情况下不适用中央应用商店,但您仍可以在管理基于域的 GPO 时使用此选项。与使用早期版本的 ADM 文件的情况不同,组策略对象编辑器不会将 ADMX 文件复制到每个已编辑的 GPO,但是能够从域控制器 sysvol(用户不可配置)上的一个域级别位置或在中央应用商店不可用时从本地管理工作站读取。可以通过将自定义 ADMX 文件复制到中央应用商店来共享该文件,使其自动对域中的所有组策略管理员可用。此功能简化了策略管理,改进了 GPO 文件的存储优化。

ADMX 文件分为中心语言 (ADMX) 和特定语言 (ADML) 资源,对所有组策略管理员可用。这些因素允许组策略工具根据管理员已配置的语言调整其 UI。

注意

更多详细信息,请查找与管理 ADMX 文件有关的 Microsoft MSDN 文章

ADMX 和 ADML 的文件名和位置

ADM 文件的命名约定(在早期版本的 Receiver 中提供)已得以改进。下表提供了 ADM 文件到新 ADMX 文件名的映射:

Citrix Receiver 版本(4.3 之前的版本)

Citrix Receiver 版本(4.3 及更高版本)

Icaclient.adm

receiver.admx\receiver.adm

Icaclient_usb.adm

receiver_usb.admx\receiver_usb.adm

ica-file-signing.adm

ica-file-signing.admx\ica-file-signing.admx

HdxFlash-Client.adm

HdxFlash-Client.admx\HdxFlash-Client.admx

注意

请在 Windows Vista/Windows Server 2008 及更高版本上使用 .admx 文件,对其他平台使用 .adm 文件。

可以将通过 Citrix Receiver 安装程序分发的自定义 ADMX 和 ADML 文件复制到中央应用商店,使其自动对域中的所有组策略管理员可用。下表提供了需要复制 ADMX 和 ADML 文件的位置:

文件类型

文件位置

receiver.admx

<安装目录>\ICA Client\Configuration

ica-file-signing.admx

<安装目录>\ICA Client\Configuration

receiver_usb.admx

<安装目录>\ICA Client\Configuration\en

HdxFlash-Client.admx

<安装目录>\ICA Client\Configuration

receiver.adml

<安装目录>\ICA Client\Configuration

ica-file-signing.adml

<安装目录>\ICA Client\Configuration

receiver_usb.adml

<安装目录>\ICA Client\Configuration\en

HdxFlash-Client.adml

<安装目录>\ICA Client\Configuration\[MUIculture]

注意

如果 Citrix Receiver 是通过 VDA 安装配置的,可以在安装目录中找到 ADMX/ADML 文件。例如:<安装目录>\online plugin\Configuration。

会话可靠性组策略

配置会话可靠性组策略时,请设置透明度级别。使用此选项可以在会话可靠性重新连接期间控制适用于已发布的应用程序(或桌面)的透明度级别。 

要配置透明度级别,请选择计算机配置 - > 管理模板 -> Citrix 组件 - > 网络路由 -> 会话可靠性和自动重新连接 - > 透明度级别

注意

默认情况下,“透明度级别”设置为 80。

localized image