Product Documentation

设置客户端资源权限

Mar 08, 2016

本主题仅适用于使用 Web Interface 的部署。

可以使用“可信站点”和“受限站点”区域通过以下操作设置客户端资源权限:

  • 将 Web Interface 站点添加到“可信站点”列表
  • 更改新注册表设置

注意

由于近期 Citrix Receiver 的增强功能,插件/Receiver 早期版本中的 .ini 进行将被这些进程替代。

警告

注册表编辑不当会导致严重问题,可能导致需要重新安装操作系统。 Citrix 无法保证因“注册表编辑器”使用不当导致出现的问题能够得以解决。 使用“注册表编辑器”需自担风险。 在编辑注册表之前,请务必进行备份。

将 Web Interface 站点添加到“可信站点”列表

  1. 从 Internet Explorer 的工具菜单中,依次选择 Internet 选项 > 安全
  2. 选择可信站点图标,然后单击站点按钮。
  3. 将该网站添加到区域文本字段中,键入 Web Interface 站点的 URL,然后单击添加
  4. http://support.citrix.com/article/CTX133565 下载注册表设置并注册表做任何更改。 对于 Win32 用户设备,请使用 SsonRegUpx86.reg,对于 Win64 用户设备,请使用 SsonRegUpx64.reg。
  5. 注销并重新登录到用户设备。

在注册表中更改客户端资源权限

  1. http://support.citrix.com/article/CTX133565 下载注册表设置,并将这些设置导入到每个用户设备。 对于 Win32 用户设备,请使用 SsonRegUpx86.reg,对于 Win64 用户设备,请使用 SsonRegUpx64.reg。
  2. 在“注册表编辑器”中,导航至 HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\ICA Client\Client Selective Trust,并在相应区域中将以下所有资源的默认值更改为所需的访问权限值:
    资源键 资源说明
    FileSecurityPermission 客户端驱动器
    MicrophoneAndWebcamSecurityPermission 麦克风和网络摄像机
    ScannerAndDigitalCameraSecurityPermission USB 设备及其他设备
    说明
    0 无访问权限
    1 只读访问权限
    2 完全访问权限
    3 提示用户输入用户名和密码

支持的 TLS 密码集

Citrix Receiver 枚举应用程序并与 StoreFront 通信过程中,将使用 Windows 平台加密。

对于 Citrix Receiver 与 XenApp/XenDesktop 之间的 TCP 连接,Citrix Receiver 支持 TLS 1.0、1.1 和 1.2 以及以下密码集:

  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256

对于基于 UDP 的连接,Citrix Receiver 支持 DTLS 1.0 以及以下密码集:

  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA

启用 SP 800-52 合规模式

“计算机配置”- >“管理模板”->“Citrix 组件”- >“网络路由”->“TLS and Compliance Mode Configuration”(TLS 和合规模式配置)下引入了一个新复选框,称为 Enable FIPS(启用 FIPS)。 此选项可确保只能对所有 ICA 连接使用 FIPS 批准的加密。 默认情况下,此选项处于禁用状态或未选中。

引入了新的安全合规模式,称为 SP 800-52。 默认情况下,此选项设置为“NONE”(无),并且未启用。 请按照描述 NIST SP 800-52 要求的合规性的链接进行操作:http://www.nist.gov/manuscript-publication-search.cfm?pub_id=915295

注意

SP800-52 合规模式要求 FIPS 合规。 启用了 SP800-52 时,无论 FIPS 设置为何,都会启用 FIPS 模式。 允许的“Certificate Revocation Check policy”(证书吊销检查策略)值为“Full access check and CRL required”(需要执行完全访问权限检查和 CRL)或“Full access check and CRL required all”(全部需要执行完全访问权限检查和 CRL)。

限制 TLS 版本和密码集

可以将 Citrix Receiver 配置为限制 TLS 版本和密码集。 提供了一个选择允许使用的 TLS 协议版本的选项,这样可确定适用于 ICA 连接的 TLS 协议。 应选择同时适用于客户端和服务器的最高 TLS 版本。 选项包括: 

  • TLS 1.0 | TLS 1.1 | TLS 1.2(默认)。 
  • TLS 1.1 | TLS 1.2
  • TLS 1.2

提供了一个用于选择 TLS 密码集的选项。 Citrix Receiver 可以选择以下选项:

  • 任意
  • 商用
  • 政府

商用密码集

  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5

政府密码集

  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA   

注意

如果启用了 Require TLS for all connections(要求对所有连接使用 TLS),发送至 StoreFront 的连接请求还必须使用 HTTPS;以 HTTP 格式添加应用商店失败,并且无法启动非 SSL VDA(XenDesktop 和 XenApp)。