Product Documentation

使用组策略对象模板配置 Citrix Receiver for Windows

Jan 20, 2017

通过 GPO 添加或指定应用商店

Citrix 建议使用组策略对象,并提供模板文件 receiver.adm 或 receiver.admx\receiver.adml(具体取决于操作系统)来配置与 Citrix Receiver for Windows 相关的设置。 

注意

receiver.admx/receiver.adml  适用于 Windows Vista / Windows Server 2008 或更高版本。 ADM 文件仅可用于 Windows XP 嵌入版平台。

注意

如果 Citrix Receiver for Windows 是通过 VDA 安装配置的,则会在 Citrix Receiver for Windows 安装目录中找到 admx/adml 文件。 例如:<安装目录>\online plugin\Configuration。

请参见以下表格获取有关 Citrix Receiver for Windows 模板文件及其各自位置的信息。

文件类型        

文件位置

receiver.adm     

<安装目录>\ICA Client\Configuration

 

receiver.admx    

<安装目录>\ICA Client\Configuration

receiver.adml    

<安装目录>\ICA Client\Configuration\[MUIculture]

注意

Citrix 建议您使用随最新的 Citrix Receiver for Windows 提供的模板文件。 导入最新的文件时,将保留之前的设置。

将 adm 模板文件添加到本地 GPO

注意:可以使用 adm 模板文件配置本地 GPO 和/或基于域的 GPO。

1. 以管理员身份从“开始”菜单本地运行 gpedit.msc(将策略应用于单台计算机时)或者使用组策略管理控制台(应用域策略时),打开组策略编辑器。
注意:如果已将 icaclient 模板导入到组策略编辑器中,可以忽略步骤 2 到 5。
2. 在组策略编辑器的左窗格中,选择管理模板文件夹。
3. 在操作菜单中,选择添加/删除模板
4. 选择“添加”并浏览到模板文件位置 <Installation Directory>\ICA Client\Configuration\receiver.adm
5. 选择打开以添加模板,然后选择关闭以返回到组策略编辑器。
Citrix Receiver for window 模板文件将在本地 GPO 中提供,路径为管理模板 > 经典管理模板 (ADM) > Citrix 组件 > Citrix Receiver
向本地 GPO 添加 adm 模板文件后,会显示以下消息:
“下列在 [strings] 节中的项目太长,被截断:
单击确定忽略此消息。


将 admx/adml 模板文件添加到本地 GPO

注意:可以使用 admx/adml 模板文件配置本地 GPO 和/或基于域的 GPO。 请参阅此处的有关管理 ADMX 文件的 Microsoft MSDN 文章
1. 安装 Citrix Receiver for Windows 之后,复制模板文件。

admx
:<Installation Directory>\ICA Client\Configuration\receiver.admx
:%systemroot%\policyDefinitions

adml:
:<Installation Directory>\ICA Client\Configuration\[MUIculture]receiver.adml
:%systemroot%\policyDefinitions\[MUIculture]

Citrix Receiver for Window 模板文件在本地 GPO 中提供,路径为管理模板 > Citrix 组件 > Citrix Receiver 目录。 

关于 TLS 和组策略

使用此策略可配置用于确保 Citrix Receiver for Windows 能够安全地标识其连接到的服务器的 TLS 选项以及加密与服务器的所有通信。  Citrix 建议通过不可信网络建立的连接使用 TLS。 Citrix 支持在 Citrix Receiver for Windows 与 XenApp 或 XenDesktop 之间使用 TLS 1.0、TLS 1.1 和 TLS 1.2 协议。

启用此策略时,可以通过选中“Require TLS for all connections”(要求为所有连接使用 SSL)复选框,强制 Citrix Receiver for Windows 为与已发布的应用程序和桌面建立的所有连接使用 TLS。

Citrix Receiver for Windows 按服务器出示的安全证书上的名称标识服务器。  其格式为 DNS 名称(例如 www.citrix.com)。  可以将 Citrix Receiver for Windows 限制为仅连接到“Allowed TLS servers”(允许连接的 SSL 服务器)设置中逗号分隔的列表指定的特定服务器。  可以在此处指定通配符和端口号;例如,*.citrix.com:4433 允许在端口 4433 上连接到通用名以 .citrix.com 结尾的任何服务器。 安全证书中的信息准确度由证书的颁发者声明。  如果 Citrix Receiver for Windows 无法识别和信任证书的颁发者,连接将被拒绝。

通过 TLS 连接时,服务器可能会配置为要求 Citrix Receiver for Windows 提供用于标识自身的安全证书。  使用“Client Authentication”(客户端身份验证)设置可配置是否自动提供标识,以及是否通知用户。  选项包括:

  • never supply identification(从不提供标识)
  • only use the certificate configured here(仅使用在此处配置的证书)
  • to always prompt the user to select a certificate(始终提示用户选择证书)
  • to prompt the user only if there a choice of certificate to supply(仅当需要选择提供的证书时才提示用户)

提示

使用“Client Certificate”(客户端证书)设置可指定标识证书的缩略图以避免不必要地提示用户。

验证服务器的安全证书时,可以将插件配置为与证书的颁发者联系以获取证书吊销列表 (CRL),从而确保服务器的证书尚未被吊销。  这样可以在系统受到影响时允许颁发者使证书失效。  使用“CRL verification setting”(CRL 验证设置)可将插件配置为:

  • not check CRLs at all(根本不检查 CRL)
  • only check CRLs that have been previously obtained from the issuer(仅检查以前从颁发者处获取的 CRL)
  • actively retrieve an up-to-date CRL(主动获取最新的 CRL)
  • to refuse to connect unless it can obtain an up-to-date CRL(除非能够获取最新的 CRL,否则拒绝连接)

为多种产品配置 TLS 的组织可以通过指定证书策略 OID 作为安全证书的一部分来选择标识用于 Citrix 插件的服务器。  如果在此处配置了策略 OID,Citrix Receiver for Windows 将仅接受声明了兼容策略的证书。

某些安全策略对用于连接的加密算法有一定的要求。  可以将插件限制为仅对“TLS version”(TLS 版本)设置使用 TLS v1.0、TLS 1.1 和 TLS 1.2。  同样,可以将插件限制为仅使用某些加密密码集。 这些密码集包括:

政府密码集:

  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256

商用密码集:

  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_AES_128_GCM_SHA256

FIPS 安全标准合规性

Citrix Receiver for Windows 4.5 引入了 TLS 和合规模式配置选项以配置 FIPS(联邦信息处理标准)。 使用此功能可确保只能对所有 ICA 连接使用 FIPS (Publication 140-2) 批准的加密。 

新安全合规模式支持 NIST SP 800-52。 默认情况下,此模式处于禁用状态(设置为“NONE”(无))。 

注意

有关 NIST SP 800-52 要求的合规性的其他信息,请参阅 NIST page describing guidelines for TLS implementations(用于说明 TLS 实现的准则的 NIST 页)。  

本版本的 Citrix Receiver for Windows 还允许您定义 TLS 版本,这将确定适用于 ICA 连接的 TLS 协议。 应选择同时适用于客户端和服务器的最高版本。

使用这些功能时,请在“TLS and Compliance Mode Configuration”(TLS 和合规模式配置)屏幕中执行以下操作:

  • 选中“Enable FIPS”(启用 FIPS)复选框以使用批准的适用于所有 ICA 会话的加密。
  • 将“Security Compliance Mode”(安全合规模式)设置为“SP 800-52”。
  • 选择 TLS 版本。

下图说明了 FIPS 选项。

localized image

注意

默认情况下,FIPS 处于禁用状态(未选中)。

配置 FIPS

要在所有 ICA 客户端之间配置 FIPS 加密,请执行以下操作:

  1. 选择“计算机配置”>“管理模板”>“Citrix 组件”>“网络路由”> TLS and Compliance Mode Configuration(TLS 和合规模式配置)。
  2. 在“TLS and Compliance Mode Configuration”(TLS 和合规模式配置)屏幕中,选择 Enable FIPS(启用 FIPS)。
  3. 在“Security Compliance Mode”(安全合规模式)部分中,使用下拉菜单选择 SP 800-52。 配置此选项时请注意: 
    • SP 800-52 合规模式要求 FIPS 合规;启用了 SP 800-52 时,无论 FIPS 设置为何,都会启用 FIPS 模式。
    • “Certificate Revocation Check Policy”(证书吊销检查策略)设置为 Full access check and CRL required(需要执行完全访问权限检查和 CRL)或 Full access check and CRL required all(全部需要执行完全访问权限检查和 CRL)。
  4. 选择适用于 ICA 连接的恰当 TLS 协议版本;应选择同时适用于客户端和服务器的最高 TLS 版本,选项包括:
    • TLS 1.0 | TLS 1.1 | TLS 1.2(默认)
    • TLS 1.1 | TLS 1.2
    • TLS 1.2

会话可靠性组策略

配置会话可靠性组策略时,请设置透明度级别。 使用此选项可以在会话可靠性重新连接期间控制适用于已发布的应用程序(或桌面)的透明度级别。 

要配置透明度级别,请选择计算机配置 - > 管理模板 -> Citrix 组件 - > 网络路由 -> 会话可靠性和自动重新连接 - > 透明度级别

注意

 默认情况下,“透明度级别”设置为 80。

localized image