Product Documentation

ICA 文件签名可阻止启动来自不可信服务器的应用程序或桌面

Jun 29, 2017

本主题仅适用于使用管理模板的 Web Interface 的部署。

ICA 文件签名功能可帮助保护用户免于启动未经授权的应用程序或桌面。Citrix Receiver for Windows 可根据管理策略确认由可信源生成该应用程序或桌面启动,并防止从不受信任的服务器进行启动。可以使用组策略对象、Storefront 或 Citrix Merchandising Server 为应用程序或桌面启动签名验证配置此 Citrix Receiver for Windows 安全策略。默认情况下,不启用 ICA 文件签名。有关为 StoreFront 启用 ICA 文件签名功能的信息,请参阅 StoreFront 文档。

对于 Web Interface 部署,Web Interface 可在启动过程中使用 Citrix ICA File Signing Service 启用并配置应用程序或桌面启动,使其包含签名。该服务可以使用计算机的个人证书存储中的证书签署 ICA 文件。

带 Citrix Receiver for Windows 的 Citrix Merchandising Server 可以使用 Citrix Merchandising Server 管理员控制台 > 交付向导启用并配置启动签名验证功能,从而添加可信证书指纹。

要使用组策略对象启用并配置应用程序或桌面启动签名验证,请执行下述过程:

  1. 以管理员身份从开始菜单本地运行 gpedit.msc(将策略应用于单台计算机时)或者使用组策略管理控制台(应用域策略时),打开组策略编辑器。
    注意:如果已将 ica-file-signing.adm 模板导入到“组策略编辑器”中,可以忽略第 2 步到第 5 步。
  2. 在组策略编辑器的左窗格中,选择“管理模板”文件夹。
  3. 操作菜单中,选择添加/删除模板
  4. 选择添加,然后浏览到 Citrix Receiver for Windows 的 Configuration 文件夹(通常位于 C:\Program Files\Citrix\ICA Client\Configuration),并选择 ica-file-signing.adm。
  5. 选择打开以添加模板,然后选择关闭以返回到组策略编辑器。
  6. 在组策略编辑器中,依次前往管理模板 > 经典管理模板(ADM) > Citrix 组件 > Citrix Receiver,然后导航到启用 ICA 文件签名
  7. 如果选择已启用,则通过单击显示并使用显示内容屏幕,可以将签名证书指纹添加到可信证书指纹白名单中,或者从该白名单中删除签名证书指纹。可以从签名证书属性中复制并粘贴签名证书指纹。使用策略下拉式菜单选择仅允许已签名的启动(比较安全)向用户提示未签名的启动(不太安全)
    选项说明
    仅允许已签名的启动(比较安全)仅允许来自可信服务器且已正确签名的应用程序或桌面启动。如果应用程序或桌面启动的签名无效,系统将在 Citrix Receiver for Windows 中向用户显示一条安全警告消息。用户将无法继续,并且未经授权的启动会受到阻止。
    向用户提示未签名的启动(不太安全)未签名或签名无效的应用程序或桌面每次尝试启动时都会提示用户。用户可以继续应用程序启动或终止启动(默认设置)。

选择并分发数字签名证书

选择数字签名证书时,Citrix 建议您从下面已排好优先级顺序的列表中进行选择:

  1. 从公共证书颁发机构 (CA) 购买一个代码签名证书或 SSL 签名证书。
  2. 如果您的企业具有专用 CA,请使用该专用 CA 创建一个代码签名证书或 SSL 签名证书。
  3. 使用现有的 SSL 证书,例如 Web Interface 服务器证书。
  4. 创建一个新的根 CA 证书,并使用 GPO 或通过手动安装将其分发给用户设备。