ICA 文件签名可阻止启动来自不可信服务器的应用程序或桌面

ICA 文件签名可帮助保护您免于启动未经授权的应用程序或桌面。Citrix Receiver for Windows 根据管理策略确认由可信源生成应用程序或桌面启动,并防止从不受信任的服务器进行启动。可以使用组策略对象管理模板、StoreFront 或 Citrix Merchandising Server 配置 ICA 文件签名。默认情况下,不启用 ICA 文件签名。有关为 StoreFront 启用 ICA 文件签名功能的信息,请参阅 StoreFront 文档。

对于 Web Interface 部署,Web Interface 可在启动过程中使用 Citrix ICA 文件签名服务启用并配置应用程序或桌面启动,使其包含签名。该服务可以使用计算机的个人证书存储中的证书对 ICA 文件进行签名。

带 Citrix Receiver for Windows 的 Citrix Merchandising Server 可以使用 Citrix Merchandising Server 管理员控制台 > 交付向导启用并配置启动签名验证功能,从而添加可信证书指纹。

使用组策略对象管理模板配置 ICA 文件签名

注意

如果未将 CitrixBase.admx\adml 添加到本地 GPO,启用 ICA 文件签名策略可能不存在。

  1. 通过运行 gpedit.msc 打开 Citrix Receiver 组策略对象管理模板
  2. 在“计算机配置”节点下,转至“管理模板”>“Citrix 组件”。
  3. 选择“启用 ICA 文件签名”策略并根据需要选择其中的一个选项:
    1. 已启用 - 指示您可以将签名证书指纹添加到可信证书指纹的白名单中。
    2. 信任证书 - 单击“显示”可从白名单中删除现有的签名证书指纹。可以从签名证书属性中复制并粘贴签名证书指纹。
    3. 安全策略 - 从下拉菜单中选择以下选项之一。
      1. 仅允许签名的启动(更安全):仅允许来自可信服务器且已签名的应用程序或桌面启动。如果签名无效,则将显示安全警告。由于未授权,您无法启动会话。
      2. 在进行未签名的启动时提示用户(不安全) - 启动未签名或无效签名的会话时将显示一条消息提示。可以选择继续启动或取消启动(默认设置)。
  4. 单击应用确定保存此策略。

选择并分发数字签名证书

选择数字签名证书时,Citrix 建议您从下面已排好优先级顺序的列表中进行选择:

  1. 从公共证书颁发机构 (CA) 购买一个代码签名证书或 SSL 签名证书。
  2. 如果您的企业具有专用 CA,请使用该专用 CA 创建一个代码签名证书或 SSL 签名证书。
  3. 使用现有的 SSL 证书,例如 Web Interface 服务器证书。
  4. 创建一个新的根 CA 证书,并使用 GPO 或通过手动安装将其分发给用户设备。

ICA 文件签名可阻止启动来自不可信服务器的应用程序或桌面