安全性
应用程序安全性
应用程序安全功能允许您定义规则来控制用户可以运行哪些应用程序和文件。 您可以在 Web 控制台中配置应用程序安全规则,并提供检索规则配置所需信息的工具。 此外,您还可以使用此功能创建具有安全规则的任务组。 启用了处理应用程序规则和处理 DLL 规则时,覆盖模式在默认情况下处于打开状态。 在覆盖模式下,最终处理的规则将覆盖之前处理的规则。 我们建议您仅将此模式应用于单会话计算机。 此功能还允许您创建以下规则:
- 可执行规则
- Windows 安装程序规则
- 脚本规则
- 打包的应用程序规则
- DLL 规则
注意:
在创建规则之前,建议您先添加默认规则,以确保重要的系统文件能够运行。
创建 Windows 安装程序规则
这包括两个菜单项:基本信息和例外。 要创建 Windows 安装程序规则,请在基本信息和例外下完成以下步骤:
- 选择创建规则将引导您进入创建 Windows 安装程序规则页面。
- 输入名称和可选描述。
- 选择所需的操作。
- 选择 标准类型 如 路径, 发行人或 文件哈希 从下拉列表中。
- 选择“打开文件信息查看器”会将您定向到 WEM Tool Hub。 使用 WEM Tool Hub** 快速获取所需信息。 有关更多信息,请参阅文件信息查看器。
- (可选)您可以添加例外,以包括通常根据主要条件包含在规则中的文件。 要执行此任务,请选择“添加例外”。
- 转到 WEM Tool Hub 以从“文件信息查看器”下的指定条件之一复制数据,然后单击“从文件信息查看器粘贴”。
- 单击完成。
- 选择“继续分配”以根据需要在“管理分配”页面中更新分配。
- 选择要将此项目分配给的分配目标(用户和组)。 使用过滤器将分配情境化。 您指定的筛选器仅在“覆盖”模式下有效,并且仅在 2406 或更高版本的代理上受支持。
- 如果您需要将特定规则应用于所有文件,请输入星号。
特权提升
此功能定义了以管理员权限运行某些程序的规则。 您可以将非管理用户的权限提升到某些可执行文件所需的管理员级别。 因此,用户可以像他们是管理员组的成员一样启动这些可执行文件。
权限提升选项
-
处理权限提升规则:选中后,代理可以处理权限提升设置,并且“权限提升”选项卡上的其他选项将变为可用。
-
应用于 Windows Server 操作系统:控制是否将权限提升设置应用于 Windows Server 操作系统。 如果选中,分配给用户的规则将在 Windows Server 计算机上运行。 默认情况下,此选项处于禁用状态。
-
强制 RunAsInvoker:控制是否强制所有可执行文件在当前 Windows 帐户下运行。 如果选择此选项,则不会提示用户以管理员身份运行可执行文
此窗格还显示您已配置的完整规则列表。 单击 可执行规则、 Windows 安装程序规则或 自行提升 以将规则列表过滤为特定规则类型。 您可以使用“查找”来筛选列表。 已分配列显示已分配用户或用户组的复选标记图标。
支持的规则
您可以使用两种类型的规则来配置权限提升:可执行规则和 Windows 安装程序规则。
-
可执行规则:包含与应用程序相关的 .exe 和 .com 扩展名的文件的规则。
-
Windows 安装程序规则:包含与应用程序相关的带有
.msi和.msp扩展名的安装程序文件的规则。 添加 Windows 安装程序规则时,请考虑以下情况:- 特权提升仅适用于微软的 msiexec.exe。 确保用于部署
.msi和.mspWindows 安装程序文件的工具为 msiexec.exe。 - 假设一个进程与指定的 Windows 安装程序规则匹配,其父进程与指定的可执行规则匹配。 除非在指定的可执行规则中启用了“应用于子进程”设置,否则进程无法获得提升的权限。
- 特权提升仅适用于微软的 msiexec.exe。 确保用于部署
-
自行提升:启用后,右键单击文件时,上下文菜单中会提供 以管理员权限运行 选项。 选择此选项后,系统会提示您提供提升的原因。 然后根据您指定的标准允许或拒绝提升。 要配置规则,您可以使用 WEM 工具中心 > 文件信息查看器 快速获取所需的信息,例如路径、发布者和哈希值。 您还可以指定时间段,选择星期几,还可以选择设置标准来确定规则有效的机器。 当 自我提升 切换,则会创建自提升规则,并在管理分配目标的分配时在规则列表中找到该规则。 规则一旦创建就不会被删除。
您可以指定规则生效的时间段。 此外,您还可以选择设置条件以确定规则应用于哪些计算机。 您可以选择匹配以下所有或任何标准:
- 计算机目录名称
- 交付组名称
- 设备名称
- IP 地址
- 操作系统平台类型
- 操作系统版本
- 持久计算机状态
在您选择 可执行规则、 Windows 安装程序规则或 自行提升 规则后, 操作 部分将显示以下可供您使用的操作:
-
编辑。 允许您编辑现有的可执行规则。
-
删除。 允许您删除现有的可执行规则。
-
创建规则。 允许您创建可执行规则。 要创建可执行规则,请按照向导的说明进行操作。
进程层次控制
进程层次结构控制功能控制某些子进程是否可以在父子场景中从其父进程启动。 可以通过定义父进程,然后为其子进程指定允许列表或阻止列表来创建规则。 在使用该功能之前,请查看整个部分。
注意:
- 此功能仅适用于 Citrix Virtual Apps。
要了解规则的工作原理,请记住以下几点:
-
一个进程仅受一条规则的约束。 如果为同一进程定义多个规则,则仅强制实施优先级最高的规则。
-
您定义的规则不仅限于原始父子层次结构,还适用于该层次结构的每个级别。 适用于父流程的规则优先于适用于其子流程的规则,而不管规则的优先级如何。 例如,您可以定义以下两个规则:
- 规则 1:Word 无法打开 CMD。
- 规则 2:记事本可以打开 CMD。
有了这两条规则,无论规则的优先级如何,您都无法通过先打开 Word,然后从 Word 打开记事本来从记事本打开 CMD。
此功能依赖于某些基于进程的父子关系才能工作。 要可视化场景中的父子关系,请使用 Process Explorer 工具的进程树功能。 有关 Process Explorer 的更多信息,请参阅 https://docs.microsoft.com/en-us/sysinternals/downloads/procmon.
为避免任何潜在问题,我们建议您在完整配置管理界面中添加指向 VUEMAppCmd.exe 的可执行文件路径。 VUEMAppCmd.exe 确保 WEM 代理在已发布的应用程序开始之前完成处理设置。 完成以下步骤:
-
在 应用程序 节点上,选择该应用程序,单击操作栏中的 属性 ,然后转到 位置 页面。
-
键入本地应用程序在最终用户操作系统上的路径。
-
在 可执行文件的路径 字段下,输入以下内容:
<%ProgramFiles%>\Citrix\Workspace Environment Management Agent\VUEMAppCmd.exe
-
-
键入命令行参数以指定要打开的应用程序。
- 在 命令行参数 字段中,键入要通过其启动的应用程序的完整路径 VUEMAppCmd.exe. 如果路径包含空格,请确保将应用程序的命令行括在双引号中。
- 例如,假设您希望iexplore.exe通过 VUEMAppCmd.exe. 您可以通过键入以下内容来执行此操作:
%ProgramFiles(x86)%\“Internet Explorer”\iexplore.exe.
注意事项
要使该功能正常工作,您需要使用 AppInfo查看器 工具以启用该功能。 每次使用该工具启用或禁用该功能时,都需要重新启动计算机。 启用该功能后,请注意以下事项:
-
升级或卸载代理后,必须重新启动代理机器。
-
启用该功能后,自动代理升级功能不起作用。 要使用自动代理升级功能,请首先使用 AppInfoViewer 工具禁用进程层次结构控制功能。
要验证是否启用了进程层次结构控制功能,请打开 注册表编辑器 在代理计算机上。 如果存在以下注册表项,则启用该功能:
- 32 位操作系统
HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_Dlls\WEM Hook
- 64 位操作系统
HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_Dlls\WEM HookHKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\CtxHook\AppInit_Dlls\WEM Hook
必备条件
要使用该功能,请确保满足以下先决条件:
- Citrix Virtual Apps 部署。
- 代理在 Windows 10 或 Windows Server 上运行。
- 代理主机在就地升级或全新安装后已重新启动。
流程层次结构控制选项
当您选择 进程层次结构控制 在 安全中,将显示以下选项:
启用进程层次控制:控制是否启用进程层次控制功能。 选中后, 流程层次结构控制 选项卡上的其他选项将变为可用,并且配置的设置将生效。 您只能在 Citrix Virtual Apps 部署中使用此功能。
从上下文菜单中隐藏打开方式:控制是否从 Windows 右键单击上下文菜单中显示或隐藏 打开方式 选项。 启用后,菜单选项将在界面中隐藏。 禁用后,该选项可见,用户可以使用它来启动进程。 进程层次结构控制功能不适用于通过 打开方式 选择。 我们建议您启用此设置,以防止应用程序通过与当前应用程序层次结构无关的系统服务启动进程。
这 进程层次结构控制 选项卡还显示您配置的规则的完整列表。 您可以使用 找到 以筛选列表。 已分配列显示已分配用户或用户组的复选标记图标。
这 行动 部分显示以下操作:
- 编辑。 用于编辑规则。
- 删除。 用于删除规则。
- 创建规则。 允许您添加规则。
创建规则
-
导航到 流程层次控制 并单击 创建规则。 出现 创建规则 页面。
- 在 显示 部分中,键入以下内容:
- 名称。 键入规则的显示名称。 该名称将显示在规则列表中。
- 说明。 键入有关规则的其他信息。
-
在 Priority 部分:设置规则的优先级。 配置优先级时,请考虑以下事项:优先级确定您配置的规则的处理顺序。 价值越大,优先级就越高。 键入整数。 如果存在冲突,则以优先级较高的规则为准。
- 在 Criteria Type 部分中,选择一个选项来添加 Parent process。
- 路径。 规则与文件路径匹配。
- 发布者。 规则与选定的发布商匹配。
- 哈希。 规则与特定的哈希代码匹配。
- 在 模式 部分中,选择以下任一选项:
- 允许列表。 设置允许从父进程打开的子进程的标准。 其余一切都被否定。
- 拒绝列表。 设置不允许从父进程打开的子进程的标准。 其余一切都是允许的。
-
子进程的标准。
-
指定规则有效的时间段。
- 机器标准:设置标准来确定规则在哪些机器上有效。 您可以选择性地设置条件来确定该规则适用于哪些机器。 您可以选择匹配以下所有或任何标准:
- 计算机目录名称
- 交付组名称
- 设备名称
- IP 地址
- 操作系统平台类型
- 操作系统版本
- 持久计算机状态
为用户分配规则
在列表中选择一条规则,然后单击 操作 部分中的 管理分配 。
删除规则
在列表中选择一个或多个规则,然后单击 删除 在 行动 部分。