Product Documentation

保护和限制对交付组中计算机的访问

Oct 12, 2015

使用 SecureICA 保护交付组

可以使用 SecureICA 功能(该功能用于对 ICA 协议进行加密)隐藏与任意交付组中的计算机之间的所有通信。

通过直通身份验证访问公用网络时,Citrix 建议除使用 SecureICA 外,还使用其他加密方法。Citrix 建议使用 SSL/TLS 加密遍历公用网络。SecureICA 也不检查数据完整性。

默认情况下,系统禁用 SecureICA。如果启用 SecureICA,则默认的加密级别为 128 位。可以使用 SDK 配置此级别。有关详细信息,请参阅关于 XenApp 和 XenDesktop SDK
  1. 在 Studio 中,选择交付组节点,然后选择要保护其通信安全的交付组。
  2. 单击编辑交付组,然后单击基本设置
  3. 选择启用安全 ICA

通过范围限制管理员的访问权限

可以限制对交付组中的计算机的访问。无论使用何种方法,所做的任何更改都将取代以前的设置。

  • 使用作用域限制管理员的访问权限,以控制管理员对对象组的访问权限,如计算机目录、交付组和资源。可以创建并分配两个作用域,一个允许管理员访问所有应用程序,另一个仅允许访问某些特定的应用程序。
  • 通过以下方法限制用户的访问权限:
    • SmartAccess 策略表达式,过滤用户通过 NetScaler Gateway 建立的连接。您的策略管理员可以在 Studio 的“策略”节点中执行此项任务,或通过快速参考表中所述的策略设置。
    • 排除过滤器,适用于通过软件开发工具包 (SDK) 设置的访问策略。访问策略适用于交付组,用以对虚拟桌面连接的某些方面进行精细化设置。例如,您可以将计算机访问权限限定于在交付组的最终用户设置页面上所列的某个用户子集,并可以指定允许与计算机连接的用户设备。访问策略的结果与策略相似但不相同。

      使用排除过滤器可以进一步精细化访问策略。例如,出于业务或安全性的原因,您可以拒绝对某个用户或设备子集的访问。默认情况下,排除过滤器处于禁用状态,可以使用 SDK 进行设置。

  1. 在 Studio 的交付组节点中,选择要限制的交付组。
  2. 单击编辑交付组,然后单击范围
  3. 选择现有作用域。
  4. 添加或删除要包含在此作用域中的对象。
  5. 要选择对象的子集,请单击左箭头键以显示子对象并进行选择,然后单击确定

通过 SmartAccess 策略表达式限制用户访问权限

通过 NetScaler Gateway 使用 SmartAccess 策略表达式。
  1. 在 Studio 的交付组节点下,选择要限制的交付组。
  2. 单击编辑交付组,然后单击访问策略
  3. 访问策略页面上,选择通过 NetScaler Gateway 的连接。 只允许通过 NetScaler Gateway 建立连接。
  4. 要选择这些连接的一个子集,请选择符合以下任一过滤器的连接并:
    1. 定义 NetScaler Gateway 站点。
    2. 添加、编辑或删除用于为交付组定义允许的用户访问方案的 SmartAccess 策略表达式。 有关 NetScaler Gateway 和 SmartAccess 策略表达式的详细信息,请参阅在 NetScaler Gateway 上配置 SmartAccess

通过排除过滤器限制用户访问权限

可以通过 SDK 使用排除过滤器。

在本例中,假设企业网络的子网中有一个教学实验室,您希望阻止从该实验室访问某个特定交付组,无论实验室中的计算机使用者为何人。为此,请输入以下 SDK 命令:

Set-BrokerAccessPolicy -Name VPDesktops_Direct -ExcludedClientIPFilterEnabled $True -
注意:还可以使用星号 (*) 作为通配符,来匹配以相同策略表达式开头的所有标记。例如,如果在一个计算机中添加了标记 VPDesktops_Direct,在另一个计算机中添加了标记 VPDesktops_Test,则在 Set-BrokerAccessPolicy 脚本中将标记设置为 VPDesktops_* 将同时适用于这两个计算机的过滤器。

有关使用 SDK 的详细信息,请参阅关于 XenApp 和 XenDesktop SDK

删除关机命令

Citrix 建议对访问桌面操作系统计算机的所有用户应用此 Microsoft 策略。这可以防止用户在会话中选择关机并关闭桌面电源,此关闭操作要求系统管理员手动干预。

在“用户配置\管理模板\‘开始’菜单和任务栏\删除”下找到此策略并阻止访问关机命令,将其设置为已启用