Product Documentation

安全性

Oct 12, 2015

本主题介绍以下内容:

  • 使用此版本时的常规最佳安全做法,以及此版本和传统计算机环境之间在安全性方面的区别
  • 管理用户权限
  • 部署方案及其安全含义
  • Remote PC Access

您的组织可能需要符合特定安全标准才能满足监管要求。本文档不涉及此主题,因为这些安全标准随着时间的推移而发生变化。有关安全标准和 Citrix 产品的最新信息,请访问 http://www.citrix.com/security/

最佳安全做法

使用安全修补程序使您环境中的所有计算机始终保持最新。一项优势是您可以将瘦客户端用作终端,从而简化此任务。

使用防病毒软件保护环境中的所有计算机。

使用外围防火墙保护环境中的所有计算机,包括区域边界上的计算机(视情况而定)。

如果您正在将传统环境迁移到此版本,可能需要重新定位现有外围防火墙或添加新的外围防火墙。例如,假设传统客户端与数据中心中的数据库服务器之间存在外围防火墙。使用此版本时,必须将该外围防火墙放在相应的位置,使虚拟桌面和用户设备位于该防火墙一侧,数据中心中的数据库服务器和 Delivery Controller 位于另一侧。因此,您应该考虑在数据中心内创建一个区域以包含此版本使用的服务器和控制器。另外,还应考虑在用户设备和虚拟桌面之间建立保护。

环境中的所有计算机均应使用个人防火墙进行保护。在安装 Virtual Delivery Agent (VDA) 时,如果检测到 Windows 防火墙服务(即使未启用防火墙),您可以选择自动打开组件和功能通信所需的端口。您还可以选择手动配置这些防火墙端口。如果您使用其他防火墙,必须手动配置该防火墙。

注意:TCP 端口 1494 和端口 2598 用于 ICA 和 CGP,因此在防火墙上可能处于打开状态,以便数据中心之外的用户可以进行访问。Citrix 建议您不要为任何其他对象使用这些端口,以避免因疏忽而使管理接口处于打开状态,从而导致受到攻击。端口 1494 和 2598 是向国际因特网地址分配委员会正式注册的端口(请参阅 http://www.iana.org/)。

所有网络通信都应该根据需要进行适当的保护和加密以符合您的安全策略。您可以使用 IPsec 保护 Microsoft Windows 计算机之间的所有通信;有关如何执行此任务的详细信息,请参见您的操作系统文档。此外,通过 Citrix SecureICA(默认情况下已配置为 128 位加密)保护用户设备和桌面之间的通信。您可以在创建或更新分配时配置 SecureICA;请参阅保护交付组

管理用户权限

您应该只授予用户使用所需功能的权限。Microsoft Windows 权限仍可以通过常规方法应用于桌面:通过“用户权限分配”配置权限,通过“组策略”对成员身份进行分组。此版本的一个优点是可以授予用户对桌面的管理权限,而不必同时授予对存储此桌面的计算机的物理控制权限。

规划桌面权限时,请注意:

  • 默认情况下,当无特权的用户连接到桌面后,他们会看到运行桌面的系统的时区,而不是他们自己的用户设备的时区。有关如何使用户在使用桌面时看到自己的本地时间的信息,请参阅配置时区设置
  • 身份为某桌面管理员的用户可以完全控制该桌面。如果某桌面是池桌面,而不是专用桌面,则此桌面的所有其他用户(包括将来的用户)必须信任此用户。此桌面的所有用户都需要了解这种情况可能对数据安全性造成的永久风险。对于专用桌面则不需要考虑这个问题,因为专用桌面只有一个用户;此用户不应是其他任何桌面的管理员。
  • 通常,身份为某桌面管理员的用户可以在此桌面上安装软件,包括潜在恶意软件。该用户可能还可以监视或控制任何连接到该桌面的网络上的通信。

部署方案安全含义

您的用户环境可以包含以下两种用户设备之一:不受您的组织管理而完全由用户控制的用户设备;由您的组织管理的用户设备。通常,这两种环境的安全注意事项不同。

托管用户设备

受管理的用户设备接受管理控制;它们由您自己控制或者由您信任的另一组织控制。可以配置用户设备并将其直接提供给用户;也可以提供单个桌面在仅全屏模式下运行的终端。对于所有受管理的用户设备,您应遵循上述一般安全性最佳做法。此版本具有一项优点,即用户设备上所需的软件较少。

受管理的用户设备可以设置为在仅全屏模式或窗口模式下使用:

  • 如果用户设备配置为在仅全屏模式下使用,则用户使用常见的“登录到 Windows”屏幕登录。然后使用相同的用户凭据自动登录到此版本。
  • 如果用户设备配置为用户在窗口中查看其桌面,用户将首先登录到用户设备,然后通过随此版本提供的 Web 站点登录此版本。

非托管用户设备

不由可信组织管理的用户设备不能被假定为受到管理控制。例如,您可以准许用户获得并配置他们自己的设备,但用户可以不遵循上述一般安全性最佳做法。此版本的优势是可以安全地将桌面传送给非托管用户设备。这些设备应该仍具备基本的防病毒功能,可查杀键盘记录器和类似的输入攻击。

数据存储注意事项

使用此版本时,您可以阻止用户将数据存储到用户可以物理控制的用户设备中。然而,您还必须考虑到将数据存储到桌面所产生的影响。用户将数据存储在桌面上这种做法并不好;数据应该放在文件服务器、数据库服务器,或者可以适当受保护的其他存储库中。

您的桌面环境可能包含各种类型的桌面,例如池桌面和专用桌面:

  • 用户不应该将数据存储在用户之间共享的桌面(例如池桌面)上。
  • 如果用户将数据存储在专用桌面上,则以后其他用户使用该桌面时应该删除这些数据。

Remote PC Access

Remote PC Access 实现了以下安全功能:

  • 支持使用智能卡。
  • 在远程会话连接时,办公室 PC 的显示器会显示空白。
  • Remote PC Access 将所有键盘和鼠标输入重定向到远程会话,但CTRL+ALT+DEL启用 USB 的智能卡以及生物识别设备除外。
  • SmoothRoaming 仅支持单个用户。
  • 在用户发起连接到办公室 PC 的远程会话时,只有该用户可以恢复该办公室 PC 的本地访问。要恢复本地访问,用户需要在本地 PC 上按下Ctrl-Alt-Del,然后使用远程会话所用的凭据进行登录。如果系统具有适当的第三方凭据提供程序集成功能,用户还可以通过插入智能卡或利用生物识别来恢复本地访问。
    注意:通过启用基于组策略对象 (GPO) 的快速用户切换或编辑注册表,可以覆盖此默认行为。
  • 默认情况下,Remote PC Access 支持将多个用户自动分配给 VDA。在 XenDesktop 5.6 Feature Pack 1 中,管理员可以通过使用 RemotePCAccess.ps1 PowerShell 脚本覆盖此行为。此版本使用注册表项来允许或禁止多个自动 Remote PC 分配。此设置适用于整个站点。
    警告:注册表编辑不当会导致严重问题,可能导致需要重新安装操作系统。Citrix 无法保证因“注册表编辑器”使用不当导致出现的问题能够得以解决。使用“注册表编辑器”需自担风险。在编辑注册表之前,请务必进行备份。
    限制向单个用户执行自动分配:
    1. 在站点中的每个控制器上设置以下注册表项:

      HKEY_LOCAL_MACHINE\Software\Citrix|DesktopServer

      名称:AllowMultipleRemotePCAssignments

      类型:REG_DWORD

      数据:见下表

      行为
      0 禁止多用户分配。
      1 启用多用户分配。此为默认值。
    2. 如果存在任何现有用户分配,请使用 SDK 命令将其删除,以便接下来 VDA 可以执行单个自动分配。有关使用 SDK 的详细信息,请参阅关于 XenApp 和 XenDesktop SDK
      1. 从 VDA 中删除所有已分配的用户:$machine.AssociatedUserNames | %{ Remove-BrokerUser-Name $_ -Machine $machine
      2. 从桌面组中删除 VDA:$machine | Remove-BrokerMachine -DesktopGroup $desktopGroup
    3. 重新启动物理办公室 PC。