Sicherheit - Richtlinieneinstellungen
Der Abschnitt Sicherheit enthält die Richtlinieneinstellung zum Konfigurieren der Sitzungsverschlüsselung und der Anmeldedatenverschlüsselung.
SecureICA-Mindestverschlüsselungsgrad
Mit dieser Einstellung geben Sie das Minimum für den Verschlüsselungsgrad der Sitzungsdaten an, die zwischen dem Server und einem Clientgerät ausgetauscht werden.
Wichtig: Bei Virtual Delivery Agent 7.x kann mit dieser Richtlinieneinstellung nur die Anmeldedatenverschlüsselung mit RC5 128-Bit-Verschlüsselung aktiviert werden. Die anderen Einstellungen werden nur für Abwärtskompatibilität mit älteren Versionen von Citrix Virtual Apps and Desktops bereitgestellt.
Bei VDA 7.x wird die Sitzungsdatenverschlüsselung mit den Grundeinstellungen der Bereitstellungsgruppe des VDAs festgelegt. Wenn für die Bereitstellungsgruppe die Option “Secure ICA aktivieren” ausgewählt ist, werden Sitzungsdaten mit der RC5-Verschlüsselung (128 Bit) verschlüsselt. Wenn die Option “Secure ICA aktivieren” für die Bereitstellungsgruppe nicht ausgewählt ist, werden Sitzungsdaten mit der Basic-Verschlüsselung verschlüsselt.
Wenn Sie diese Einstellung einer Richtlinie hinzufügen, wählen Sie eine der Optionen:
- Basic verschlüsselt die Clientverbindung mit einem nicht RC5-konformen Algorithmus. Mit diesem Verschlüsselungsverfahren kann der Datenstrom zwar vor direktem Lesen geschützt werden, ein Entschlüsseln ist aber möglich. Standardmäßig verwendet der Server für den Client-Server-Netzwerkverkehr den Verschlüsselungsgrad “Basic”.
- RC5 (128 Bit) nur Anmeldung verschlüsselt die Anmeldedaten mit der RC5-128-Bit-Verschlüsselung und die Clientverbindung mit dem Verschlüsselungsgrad “Basic”.
- RC5 (40 Bit) verschlüsselt die Verbindung mit der RC5-40-Bit-Verschlüsselung.
- RC5 (56 Bit) verschlüsselt die Verbindung mit der RC5-56-Bit-Verschlüsselung.
- RC5 (128 Bit) verschlüsselt die Verbindung mit der RC5-128-Bit-Verschlüsselung.
Die Einstellungen, die Sie für die Verschlüsselung zwischen Client und Server festlegen, können mit Verschlüsselungseinstellungen des Windows-Betriebssystems interagieren. Es kann vorkommen, dass ein höherer Verschlüsselungsgrad auf dem Server oder Benutzergerät eingestellt ist. In diesem Fall können die Einstellungen überschrieben werden, die Sie für veröffentlichte Ressourcen angegeben haben.
Sie können den Verschlüsselungsgrad erhöhen, um die Kommunikation und Datenintegrität für bestimmte Benutzer stärker zu sichern. Wenn für eine Richtlinie ein höherer Verschlüsselungsgrad erforderlich ist, wird Citrix Receivern mit einem niedrigeren Verschlüsselungsgrad die Verbindung verweigert.
SecureICA führt keine Authentifizierung durch und prüft auch nicht die Datenintegrität. Verwenden Sie SecureICA mit TLS-Verschlüsselung, um eine vollständige Verschlüsselung für die Site bereitzustellen.
SecureICA verwendet nicht FIPS-konforme Algorithmen. Wenn diese Einstellung ein Problem ist, konfigurieren Sie den Server und Citrix Receiver, um zu verhindern, dass SecureICA verwendet wird.
SecureICA verwendet die RC5-Blockverschlüsselung gemäß RFC 2040. Die Blockgröße entspricht 64 Bit (ein Mehrfaches von 32-Bit-Worteinheiten). Die Schlüssellänge ist 128 Bit. Die Zahl der Runden ist 12.
Die Schlüssel für die RC5-Blockverschlüsselung werden beim Erstellen einer Sitzung vereinbart. Die Vereinbarung erfolgt unter Einsatz des Diffie-Hellman-Algorithmus. Die Vereinbarung verwendet öffentliche Diffie-Hellman-Parameter. Diese Parameter werden bei der Installation des Virtual Delivery Agents in der Windows-Registrierung gespeichert. Öffentliche Parameter sind nicht geheim. Das Ergebnis der Diffie-Hellman-Vereinbarung ist ein geheimer Schlüssel, aus dem Sitzungsschlüssel für die RC5-Blockverschlüsselung abgeleitet werden. Separate Sitzungsschlüssel werden für die Benutzeranmeldung und für die Datenübertragung verwendet. Für den Datenverkehr zum und vom Virtual Delivery Agent werden ebenfalls separate Sitzungsschlüssel verwendet. Daher gibt es vier Sitzungsschlüssel für jede Sitzung. Die geheimen Schlüssel und die Sitzungsschlüssel werden nicht gespeichert. Die Initialisierungsvektoren für die RC5-Blockverschlüsselung werden ebenfalls aus dem geheimen Schlüssel abgeleitet.