Citrix Virtual Apps and Desktops

Secure HDX (Preview)

Secure HDX ist eine ALE-Lösung (Application Level Encryption), die verhindert, dass Netzwerkelemente im Datenverkehrspfad den HDX-Verkehr überprüfen können. Dazu wird echte Ende-zu-Ende-Verschlüsselung (E2EE) auf Anwendungsebene zwischen der Citrix Workspace-App (Client) und dem VDA (Sitzungshost) mithilfe der AES-256-GCM-Verschlüsselung bereitgestellt.

Wichtig:

Secure HDX befindet sich derzeit in der Previewversion. Dieses Feature wird ohne Unterstützung bereitgestellt und noch nicht für den Einsatz in Produktionsumgebungen empfohlen. Verwenden Sie dieses Formular, um Feedback einzureichen oder Probleme zu melden.

Systemanforderungen

Die folgende Liste enthält die Systemanforderungen für die Verwendung von Secure HDX.

  • Steuerungsebene
    • Citrix DaaS
    • Citrix Virtual Apps and Desktops 2402 oder höher
  • Virtual Delivery Agent (VDA)
    • Windows: Version 2402 oder höher
  • Workspace-App
    • Windows: Version 2402 oder höher
  • Zugriffsebene
    • Citrix Workspace
    • Citrix StoreFront 2402 oder höher

Konfiguration

Secure HDX ist standardmäßig deaktiviert. Sie können das Feature mit der Secure HDX-Einstellung der Citrix Richtlinie konfigurieren:

Sicheres HDX: Definiert, ob das Feature für alle Sitzungen oder nur für direkte Verbindungen aktiviert bzw. deaktiviert werden soll.

Überlegungen

Im Folgenden finden Sie Überlegungen zur Verwendung von Secure HDX:

  • Wenn ein Benutzer versucht, mit einem Client, der dieses Feature nicht unterstützt, eine Verbindung zu einem Sitzungshost herzustellen, bei dem Secure HDX aktiviert ist, wird die Verbindung verweigert.

  • Servicekontinuität wird derzeit mit Secure HDX nicht unterstützt. Wenn Servicekontinuität in Ihrer Citrix Cloud-Umgebung aktiviert ist, kann bei einem Ausfall des Clouddienstes möglicherweise keine Verbindung zu Sitzungshosts hergestellt werden, auf denen Secure HDX aktiviert ist.

  • Wenn Sie HDX Insight verwenden, beachten Sie, dass die Verwendung von Secure HDX die HDX Insight-Datenerfassung verhindert, da NetScaler den verschlüsselten HDX-Verkehr nicht überprüfen kann. Wenn Sie HDX Insight verwenden müssen, können Sie Secure HDX so einrichten, dass es nur für direkte Verbindungen aktiviert wird.

  • Wenn Sie SmartControl verwenden, beachten Sie, dass die Verwendung von Secure HDX verhindert, dass SmartControl funktioniert, da der NetScaler den verschlüsselten HDX-Verkehr nicht überprüfen kann. Wenn Sie SmartControl verwenden müssen, können Sie Secure HDX so einrichten, dass es nur für direkte Verbindungen aktiviert wird.

  • Multistream-ICA wird nicht unterstützt, wenn Secure HDX aktiviert ist.

  • Bei Verwendung von Drittanbieterlösungen, die auf der Überprüfung des HDX-Datenverkehrs basieren, funktionieren diese nicht mehr, wenn Sie Secure HDX aktivieren, da der HDX-Verkehr verschlüsselt ist.

Problembehandlung

Um zu bestätigen, dass Secure HDX aktiv ist, können Sie das Hilfsprogramm ctxsession.exe auf der VDA-Maschine verwenden.

Um das Hilfsprogramm CtxSession.exe zu verwenden, starten Sie eine Eingabeaufforderung oder PowerShell in der Sitzung und führen ctxsession.exe -v aus. Wenn Secure HDX verwendet wird, zeigt die ICA-Verschlüsselung SecureHDX AES-256 GCM an.

Sicheres HDX

Wenn Secure HDX in der Sitzung nicht aktiviert wird

  • Stellen Sie sicher, dass die verwendete VDA-Version das Feature gemäß den Systemanforderungen unterstützt.

  • Vergewissern Sie sich, dass auf den VDA eine Richtlinie angewendet wurde, die HDX Direct aktiviert, und keine anderen Richtlinien mit höherer Priorität vorhanden sind, die das Feature deaktivieren.

  • Wenn das Clientgerät eine Verbindung über NetScaler Gateway oder Gateway Service herstellt, stellen Sie sicher, dass Secure HDX nicht auf “Nur direkte Verbindungen” eingestellt ist.

  • Wenn der Sitzungshost bereits lief, als Sie Secure HDX konfiguriert haben, starten Sie den Computer neu, um sicherzustellen, dass die Änderungen wirksam werden.

Secure HDX (Preview)