Sichere Kommunikation

• Um die Kommunikation zwischen dem Citrix Virtual Apps and Desktops-Server und der Citrix Workspace-App zu sichern, können Sie Ihre Citrix Workspace-App-Verbindungen mithilfe einer Reihe sicherer Technologien integrieren, wie zum Beispiel:

• Citrix Gateway: Weitere Informationen finden Sie in den Themen dieses Abschnitts sowie in der Dokumentation zu Citrix Gateway und StoreFront.
• Eine Firewall: Netzwerk-Firewalls können Pakete basierend auf der Zieladresse und dem Port zulassen oder blockieren.
• Transport Layer Security (TLS) Versionen 1.2 und 1.3 werden unterstützt.
• Vertrauenswürdiger Server zum Aufbau von Vertrauensbeziehungen in Citrix Workspace-App-Verbindungen.
• ICA®-Dateisignierung
• Local Security Authority (LSA)-Schutz
• Proxyserver nur für Citrix Virtual Apps-Bereitstellungen: Ein SOCKS-Proxyserver oder sicherer Proxyserver. Proxyserver helfen, den Zugriff auf und aus dem Netzwerk zu begrenzen. Sie verwalten auch die Verbindungen zwischen der Citrix Workspace-App und dem Server. Die Citrix Workspace-App unterstützt SOCKS- und sichere Proxy-Protokolle.
  • Outbound-Proxy

Citrix Gateway

-  Citrix Gateway (ehemals Access Gateway) sichert Verbindungen zu StoreFront-Stores. Außerdem ermöglicht es Administratoren, den Benutzerzugriff auf Desktops und Anwendungen detailliert zu steuern.

So stellen Sie eine Verbindung zu Desktops und Anwendungen über Citrix Gateway her:

-  1.  Geben Sie die Citrix Gateway-URL an, die Ihr Administrator bereitstellt, indem Sie eine der folgenden Methoden verwenden:

-  Wenn Sie die Self-Service-Benutzeroberfläche zum ersten Mal verwenden, werden Sie aufgefordert, die URL im Dialogfeld **Konto hinzufügen** einzugeben.
-  Wenn Sie die Self-Service-Benutzeroberfläche später verwenden, geben Sie die URL ein, indem Sie auf **Einstellungen** > **Konten** > **Hinzufügen** klicken.
-  Wenn Sie eine Verbindung mit dem Befehl storebrowse herstellen, geben Sie die URL in der Befehlszeile ein.

Die URL gibt das Gateway und optional einen bestimmten Store an:

• Um eine Verbindung zum ersten Store herzustellen, den die Citrix Workspace-App findet, verwenden Sie eine URL im folgenden Format:

  • https://gateway.company.com

• Um eine Verbindung zu einem bestimmten Store herzustellen, verwenden Sie eine URL der Form, zum Beispiel: https://gateway.company.com?<storename>. Diese dynamische URL hat ein nicht standardmäßiges Format; fügen Sie kein “=” (das Gleichheitszeichen) in die URL ein. Wenn Sie eine Verbindung zu einem bestimmten Store mit storebrowse herstellen, benötigen Sie möglicherweise Anführungszeichen um die URL im storebrowse-Befehl.

1. Wenn Sie dazu aufgefordert werden, stellen Sie eine Verbindung zum Store (über das Gateway) her, indem Sie Ihren Benutzernamen, Ihr Kennwort und Ihr Sicherheitstoken verwenden. Weitere Informationen zu diesem Schritt finden Sie in der Citrix Gateway-Dokumentation.

Nach Abschluss der Authentifizierung werden Ihre Desktops und Anwendungen angezeigt.

Verbindung über Firewall

• Netzwerk-Firewalls können Pakete basierend auf der Zieladresse und dem Port zulassen oder blockieren. Wenn Sie eine Firewall verwenden, kann die Citrix Workspace-App für Windows über die Firewall sowohl mit dem Webserver als auch mit dem Citrix-Server kommunizieren.

• Gängige Citrix Kommunikationsports

• Quelle

  Typ

  Port

  Details

• Citrix Workspace-App

  TCP

  80/443

  Kommunikation mit StoreFront

• ICA oder HDX

  TCP/UDP

  1494

  Zugriff auf Anwendungen und virtuelle Desktops

• ICA oder HDX mit Sitzungszuverlässigkeit

  TCP/UDP

  2598

  Zugriff auf Anwendungen und virtuelle Desktops

• ICA oder HDX über TLS

  TCP/UDP

  443

  Zugriff auf Anwendungen und virtuelle Desktops

• Weitere Informationen zu den Ports finden Sie im Knowledge Center-Artikel CTX101810.

Transport Layer Security

Transport Layer Security (TLS) ist der Ersatz für das SSL-Protokoll (Secure Sockets Layer). Die Internet Engineering Task Force (IETF) benannte es in TLS um, als sie die Verantwortung für die Entwicklung von TLS als offenen Standard übernahm.

TLS sichert die Datenkommunikation durch Serverauthentifizierung, Verschlüsselung des Datenstroms und Nachrichtenintegritätsprüfungen. Einige Organisationen, einschließlich US-Regierungsorganisationen, verlangen die Verwendung von TLS zur Sicherung der Datenkommunikation. Diese Organisationen können auch die Verwendung validierter Kryptografie verlangen, wie den Federal Information Processing Standard (FIPS) 140. FIPS 140 ist ein Standard für Kryptografie.

Um die TLS-Verschlüsselung als Kommunikationsmedium zu verwenden, müssen Sie das Benutzergerät und die Citrix Workspace-App konfigurieren. Informationen zum Sichern der StoreFront-Kommunikation finden Sie im Abschnitt Sichern in der StoreFront-Dokumentation. Informationen zum Sichern von VDAs finden Sie unter Transport Layer Security (TLS) in der Citrix Virtual Apps and Desktops-Dokumentation.

Sie können die folgenden Richtlinien verwenden, um:

• Die Verwendung von TLS erzwingen: Wir empfehlen, TLS für Verbindungen über nicht vertrauenswürdige Netzwerke, einschließlich des Internets, zu verwenden.
• Die Verwendung von FIPS (Federal Information Processing Standards) erzwingen: Genehmigte Kryptografie und Befolgung der Empfehlungen in NIST SP 800-52. Diese Optionen sind standardmäßig deaktiviert.
• Die Verwendung einer bestimmten TLS-Version und spezifischer TLS-Cipher-Suites erzwingen: Citrix unterstützt das TLS 1.2- und 1.3-Protokoll.
• Nur mit bestimmten Servern verbinden.
• Auf Widerruf des Serverzertifikats prüfen.
• Auf eine bestimmte Richtlinie zur Ausstellung von Serverzertifikaten prüfen.
• Ein bestimmtes Clientzertifikat auswählen, wenn der Server so konfiguriert ist, dass er eines anfordert.

Die Citrix Workspace-App für Windows unterstützt die folgenden Cipher-Suites für das TLS 1.2- und 1.3-Protokoll:

• TLS_AES_256_GCM_SHA384
• TLS_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

Wichtig:

Die folgenden Cipher-Suites sind aus Gründen der erhöhten Sicherheit veraltet:

-  Cipher-Suites RC4 und 3DES
-  Cipher-Suites mit dem Präfix "TLS_RSA_*"

-  > -  TLS_RSA_WITH_AES_256_GCM_SHA384 (0x009d)
-  > -  TLS_RSA_WITH_AES_128_GCM_SHA256 (0x009c)
-  > -  TLS_RSA_WITH_AES_256_CBC_SHA256 (0x003d)

-  TLS_RSA_WITH_AES_256_CBC_SHA (0x0035)
-  TLS_RSA_WITH_AES_128_CBC_SHA (0x002f)

-  > -  TLS_RSA_WITH_RC4_128_SHA (0x0005)
-  > -  TLS_RSA_WITH_3DES_EDE_CBC_SHA (0x000a)

-  ### TLS-Unterstützung

1. Öffnen Sie die administrative GPO-Vorlage der Citrix Workspace-App, indem Sie gpedit.msc ausführen.

   • 1. Navigieren Sie unter dem Knoten Computerkonfiguration zu Administrative Vorlagen > Citrix Workspace > Netzwerkrouting, und wählen Sie die Richtlinie TLS- und Kompatibilitätsmoduskonfiguration aus.

   • 

   • 1. Wählen Sie Aktiviert, um sichere Verbindungen zu aktivieren und die Kommunikation auf dem Server zu verschlüsseln. Legen Sie die folgenden Optionen fest:

   Hinweis:

   Citrix empfiehlt TLS für sichere Verbindungen.

   1. Wählen Sie TLS für alle Verbindungen erforderlich, um die Citrix Workspace-App zu zwingen, TLS für Verbindungen zu veröffentlichten Anwendungen und Desktops zu verwenden.

   2. Wählen Sie im Menü Sicherheitskompatibilitätsmodus die entsprechende Option aus:

      1. Keine – Es wird kein Kompatibilitätsmodus erzwungen.
      2. SP800-52 – Wählen Sie SP800-52 für die Kompatibilität mit NIST SP 800-52. Wählen Sie diese Option nur, wenn die Server oder das Gateway die Empfehlungen von NIST SP 800-52 befolgen.

• Hinweis:

•  > Wenn Sie **SP800-52** auswählen, wird die FIPS-zugelassene Kryptografie automatisch verwendet, auch wenn **FIPS aktivieren** nicht ausgewählt ist. Aktivieren Sie außerdem die Windows-Sicherheitsoption **Systemkryptografie: FIPS-kompatible Algorithmen für Verschlüsselung, Hashing und Signierung verwenden**. Andernfalls kann die Citrix Workspace-App möglicherweise keine Verbindung zu den veröffentlichten Anwendungen und Desktops herstellen.
  

   Wenn Sie **SP800-52** auswählen, setzen Sie die Einstellung **Richtlinie zur Überprüfung des Zertifikatsperrstatus** auf **Vollständige Zugriffsprüfung und CRL erforderlich**.
  
   Wenn Sie **SP800-52** auswählen, überprüft die Citrix Workspace-App, ob das Serverzertifikat den Empfehlungen in NIST SP 800-52 entspricht. Wenn das Serverzertifikat nicht konform ist, kann die Citrix Workspace-App möglicherweise keine Verbindung herstellen.
  
   1.  **FIPS aktivieren** – Wählen Sie diese Option, um die Verwendung von FIPS-zugelassener Kryptografie zu erzwingen. Aktivieren Sie außerdem die Windows-Sicherheitsoption aus der Gruppenrichtlinie des Betriebssystems, **Systemkryptografie: FIPS-kompatible Algorithmen für Verschlüsselung, Hashing und Signierung verwenden**. Andernfalls kann die Citrix Workspace-App möglicherweise keine Verbindung zu veröffentlichten Anwendungen und Desktops herstellen.
  

• 1. Wählen Sie im Dropdown-Menü Zugelassene TLS-Server die Portnummer aus. Verwenden Sie eine durch Kommas getrennte Liste, um sicherzustellen, dass die Citrix Workspace-App nur eine Verbindung zu einem bestimmten Server herstellt. Sie können Platzhalter und Portnummern angeben. Zum Beispiel erlaubt *.citrix.com: 4433 Verbindungen zu jedem Server, dessen allgemeiner Name mit .citrix.com auf Port 4433 endet. Der Aussteller des Zertifikats bestätigt die Richtigkeit der Informationen in einem Sicherheitszertifikat. Wenn Citrix Workspace den Aussteller nicht erkennt oder ihm nicht vertraut, wird die Verbindung abgelehnt.

  2. Wählen Sie im Menü TLS-Version eine der folgenden Optionen aus:

  • TLS 1.0, TLS 1.1 oder TLS 1.2 – Dies ist die Standardeinstellung, die nur empfohlen wird, wenn eine geschäftliche Anforderung für TLS 1.0 zur Kompatibilität besteht.

  • TLS 1.1 oder TLS 1.2 – Verwenden Sie diese Option, um sicherzustellen, dass die Verbindungen entweder TLS 1.1 oder TLS 1.2 verwenden.

  • TLS 1.2 – Diese Option wird empfohlen, wenn TLS 1.2 eine geschäftliche Anforderung ist.

  1. TLS-Cipher-Suite – Um die Verwendung einer bestimmten TLS-Cipher-Suite zu erzwingen, wählen Sie Government (GOV), Commercial (COM) oder All (ALL).

  2. Wählen Sie im Menü Richtlinie zur Überprüfung des Zertifikatsperrstatus eine der folgenden Optionen aus:

  • Prüfung ohne Netzwerkzugriff – Die Überprüfung der Zertifikatsperrliste wird durchgeführt. Es werden nur lokale Zertifikatsperrlistenspeicher verwendet. Alle Verteilungspunkte werden ignoriert. Eine Überprüfung der Zertifikatsperrliste, die das vom Ziel-SSL-Relay/Citrix Secure Web Gateway-Server verfügbare Serverzertifikat verifiziert, ist nicht zwingend erforderlich.

  • Vollständige Zugriffsprüfung – Die Überprüfung der Zertifikatsperrliste wird durchgeführt. Lokale Zertifikatsperrlistenspeicher und alle Verteilungspunkte werden verwendet. Wenn Sperrinformationen für ein Zertifikat gefunden werden, wird die Verbindung abgelehnt. Die Überprüfung der Zertifikatsperrliste zur Verifizierung des vom Zielserver verfügbaren Serverzertifikats ist nicht kritisch.

  • Vollständige Zugriffsprüfung und CRL erforderlich – Die Überprüfung der Zertifikatsperrliste wird durchgeführt, mit Ausnahme der Stammzertifizierungsstelle. Lokale Zertifikatsperrlistenspeicher und alle Verteilungspunkte werden verwendet. Wenn Sperrinformationen für ein Zertifikat gefunden werden, wird die Verbindung abgelehnt. Das Auffinden aller erforderlichen Zertifikatsperrlisten ist für die Verifizierung entscheidend.

  • Vollständige Zugriffsprüfung und CRL für alle erforderlich – Die Überprüfung der Zertifikatsperrliste wird durchgeführt, einschließlich der Stammzertifizierungsstelle. Lokale Zertifikatsperrlistenspeicher und alle Verteilungspunkte werden verwendet. Wenn Sperrinformationen für ein Zertifikat gefunden werden, wird die Verbindung abgelehnt. Das Auffinden aller erforderlichen Zertifikatsperrlisten ist für die Verifizierung entscheidend.

  • Keine Prüfung – Es wird keine Überprüfung der Zertifikatsperrliste durchgeführt.

  1. Mithilfe der Richtlinienerweiterungs-OID können Sie die Citrix Workspace-App darauf beschränken, nur eine Verbindung zu Servern mit einer bestimmten Zertifikatausstellungsrichtlinie herzustellen. Wenn Sie Richtlinienerweiterungs-OID auswählen, akzeptiert die Citrix Workspace-App nur Serverzertifikate, die die Richtlinienerweiterungs-OID enthalten.

  2. Wählen Sie im Menü Clientauthentifizierung eine der folgenden Optionen aus:

  • Deaktiviert – Die Clientauthentifizierung ist deaktiviert.

  • Zertifikatsauswahl anzeigen – Fordern Sie den Benutzer immer auf, ein Zertifikat auszuwählen.

  • Automatisch auswählen, falls möglich – Fordern Sie den Benutzer nur auf, wenn eine Auswahl des zu identifizierenden Zertifikats besteht.

  • Nicht konfiguriert – Zeigt an, dass die Clientauthentifizierung nicht konfiguriert ist.

  • Angegebenes Zertifikat verwenden – Verwenden Sie das Clientzertifikat, das in der Option „Clientzertifikat“ festgelegt ist.

  1. Verwenden Sie die Einstellung Clientzertifikat, um den Fingerabdruck des identifizierenden Zertifikats anzugeben und so unnötige Benutzerabfragen zu vermeiden.

  2. Klicken Sie auf Übernehmen und OK, um die Richtlinie zu speichern.

Unterstützung für TLS-Protokollversion 1.3

Ab Version 2409 unterstützt die Citrix Workspace-App das Transport Layer Security-Protokoll (TLS) Version 1.3.

Hinweis:

Dieses Enhancement erfordert VDA-Version 2303 oder höher.

Diese Funktion ist standardmäßig aktiviert. Um sie zu deaktivieren, gehen Sie wie folgt vor:

1. Öffnen Sie den Registrierungs-Editor, indem Sie regedit im Ausführen-Befehl verwenden.
2. Navigieren Sie zu HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\ICA Client\TLS1.3.
3. Erstellen Sie einen DWORD-Schlüssel mit dem Namen EnableTLS1.3 und setzen Sie den Wert des Schlüssels auf 0.

Einschränkungen:

-  Verbindungen über Access Gateway oder NetScaler Gateway Service versuchen, TLS 1.3 zu verwenden. Diese Verbindungen fallen jedoch auf TLS 1.2 zurück, da Access Gateway und NetScaler Gateway Service TLS 1.3 noch nicht unterstützen.
-  Direkte Verbindungen zu einer VDA-Version, die TLS 1.3 nicht unterstützt, fallen auf TLS 1.2 zurück.

Vertrauenswürdiger Server

Vertrauenswürdige Serververbindungen erzwingen

Die Konfigurationsrichtlinie für vertrauenswürdige Server identifiziert und erzwingt Vertrauensbeziehungen in Citrix Workspace-App-Verbindungen.

Mithilfe dieser Richtlinie können Administratoren steuern, wie der Client die veröffentlichte Anwendung oder den Desktop identifiziert, mit der/dem er sich verbindet. Der Client bestimmt eine Vertrauensstufe, die als Vertrauensregion mit einer Verbindung bezeichnet wird. Die Vertrauensregion bestimmt dann, wie der Client für die Verbindung konfiguriert wird.

Die Aktivierung dieser Richtlinie verhindert Verbindungen zu Servern, die sich nicht in den vertrauenswürdigen Regionen befinden.

Standardmäßig basiert die Regionsidentifikation auf der Adresse des Servers, mit dem sich der Client verbindet. Um Mitglied der vertrauenswürdigen Region zu sein, muss der Server Mitglied der Windows-Zone Vertrauenswürdige Sites sein. Sie können dies über die Einstellung Windows Internetzone konfigurieren.

• Alternativ kann für die Kompatibilität mit Nicht-Windows-Clients die Serveradresse mithilfe der Einstellung Adresse in der Gruppenrichtlinie explizit als vertrauenswürdig eingestuft werden. Die Serveradresse muss eine durch Kommas getrennte Liste von Servern sein, die die Verwendung von Wildcards unterstützen, zum Beispiel cps*.citrix.com.

Voraussetzung:

-  Stellen Sie sicher, dass Sie die Citrix Workspace-App für Windows Version 2409 oder höher installiert haben.
-  Setzen Sie die DNS-Auflösung auf *True* auf dem DDC, wenn Sie einen internen StoreFront und Host-FQDN in den **Windows Internetoptionen** verwenden. Weitere Informationen finden Sie im Knowledge Center-Artikel [CTX135250](https://support.citrix.com/s/article/CTX135250-how-to-enable-dns-address-resolution-in-xendesktop?language=en_US).

>**Hinweis:**
>
> Es sind keine Änderungen am DDC erforderlich, wenn die IP-Adresse in den **Windows Internet-Sicherheitszonenoptionen** verwendet wird.

• Kopieren Sie die neueste ICA-Clientrichtlinienvorlage gemäß der folgenden Tabelle:

• Dateityp

  Kopieren von

  Kopieren nach

• receiver.admx	Installationsverzeichnis\ICA Client\Configuration\receiver.admx	%systemroot%\policyDefinitions
  CitrixBase.admx	Installationsverzeichnis\ICA Client\Configuration\CitrixBase.admx	%systemroot%\policyDefinitions
  receiver.adml	Installationsverzeichnis\ICA Client\Configuration[MUIculture]receiver.adml	%systemroot%\policyDefinitions[MUIculture]
  CitrixBase.adml	Installationsverzeichnis\ICA Client\Configuration[MUIculture]\CitrixBase.adml	%systemroot%\policyDefinitions[MUIculture]

Hinweis:

• Stellen Sie sicher, dass Sie die neuesten .admx- und .adml-Dateien verwenden, die in der Citrix Workspace-App für Windows Version 2409 oder höher enthalten sind. Weitere Konfigurationsdetails finden Sie in der Dokumentation zu Gruppenrichtlinien.

• Schließen Sie alle laufenden Instanzen der Citrix Workspace-App und beenden Sie diese über das System-Tray-Symbol.

  • 

Führen Sie die folgenden Schritte aus, um die Konfiguration des vertrauenswürdigen Servers mithilfe der administrativen Gruppenrichtlinienobjektvorlage zu aktivieren:

-  1.  Öffnen Sie die administrative Gruppenrichtlinienobjektvorlage der Citrix Workspace-App, indem Sie `gpedit.msc` ausführen.
-  1.  Navigieren Sie unter dem Knoten **Computerkonfiguration** zu **Administrative Vorlagen** > **Citrix Komponenten** > **Citrix Workspace** > **Netzwerkrouting**:

-  Wählen Sie für x64-Bereitstellungen **Vertrauenswürdige Serverkonfiguration auf x64-Maschinen konfigurieren** aus.
-  Wählen Sie für x86-Bereitstellungen **Vertrauenswürdige Serverkonfiguration auf x86-Maschinen konfigurieren** aus.

-  ![Vertrauenswürdige Serverkonfiguration konfigurieren](/en-us/citrix-workspace-app-for-windows/media/configure-trusted-server-configuration.png)

1. Aktivieren Sie die ausgewählte Richtlinie und aktivieren Sie das Kontrollkästchen Vertrauenswürdige Serverkonfiguration erzwingen.

2. Wählen Sie im Dropdown-Menü Windows-Internetzonen die Option Vertrauenswürdig aus.

   

• Hinweis:

• Sie können die Auswahl von Optionen aus der Dropdown-Liste Adresse überspringen.

1. Klicken Sie auf OK und Übernehmen.
2. Wenn derselbe angemeldete Benutzer Citrix-Ressourcen veröffentlicht hat, können Sie mit den folgenden Schritten fortfahren oder sich mit einem anderen Benutzer anmelden.

• 1. Öffnen Sie die Windows-Internetoptionen und navigieren Sie zu Vertrauenswürdige Sites > Sites, um eine Domänenadresse oder den VDA-FQDN hinzuzufügen.

• Hinweis:

  Sie können eine ungültige Domäne wie *.test.com oder einen spezifischen ungültigen oder gültigen VDA-FQDN hinzufügen, um die Funktion zu testen.

  

1. Ändern Sie je nach Präferenz zu Vertrauenswürdig oder Lokale Intranet-Sites, basierend auf der Zonenauswahl in der Windows-Internetzonen innerhalb der Richtlinie zur Konfiguration vertrauenswürdiger Server.

   Weitere Informationen finden Sie unter Internet Explorer-Einstellungen ändern im Abschnitt Authentifizierung.

2. Aktualisieren Sie die Gruppenrichtlinie auf dem Zielgerät, auf dem die Citrix Workspace-App installiert ist, über eine Administrator-Eingabeaufforderung oder starten Sie das System neu.
3. Stellen Sie sicher, dass der interne StoreFront-FQDN der Zone „Lokales Intranet“ oder den Zonen „Vertrauenswürdige Sites“ hinzugefügt wird, basierend auf der Zonenauswahl in der Windows-Internetzonen innerhalb der Richtlinie Vertrauenswürdige Serverkonfiguration konfigurieren. Weitere Informationen finden Sie unter Internet Explorer-Einstellungen ändern im Abschnitt Authentifizierung. Stellen Sie außerdem sicher, dass bei Gateway-Stores die Gateway-URL zu den vertrauenswürdigen Sites hinzugefügt werden muss.
4. Öffnen Sie die Citrix Workspace-App oder veröffentlichte Ressourcen und überprüfen Sie die Funktion.

Hinweis:

Wenn Sie die vorhergehenden Schritte nicht konfiguriert haben, schlägt der Sitzungsstart möglicherweise fehl und Sie erhalten die folgende Fehlermeldung:

Als Problemumgehung können Sie die Richtlinie Vertrauenswürdige Serverkonfiguration konfigurieren in der GPO deaktivieren.

Selektive Client-Vertrauensstellung

Zusätzlich zum Zulassen oder Verhindern von Verbindungen zu den Servern verwendet der Client auch die Regionen, um den Zugriff auf Dateien, Mikrofone oder Webcams sowie den SSO-Zugriff zu identifizieren.

Wenn der Benutzer den Standardwert für eine Region ausgewählt hat, wird möglicherweise das folgende Dialogfeld angezeigt:

Administratoren können dieses Standardverhalten ändern, indem sie die Registrierungsschlüssel für die selektive Client-Vertrauensstellung entweder über die Gruppenrichtlinie oder in der Registrierung erstellen und konfigurieren. Weitere Informationen zum Konfigurieren der Registrierungsschlüssel für die selektive Client-Vertrauensstellung finden Sie im Knowledge Center-Artikel CTX133565.

Schutz der lokalen Sicherheitsautorität (LSA)

Die Citrix Workspace-App unterstützt den Schutz der Windows Local Security Authority (LSA), die Informationen zu allen Aspekten der lokalen Sicherheit auf einem System verwaltet. Diese Unterstützung bietet gehosteten Desktops den LSA-Schutz auf Systemebene.

Verbindung über Proxyserver

Proxyserver werden verwendet, um den Zugriff auf und von Ihrem Netzwerk zu begrenzen und Verbindungen zwischen der Citrix Workspace-App für Windows und Servern zu verwalten. Die Citrix Workspace-App unterstützt SOCKS- und sichere Proxyprotokolle.

Bei der Kommunikation mit dem Server verwendet die Citrix Workspace-App Proxyservereinstellungen, die remote auf dem Server konfiguriert sind, auf dem Workspace für Web ausgeführt wird.

Bei der Kommunikation mit dem Webserver verwendet die Citrix Workspace-App die Proxyservereinstellungen, die über die Internet-Einstellungen des Standard-Webbrowsers auf dem Benutzergerät konfiguriert sind. Konfigurieren Sie die Internet-Einstellungen des Standard-Webbrowsers auf dem Benutzergerät entsprechend.

Informationen zum Erzwingen von Proxyeinstellungen über die ICA-Datei in StoreFront finden Sie im Knowledge Center-Artikel CTX136516.

SOCKS5-Proxy-Unterstützung für EDT

Zuvor unterstützte die Citrix Workspace-App nur HTTP-Proxys, die über TCP arbeiteten. Die SOCKS5-Proxy-Funktionalität wurde jedoch bereits vollständig innerhalb des Virtual Delivery Agent (VDA) unterstützt. Weitere Informationen zur VDA-Unterstützung finden Sie in der Dokumentation zu Rendezvous V2.

Ab Version 2409 unterstützt die Citrix Workspace-App nun SOCKS5-Proxys für Enlightened Data Transport (EDT), wodurch die Kompatibilität mit modernen Unternehmensnetzwerkkonfigurationen verbessert wird.

Wichtige Vorteile:

• Erweiterte Proxy-Kompatibilität: Nahtlose Verbindung über SOCKS5-Proxys, die von Netzwerk-Teams in Unternehmen aufgrund ihrer Unterstützung von TCP- und UDP-Datenverkehr häufig verwendet werden.
• Verbesserte EDT-Leistung: Nutzen Sie die vollen Vorteile von EDT (UDP-basiert) für eine optimierte Datenübertragung innerhalb von Citrix Workspace-App-Sitzungen.

Diese Funktion ist standardmäßig deaktiviert. Um diese Funktion zu aktivieren, gehen Sie wie folgt vor:**

1. Öffnen Sie die administrative GPO-Vorlage der Citrix Workspace-App, indem Sie gpedit.msc ausführen.

2. Navigieren Sie unter dem Knoten Computerkonfiguration zu Administrative Vorlagen > Citrix Workspace > Netzwerk-Routing > Proxy > Client-Proxy-Einstellungen konfigurieren und wählen Sie die Proxy-Typen aus.

3. Legen Sie die folgenden Parameter fest:

   • ProxyType: SocksV5
   • ProxyHost: Geben Sie die Adresse des Proxy-Servers an.

Weitere Informationen finden Sie in der ICA Settings Reference und im Knowledge Center-Artikel CTX136516.

Unterstützung für ausgehende Proxys

SmartControl ermöglicht Administratoren das Konfigurieren und Erzwingen von Richtlinien, die sich auf die Umgebung auswirken. Beispielsweise möchten Sie Benutzern möglicherweise untersagen, Laufwerke ihren Remotedesktops zuzuordnen. Diese Granularität erreichen Sie mit der SmartControl-Funktion auf dem Citrix Gateway.

Das Szenario ändert sich, wenn die Citrix Workspace-App und das Citrix Gateway zu separaten Unternehmenskonten gehören. In solchen Fällen kann die Clientdomäne die SmartControl-Funktion nicht anwenden, da das Gateway in der Domäne nicht vorhanden ist. Sie können dann den Outbound ICA Proxy verwenden. Die Outbound ICA Proxy-Funktion ermöglicht Ihnen die Nutzung der SmartControl-Funktion, selbst wenn die Citrix Workspace-App und das Citrix Gateway in verschiedenen Organisationen bereitgestellt werden.

Die Citrix Workspace-App unterstützt den Start von Sitzungen über den NetScaler LAN-Proxy. Verwenden Sie das Outbound Proxy-Plug-In, um einen einzelnen statischen Proxy zu konfigurieren oder einen Proxy-Server zur Laufzeit auszuwählen.

Sie können ausgehende Proxys mit den folgenden Methoden konfigurieren:

• Statischer Proxy: Der Proxy-Server wird durch Angabe eines Proxy-Hostnamens und einer Portnummer konfiguriert.
• Dynamischer Proxy: Ein einzelner Proxy-Server kann aus einem oder mehreren Proxy-Servern mithilfe der Proxy-Plug-In-DLL ausgewählt werden.

Sie können den ausgehenden Proxy über die administrative Gruppenrichtlinienobjekt-Vorlage oder den Registrierungs-Editor konfigurieren.

Weitere Informationen zum ausgehenden Proxy finden Sie unter Outbound ICA Proxy support in der Citrix Gateway-Dokumentation.

Unterstützung für ausgehende Proxys – Konfiguration

Hinweis:

Wenn sowohl statische als auch dynamische Proxys konfiguriert sind, hat die dynamische Proxy-Konfiguration Vorrang.

Konfigurieren des ausgehenden Proxys mithilfe der administrativen GPO-Vorlage:

1. Öffnen Sie die administrative Gruppenrichtlinienobjekt-Vorlage der Citrix Workspace-App, indem Sie gpedit.msc ausführen.
2. Navigieren Sie unter dem Knoten Computerkonfiguration zu Administrative Vorlagen > Citrix Workspace > Netzwerk-Routing.
3. Wählen Sie eine der folgenden Optionen:
   • Für statischen Proxy: Wählen Sie die Richtlinie NetScaler® LAN-Proxy manuell konfigurieren. Wählen Sie Aktiviert und geben Sie dann den Hostnamen und die Portnummer an.
   • Für dynamischen Proxy: Wählen Sie die Richtlinie NetScaler LAN-Proxy mithilfe von DLL konfigurieren. Wählen Sie Aktiviert und geben Sie dann den vollständigen Pfad zur DLL-Datei an. Zum Beispiel: C:\Workspace\Proxy\ProxyChooser.dll.
4. Klicken Sie auf Übernehmen und OK.

Konfigurieren des ausgehenden Proxys mithilfe des Registrierungs-Editors:

• Für statischen Proxy:
  • Starten Sie den Registrierungs-Editor und navigieren Sie zu HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\ICA Client\Engine\Network Routing\Proxy\NetScaler.

  • Erstellen Sie DWORD-Wertschlüssel wie folgt:

    "StaticProxyEnabled"=dword:00000001 "ProxyHost"="testproxy1.testdomain.com "ProxyPort"=dword:000001bb

• Für dynamischen Proxy:

  • Starten Sie den Registrierungs-Editor und navigieren Sie zu HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\ICA Client\Engine\Network Routing\Proxy\NetScaler LAN Proxy.
  • Erstellen Sie DWORD-Wertschlüssel wie folgt: "DynamicProxyEnabled"=dword:00000001 "ProxyChooserDLL"="c:\\Workspace\\Proxy\\ProxyChooser.dll"

Verbindungen und Zertifikate

Verbindungen

• HTTP-Store
• HTTPS-Store
• Citrix Gateway 10.5 und höher

Zertifikate

Hinweis:

Die Citrix Workspace-App für Windows ist digital signiert. Die digitale Signatur ist mit einem Zeitstempel versehen. Daher ist das Zertifikat auch nach Ablauf des Zertifikats gültig.

• Privat (selbstsigniert)
• Stamm
• Platzhalter
• Zwischen

Private (selbstsignierte) Zertifikate

Wenn ein privates Zertifikat auf dem Remote-Gateway vorhanden ist, installieren Sie das Stammzertifikat der Zertifizierungsstelle des Unternehmens auf dem Benutzergerät, das auf die Citrix-Ressourcen zugreift.

Hinweis:

Wenn das Zertifikat des Remote-Gateways bei der Verbindung nicht überprüft werden kann, wird eine Warnung vor einem nicht vertrauenswürdigen Zertifikat angezeigt. Diese Warnung wird angezeigt, wenn das Stammzertifikat im lokalen Keystore fehlt. Wenn ein Benutzer die Warnung ignoriert und fortfährt, werden die Apps zwar angezeigt, können aber nicht gestartet werden.

Stammzertifikate

Für in eine Domäne eingebundene Computer können Sie eine administrative Vorlage für Gruppenrichtlinienobjekte verwenden, um CA-Zertifikate zu verteilen und ihnen zu vertrauen.

Für nicht in eine Domäne eingebundene Computer kann das Unternehmen ein benutzerdefiniertes Installationspaket erstellen, um das CA-Zertifikat zu verteilen und zu installieren. Wenden Sie sich an Ihren Systemadministrator, um Unterstützung zu erhalten.

Platzhalterzertifikate

Platzhalterzertifikate werden auf einem Server innerhalb derselben Domäne verwendet.

Die Citrix Workspace-App unterstützt Platzhalterzertifikate. Verwenden Sie Platzhalterzertifikate gemäß der Sicherheitsrichtlinie Ihres Unternehmens. Eine Alternative zu Platzhalterzertifikaten ist ein Zertifikat mit der Liste der Servernamen und der Subject Alternative Name (SAN)-Erweiterung. Private und öffentliche Zertifizierungsstellen stellen diese Zertifikate aus.

Zwischenzertifikate

Wenn Ihre Zertifikatkette ein Zwischenzertifikat enthält, muss das Zwischenzertifikat an das Citrix Gateway-Serverzertifikat angehängt werden. Weitere Informationen finden Sie unter Konfigurieren von Zwischenzertifikaten.

Zertifikatsperrliste

Die Zertifikatsperrliste (Certificate Revocation List, CRL) ermöglicht der Citrix Workspace-App zu überprüfen, ob das Serverzertifikat widerrufen wurde. Die Zertifikatsprüfung verbessert die kryptografische Authentifizierung des Servers und die allgemeine Sicherheit der TLS-Verbindung zwischen dem Benutzergerät und einem Server.

Sie können die CRL-Prüfung auf mehreren Ebenen aktivieren. Es ist beispielsweise möglich, die Citrix Workspace-App so zu konfigurieren, dass sie nur ihre lokale Zertifikatsliste oder die lokalen und Netzwerk-Zertifikatslisten überprüft. Sie können die Zertifikatsprüfung auch so konfigurieren, dass sich Benutzer nur anmelden können, wenn alle CRLs überprüft wurden.

Wenn Sie die Zertifikatsprüfung auf Ihrem lokalen Computer konfigurieren, beenden Sie die Citrix Workspace-App. Überprüfen Sie, ob alle Citrix Workspace-Komponenten, einschließlich des Verbindungszentrums, geschlossen sind.

Weitere Informationen finden Sie im Abschnitt Transport Layer Security.

Unterstützung zur Abwehr von Man-in-the-Middle-Angriffen

Die Citrix Workspace-App für Windows hilft Ihnen, das Risiko eines Man-in-the-Middle-Angriffs mithilfe der Funktion Enterprise Certificate Pinning von Microsoft Windows zu reduzieren. Ein Man-in-the-Middle-Angriff ist eine Art von Cyberangriff, bei dem der Angreifer Nachrichten zwischen zwei Parteien, die glauben, direkt miteinander zu kommunizieren, heimlich abfängt und weiterleitet.

Bisher gab es beim Kontakt mit dem Store-Server keine Möglichkeit zu überprüfen, ob die empfangene Antwort tatsächlich von dem Server stammt, den Sie kontaktieren wollten. Mithilfe der Funktion Enterprise Certificate Pinning von Microsoft Windows können Sie die Gültigkeit und Integrität des Servers überprüfen, indem Sie dessen Zertifikat anheften (pinning).

Die Citrix Workspace-App für Windows ist vorkonfiguriert, um zu wissen, welches Serverzertifikat sie für eine bestimmte Domäne oder Site erwarten muss, indem sie die Regeln für das Certificate Pinning verwendet. Wenn das Serverzertifikat nicht mit dem vorkonfigurierten Serverzertifikat übereinstimmt, verhindert die Citrix Workspace-App für Windows, dass die Sitzung stattfindet.

Informationen zur Bereitstellung der Funktion Enterprise Certificate Pinning finden Sie in der Microsoft-Dokumentation.

Hinweis:

Sie müssen sich des Ablaufs des Zertifikats bewusst sein und die Gruppenrichtlinien und Zertifikatsvertrauenslisten korrekt aktualisieren. Andernfalls kann es vorkommen, dass Sie die Sitzung nicht starten können, selbst wenn kein Angriff vorliegt.