Impostazioni dei criteri di sicurezza
La sezione Security (Sicurezza) contiene l’impostazione dei criteri per la configurazione della crittografia della sessione e della crittografia dei dati di accesso.
SecureICA minimum encryption level (Livello minimo di crittografia SecureICA)
Questa impostazione specifica il livello minimo al quale crittografare i dati di sessione inviati tra il server e un dispositivo utente.
Importante: per Virtual Delivery Agent 7.x, questa impostazione dei criteri può essere utilizzata solo per abilitare la crittografia dei dati di accesso con crittografia RC5 a 128 bit. Altre impostazioni sono disponibili solo per la retrocompatibilità con le versioni precedenti di Citrix Virtual Apps and Desktops.
Per VDA 7.x, la crittografia dei dati di sessione viene impostata utilizzando le impostazioni di base del gruppo di consegna di VDA. Se per il gruppo di consegna è selezionata l’opzione Enable Secure ICA (Abilita ICA sicura), i dati della sessione vengono crittografati utilizzando la crittografia RC5 (128 bit). Se l’opzione Enable Secure ICA (Abilita ICA sicura) non è selezionata per il gruppo di consegna, i dati della sessione vengono crittografati con crittografia di base.
Quando si aggiunge questa impostazione a un criterio, selezionare un’opzione:
- L’opzione Basic (Di base) crittografa la connessione client utilizzando un algoritmo diverso da RC5. Protegge il flusso di dati dalla lettura diretta, ma può essere decrittografato. Per impostazione predefinita, il server utilizza la crittografia di base per il traffico client-server.
- L’opzione RC5 (128 bit) logon (Accesso RC5 (128 bit)) crittografa solo i dati di accesso utilizzando la crittografia RC5 a 128 bit e la connessione client utilizzando la crittografia di base.
- L’opzione RC5 (40 bit) crittografa la connessione client utilizzando la crittografia RC5 a 40 bit.
- L’opzione RC5 (56 bit) crittografa la connessione client utilizzando la crittografia RC5 a 56 bit.
- L’opzione RC5 (128 bit) crittografa la connessione client utilizzando la crittografia RC5 a 128 bit.
Le impostazioni specificate per la crittografia client-server possono interagire con qualsiasi altra impostazione di crittografia nell’ambiente e nel sistema operativo Windows. Se un livello di crittografia con priorità più elevata è impostato su un server o su un dispositivo utente, è possibile ignorare le impostazioni specificate per le risorse pubblicate.
È possibile aumentare i livelli di crittografia per proteggere ulteriormente le comunicazioni e l’integrità dei messaggi per determinati utenti. Se un criterio richiede un livello di crittografia più elevato, ai ricevitori Citrix che utilizzano un livello di crittografia inferiore viene negata la connessione.
SecureICA non esegue l’autenticazione e non verifica l’integrità dei dati. Per fornire la crittografia end-to-end per il sito, utilizzare SecureICA con crittografia TLS.
SecureICA non utilizza algoritmi compatibili con FIPS. Se questo è un problema, configurare il server e i ricevitori Citrix per evitare l’utilizzo di SecureICA.
SecureICA utilizza la crittografia a blocchi RC5 come descritto in RFC 2040 per la riservatezza. La dimensione del blocco è di 64 bit (un multiplo di unità di parole a 32 bit). La lunghezza della chiave è 128 bit. Il numero di giri è 12.
Le chiavi per la crittografia a blocchi RC5 vengono negoziate quando viene creata una sessione. La negoziazione viene eseguita utilizzando l’algoritmo Diffie-Hellman. Questa negoziazione utilizza i parametri pubblici Diffie-Hellman, che vengono memorizzati nel Registro di sistema di Windows quando è installato Virtual Delivery Agent. I parametri pubblici non sono segreti. Il risultato della negoziazione Diffie-Hellman è una chiave segreta, da cui derivano le chiavi di sessione per la crittografia a blocchi RC5. Vengono utilizzate chiavi di sessione separate per l’accesso dell’utente e per il trasferimento dei dati; vengono utilizzate chiavi di sessione separate per il traffico da e verso il Virtual Delivery Agent. Pertanto, ci sono quattro chiavi di sessione per ogni sessione. Le chiavi segrete e le chiavi di sessione non sono memorizzate. Anche i vettori di inizializzazione per la crittografia a blocchi RC5 derivano dalla chiave segreta.