Citrix Virtual Apps and Desktops

Sicurezza dei canali virtuali

Per impostazione predefinita, la funzione Virtual channel allow list (Elenco degli elementi consentiti dei canali virtuali) è abilitata. Di conseguenza, solo i canali virtuali Citrix possono essere aperti nelle sessioni delle app e dei desktop virtuali. Se è necessario utilizzare canali virtuali personalizzati, sviluppati internamente o di terze parti, questi devono essere aggiunti esplicitamente all’elenco dei consentiti.

Aggiungere canali virtuali all’elenco dei consentiti

Per aggiungere un canale virtuale all’elenco dei consentiti, è necessario:

  1. Il nome del canale virtuale definito nel codice, che può contenere fino a sette caratteri. Ad esempio, CTXCVC1.

  2. I percorsi dei processi che aprono il canale virtuale sulla macchina VDA. Ad esempio, C:\Program Files\Application\run.exe.

Una volta che si dispone delle informazioni richieste, è necessario aggiungere il canale virtuale all’elenco consentiti utilizzando l’impostazione dei criteri Elenco consentiti canali virtuali. Per aggiungere un canale virtuale all’elenco, immettere il nome del canale virtuale seguito da una virgola e quindi il percorso del processo che accede al canale virtuale. Se sono presenti più processi, questi possono essere aggiunti separati da virgole.

Utilizzando gli esempi precedenti, è necessario aggiungere all’elenco quanto segue:

CTXCVC1,C:\Program Files\Application\run.exe

Se sono presenti più processi, è necessario aggiungere all’elenco quanto segue:

CTXCVC1,C:\Program Files\Application\run.exe,C:\Program Files\Application\run2.exe

È supportato l’uso di caratteri jolly (*). È possibile utilizzare i caratteri jolly quando i nomi delle directory o degli eseguibili cambiano in base alla versione dell’applicazione o se il componente di terze parti viene installato nei profili degli utenti.

È possibile utilizzare i caratteri jolly per quanto segue:

  • Per sostituire il nome completo della directory. Ad esempio: C:\Program Files\Application\*\run1.exe
  • Per sostituire parte del nome della directory. Ad esempio: C:\Program Files\Application\v*\run1.exe
  • Per sostituire il nome dell’eseguibile. Ad esempio: C:\Program Files\Application\v1.2\*.exe
  • Per sostituire parte del nome dell’eseguibile. Ad esempio: C:\Program Files\Application\v1.2\run*.exe

Si applicano le seguenti restrizioni:

  • Il carattere jolly può essere utilizzato solo per sostituire una singola directory. Ad esempio, se l’eseguibile si trova in C:\Program Files\Application\v1.2\run1.exe
    • Consentiti: C:\Program Files\Application\*\run1.exe
    • Non consentiti: C:\Program Files\*\run1.exe
  • Le voci devono contenere l’estensione del file.
    • Consentiti: C:\Program Files\Application\v1.2\*.exe
    • Non consentiti: C:\Program Files\Application\v1.2\*
  • Tutti i percorsi devono essere locali.

Nota:

I percorsi di rete non sono consentiti dalla versione CVAD 2109 in poi.

Considerazioni sui canali virtuali Citrix

Tutti i canali virtuali Citrix integrati sono affidabili e possono essere aperti senza ulteriori configurazioni. Tuttavia, ci sono due funzionalità che richiedono voci esplicite nell’elenco dei consentiti a causa di dipendenze esterne:

  • Reindirizzamento multimediale
  • HDX RealTime Optimization Pack per Skype for Business

Reindirizzamento multimediale

Per l’inserimento nell’elenco consentiti sono necessarie queste informazioni:

  • Nome del canale virtuale: CTXMM
  • Processo: percorso del lettore multimediale utilizzato nella macchina VDA. Ad esempio C:\Programmi (x86)\Windows Media Player\wmplayer.exe
  • Inserimento nell’elenco consentiti: CTXMM,C:\Program Files (x86)\Windows Media Player\wmplayer.exe

HDX RealTime Optimization Pack per Skype for Business

Per l’inserimento nell’elenco consentiti sono necessarie queste informazioni:

  • Nome del canale virtuale: CTXRMEP
  • Processo: percorso per l’eseguibile Skype for Business nel computer VDA, che può variare nelle diverse versioni di Skype for Business o se è stato utilizzato un percorso di installazione personalizzato. Ad esempio C:\Programmi\Microsoft Office\root\Office16\lync.exe.
  • Inserimento nell’elenco consentiti: CTXRMEP,C:\Program Files\Microsoft Office\root\Office16\lync.exe

Ottenere nomi e processi dei canali virtuali

Il modo più semplice per ottenere il nome del canale virtuale e il processo che lo apre sulla macchina VDA è ottenere le informazioni dallo sviluppatore o dal fornitore di terze parti che ha fornito il canale virtuale.

In alternativa, è possibile ottenere queste informazioni applicando i registri della funzionalità e seguendo questi passaggi:

  1. Una volta installati i componenti client e server del canale virtuale personalizzato, avviare un’applicazione virtuale o un desktop virtuale.
  2. Nel registro eventi di sistema della macchina VDA, cercare il nome del canale virtuale personalizzato e il processo che ha tentato di aprirlo nel seguente evento:
    • In un VDA a sessione singola, ID evento 2002 dall’origine Picadd.
    • In un VDA multisessione, ID evento 14 dall’origine Rpm.
  3. Scollegarsi dalla sessione.
  4. Aggiungere una voce nell’impostazione del criterio dell’elenco di elementi consentiti del canale virtuale per il canale virtuale e il processo identificati.
  5. Avviare l’applicazione virtuale o il desktop virtuale per verificare che il canale virtuale personalizzato si apra correttamente.

Il canale virtuale consente la registrazione dell’elenco

I seguenti eventi vengono registrati nel registro eventi della macchina VDA a sessione singola:

  Nome del registro Sistema
  ID 2001
  Origine Picadd
  Livello Informazioni
  Descrizione Il canale virtuale personalizzato <vcName> è stato aperto per processo <processName>
  Nome del registro Sistema
  ID 2002
  Origine Picadd
  Livello Avviso
  Descrizione Il canale virtuale personalizzato <vcName> non può essere aperto dal processo <processName>
  Nome del registro Sistema
  ID 2003
  Origine Picadd
  Livello Informazioni
  Descrizione <username> ha aperto il canale virtuale personalizzato <vcName>
  Nome del registro Sistema
  ID 2004
  Origine Picadd
  Livello Avviso
  Descrizione <username> ha provato ad aprire il canale virtuale personalizzato <vcName>

I seguenti eventi vengono registrati nel registro eventi della macchina VDA multisessione:

  Nome del registro Sistema
  ID 13
  Origine Rpm
  Livello Informazioni
  Descrizione Il canale virtuale personalizzato <vcName> è stato aperto per processo <processName>
  Nome del registro Sistema
  ID 14
  Origine Rpm
  Livello Avviso
  Descrizione Il canale virtuale personalizzato <vcName> non può essere aperto dal processo <processName>
  Nome del registro Sistema
  ID 15
  Origine Rpm
  Livello Informazioni
  Descrizione <username> ha aperto il canale virtuale personalizzato <vcName>
  Nome del registro Sistema
  ID 16
  Origine Rpm
  Livello Avviso
  Descrizione <username> ha provato ad aprire il canale virtuale personalizzato <vcName>

Canali virtuali di terze parti noti

Di seguito sono riportate le soluzioni di terze parti note che utilizzano canali virtuali Citrix personalizzati. Questo elenco non include tutte le soluzioni che utilizzano un canale virtuale Citrix personalizzato.

  • Cerner
  • Cisco WebEx Teams
  • Software desktop virtuale Cisco WebEx Meetings
  • Epic Warp Drive
  • Estensioni client Midmark IQPath
  • Estensioni client Nuance PowerMic
  • Nuance Dragon Medical Network Edition 360 vSync
  • Zoom Meetings per VDI
  • Ultima IA-Connect

Per ottenere informazioni dettagliate sull’aggiunta dei canali virtuali associati all’elenco consentiti, rivolgersi ai fornitori delle soluzioni. In alternativa, attenersi alla procedura descritta nella sezione Ottenere nomi e processi dei canali virtuali.

Sicurezza dei canali virtuali