セキュリティで保護された通信

Citrix Virtual Apps and DesktopsサーバーとCitrix Workspaceアプリ間の通信を保護するには、以下のセキュリティ保護技術をセットで使用します。

  • Citrix Gateway:詳しくは、このセクションのトピックと、Citrix GatewayおよびStoreFrontのドキュメントを参照してください。

    注:

    StoreFrontサーバーとユーザーデバイス間の通信にCitrix Gatewayを使用することをお勧めします。

  • ファイアウォール:ネットワークファイアウォールは、送信先アドレスとポート番号に基づいてパケットを通過させたりブロックしたりできます。サーバーの内部IPアドレスを外部インターネットアドレスにマップするネットワークファイアウォール(つまりNAT(Network Address Translation:ネットワークアドレス変換))を介してCitrix Workspaceアプリを使用する場合は、外部アドレスを構成します。
  • 信頼されたサーバー。
  • Citrix Virtual AppsまたはWeb Interface展開環境でのみ(XenDesktop 7には適用されません):SOCKSプロキシサーバーまたはセキュアプロキシサーバー(セキュリティプロキシサーバー、HTTPSプロキシサーバーとも呼ばれます)。プロキシサーバーでネットワークから外部へのアクセスや外部からネットワークへのアクセスを制限して、Citrix Workspaceアプリとサーバー間の接続を制御できます。Citrix Workspaceアプリは、SOCKSプロトコルとセキュアプロキシプロトコルをサポートしています。
  • Citrix Virtual AppsまたはWeb Interface展開環境では、TLS(Transport Layer Security)プロトコルを使用するCitrix SSL Relay(XenDesktop 7、XenDesktop 7.1、XenDesktop 7.5、またはXenApp 7.5には適用されません)。
  • Citrix Virtual Apps and Desktops 7.6の場合、ユーザーとVDA間で直接SSL接続を有効にできます

送信プロキシのサポート

スマートコントロールを使用すると、管理者は詳細なポリシーを定義して、Citrix Gatewayを使用してCitrix Virtual Apps and DesktopsおよびCitrix DaaS(Citrix Virtual Apps and Desktopsサービスの新名称)のユーザー環境属性を構成および適用できます。たとえば、ユーザーがドライブをリモートデスクトップにマップできないようにしたい場合があります。Citrix Gatewayのスマートコントロール機能を使用してこれを実現できます。

ただし、Citrix WorkspaceアプリとCitrix Gatewayが別々のエンタープライズアカウントに属している場合には、シナリオは変わります。このようなシナリオでは、クライアントドメインにGatewayが存在しないため、クライアントドメインはスマートコントロール機能を適用できません。代わりに、送信ICAプロキシを利用できます。送信ICAプロキシを使用すると、Citrix WorkspaceアプリとCitrix Gatewayが異なる組織に展開されている場合でも、スマートコントロール機能を使用できます。

Citrix Workspaceアプリは、NetScaler LANプロキシを使用したセッションの起動をサポートします。単一の静的プロキシを設定することも、送信プロキシプラグインを使用して実行時にプロキシサーバーを選択することもできます。

送信プロキシは、次の方法を使用して構成できます:

  • 静的プロキシ:プロキシのホスト名とポート番号を指定してプロキシサーバーを構成します。
  • 動的プロキシ:プロキシプラグインDLLを使用して、1つ以上のプロキシサーバーから1つのプロキシサーバーを選択できます。

グループポリシーオブジェクト管理用テンプレートとレジストリエディターを使用して、送信プロキシを構成できます。

送信プロキシについて詳しくは、Citrix Gatewayのドキュメントの「送信ICAプロキシのサポート」を参照してください。

送信プロキシのサポート - 構成

注:

静的プロキシと動的プロキシの両方が構成されている場合は、動的プロキシの構成が優先されます。

GPO管理用テンプレートを使用した送信プロキシの構成:

  1. gpedit.mscを実行して、Citrix Workspaceアプリグループポリシーオブジェクト管理用テンプレートを開きます。
  2. [コンピューターの構成] ノードで、[管理用テンプレート] > [Citrix Workspace] > [ネットワークルーティング] の順に移動します。
  3. 次のいずれかのオプションを選択します:
    • 静的プロキシの場合:[NetScaler LANプロキシを手動で構成する] ポリシーを選択します。[有効] を選択して、ホスト名とポート番号を入力します。
    • 動的プロキシの場合:[NetScaler LANプロキシをDLLを使用して構成する] ポリシーを選択します。[有効] を選択して、DLLファイルのフルパスを入力します。例:C:\Workspace\Proxy\ProxyChooser.dll
  4. [適用][OK] の順にクリックします。

レジストリエディターを使用して、次のように送信プロキシーを構成します:

  • 静的プロキシの場合:
    • レジストリエディターを起動して、HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\ICA Client\Engine\Network Routing\Proxy\NetScalerに移動します。
    • DWORD値キーを次のように作成します:

      "StaticProxyEnabled"=dword:00000001 "ProxyHost"="testproxy1.testdomain.com "ProxyPort"=dword:000001bb

  • 動的プロキシの場合:

    • レジストリエディターを起動して、HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\ICA Client\Engine\Network Routing\Proxy\NetScaler LAN Proxyに移動します。
    • DWORD値キーを次のように作成します: "DynamicProxyEnabled"=dword:00000001 "ProxyChooserDLL"="c:\\Workspace\\Proxy\\ProxyChooser.dll"

TLS

このトピックは、Citrix Virtual Apps and Desktopsのバージョン7.6以降に適用されます。

サーバーのすべてのCitrix Workspaceアプリ通信をTLSで暗号化するには、ユーザーデバイス、Citrix Workspaceアプリ、およびWeb Interfaceサーバー(使用している場合)を構成します。StoreFront通信の保護については、StoreFrontのドキュメントのセキュリティに関するセクションを参照してください。

前提条件:

ユーザーデバイスは、「システム要件」 で指定された要件を満たす必要があります。

このポリシーを使用してTLSオプションを構成します。このオプションにより、Citrix Workspaceアプリで接続先のサーバーをセキュアに識別して、サーバーとのすべての通信を暗号化できます。

このオプションで、以下が可能になります:

  • TLSの使用を適用する:インターネットを含めて、信頼されていないネットワークを介するすべての接続で、TLSの使用をお勧めします。
  • FIPS(Federal Information Processing Standards)の使用を適用する:FIPS準拠の暗号化で、NIST SP 800-52の推奨セキュリティへの準拠を可能にします。デフォルトでは、これらのオプションは無効になっています。
  • TLSの特定のバージョンおよび特定のTLS暗号の組み合わせの使用を適用する:Windows向けCitrix WorkspaceアプリとCitrix Virtual Apps and DesktopsおよびCitrix DaaS間でTLS 1.0、TLS 1.1、TLS 1.2プロトコルがサポートされます。
  • 特定のサーバーのみに接続する。
  • サーバー証明書の失効を確認する。
  • 特定のサーバー証明書発行ポリシーを確認する。
  • 特定のクライアント証明書を選択する(サーバーが要求するよう構成されている場合)。

TLSのサポート

  1. gpedit.mscを実行して、Citrix WorkspaceアプリのGPO管理用テンプレートを開きます。
  2. [コンピューターの構成] ノードで、[管理用テンプレート]>[Citrix Workspace]>[ネットワークルーティング] の順に移動して、[TLSおよびコンプライアンスモードの構成] ポリシーを選択します。

    TLSおよびコンプライアンスモードポリシー

  3. [有効] を選択してセキュリティで保護された接続を有効にし、サーバー上の通信を暗号化します。次のオプションを設定します。

    注:

    セキュリティで保護された接続で、TLSを使用することをCitrixではお勧めします。

    1. [すべての接続でTLSが必要] を選択することによって、公開アプリケーションおよびデスクトップに対するCitrix Workspaceアプリのすべての通信で強制的にTLSを使用させることができます。

    2. [セキュリティコンプライアンスモード] メニューから、適切なオプションを選択します:

      1. なし - コンプライアンスモードが適用されません。
      2. SP800-52 - SP800-52を選択してNIST SP800-52に準拠します。このオプションは、サーバーまたはゲートウェイをNIST SP 800-52推奨セキュリティに準拠させる場合にのみ選択してください。

      注:

      [SP800-52] を選択すると、[FIPSを有効にします] が選択されていない場合でも、自動的にFIPS準拠の暗号化が使用されます。Windowsセキュリティオプションの [システム暗号化:暗号化、ハッシュ、署名のためのFIPS準拠アルゴリズムを使う] も有効にする必要があります。有効にしない場合、Citrix Workspaceアプリが公開アプリケーションおよびデスクトップに接続できないことがあります。

      [SP800-52] を選択した場合、[証明書失効チェックのポリシー][完全なアクセス権のチェック] または [完全なアクセス権のチェックとCRLが必要です] のいずれかも選択する必要があります。

      [SP800-52] を選択すると、Citrix Workspaceアプリはサーバー証明書がNIST SP 800-52の推奨セキュリティに準拠しているかを検証します。サーバー証明書が準拠していない場合、Citrix Workspaceアプリが接続できないことがあります。

      1. FIPSを有効にします - FIPS準拠の暗号化の使用を適用するには、このオプションを選択します。オペレーティングシステムのグループポリシーからWindowsセキュリティオプションの [システム暗号化:暗号化、ハッシュ、署名のためのFIPS準拠アルゴリズムを使う] も有効にする必要があります。有効にしない場合、Citrix Workspaceアプリが公開アプリケーションおよびデスクトップに接続できないことがあります。
    3. [許可されたTLSサーバー] ドロップダウンリストから、ポート番号を選択します。Citrix Workspaceアプリがコンマ区切りの一覧で指定されたサーバーにのみ接続できるようにします。ワイルドカードおよびポート番号を指定できます。たとえば、「*.citrix.com: 4433」により、共通名が「.citrix.com」で終わるどのサーバーともポート4433での接続が許可されます。セキュリティ証明書の情報の正確さは、証明書の発行者によって異なります。Citrix Workspaceが証明書の発行者を認識して信頼しないと、接続は拒否されます。

    4. [TLSバージョン] メニューから、次のいずれかのオプションを選択します:

    • TLS 1.0、TLS 1.1、またはTLS 1.2 - これはデフォルトの設定です。このオプションは、業務上TLS 1.0との互換性が必要な場合のみお勧めします。

    • TLS 1.1またはTLS 1.2 - このオプションでICA接続がTLS 1.1またはTLS 1.2を使用するようにします。

    • TLS 1.2 - このオプションは、業務上TLS 1.2が必要な場合のみお勧めします。

    1. TLS暗号セット - 特定のTLS暗号セットの使用を適用するには、GOV(行政機関)、COM(営利企業)、ALL(すべて)の中から選択します。一部のCitrix Gateway構成では、COMの選択が必要になることがあります。Citrix Workspaceアプリは、ビット長1024、2048および、3072のRSAキーをサポートします。さらに、ビット長4096のRSAキーを持つルート証明書がサポートされます。

    注:

    ビット長1024のRSAキーの使用はお勧めしません

    • 任意:「任意」が設定されると、ポリシーは構成されず次のいずれかの暗号の組み合わせが許可されます:

      1. TLS_RSA_WITH_RC4_128_MD5
      2. TLS_RSA_WITH_RC4_128_SHA
      3. TLS_RSA_WITH_3DES_EDE_CBC_SHA
      4. TLS_RSA_WITH_AES_128_CBC_SHA
      5. TLS_RSA_WITH_AES_256_CBC_SHA
      6. TLS_RSA_WITH_AES_128_GCM_SHA256
      7. TLS_RSA_WITH_AES_256_GCM_SHA384
    • 商用:「商用」が設定されると、次の暗号の組み合わせのみが許可されます:

      1. TLS_RSA_WITH_RC4_128_MD5
      2. TLS_RSA_WITH_RC4_128_SHA
      3. TLS_RSA_WITH_AES_128_CBC_SHA
      4. TLS_RSA_WITH_AES_128_GCM_SHA256
    • 自治体:「自治体」が設定されると、暗号の組み合わせのみが許可されます:

      1. TLS_RSA_WITH_AES_256_CBC_SHA
      2. TLS_RSA_WITH_3DES_EDE_CBC_SHA
      3. TLS_RSA_WITH_AES_128_GCM_SHA256
      4. TLS_RSA_WITH_AES_256_GCM_SHA384
    1. [証明書失効チェックのポリシー] メニューから、次の任意のオプションを選択します:
    • ネットワークアクセスなしでチェックします - 証明書失効一覧チェックが実行されます。ローカルの証明書失効一覧のストアのみが使用されます。すべての配布ポイントが無視されます。証明書失効一覧の検索は、対象のSSL Relay/Citrix Secure Web Gatewayサーバーによって提示されるサーバー証明書の検証に必須ではありません。

    • 完全なアクセス権のチェック - 証明書失効一覧チェックが実行されます。ローカル証明書失効一覧のストアとすべての配布ポイントが使用されます。証明書の失効情報が検出されると、接続は拒否されます。証明書失効一覧を検出することは、ターゲットサーバーで提示されるサーバー証明書の検証では重要ではありません。

    • 完全なアクセス権とCRLのチェックが必要です - ルートCAを除いて証明書失効一覧チェックが実行されます。ローカル証明書失効一覧のストアとすべての配布ポイントが使用されます。証明書の失効情報が検出されると、接続は拒否されます。証明書失効一覧をすべて検出することが、検証では重要です。

    • すべてに完全なアクセス権とCRLのチェックが必要です - ルートCAを含めた証明書失効一覧チェックが実行されます。ローカル証明書失効一覧のストアとすべての配布ポイントが使用されます。証明書の失効情報が検出されると、接続は拒否されます。証明書失効一覧をすべて検出することが、検証では重要です。

    • チェックなし - 証明書失効一覧チェックは実行されません。

    1. [ポリシーの拡張OID] を使用して、Citrix Workspaceアプリが特定の証明書の発行ポリシーがあるサーバーにのみ接続するように制限できます。[ポリシーの拡張OID] を選択すると、Citrix Workspaceアプリはポリシーの拡張OIDがあるサーバー証明書のみを受け入れます。

    2. [クライアント認証] メニューから、以下の任意のオプションを選択します:

    • 無効 - クライアント認証が無効になります。

    • 証明書セレクタを表示します - 常にユーザーが証明書を選択するよう求めます。

    • 可能な場合、自動的に選択します - 特定する証明書に選択肢がある場合のみ、ユーザーに表示します。

    • 未構成 - クライアント認証が構成されていないことを意味します。

    • 指定された証明書を使用します - [クライアント証明書]オプションの設定で指定された「クライアント証明書」を使用します。

    1. [クライアント証明書] 設定を使用して、識別証明書の拇印を指定します。これにより、ユーザーに不要なプロンプトを表示しないようにすることができます。

    2. [適用] および [OK]をクリックしてポリシーを保存します。

次の表は、各セットの暗号の組み合わせを示しています:

ローカライズされた画像

ファイアウォール

ネットワークファイアウォールは、送信先アドレスとポート番号に基づいてパケットを通過させたりブロックしたりできます。ファイアウォールが使用されている環境では、Windows向けCitrix WorkspaceアプリとWebサーバーおよびCitrix製品のサーバーとの通信がファイアウォールでブロックされないように設定する必要があります。

共通のCitrix通信ポート

接続元 種類 ポート 詳細
Citrix Workspaceアプリ TCP 80/443 StoreFrontとの通信
ICA/HDX TCP 1494 アプリケーションおよび仮想デスクトップへのアクセス
ICA/HDX(セッション画面の保持機能) TCP 2598 アプリケーションおよび仮想デスクトップへのアクセス
ICA/HDX(SSL経由) TCP 443 アプリケーションおよび仮想デスクトップへのアクセス

ポートについて詳しくは、Knowledge CenterのCTX101810を参照してください。

ファイヤウォールによるネットワークアドレス変換(NAT:Network Address Translation)を使用している場合は、Web Interfaceを使って内部アドレスから外部アドレスおよびポートへのマッピングを定義できます。たとえば、Citrix Virtual Apps and Desktopsサーバーに代替アドレスが設定されていない場合は、Web InterfaceからCitrix Workspaceアプリに代替アドレスが提供されるように設定できます。これにより、Citrix Workspaceアプリでのサーバー接続で、外部アドレスおよびポート番号が使用されるようになります。

プロキシサーバー

プロキシサーバーは、ネットワークから外部へのアクセスや外部からネットワークへのアクセスを制限して、Windows向けCitrix Workspaceアプリとサーバー間の接続を制御するために使います。Citrix Workspaceアプリは、SOCKSプロトコルとセキュアプロキシプロトコルをサポートしています。

Citrix Workspaceアプリでサーバーと通信する場合、Web向けWorkspaceまたはWeb Interfaceサーバー上でリモートで構成されているプロキシサーバー設定が使用されます。プロキシサーバーの構成については、StoreFrontまたはWeb Interfaceのドキュメントを参照してください。

また、Citrix WorkspaceアプリがWebサーバーと通信するときは、ユーザーデバイス上でデフォルトのWebブラウザーのインターネット設定で構成したプロキシサーバー設定が使用されます。各ユーザーデバイス上のデフォルトのWebブラウザーで、インターネット設定を構成する必要があります。

接続中にCitrix Workspaceアプリがプロキシサーバーを優先するか無視するかについて、レジストリエディターでプロキシ設定を構成します。

警告

レジストリエディターの使用を誤ると、深刻な問題が発生する可能性があり、オペレーティングシステムの再インストールが必要になる場合もあります。レジストリエディターの誤用による障害に対して、Citrixでは一切責任を負いません。

  1. \HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\AuthManagerにアクセスします。
  2. ProxyEnabled(REG_SZ)を設定します。
    • True – Citrix Workspaceアプリは接続でプロキシサーバーを優先します。
    • False – Citrix Workspaceアプリは接続でプロキシサーバーを無視します。
  3. Citrix Workspaceアプリのセッションを再起動して、この変更を適用します。

信頼されたサーバー

信頼済みサーバー構成を使用して、Citrix Workspaceアプリの接続で信頼関係を識別し適用できます。

信頼済みサーバーを有効にすることで、Citrix Workspaceアプリは要件を指定し、サーバーへの接続が信頼済みかどうかを判断できます。たとえば、特定のアドレス(https://\*.citrix.comなど)に特定の接続の種類(TLSなど)を使用して接続するCitrix Workspaceアプリは、サーバーの信頼済みゾーンに接続されます。

この機能を有効にすると、接続されたサーバーはWindowsの信頼済みサイトゾーンに配置されます。Windowsの信頼済みサイトゾーンにサーバーを追加する手順について詳しくは、Internet Explorerのオンラインヘルプを参照してください。

グループポリシーオブジェクト管理用テンプレートを使用して信頼済みサーバーの構成を有効にするには

前提要件:

コネクションセンターなどのCitrix Workspaceアプリコンポーネントを終了します。

  1. gpedit.mscを実行して、Citrix WorkspaceアプリのGPO管理用テンプレートを開きます。
  2. [コンピューターの構成] ノードで、[管理用テンプレート]>[従来の管理用テンプレート(ADM)]>[Citrixコンポーネント]>[Citrix Workspace]>[ネットワークルーティング]>[信頼済みサーバーの構成を構成します] の順に選択します。
  3. [有効] を選択して、Citrix Workspaceアプリに領域の識別を適用します。
  4. [信頼済みサーバーの構成を適用します] を選択します。これによって、クライアントに信頼済みサーバーを使用した識別を適用します。
  5. [Windowsインターネットゾーン] ドロップダウンリストから、クライアントのサーバーアドレスを選択します。この設定はWindowsの信頼済みサイトにのみ適用できます。
  6. [アドレス] フィールドで、Windows以外の信頼済みサイトゾーンのクライアントサーバーアドレスを設定します。コンマ区切り一覧を使用できます。
  7. [OK] および [適用] をクリックします。

ICAファイルの署名

ICAファイル署名機能は、認証していないアプリケーションやデスクトップの起動を回避するために役立ちます。Citrix Workspaceアプリは、信頼できるソースからアプリケーションまたはデスクトップが起動されることを管理ポリシーに基づいて検証し、信頼されていないサーバーからの起動を防ぎます。グループポリシーオブジェクトの管理用テンプレートまたはStoreFrontを使用して、ICAファイルの署名を構成できます。ICAファイル署名はデフォルトで無効になっています。

StoreFrontに対するICAファイル署名については、StoreFrontのドキュメントの「ICAファイル署名の有効化」を参照してください。

Web Interface展開の場合、Web Interfaceでこの機能を有効にして構成し、Citrix ICA File Signing Serviceを使用して起動処理中にアプリケーションまたはデスクトップの起動に署名を含めることができます。このサービスにより、コンピューターの個人証明書ストアにある証明書を使用してICAファイルに署名できます。

ICAファイルの署名の構成

注:

CitrixBase.admx\admlがローカルGPOに追加されないと、[ICAファイルの署名を有効にします] ポリシーが表示されないことがあります。

  1. gpedit.mscを実行して、Citrix Workspaceアプリグループポリシーオブジェクト管理用テンプレートを開きます。
  2. [コンピューターの構成] ノードで、[管理用テンプレート]>[Citrixコンポーネント] に移動します。
  3. [ICAファイルの署名を有効にします] を選択し、必要に応じて次のいずれかのオプションを選択します。
    1. 有効 - 署名証明書の拇印を信頼された機関からの証明書の拇印のホワイトリストに追加できます。
    2. 信頼証明書 - [表示] をクリックして、ホワイトリストから既存の署名証明書の拇印を削除します。署名証明書のサムプリントは署名証明書のプロパティからコピーして貼り付けることができます。
    3. セキュリティポリシー - メニューから次のいずれかのオプションを選択します。
      1. 署名による起動のみを許可します(安全性が高い):信頼できるサーバーからの署名されたアプリケーションまたはデスクトップの起動のみを許可します。無効な署名の場合、セキュリティ警告が表示されます。認証されていないため、セッションを開始できません。
      2. 署名されていない起動(安全性が低い)でユーザーにプロンプトを表示します:署名されていないセッション、または署名が無効なセッションが開始されると、メッセージが表示されます。起動を続行するか、起動をキャンセルするか(デフォルト)を選択できます。
  4. [適用] および [OK]をクリックしてポリシーを保存します。
  5. Citrix Workspaceアプリのセッションを再起動して、この変更を適用します。

デジタル署名証明書を選択して配布するには:

デジタル署名証明書を選択するときは、次の一覧の上位のオプションから順にお勧めします:

  1. 周知の証明機関からコード署名証明書またはSSL署名証明書を購入する。
  2. 社内に証明機関がある場合はその証明機関を使用して、コード署名証明書またはSSL署名証明書を作成する。
  3. Web Interfaceのサーバー証明書などの既存のSSL証明書を使用する。
  4. ルート証明書を作成して、GPOまたは手動インストールによりユーザーデバイスに配布する。
セキュリティで保護された通信