セキュリティで保護された通信

Citrix Virtual Apps and DesktopsサーバーとCitrix Workspaceアプリ間の通信を保護するには、以下の一連のセキュリティ保護技術を使用して、Citrix Workspaceアプリの接続を統合できます:

  • Citrix Gateway:詳しくは、このセクションのトピックと、Citrix GatewayおよびStoreFrontのドキュメントを参照してください。
  • ファイアウォール:ネットワークファイアウォールは、送信先アドレスとポート番号に基づいてパケットを通過させたりブロックしたりできます。
  • TLS(Transport Layer Security)バージョン1.0から1.2がサポートされます。
  • 信頼済みサーバーで、Citrix Workspaceアプリの接続で信頼関係を確立します。
  • ICAファイルの署名
  • ローカルセキュリティ機関(LSA)の保護
  • Citrix Virtual Apps展開のみでのプロキシサーバー:SOCKSプロキシサーバーまたはセキュアプロキシサーバー。プロキシサーバーは、ネットワークとのアクセスを制限するのに役立ちます。また、Citrix Workspaceアプリとサーバー間の接続も処理します。Citrix Workspaceアプリは、SOCKSプロトコルとセキュアプロキシプロトコルをサポートしています。
  • 送信プロキシ

Citrix Gateway

Citrix Gateway(旧称「Access Gateway」)を使用すると、StoreFrontストアへの接続をセキュアに保護します。また、管理者がデスクトップやアプリケーションへのユーザーアクセスを詳細に管理できます。

Citrix Gateway経由でデスクトップやアプリケーションに接続するには:

  1. 以下のいずれかの方法で、管理者により提供されたCitrix GatewayのURLを指定します:

    • セルフサービスユーザーインターフェイスの初回使用時に、[アカウントの追加] ダイアログボックスでURLを入力します。
    • セルフサービスユーザーインターフェイスの初回使用から後は、[環境設定]>[アカウント]>[追加] の順に選択します。
    • storebrowseコマンドで接続する場合は、コマンドラインにURLを入力します。

URLにより、ゲートウェイと、必要に応じて特定のストアが指定されます。

  • Citrix Workspaceアプリで検出された最初のストアに接続されるようにするには、URLを次の形式で指定します:

  • 特定のストアに接続する場合は、URLをhttps://gateway.company.com?<ストア名>のような形式で指定します。この動的URLは、非標準の形式です。そのため、このURLには等号(=)を含めないでください。storebrowseコマンドで特定のストアに接続する場合は、URLを引用符で囲んで指定します。ストア名>

  1. 資格情報の入力を確認するメッセージが表示されたら、ユーザー名、パスワード、およびセキュリティトークンを入力します。この手順について詳しくは、Citrix Gatewayのドキュメントを参照してください。

認証処理が完了すると、デスクトップまたはアプリケーションが表示されます。

ファイアウォールを介した接続

ネットワークファイアウォールは、送信先アドレスとポート番号に基づいてパケットを通過させたりブロックしたりできます。ファイアウォールが使用されている場合、Windows向けCitrix WorkspaceアプリとWebサーバーおよびCitrix製品のサーバーとの通信がファイアウォールでブロックされないように設定できます。

共通のCitrix通信ポート

接続元 種類 ポート 詳細
Citrix Workspaceアプリ TCP 80/443 StoreFrontとの通信
ICAまたはHDX TCP/UDP 1494 アプリケーションおよび仮想デスクトップへのアクセス
ICAまたはHDX(セッション画面の保持機能) TCP/UDP 2598 アプリケーションおよび仮想デスクトップへのアクセス
ICA/HDX(TLS経由) TCP/UDP 443 アプリケーションおよび仮想デスクトップへのアクセス

ポートについて詳しくは、Knowledge Centerの記事CTX101810を参照してください。

Transport Layer Security

Transport Layer Security(TLS)は、Secure Sockets Layer(SSL)プロトコルに代わるものです。IETF(Internet Engineering TaskForce)が、TLSの公開標準規格の開発をNetscape Communicationsから引き継いだときに、SSLという名前をTLSに変更しました。

TLSは、サーバーの認証、データの暗号化、メッセージの整合性の確認を行って、データ通信をセキュアに保護します。米国政府機関をはじめとする組織の中には、データ通信を保護するためにTLSの使用を義務付けているところもあります。このような組織では、さらにFIPS 140(Federal Information Processing Standard)などのテスト済み暗号化基準の使用を義務付けられる場合があります。FIPS 140は、暗号化の情報処理規格です。

TLS暗号化を通信メディアとして使用するには、ユーザーデバイスとCitrix Workspaceアプリを構成する必要があります。StoreFront通信の保護については、StoreFrontドキュメントの「セキュリティ」セクションを参照してください。VDAのセキュリティ保護については、Citrix Virtual Apps and Desktopsドキュメントの「Transport Layer Security(TLS)」を参照してください

以下のポリシーで、次のことを実行できます:

  • TLSの使用を適用する:インターネットを含めて、信頼されていないネットワークを介する接続で、TLSの使用をお勧めします。
  • FIPS(Federal Information Processing Standards)準拠の暗号化の使用を適用し、NIST SP 800-52の推奨セキュリティに従います。デフォルトでは、これらのオプションは無効になっています。
  • 特定のTLSバージョンおよび特定のTLS暗号の組み合わせの使用を適用する:TLS 1.0、TLS 1.1、TLS 1.2プロトコルがCitrixではサポートされます。
  • 特定のサーバーのみに接続する。
  • サーバー証明書の失効を確認する。
  • 特定のサーバー証明書発行ポリシーを確認する。
  • 特定のクライアント証明書を選択する(サーバーが要求するよう構成されている場合)。

Windows向けCitrix WorkspaceアプリはTLS 1.2プロトコルの以下の暗号の組み合わせをサポートします:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

サポートされている暗号の組み合わせについて詳しくは、Knowledge Centerの記事CTX250104を参照してください。

重要:

次の暗号の組み合わせは、セキュリティを強化するために廃止されました:

  • 暗号の組み合わせRC4および3DES
  • 接頭辞が「TLS_RSA_*」の暗号の組み合わせ
  • TLS_RSA_WITH_AES_256_GCM_SHA384(0x009d)
  • TLS_RSA_WITH_AES_128_GCM_SHA256(0x009c)
  • TLS_RSA_WITH_AES_256_CBC_SHA256(0x003d)
  • TLS_RSA_WITH_AES_256_CBC_SHA(0x0035)
  • TLS_RSA_WITH_AES_128_CBC_SHA(0x002f)
  • TLS_RSA_WITH_RC4_128_SHA(0x0005)
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA(0x000a)

TLSのサポート

  1. gpedit.mscを実行して、Citrix WorkspaceアプリのGPO管理用テンプレートを開きます。
  2. [コンピューターの構成] ノードで、[管理用テンプレート]>[Citrix Workspace]>[ネットワークルーティング] の順に移動して、[TLSおよびコンプライアンスモードの構成] ポリシーを選択します。

    TLSおよびコンプライアンスモードポリシー

  3. [有効] を選択してセキュリティで保護された接続を有効にし、サーバー上の通信を暗号化します。次のオプションを設定します。

    注:

    セキュリティで保護された接続で、TLSを使用することをCitrixではお勧めします。

    1. [すべての接続でTLSが必要] を選択することによって、公開アプリケーションおよびデスクトップに対するCitrix Workspaceアプリの通信で強制的にTLSを使用させることができます。

    2. [セキュリティコンプライアンスモード] メニューから、適切なオプションを選択します:

      1. なし - コンプライアンスモードが適用されません。
      2. SP800-52 - SP800-52を選択してNIST SP 800-52に準拠します。このオプションは、サーバーまたはゲートウェイがNIST SP 800-52推奨セキュリティに従っている場合にのみ選択してください。

      注:

      [SP800-52] を選択すると、[FIPSを有効にします] が選択されていない場合でも、自動的にFIPS準拠の暗号化が使用されます。また、Windowsセキュリティオプションの [システム暗号化:暗号化、ハッシュ、署名のためのFIPS準拠アルゴリズムを使う] を有効にします。有効にしない場合、Citrix Workspaceアプリが公開アプリケーションおよびデスクトップに接続できないことがあります。

      [SP800-52] を選択した場合、[証明書失効チェックのポリシー][完全なアクセス権のチェックとCRLが必要です] に設定します。

      [SP800-52] を選択すると、Citrix Workspaceアプリはサーバー証明書がNIST SP 800-52の推奨セキュリティに従っているかを検証します。サーバー証明書が準拠していない場合、Citrix Workspaceアプリが接続できないことがあります。

      1. FIPSを有効にします - FIPS準拠の暗号化の使用を適用するには、このオプションを選択します。また、オペレーティングシステムのグループポリシーからWindowsセキュリティオプションの [システム暗号化:暗号化、ハッシュ、署名のためのFIPS準拠アルゴリズムを使う] を有効にします。有効にしない場合、Citrix Workspaceアプリが公開アプリケーションおよびデスクトップに接続できないことがあります。
    3. [許可されたTLSサーバー] ドロップダウンメニューから、ポート番号を選択します。コンマ区切りの一覧を使用して、Citrix Workspaceアプリが指定されたサーバーにのみ接続できるようにします。ワイルドカードおよびポート番号を指定できます。たとえば、「*.citrix.com: 4433」により、共通名が「.citrix.com」で終わるどのサーバーともポート4433での接続が許可されます。セキュリティ証明書の情報の正確さは、証明書の発行者によって異なります。Citrix Workspaceが証明書の発行者を認識しない、または信頼しないと、接続は拒否されます。

    4. [TLSバージョン] メニューから、次のいずれかのオプションを選択します:

    • TLS 1.0、TLS 1.1、またはTLS 1.2 - これはデフォルトの設定です。このオプションは、業務上TLS 1.0との互換性が必要な場合のみお勧めします。

    • TLS 1.1またはTLS 1.2 - このオプションで接続がTLS 1.1またはTLS 1.2を使用するようにします。

    • TLS 1.2 - このオプションは、業務上TLS 1.2が必要な場合のみお勧めします。

    1. TLS暗号セット - 特定のTLS暗号セットの使用を適用するには、GOV(行政機関)、COM(営利企業)、またはALL(すべて)を選択します。詳しくは、Knowledge Centerの記事CTX250104を参照してください。

    2. [証明書失効チェックのポリシー] メニューから、次の任意のオプションを選択します:

    • ネットワークアクセスなしでチェックします - 証明書失効一覧チェックが実行されます。ローカルの証明書失効一覧のストアのみが使用されます。すべての配布ポイントが無視されます。対象のSSL Relay/Citrix Secure Web Gatewayサーバーから利用できるサーバー証明書を検証する証明書失効一覧チェックは、必須ではありません。

    • 完全なアクセス権のチェック - 証明書失効一覧チェックが実行されます。ローカル証明書失効一覧のストアとすべての配布ポイントが使用されます。証明書の失効情報が検出されると、接続は拒否されます。対象のサーバーから利用できるサーバー証明書を検証する証明書失効一覧チェックは重要ではありません。

    • 完全なアクセス権とCRLのチェックが必要です - ルート証明機関を除いて証明書失効一覧チェックが実行されます。ローカル証明書失効一覧のストアとすべての配布ポイントが使用されます。証明書の失効情報が検出されると、接続は拒否されます。証明書失効一覧をすべて検出することが、検証では重要です。

    • すべてに完全なアクセス権とCRLのチェックが必要です - ルートCAを含めた証明書失効一覧チェックが実行されます。ローカル証明書失効一覧のストアとすべての配布ポイントが使用されます。証明書の失効情報が検出されると、接続は拒否されます。証明書失効一覧をすべて検出することが、検証では重要です。

    • チェックなし - 証明書失効一覧チェックは実行されません。

    1. [ポリシーの拡張OID] を使用して、Citrix Workspaceアプリが特定の証明書の発行ポリシーがあるサーバーにのみ接続するように制限できます。[ポリシーの拡張OID] を選択すると、Citrix Workspaceアプリはポリシーの拡張OIDがあるサーバー証明書のみを受け入れます。

    2. [クライアント認証] メニューから、以下の任意のオプションを選択します:

    • 無効 - クライアント認証が無効になります。

    • 証明書セレクタを表示します - 常にユーザーが証明書を選択するよう求めます。

    • 可能な場合、自動的に選択します - 特定する証明書に選択肢がある場合のみ、ユーザーに表示します。

    • 未構成 - クライアント認証が構成されていないことを意味します。

    • 指定された証明書を使用します - [クライアント証明書]オプションの設定で指定された「クライアント証明書」を使用します。

    1. [クライアント証明書] 設定を使用して、識別証明書の拇印を指定します。これにより、ユーザーに不要なプロンプトを表示しないようにすることができます。

    2. [適用] および [OK]をクリックしてポリシーを保存します。

内部および外部ネットワーク接続マトリックスについて詳しくは、Knowledge Centerの記事CTX250104を参照してください。

信頼されたサーバー

信頼済みサーバー構成を使用して、Citrix Workspaceアプリの接続で信頼関係を識別し適用できます。

信頼済みサーバーを有効にすると、Citrix Workspaceアプリは要件を指定し、サーバーへの接続が信頼できるかどうかを判断します。たとえば、特定のアドレス(https://\*.citrix.comなど)に特定の接続の種類(TLSなど)を使用して接続するCitrix Workspaceアプリは、サーバーの信頼済みゾーンに接続されます。

この機能を有効にすると、接続されたサーバーはWindowsの信頼済みサイトゾーンに配置されます。Windowsの信頼済みサイトゾーンにサーバーを追加する手順について詳しくは、Internet Explorerのオンラインヘルプを参照してください。

グループポリシーオブジェクト管理用テンプレートを使用して信頼済みサーバーの構成を有効にするには

前提条件:

コネクションセンターなどのCitrix Workspaceアプリコンポーネントを終了します。

  1. gpedit.mscを実行して、Citrix WorkspaceアプリのGPO管理用テンプレートを開きます。
  2. [コンピューターの構成] ノードで、[管理用テンプレート]>[Citrixコンポーネント]>[Citrix Workspace]>[ネットワークルーティング]>[信頼済みサーバーの構成を構成します] の順に選択します。
  3. [有効] を選択して、Citrix Workspaceアプリに領域の識別を適用します。
  4. [信頼済みサーバーの構成を適用します] を選択します。このオプションによって、クライアントに信頼済みサーバーを使用した識別を適用します。
  5. [Windowsインターネットゾーン] ドロップダウンメニューから、クライアントのサーバーアドレスを選択します。この設定はWindowsの信頼済みサイトゾーンにのみ適用できます。
  6. [アドレス] フィールドで、Windows以外の信頼済みサイトゾーンのクライアントのサーバーアドレスを設定します。コンマ区切り一覧を使用できます。
  7. [OK] および [適用] をクリックします。

ICAファイルの署名

ICAファイル署名機能は、認証していないアプリケーションやデスクトップの起動を回避するために役立ちます。Citrix Workspaceアプリは、信頼できるソースからアプリケーションまたはデスクトップが生成されたことを管理ポリシーに基づいて検証し、信頼されていないサーバーからの起動を防ぎます。グループポリシーオブジェクトの管理用テンプレートまたはStoreFrontを使用して、ICAファイルの署名を構成できます。ICAファイルの署名機能はデフォルトで無効になっています。

StoreFrontに対するICAファイル署名については、StoreFrontのドキュメントの「ICAファイル署名の有効化」を参照してください。

ICAファイルの署名の構成

注:

CitrixBase.admx\admlがローカルGPOに追加されないと、[ICAファイルの署名を有効にします] ポリシーが表示されないことがあります。

  1. gpedit.mscを実行して、Citrix Workspaceアプリグループポリシーオブジェクト管理用テンプレートを開きます。
  2. [コンピューターの構成] ノードで、[管理用テンプレート]>[Citrixコンポーネント] に移動します。
  3. [ICAファイルの署名を有効にします] を選択し、必要に応じて次のいずれかのオプションを選択します。
    1. 有効 - 署名証明書の拇印を信頼された機関からの証明書の拇印の許可リストに追加できます。
    2. 信頼証明書 - [表示] をクリックして、許可リストから既存の署名証明書の拇印を削除します。署名証明書のサムプリントは署名証明書のプロパティからコピーして貼り付けることができます。
    3. セキュリティポリシー - メニューから次のいずれかのオプションを選択します。
      1. 署名による起動のみを許可します(安全性が高い):信頼できるサーバーからの署名されたアプリケーションおよびデスクトップの起動のみを許可します。無効な署名があると、セキュリティ警告が表示されます。認証されていないため、セッションを開始できません。
      2. 署名されていない起動(安全性が低い)でユーザーにプロンプトを表示します:署名されていないセッション、または署名が無効なセッションが開始されると、メッセージが表示されます。起動を続行するか、起動をキャンセルするか(デフォルト)を選択できます。
  4. [適用] および [OK]をクリックしてポリシーを保存します。
  5. Citrix Workspaceアプリのセッションを再起動して、この変更を適用します。

デジタル署名証明書を選択して配布するには:

デジタル署名証明書を選択するときは、次の一覧の上位のオプションから順にお勧めします:

  1. 周知の証明機関からコード署名証明書またはSSL署名証明書を購入する。
  2. 社内に証明機関がある場合はその証明機関を使用して、コード署名証明書またはSSL署名証明書を作成する。
  3. 既存のSSL証明書を使用する。
  4. ルート証明書を作成して、GPOまたは手動インストールによりユーザーデバイスに配布する。

ローカルセキュリティ機関(LSA)の保護

Citrix WorkspaceアプリはWindowsのローカルセキュリティ機関(LSA)の保護をサポートします。この仕組みはシステムのローカルセキュリティに関するあらゆる情報を管理します。このサポートにより、ホストされるデスクトップにLSAレベルのシステム保護が提供されます。

プロキシサーバー経由の接続

プロキシサーバーは、ネットワークから外部へのアクセスや外部からネットワークへのアクセスを制限して、Windows向けCitrix Workspaceアプリとサーバー間の接続を制御するために使います。Citrix Workspaceアプリは、SOCKSプロトコルとセキュアプロキシプロトコルをサポートしています。

Citrix Workspaceアプリでサーバーと通信する場合、Web向けWorkspaceを実行するサーバー上でリモートで構成されているプロキシサーバー設定が使用されます。

また、Citrix WorkspaceアプリがWebサーバーと通信するときは、ユーザーデバイス上でデフォルトのWebブラウザーのインターネット設定で構成したプロキシサーバー設定が使用されます。適宜、ユーザーデバイス上のデフォルトのWebブラウザーで、インターネット設定を構成します。

StoreFrontのICAファイルを介してプロキシ設定を適用するには、Citrix Knowledge CenterのCTX136516を参照してください。

送信プロキシのサポート

SmartControlを使用すると、管理者は環境に影響を与えるポリシーを構成して適用できます。たとえば、ユーザーがドライブをリモートデスクトップにマップできないようにしたい場合があります。Citrix GatewayのSmartControl機能を使用して、このような詳細設定を実現できます。

Citrix WorkspaceアプリとCitrix Gatewayが別々のエンタープライズアカウントに属している場合、状況は異なります。このような場合は、クライアントドメインにゲートウェイが存在しないため、ドメインはSmartControl機能を適用できません。代わりに、送信ICAプロキシを利用できます。送信ICAプロキシ機能を使用すると、Citrix WorkspaceアプリとCitrix Gatewayが異なる組織に展開されている場合でも、SmartControl機能を使用できます。

Citrix Workspaceアプリは、NetScaler LANプロキシを使用したセッションの起動をサポートします。送信プロキシプラグインを使用して、単一の静的プロキシを構成するか、実行時にプロキシサーバーを選択します。

送信プロキシは、次の方法を使用して構成できます:

  • 静的プロキシ:プロキシのホスト名とポート番号を指定してプロキシサーバーを構成します。
  • 動的プロキシ:プロキシプラグインDLLを使用して、1つ以上のプロキシサーバーから1つのプロキシサーバーを選択できます。

グループポリシーオブジェクト管理用テンプレートまたはレジストリエディターを使用して、送信プロキシを構成できます。

送信プロキシについて詳しくは、Citrix Gatewayのドキュメントの「送信ICAプロキシのサポート」を参照してください。

送信プロキシのサポート - 構成

注:

静的プロキシと動的プロキシの両方が構成されている場合は、動的プロキシの構成が優先されます。

GPO管理用テンプレートを使用した送信プロキシの構成:

  1. gpedit.mscを実行して、Citrix Workspaceアプリグループポリシーオブジェクト管理用テンプレートを開きます。
  2. [コンピューターの構成] ノードで、[管理用テンプレート] > [Citrix Workspace] > [ネットワークルーティング] の順に移動します。
  3. 次のいずれかのオプションを選択します:
    • 静的プロキシの場合:[NetScaler LANプロキシを手動で構成する] ポリシーを選択します。[有効] を選択して、ホスト名とポート番号を入力します。
    • 動的プロキシの場合:[NetScaler LANプロキシをDLLを使用して構成する] ポリシーを選択します。[有効] を選択して、DLLファイルのフルパスを入力します。例:C:\Workspace\Proxy\ProxyChooser.dll
  4. [適用][OK] の順にクリックします。

レジストリエディターを使用して、次のように送信プロキシを構成します:

  • 静的プロキシの場合:
    • レジストリエディターを起動して、HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\ICA Client\Engine\Network Routing\Proxy\NetScalerに移動します。
    • DWORD値キーを次のように作成します:

      "StaticProxyEnabled"=dword:00000001 "ProxyHost"="testproxy1.testdomain.com "ProxyPort"=dword:000001bb

  • 動的プロキシの場合:

    • レジストリエディターを起動して、HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\ICA Client\Engine\Network Routing\Proxy\NetScaler LAN Proxyに移動します。
    • DWORD値キーを次のように作成します: "DynamicProxyEnabled"=dword:00000001 "ProxyChooserDLL"="c:\\Workspace\\Proxy\\ProxyChooser.dll"
セキュリティで保護された通信