Citrix Virtual Apps and Desktops

Segurança de canais virtuais

Por padrão, o recurso Virtual channel allow list está ativado. Como resultado, apenas os canais virtuais Citrix podem abrir nas sessões de aplicativos e áreas de trabalho virtuais. Se houver necessidade de usar canais virtuais personalizados, sejam eles internos ou de terceiros, eles precisam ser adicionados explicitamente à lista de permissões.

Adicionar canais virtuais à lista de permissões

Para adicionar um canal virtual à lista de permissões, você precisa ter:

  1. O nome do canal virtual conforme definido no código, que pode ter até sete caracteres. Por exemplo, CTXCVC1.

  2. Os caminhos para os processos que abrem o canal virtual na máquina VDA. Por exemplo, C:\Program Files\Application\run.exe.

Quando tiver as informações necessárias, você deve adicionar o canal virtual à lista de permissões usando as Configurações de política de lista de permissão de canal virtual. Para adicionar um canal virtual à lista, insira o nome do canal virtual seguido por uma vírgula e, em seguida, o caminho para o processo que acessa o canal virtual. Se houver vários processos, eles podem ser adicionados separados por vírgula.

Usando os exemplos anteriores, você adicionaria o seguinte à lista:

CTXCVC1,C:\Program Files\Application\run.exe

Se houvesse vários processos, você adicionaria o seguinte à lista:

CTXCVC1,C:\Program Files\Application\run.exe,C:\Program Files\Application\run2.exe

O uso de curingas (*) é suportado. Você pode usar caracteres curinga quando os nomes de diretórios ou executáveis forem alterados com base na versão do aplicativo, ou se o componente de terceiros estiver instalado nos perfis dos usuários.

Você pode usar curingas para o seguinte:

  • Para substituir o nome completo do diretório. Por exemplo: C:\Program Files\Application\*\run1.exe
  • Para substituir parte do nome do diretório. Por exemplo: C:\Program Files\Application\v*\run1.exe
  • Para substituir o nome do executável. Por exemplo: C:\Program Files\Application\v1.2\*.exe
  • Para substituir parte do nome do executável. Por exemplo: C:\Program Files\Application\v1.2\run*.exe

As seguintes restrições se aplicam:

  • O curinga só pode ser usado para substituir um único diretório. Por exemplo, se o executável estiver localizado em C:\Program Files\Application\v1.2\run1.exe
    • Permitido: C:\Program Files\Application\*\run1.exe
    • Não permitido: C:\Program Files\*\run1.exe
  • As entradas devem conter a extensão do arquivo.
    • Permitido: C:\Program Files\Application\v1.2\*.exe
    • Não permitido: C:\Program Files\Application\v1.2\*
  • Todos os caminhos devem ser locais.

Nota:

Os caminhos de rede não são permitidos a partir da versão CVAD 2109.

Considerações sobre o canal virtual Citrix

Todos os canais virtuais Citrix internos são confiáveis e podem ser abertos sem configurações extras. No entanto, existem dois recursos que exigem entradas explícitas na lista de permissões devido a dependências externas:

  • Multimedia Redirection
  • HDX RealTime Optimization Pack for Skype for Business

Multimedia Redirection

Esta informação é necessária para a entrada na lista de permissão:

  • Nome do canal virtual: CTXMM
  • Processo: caminho para o media player usado em sua máquina VDA. Por exemplo, C:\Program Files (x86)\Windows Media Player\wmplayer.exe
  • Entrada na lista de permissão: CTXMM,C:\Program Files (x86)\Windows Media Player\wmplayer.exe

HDX RealTime Optimization Pack for Skype for Business

Esta informação é necessária para a entrada na lista de permissão:

  • Nome do canal virtual: CTXRMEP
  • Processo: caminho para o arquivo executável do Skype for Business na sua máquina VDA, que pode variar de acordo com a versão do Skype for Business ou se você usou um caminho de instalação personalizado. Por exemplo, C:\Program Files\Microsoft Office\root\Office16\lync.exe.
  • Entrada na lista de permissão: CTXRMEP,C:\Program Files\Microsoft Office\root\Office16\lync.exe

Obter nomes e processos de canais virtuais

A maneira mais fácil de obter o nome do canal virtual e o processo que o abre na máquina VDA é obtendo as informações diretamente do desenvolvedor ou fornecedor terceirizado que forneceu o canal virtual.

Como alternativa, essas informações podem ser obtidas aplicando os logs do recurso e seguindo estas etapas:

  1. Quando os componentes cliente e servidor do canal virtual personalizado estiverem instalados, inicie um aplicativo virtual ou uma área de trabalho virtual.
  2. No log de eventos do sistema da máquina VDA, procure o nome do canal virtual personalizado e o processo que tentou abri-lo no seguinte evento:
    • Em um VDA de sessão única, ID de evento 2002, origem Picadd.
    • Em um VDA multissessão, ID de evento 14, origem Rpm.
  3. Faça logoff da sessão.
  4. Adicione uma entrada na configuração da política de lista de permissão de canal virtual para o canal virtual identificado e o processo.
  5. Inicie o aplicativo virtual ou a área de trabalho virtual para confirmar que o canal virtual personalizado é aberto com êxito.

Registro em log da lista de permissão do canal virtual

Os seguintes eventos são registrados no log de eventos da máquina VDA de sessão única:

  Nome do log System
  Id 2001
  Origem Picadd
  Nível Informativo
  Descrição O canal virtual personalizado <vcName> foi aberto pelo processo <processName>
  Nome do log System
  Id 2002
  Origem Picadd
  Nível Aviso
  Descrição O canal virtual personalizado <vcName> não pode ser aberto pelo processo <processName>
  Nome do log System
  Id 2003
  Origem Picadd
  Nível Informativo
  Descrição <username> abriu o canal virtual personalizado <vcName>
  Nome do log System
  Id 2004
  Origem Picadd
  Nível Aviso
  Descrição <username> tentou abrir o canal virtual personalizado <vcName>

Os seguintes eventos são registrados no log de eventos da máquina VDA multissessão:

  Nome do log System
  Id 13
  Origem Rpm
  Nível Informativo
  Descrição O canal virtual personalizado <vcName> foi aberto pelo processo <processName>
  Nome do log System
  Id 14
  Origem Rpm
  Nível Aviso
  Descrição O canal virtual personalizado <vcName> não pode ser aberto pelo processo <processName>
  Nome do log System
  Id 15
  Origem Rpm
  Nível Informativo
  Descrição <username> abriu o canal virtual personalizado <vcName>
  Nome do log System
  Id 16
  Origem Rpm
  Nível Aviso
  Descrição <username> tentou abrir o canal virtual personalizado <vcName>

Canais virtuais de terceiros conhecidos

A seguir, listamos as soluções de terceiros conhecidas que usam canais virtuais Citrix personalizados. Esta lista não inclui todas as soluções que usam um canal virtual Citrix personalizado.

  • Cerner
  • Cisco WebEx Teams
  • Cisco WebEx Meetings Virtual Desktop Software
  • Epic Warp Drive
  • Midmark IQPath Client Extensions
  • Nuance PowerMic Client Extensions
  • Nuance Dragon Medical Network Edition 360 vSync
  • Zoom Meetings for VDI
  • Ultima IA-Connect

Para obter detalhes sobre como adicionar os canais virtuais associados à lista de permissão, entre em contato com os fornecedores das soluções. Como alternativa, siga as etapas descritas na seção Obter nomes e processos de canais virtuais.

Segurança de canais virtuais