Configurações de política de segurança
A seção Segurança inclui a configuração de política para configurar a criptografia de sessão e a criptografia de dados de logon.
Nível mínimo de criptografia do SecureICA
Essa configuração especifica o nível mínimo no qual os dados de sessão enviados entre o servidor e um dispositivo de usuário devem ser criptografados.
Importante: Para o Virtual Delivery Agent 7.x, essa configuração de política pode ser usada apenas para habilitar a criptografia dos dados de logon com criptografia RC5 de 128 bits. Outras configurações são fornecidas apenas para compatibilidade retroativa com versões legadas do Citrix Virtual Apps and Desktops.
Para o VDA 7.x, a criptografia de dados de sessão é definida usando as configurações básicas do Grupo de Entrega do VDA. Se a opção “Habilitar Secure ICA” for selecionada para o Grupo de Entrega, os dados de sessão serão criptografados usando criptografia RC5 (128 bits). Se a opção “Habilitar Secure ICA” não for selecionada para o Grupo de Entrega, os dados de sessão serão criptografados com criptografia Básica.
Ao adicionar essa configuração a uma política, selecione uma opção:
- Básico criptografa a conexão do cliente usando um algoritmo não-RC5. Ele protege o fluxo de dados de ser lido diretamente, mas pode ser descriptografado. Por padrão, o servidor usa criptografia Básica para o tráfego cliente-servidor.
- Logon RC5 (128 bits) criptografa apenas os dados de logon usando criptografia RC5 de 128 bits e a conexão do cliente usando criptografia Básica.
- RC5 (40 bits) criptografa a conexão do cliente usando criptografia RC5 de 40 bits.
- RC5 (56 bits) criptografa a conexão do cliente usando criptografia RC5 de 56 bits.
- RC5 (128 bits) criptografa a conexão do cliente usando criptografia RC5 de 128 bits.
As configurações que você especifica para a criptografia cliente-servidor podem interagir com quaisquer outras configurações de criptografia em seu ambiente e em seu sistema operacional Windows. Considere que um nível de criptografia de prioridade mais alta esteja definido em um servidor ou dispositivo de usuário. Nesse caso, as configurações que você especifica para recursos publicados podem ser substituídas.
Você pode aumentar os níveis de criptografia para proteger ainda mais as comunicações e a integridade das mensagens para determinados usuários. Se uma política exigir um nível de criptografia mais alto, os Citrix Receivers que usam um nível de criptografia mais baixo terão a conexão negada.
O SecureICA não realiza autenticação nem verifica a integridade dos dados. Para fornecer criptografia de ponta a ponta para seu site, use o SecureICA com criptografia TLS.
O SecureICA não usa algoritmos compatíveis com FIPS. Se essa configuração for um problema, configure o servidor e os Citrix Receivers para evitar o uso do SecureICA.
O SecureICA usa a cifra de bloco RC5, conforme descrito na RFC 2040, para confidencialidade. O tamanho do bloco é de 64 bits (um múltiplo de unidades de palavra de 32 bits). O comprimento da chave é de 128 bits. O número de rodadas é 12.
As chaves para a cifra de bloco RC5 são negociadas quando uma sessão é criada. A negociação é realizada usando o algoritmo Diffie-Hellman. Essa negociação usa parâmetros públicos Diffie-Hellman. Esses parâmetros são armazenados no registro do Windows quando o Virtual Delivery Agent é instalado. Os parâmetros públicos não são secretos. O resultado da negociação Diffie-Hellman é uma chave secreta, da qual as chaves de sessão para a cifra de bloco RC5 são derivadas. Chaves de sessão separadas são usadas para logon de usuário e para transferência de dados. Além disso, chaves de sessão separadas são usadas para o tráfego de e para o Virtual Delivery Agent. Portanto, há quatro chaves de sessão para cada sessão. As chaves secretas e as chaves de sessão não são armazenadas. Os vetores de inicialização para a cifra de bloco RC5 também são derivados da chave secreta.