安全
为了安全启用了 ProGuard
我们已启用 ProGuard,以便通过模糊处理来确保适用于 Android 的 Citrix Workspace 的安全。ProGuard 会重命名代码的不同部分,以防止检查堆栈跟踪,并确保 Workspace 应用程序的安全。ProGuard 还通过缩短应用程序类、方法和字段的名称来减小应用程序的大小。
加密
此功能是安全通信协议的重要变更。前缀为 TLS_RSA_ 的密码套件不提供向前保密,并且被视为弱密码套件。
TLS_RSA_
密码套件已被删除。20.6.5 及更高版本支持高级 TLS_ECDHE_RSA_
密码套件。如果您的环境未配置 TLS_ECDHE_RSA_
密码套件,则由于密码较弱,您将无法启动客户端。
支持以下高级密码套件:
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028)
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013)
TLS v1.0 支持以下密码套件:
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS v1.2 支持以下密码套件:
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS v1.3 支持以下密码套件:
- TLS_AES_256_GCM_SHA384
- TLS_AES_128_GCM_SHA256
支持传输层安全性 1.3
适用于 Android 的 Citrix Workspace 应用程序现在支持传输层安全性 (TLS) 1.3。它可以提高性能和效率。TLS 1.3 凭借其强大的密码套件和一次性会话密钥提供了强大的安全性。
最终用户可以在适用于 Android 的 Citrix Workspace 应用程序上将其启用,如下所示:
- 转到 Citrix Workspace 应用程序 设置 > TLS 版本。
-
轻按选择协议版本选项,然后选择 TLS v1.3。
有关详细信息,请参阅加密
有关帮助文档的详细信息,请参阅 TLS 版本。
已越狱的设备
如果您的用户通过越狱 Android 设备进行连接,则会危及部署安全。越狱设备是指所有者修改过的设备,这些设备通常能够绕过某些安全保护。当适用于 Android 的 Citrix Workspace 应用程序对越狱的 Android 设备进行基本检测时,该应用程序会向用户显示警报。
要进一步帮助确保您的环境安全,可以将 StoreFront 或 Web Interface 配置为帮助阻止检测到的越狱设备运行应用程序。
要求:
- 适用于 Android 的 Citrix Workspace 应用程序 24.7.0 或更高版本。
- 通过管理员帐户访问 StoreFront 或 Web Interface。
要帮助阻止检测到的越狱设备运行应用程序,请执行以下操作:
- 以具有管理员权限的用户身份登录您的 StoreFront 或 Web Interface 服务器。
-
找到文件 default.ica,该文件位于以下位置之一:
-
`C:\inetpub\wwwroot\Citrix\*storename* conf` (Microsoft Internet Information Services)
-
C:\\inetpub\\wwwroot\\Citrix\\*storename*\\App _Data\
(Microsoft Internet Information Services) -
./usr/local/tomcat/webapps/Citrix/XenApp/WEB-INF
(Apache Tomcat)
-
- 在 [Application] 部分下添加以下行:
AllowJailBrokenDevices=OFF
- 保存该文件并重新启动您的 StoreFront 或 Web Interface 服务器。
重新启动 StoreFront 服务器后,看到了与越狱设备有关的警报的用户将无法从您的 StoreFront 或 Web Interface 服务器启动应用程序
允许检测到的越狱设备运行应用程序:
如果您未设置 AllowJailBrokenDevices
,则默认设置为向越狱设备用户显示警报,但仍允许其打开应用程序。
如果要明确允许您的用户在越狱设备上运行应用程序,请设置 AllowJailBrokenDevices=ON
。
将 AllowJailBrokenDevices
设置为 ON 时,您的用户将看到与使用已越狱的设备有关的警报,但其能够通过 StoreFront 或 Web Interface 运行应用程序。