安全

为了安全启用了 ProGuard

我们已启用 ProGuard,以便通过模糊处理来确保适用于 Android 的 Citrix Workspace 的安全。ProGuard 会重命名代码的不同部分,以防止检查堆栈跟踪,并确保 Workspace 应用程序的安全。ProGuard 还通过缩短应用程序类、方法和字段的名称来减小应用程序的大小。

加密

此功能是安全通信协议的重要变更。前缀为 TLS_RSA_ 的密码套件不提供向前保密,并且被视为弱密码套件。

TLS_RSA_ 密码套件已被删除。20.6.5 及更高版本支持高级 TLS_ECDHE_RSA_ 密码套件。如果您的环境未配置 TLS_ECDHE_RSA_ 密码套件,则由于密码较弱,您将无法启动客户端。

支持以下高级密码套件:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028)
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013)

TLS v1.0 支持以下密码套件:

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS v1.2 支持以下密码套件:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS v1.3 支持以下密码套件:

  • TLS_AES_256_GCM_SHA384
  • TLS_AES_128_GCM_SHA256

支持传输层安全性 1.3

适用于 Android 的 Citrix Workspace 应用程序现在支持传输层安全性 (TLS) 1.3。它可以提高性能和效率。TLS 1.3 凭借其强大的密码套件和一次性会话密钥提供了强大的安全性。

最终用户可以在适用于 Android 的 Citrix Workspace 应用程序上将其启用,如下所示:

  1. 转到 Citrix Workspace 应用程序 设置 > TLS 版本
  2. 轻按选择协议版本选项,然后选择 TLS v1.3

    TLS 1.3

有关详细信息,请参阅加密

有关帮助文档的详细信息,请参阅 TLS 版本

已越狱的设备

如果您的用户通过越狱 Android 设备进行连接,则会危及部署安全。越狱设备是指所有者修改过的设备,这些设备通常能够绕过某些安全保护。当适用于 Android 的 Citrix Workspace 应用程序对越狱的 Android 设备进行基本检测时,该应用程序会向用户显示警报。

警报

要进一步帮助确保您的环境安全,可以将 StoreFront 或 Web Interface 配置为帮助阻止检测到的越狱设备运行应用程序。

要求:

  • 适用于 Android 的 Citrix Workspace 应用程序 24.7.0 或更高版本。
  • 通过管理员帐户访问 StoreFront 或 Web Interface。

要帮助阻止检测到的越狱设备运行应用程序,请执行以下操作:

  1. 以具有管理员权限的用户身份登录您的 StoreFront 或 Web Interface 服务器。
  2. 找到文件 default.ica,该文件位于以下位置之一:

    • `C:\inetpub\wwwroot\Citrix\*storename* conf` (Microsoft Internet Information Services)

    • C:\\inetpub\\wwwroot\\Citrix\\*storename*\\App _Data\ (Microsoft Internet Information Services)

    • ./usr/local/tomcat/webapps/Citrix/XenApp/WEB-INF (Apache Tomcat)

  3. [Application] 部分下添加以下行:AllowJailBrokenDevices=OFF
  4. 保存该文件并重新启动您的 StoreFront 或 Web Interface 服务器。

重新启动 StoreFront 服务器后,看到了与越狱设备有关的警报的用户将无法从您的 StoreFront 或 Web Interface 服务器启动应用程序

允许检测到的越狱设备运行应用程序:

如果您未设置 AllowJailBrokenDevices,则默认设置为向越狱设备用户显示警报,但仍允许其打开应用程序。

如果要明确允许您的用户在越狱设备上运行应用程序,请设置 AllowJailBrokenDevices=ON

AllowJailBrokenDevices 设置为 ON 时,您的用户将看到与使用已越狱的设备有关的警报,但其能够通过 StoreFront 或 Web Interface 运行应用程序。

安全