This content has been machine translated dynamically.

Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)

Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)

Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)

此内容已经过机器动态翻译。 放弃

このコンテンツは動的に機械翻訳されています。 免責事項

이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인

Este texto foi traduzido automaticamente. (Aviso legal)

Questo contenuto è stato tradotto dinamicamente con traduzione automatica. (Esclusione di responsabilità))

This article has been machine translated.

Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)

Ce article a été traduit automatiquement. (Clause de non responsabilité)

Este artículo ha sido traducido automáticamente. (Aviso legal)

この記事は機械翻訳されています. 免責事項

이 기사는 기계 번역되었습니다. 책임 부인

Este artigo foi traduzido automaticamente. (Aviso legal)

这篇文章已经过机器翻译. 放弃

Questo articolo è stato tradotto automaticamente. (Esclusione di responsabilità))

要确保 Citrix Virtual Apps and Desktops 服务器与 Citrix Workspace 应用程序之间的通信安全，可以使用如下所示的一系列安全技术集成 Citrix Workspace 应用程序连接：

Citrix Gateway：有关信息，请参阅本节中的主题以及 Citrix Gateway 和 StoreFront 文档。

防火墙：网络防火墙可以根据目标地址和端口允许或阻止数据包通过。

支持传输层安全性 (TLS) 1.0 至 1.2 版。

用于在 Citrix Workspace 应用程序连接中建立信任关系的可信服务器。

ICA 文件签名服务

本地安全机构 (LSA) 保护

仅限适用于 Citrix Virtual Apps 部署的代理服务器：SOCKS 代理服务器或安全代理服务器。代理服务器可帮助限制对网络的访问和来自网络的访问。这些服务器还处理 Citrix Workspace 应用程序与服务器之间的连接。Citrix Workspace 应用程序支持 SOCKS 和安全代理协议。

Citrix Gateway

Citrix Gateway（以前称为 Access Gateway）保护与 StoreFront 应用商店的连接。此外，还允许管理员详细控制用户对桌面和应用程序的访问权限。

要通过 Citrix Gateway 连接桌面和应用程序，请执行以下操作：

使用以下方法之一指定管理员提供的 Citrix Gateway URL：

首次使用自助服务式用户界面时，系统会提示您在 添加帐户 对话框中输入 URL。

以后使用自助服务式用户界面时，可以通过单击 首选项 > 帐户 > 添加 来输入 URL

如果要通过 storebrowse 命令建立连接，请在命令行中输入 URL

通过防火墙进行连接

网络防火墙可以根据目标地址和端口允许或阻止数据包通过。如果使用防火墙，适用于 Windows 的 Citrix Workspace 应用程序可以经由防火墙与 Web 服务器和 Citrix 服务器通信。

常用 Citrix 通信端口

传输层安全性 (TLS) 将取代 SSL（安全套接字层）协议。互联网工程工作小组 (IETF) 在接管 TLS 开放式标准的开发任务后，将其更名为 TLS。

TLS 通过提供服务器身份验证、数据流加密和消息完整性检查，来保障数据通信的安全。有些组织（包括美国政府组织）要求使用 TLS 来保障数据通信的安全。这些组织可能还要求使用验证的加密，例如联邦信息处理标准 (FIPS) 140。FIPS 140 是一个加密标准。

必须配置用户设备和 Citrix Workspace 应用程序，才能将 TLS 加密用作通信媒介。有关保护 StoreFront 通信的信息，请参阅 StoreFront 文档中的 安全 部分。有关保护 VDA 的信息，请参阅 Citrix Virtual Apps and Desktops 文档中的 传输层安全性 (TLS) 。

可以使用以下策略执行以下操作：

强制使用 TLS：我们建议您将 TLS 用于使用不受信任的网络（包括 Internet）的连接。

强制使用 FIPS（Federal Information Processing Standards，联邦信息处理标准）：得到认可的加密且遵从 NIST SP 800-52 中的建议。这些选项默认处于禁用状态。

强制使用特定版本的 TLS 和特定的 TLS 密码套件：Citrix 支持 TLS 1.0、TLS 1.1 和 TLS 1.2 协议。

仅连接到特定服务器。

检查是否已吊销服务器证书。

检查特定的服务器证书颁发策略。

选择特定的客户端证书（如果将服务器配置为请求客户端证书）。

适用于 Windows 的 Citrix Workspace 应用程序支持以下适用于 TLS 1.2 协议的密码套件：

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

有关受支持的密码套件的信息，请参阅知识中心文章 CTX250104 。

为了增强安全性，以下密码套件已弃用：

密码套件 RC4 和 3DES

前缀为“TLS_RSA_*”的密码套件

TLS_RSA_WITH_AES_256_GCM_SHA384 (0x009d)

TLS_RSA_WITH_AES_128_GCM_SHA256 (0x009c)

TLS_RSA_WITH_AES_256_CBC_SHA256 (0x003d)

TLS_RSA_WITH_AES_256_CBC_SHA (0x0035)

TLS_RSA_WITH_AES_128_CBC_SHA (0x002f)

TLS_RSA_WITH_RC4_128_SHA (0x0005)

TLS_RSA_WITH_3DES_EDE_CBC_SHA (0x000a)

TLS 支持

通过运行 gpedit.msc 打开 Citrix Workspace 应用程序 GPO 管理模板。

在 计算机配置 节点下，转至 管理模板 > Citrix Workspace > 网络路由 ，然后选择 TLS 和合规模式配置 策略。

如果选择 SP800-52 ，则将自动使用 FIPS 批准的加密，即使未选择 启用 FIPS 也是如此。此外，请启用 Windows 安全选项 系统加密: 将 FIPS 兼容算法用于加密、哈希和签名 。否则，Citrix Workspace 应用程序可能会无法连接到已发布的应用程序和桌面。

如果选择 SP800-52 ，请将 证书吊销检查策略 设置设为 需要完全访问检查和 CRL 。

选择 SP800-52 后，Citrix Workspace 应用程序将验证服务器证书是否遵从 NIST SP 800-52 中的建议。如果服务器证书不遵从，Citrix Workspace 应用程序可能无法连接。

启用 FIPS - 选择此选项将强制使用 FIPS 批准的加密。此外，请启用操作系统组策略中的 Windows 安全选项 系统加密: 将 FIPS 兼容算法用于加密、哈希和签名 。否则，Citrix Workspace 应用程序可能会无法连接到已发布的应用程序和桌面。

从 允许的 TLS 服务器 下拉菜单中，选择端口号。使用逗号分隔的列表可确保 Citrix Workspace 应用程序仅连接到指定的服务器。可以指定通配符和端口号。例如，*.citrix.com: 4433 允许在端口 4433 上连接到公用名以 .citrix.com 结尾的任何服务器。证书的颁发者断言安全证书中的信息的准确性。如果 Citrix Workspace 无法识别或信任颁发者，连接将被拒绝。

从 TLS 版本 菜单中，选择以下选项之一：

TLS 密码集 - 要强制使用特定的 TLS 密码集，请选择“政府”(GOV)、“商务”(COM) 或“全部”(ALL)。有关详细信息，请参阅知识中心文章 CTX250104 。

从 证书吊销检查策略 菜单中，选择以下任意选项：

在不访问网络的情况下检查 - 已完成证书吊销列表检查。仅使用本地证书吊销列表存储。所有分发点都被忽略。验证目标 SSL Relay/Citrix Secure Web Gateway 服务器提供的服务器证书的证书吊销列表检查不是强制性的。

完全访问检查 - 已完成证书吊销列表检查。使用本地证书吊销列表存储和所有分发点。如果找到证书的吊销信息，连接将被拒绝。证书吊销列表检查用于验证目标服务器提供的服务器证书并不重要。

需要完全访问检查和 CRL - 已完成证书吊销列表检查，但根证书颁发机构除外。使用本地证书吊销列表存储和所有分发点。如果找到证书的吊销信息，连接将被拒绝。查找所有必要的证书吊销列表对验证非常重要。

全部需要完全访问检查和 CRL - 已完成证书吊销列表检查，包括根 CA。使用本地证书吊销列表存储和所有分发点。如果找到证书的吊销信息，连接将被拒绝。查找所有必要的证书吊销列表对验证非常重要。

不检查 - 未完成任何证书吊销列表检查。

使用 策略扩展 OID 可以将 Citrix Workspace 应用程序限制为仅连接到配置了特定证书颁发策略的服务器。如果选择 策略扩展 OID ，Citrix Workspace 应用程序将仅接受包含策略扩展 OID 的服务器证书。

从 客户端身份验证 菜单中，选择以下任意选项：

可信服务器配置标识 Citrix Workspace 应用程序连接中的信任关系并强制执行该信任关系。

启用了可信服务器时，Citrix Workspace 应用程序将指定要求并确定与服务器的连接是否可信。例如，以特定连接类型（例如 TLS）连接到某个地址（例如 https://\*.citrix.com ）的 Citrix Workspace 应用程序被定向到服务器上的某个可信区域

启用了此功能时，已连接的服务器位于 Windows 的 可信站点 区域中。有关将服务器添加到 Windows 的 可信站点 区域的说明，请参阅 Internet Explorer 联机帮助。

使用组策略对象管理模板启用可信服务器配置

必备条件：

从 Citrix Workspace 应用程序组件（包括连接中心）退出。

通过运行 gpedit.msc 打开 Citrix Workspace 应用程序 GPO 管理模板。

在 计算机配置 节点下，转至 管理模板 > Citrix 组件 > Citrix Workspace > 网络路由 > 配置可信服务器配置 。

选择 已启用 以强制 Citrix Workspace 应用程序进行区域识别。

选择 强制使用可信服务器配置 。此选项将强制客户端使用可信服务器执行识别。

在 Windows Internet 区域 下拉菜单中，选择客户端-服务器地址。此设置仅适用于 Windows 的“可信站点”区域。

在 地址 字段中，设置除 Windows 以外的可信站点区域的客户端服务器地址。可以使用逗号分隔的列表。

单击 确定 和 应用 。

ICA 文件签名服务

ICA 文件签名可帮助保护您免于启动未经授权的应用程序或桌面。Citrix Workspace 应用程序根据管理策略确认由可信源生成应用程序或桌面启动，并防止从不可信服务器进行启动。您可以使用组策略对象管理模板或 StoreFront 来配置 ICA 文件签名。默认情况下，ICA 文件签名功能未启用。

有关为 StoreFront 启用 ICA 文件签名服务的信息，请参阅 StoreFront 文档中的 启用 ICA 文件签名服务 。

配置 ICA 文件签名

如果未将 CitrixBase.admx\adml 添加到本地 GPO，则 启用 ICA 文件签名 策略可能不存在。

通过运行 gpedit.msc 打开 Citrix Workspace 应用程序组策略对象管理模板

在 计算机配置 节点下，转至 管理模板 > Citrix 组件 。

选择 启用 ICA 文件签名 策略并根据需要选择其中一个选项：

已启用 - 指示您可以将签名证书指纹添加到可信证书指纹的允许列表中。

信任证书 - 单击 显示 可从允许列表中删除现有的签名证书指纹。可以从签名证书属性中复制并粘贴签名证书指纹。

安全策略 - 从菜单中选择以下选项之一。

仅允许签名的启动(更安全)：仅允许来自可信服务器且已签名的应用程序和桌面启动。存在无效签名时，会出现安全警告。由于未授权，会话启动失败。

在进行未签名的启动时提示用户(不安全) - 启动未签名或无效签名的会话时将显示一条消息提示。可以选择继续启动或取消启动（默认设置）。

从公共证书颁发机构 (CA) 购买一个代码签名证书或 SSL 签名证书。

如果您的企业具有专用 CA，请使用该专用 CA 创建一个代码签名证书或 SSL 签名证书。

使用现有的 SSL 证书。

创建一个根 CA 证书，并使用 GPO 或通过手动安装将其分发给用户设备。

本地安全机构 (LSA) 保护

Citrix Workspace 应用程序支持 Windows 本地安全机构 (LSA) 保护，它维护系统中与本地安全的所有方面有关的信息。此支持为托管桌面提供 LSA 级别的系统保护。

通过代理服务器进行连接

代理服务器用于限制网络的入站和出站访问，并处理适用于 Windows 的 Citrix Workspace 应用程序与服务器之间的连接。Citrix Workspace 应用程序支持 SOCKS 和安全代理协议。

与服务器进行通信时，Citrix Workspace 应用程序使用在运行适用于 Web 的 Workspace 的服务器上远程配置的代理服务器设置。

在与 Web 服务器进行通信时，Citrix Workspace 应用程序将使用通过用户设备上默认 Web 浏览器的 Internet 设置进行配置的代理服务器设置。相应地配置用户设备上的默认 Web 浏览器的 Internet 设置。

要通过 StoreFront 上的 ICA 文件强制执行代理设置，请参阅 Citrix 知识中心文章 CTX136516 。

出站代理支持

SmartControl 允许管理员配置和实施影响环境的策略。例如，您可能希望禁止用户将驱动器映射到其远程桌面。您可以使用 Citrix Gateway 上的 SmartControl 功能实现粒度。

当 Citrix Workspace 应用程序和 Citrix Gateway 属于单独的企业帐户时，方案会发生变化。在这种情况下，客户端域无法应用 SmartControl 功能，因为客户端域上不存在网关。然后，可以使用出站 ICA 代理。出站 ICA 代理功能允许您使用 SmartControl 功能，即使 Citrix Workspace 应用程序和 Citrix Gateway 部署在不同的组织中亦如此。

Citrix Workspace 应用程序支持使用 NetScaler LAN 代理启动会话。使用出站代理插件来配置单个静态代理，或在运行时选择代理服务器。

可以使用以下方法配置出站代理：

静态代理：通过提供代理主机名和端口号来配置代理服务器。

动态代理：可以使用代理插件 DLL 在一个或多个代理服务器中选择单个代理服务器。

可以使用组策略对象管理模板或注册表编辑器来配置出站代理。

有关出站代理的详细信息，请参阅 Citrix Gateway 文档中的 出站 ICA 代理支持 。

出站代理支持 - 配置

如果同时配置了静态代理和动态代理，则动态代理配置优先。

使用 GPO 管理模板配置出站代理：

通过运行 gpedit.msc 打开 Citrix Workspace 应用程序组策略对象管理模板。

在 计算机配置 节点下，转至 管理模板 > Citrix Workspace > 网络路由 。

选择以下选项之一：

对于静态代理：选择 手动配置 NetScaler LAN 代理 策略。选择 已启用 ，然后提供主机名和端口号。

对于动态代理：选择 使用 DLL 配置 NetScaler LAN 代理 策略。选择 已启用 ，然后提供 DLL 文件的完整路径。例如， C:\Workspace\Proxy\ProxyChooser.dll 。

单击 应用 和 确定 。

使用注册表编辑器配置出站代理：

对于静态代理：

启动注册表编辑器并导航到 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\ICA Client\Engine\Network Routing\Proxy\NetScaler 。

创建 DWORD 值项，如下所示：

"StaticProxyEnabled"=dword:00000001 "ProxyHost"="testproxy1.testdomain.com "ProxyPort"=dword:000001bb

启动注册表编辑器并导航到 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\ICA Client\Engine\Network Routing\Proxy\NetScaler LAN Proxy 。

创建 DWORD 值项，如下所示： "DynamicProxyEnabled"=dword:00000001 "ProxyChooserDLL"="c:\\Workspace\\Proxy\\ProxyChooser.dll" 本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译，仅供您参考。Cloud Software Group 无法控制机器翻译的内容，这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性，或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容，我们均不作任何明示或暗示的保证，并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议（产品或服务与已进行机器翻译的任何文档保持一致）下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题，Cloud Software Group 不承担任何责任。 DIESER DIENST KANN ÜBERSETZUNGEN ENTHALTEN, DIE VON GOOGLE BEREITGESTELLT WERDEN. GOOGLE LEHNT JEDE AUSDRÜCKLICHE ODER STILLSCHWEIGENDE GEWÄHRLEISTUNG IN BEZUG AUF DIE ÜBERSETZUNGEN AB, EINSCHLIESSLICH JEGLICHER GEWÄHRLEISTUNG DER GENAUIGKEIT, ZUVERLÄSSIGKEIT UND JEGLICHER STILLSCHWEIGENDEN GEWÄHRLEISTUNG DER MARKTGÄNGIGKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK UND DER NICHTVERLETZUNG VON RECHTEN DRITTER. CE SERVICE PEUT CONTENIR DES TRADUCTIONS FOURNIES PAR GOOGLE. GOOGLE EXCLUT TOUTE GARANTIE RELATIVE AUX TRADUCTIONS, EXPRESSE OU IMPLICITE, Y COMPRIS TOUTE GARANTIE D'EXACTITUDE, DE FIABILITÉ ET TOUTE GARANTIE IMPLICITE DE QUALITÉ MARCHANDE, D'ADÉQUATION À UN USAGE PARTICULIER ET D'ABSENCE DE CONTREFAÇON. ESTE SERVICIO PUEDE CONTENER TRADUCCIONES CON TECNOLOGÍA DE GOOGLE. GOOGLE RENUNCIA A TODAS LAS GARANTÍAS RELACIONADAS CON LAS TRADUCCIONES, TANTO IMPLÍCITAS COMO EXPLÍCITAS, INCLUIDAS LAS GARANTÍAS DE EXACTITUD, FIABILIDAD Y OTRAS GARANTÍAS IMPLÍCITAS DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN EN PARTICULAR Y AUSENCIA DE INFRACCIÓN DE DERECHOS. 本服务可能包含由 Google 提供技术支持的翻译。Google 对这些翻译内容不做任何明示或暗示的保证，包括对准确性、可靠性的任何保证以及对适销性、特定用途的适用性和非侵权性的任何暗示保证。 このサービスには、Google が提供する翻訳が含まれている可能性があります。Google は翻訳について、明示的か黙示的かを問わず、精度と信頼性に関するあらゆる保証、および商品性、特定目的への適合性、第三者の権利を侵害しないことに関するあらゆる黙示的保証を含め、一切保証しません。 ESTE SERVIÇO PODE CONTER TRADUÇÕES FORNECIDAS PELO GOOGLE. O GOOGLE SE EXIME DE TODAS AS GARANTIAS RELACIONADAS COM AS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA DE PRECISÃO, CONFIABILIDADE E QUALQUER GARANTIA IMPLÍCITA DE COMERCIALIZAÇÃO, ADEQUAÇÃO A UM PROPÓSITO ESPECÍFICO E NÃO INFRAÇÃO. Beta/Tech Preview Agreement.

The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.

The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.

If you do not agree, select I DO NOT AGREE to exit.

I AGREE I DO NOT AGREE