Configurazione TLS e modalità di conformità

Questa opzione consente a Citrix Workspace di identificare le connessioni protette e di crittografare le comunicazioni all'interno del server.

Di seguito è riportato il tipo di connessione sicura TLS tra Citrix Workspace e XenApp e XenDesktop supportata da Citrix:
1. TLS 1.0
2. TLS 1.1
3. TLS 1.2

I valori della modalità di conformità della sicurezza sono:
- FIPS: L'abilitazione della modalità FIPS impone al sistema operativo Windows e ai relativi sottosistemi di utilizzare solo algoritmi di crittografia convalidati FIPS.
- Nessuna: non viene applicata alcuna modalità di conformità.
- SP800-52: Viene applicata la conformità NIST SP800-52r1.
Quando si seleziona SP800-52 dall'elenco a discesa Modalità di conformità alla protezione, è consentito il seguente criterio di controllo di revoca dei certificati (CRCP):
-Controllo dell'accesso completo e CRL obbligatorio. Questa è l'opzione predefinita.
-Controllo dell'accesso completo e CRL richiesto tutto

È possibile limitare Citrix Workspace perché si connetta solo a uno o più server specificati mediante un elenco separato da virgole nell'opzione Server TLS consentiti. Qui è possibile specificare caratteri jolly e numeri di porta, ad esempio *.citrix.com:4433 consente la connessione a qualsiasi server il cui il nome comune termini con .citrix.com sulla porta 4433. L'esattezza delle informazioni contenute in un certificato di sicurezza viene asserita dall'autorità emittente del certificato. Se Citrix Workspace non riconosce e considera attendibile l'autorità emittente di un certificato, la connessione viene rifiutata.

La versione TLS può essere limitata a qualsiasi combinazione di:

- TLS 1.0, TLS 1.1 o TLS 1.2
- TLS 1.1 o TLS 1.2
- Solo TLS 1.2

Il set di crittografia TLS è un gruppo di suite di crittografia consentite dal client. Il set di crittografia TLS può essere configurato in uno dei seguenti modi:
Nota: le suite di cifratura TLS_RSA_* possono essere disabilitate utilizzando il criterio Suite di crittografia deprecate.
- Qualsiasi: quando è impostato "Qualsiasi", le seguenti suite di cifratura sono consentite nella modalità di conformità NONE per impostazione predefinita:
* TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
* TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
* TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
* TLS_EMPTY_RENEGOTIATION_INFO_SCSV

- Commerciale: quando è impostato "Commerciale" sono consentite solo le seguenti suite di cifratura:
* TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
* TLS_EMPTY_RENEGOTIATION_INFO_SCSV

- Governo: quando è impostato "Governo" sono consentite solo le seguenti suite di cifratura:
* TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
* TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
* TLS_EMPTY_RENEGOTIATION_INFO_SCSV

Il controllo di revoca dei certificati viene utilizzato per migliorare l'autenticazione crittografica del server Citrix e migliora la sicurezza complessiva delle connessioni TLS tra un client e un server.
Nota: il controllo di revoca dei certificati è valido solo quando è impostata la modalità di conformità alla protezione SP800-52.
Quando si abilita questa impostazione, il client verifica se il certificato del server è stato revocato o meno. Esistono diversi livelli per controllare l'elenco di revoche di certificati. Ad esempio, il client può essere configurato per controllare solo il relativo elenco di certificati locale o per controllare gli elenchi di certificati locali e di rete. Inoltre, il controllo dei certificati può essere configurato per consentire agli utenti di accedere solo se vengono verificati tutti gli elenchi di revoche di certificati.
Il controllo di revoca dei certificati è una funzionalità avanzata supportata da alcune autorità di certificazione. Consente a un amministratore di revocare i certificati di sicurezza (invalidati prima della data di scadenza) in caso di compromissione della chiave privata del certificato.
I valori applicabili per questa impostazione sono:

- Nessuna verifica: Non viene eseguito alcun controllo di revoca del certificato.
- Verifica senza accesso alla rete: Viene eseguito il controllo di revoca del certificato. Vengono utilizzati solo gli store presenti nell'elenco di revoche di certificati locale. Tutti i punti di distribuzione vengono ignorati. La ricerca di un elenco di revoche di certificati non è fondamentale per la verifica del certificato server presentato dal server di inoltro/gateway sicuro SSL di destinazione.
- Verifica con accesso completo: Viene eseguito il controllo di revoca dei certificati. Vengono utilizzati gli archivi dell'elenco di revoche di certificati locali e tutti i punti di distribuzione. Se vengono trovate informazioni di revoca per un certificato, la connessione verrà rifiutata. La ricerca di un elenco di revoche di certificati non è fondamentale per la verifica del certificato server presentato dal server di destinazione.
- Controllo di accesso completo e CRL richiesto: Viene eseguito il controllo dell'elenco di revoche di certificati, esclusa la CA radice. Vengono utilizzati gli archivi dell'elenco di revoche di certificati locali e tutti i punti di distribuzione. Se vengono trovate informazioni di revoca per un certificato, la connessione verrà rifiutata. La ricerca di tutti gli elenchi di revoche di certificati necessari è fondamentale per la verifica.
- Controllo di accesso completo e tutti i CRL richiesti: Viene eseguito il controllo dell'elenco di revoche di certificati, esclusa la CA radice. Vengono utilizzati gli archivi dell'elenco di revoche di certificati locali e tutti i punti di distribuzione. Se vengono trovate informazioni di revoca per un certificato, la connessione verrà rifiutata. La ricerca di tutti gli elenchi di revoche di certificati necessari è fondamentale per la verifica.
Le organizzazioni che configurano TLS per un'ampia gamma di prodotti possono scegliere di identificare i server destinati a Citrix Workspace specificando un OID dell'estensione dei criteri di certificato all'interno del certificato di sicurezza. Se in questo caso è configurato uno OID dell'estensione dei criteri, Citrix Workspace accetta solo i certificati che dichiarano un criterio compatibile.

Durante la connessione tramite TLS, il server può essere configurato in modo da richiedere a Citrix Workspace di fornire un certificato di sicurezza per identificare se stesso. Utilizzare l'impostazione "Autenticazione client" per specificare se l'identificazione viene fornita automaticamente o se l'utente riceve una notifica. Le opzioni includono:

- Disabilitata: L'autenticazione client è disabilitata
- Visualizza il selettore di certificati: richiede sempre all'utente di selezionare un certificato.
- Seleziona automaticamente se possibile: chiedere all'utente solo se vi sono più certificati fra cui scegliere
non fornire mai l'identificazione
-Non configurata: l'autenticazione client non è configurata. Viene applicato il comportamento predefinito.
- Usa certificato specificato: utilizza il certificato client specificato nelle impostazioni seguenti

Utilizzare l'impostazione "Certificato client" per specificare l'identificazione personale del certificato per evitare di richiedere all'utente inutilmente.

Supportata in: Tutte le piattaforme supportate da Citrix Workspace

Richiedi TLS per tutte le connessioni

Registry Hive	HKEY_CURRENT_USER
Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
Value Name	SSLEnable
Value Type	REG_SZ
Default Value	true
True Value	true
False Value	*

Modalità di conformità alla protezione

NESSUNO

Registry Hive	HKEY_CURRENT_USER
Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
Value Name	SSLSecurityComplianceMode
Value Type	REG_SZ
Value	NONE

SP800-52

Registry Hive	HKEY_CURRENT_USER
Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
Value Name	SSLSecurityComplianceMode
Value Type	REG_SZ
Value	SP800-52

FIPS

Registry Hive	HKEY_CURRENT_USER
Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
Value Name	SSLSecurityComplianceMode
Value Type	REG_SZ
Value	FIPS

Versione TLS

TLS1.2

Registry Hive	HKEY_CURRENT_USER
Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
Value Name	SecureChannelProtocol
Value Type	REG_SZ
Value	TLS12

TLS1.1 | TLS1.2

Registry Hive	HKEY_CURRENT_USER
Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
Value Name	SecureChannelProtocol
Value Type	REG_SZ
Value	TLS11_TLS12

TLS1.0 | TLS1.1 | TLS1.2

Registry Hive	HKEY_CURRENT_USER
Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
Value Name	SecureChannelProtocol
Value Type	REG_SZ
Value	TLS11_TLS12_TLS13

Suite di crittografia TLS

Qualsiasi

Registry Hive HKEY_CURRENT_USER

Registry Path Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL

Value Name SSLCiphers

Value Type REG_SZ

Value
Governo

Registry Hive HKEY_CURRENT_USER

Registry Path Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL

Value Name SSLCiphers

Value Type REG_SZ

Value GOV
Commerciale

Registry Hive HKEY_CURRENT_USER

Registry Path Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL

Value Name SSLCiphers

Value Type REG_SZ

Value COM

Criterio di controllo della revoca dei certificati

Nessuna verifica

Registry Hive	HKEY_CURRENT_USER
Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
Value Name	SSLCertificateRevocationCheckPolicy
Value Type	REG_SZ
Value	NoCheck

Verifica senza accesso alla rete

Registry Hive	HKEY_CURRENT_USER
Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
Value Name	SSLCertificateRevocationCheckPolicy
Value Type	REG_SZ
Value	CheckNoNetworkAccess

Verifica con accesso completo

Registry Hive	HKEY_CURRENT_USER
Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
Value Name	SSLCertificateRevocationCheckPolicy
Value Type	REG_SZ
Value	FullAccessCheck

Controllo di accesso completo e CRL richiesto

Registry Hive	HKEY_CURRENT_USER
Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
Value Name	SSLCertificateRevocationCheckPolicy
Value Type	REG_SZ
Value	FullAccessCheckAndCrlRequired

Controllo di accesso completo e tutti i CRL richiesti

Registry Hive	HKEY_CURRENT_USER
Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
Value Name	SSLCertificateRevocationCheckPolicy
Value Type	REG_SZ
Value	FullAccessCheckAndCrlRequiredAll

Autenticazione client

Non configurato

Registry Hive HKEY_CURRENT_USER

Registry Path Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL

Value Name SSLClientAuthentication

Value Type REG_SZ

Value

Visualizza il selettore di certificati

Registry Hive	HKEY_CURRENT_USER
Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
Value Name	SSLClientAuthentication
Value Type	REG_SZ
Value	AlwaysPromptUser

Disabilitato

Registry Hive	HKEY_CURRENT_USER
Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
Value Name	SSLClientAuthentication
Value Type	REG_SZ
Value	Off

Usa certificato specificato

Registry Hive	HKEY_CURRENT_USER
Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
Value Name	SSLClientAuthentication
Value Type	REG_SZ
Value	On

Seleziona automaticamente se possibile

Registry Hive	HKEY_CURRENT_USER
Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
Value Name	SSLClientAuthentication
Value Type	REG_SZ
Value	PromptUser

receiver.admx

Modelli amministrativi (Computer)

Componenti Citrix
- Citrix Workspace
  - Aggiornamenti di Citrix Workspace
    - Aggiornamenti di Citrix Workspace
    - Impostare il ritardo del controllo per l'aggiornamento
  - Autenticazione utente
    - Autenticazione con smart card
    - Autenticazione Kerberos
    - Criteri di rimozione delle smart card per computer x64
    - Criteri di rimozione delle smart card per computer x86
    - Gestisci protezione app
    - Impedisci la memorizzazione di cookie persistenti
    - Nome utente e password locali
    - Single Sign-On per NetScaler Gateway
    - Ticket di autenticazione dell'interfaccia Web
  - CEIP
    - Abilita CEIP
    - Configurazione CEIP
  - Citrix Secure Browser
    - Cache
  - Conformità
    - Disabilitare l'invio di dati a terze parti
  - Diagnostica
    - Tracciamento sempre attivo
  - DPI
    - DPI alto
  - Esperienza utente
    - Accelerazione hardware per la grafica
    - Applicazioni remote
    - Audio tramite reindirizzamento USB generico
    - Barra della lingua
    - Configurare lo stato di primo piano della barra di avanzamento
    - Decodifica H265 per la grafica
    - Impostazioni audio del client
    - Impostazioni di accesso alle app locali
    - Impostazioni di visualizzazione del client
    - Impostazioni grafiche del client
    - Impostazioni tastiera
    - Scelte rapide da tastiera
    - Tasti di scelta rapida per Desktop Viewer
  - Global App Config Service
    - Gestire Global App Config Service
  - HDX MediaStream Flash Redirection - Client
    - Enable HDX MediaStream Flash Redirection on the user device
    - Enable server side content fetching
    - Enable synchronization of the client-side HTTP cookies with the server side
    - URL rewriting rules for client-side content fetching
  - ICA multi-flusso
    - ICA multi-flusso
  - Instradamento di rete
    - Proxy
    - Affidabilità della sessione e riconnessione automatica
    - Configurare la configurazione del server attendibile
    - Configurazione TLS e modalità di conformità
    - Protocollo di trasporto per Citrix Workspace
  - Motore client
    - Abilita i messaggi di errore del motore
    - Blocca l'avvio diretto del file ICA
    - Impostazioni file ICA
    - Non consentire l'avvio del desktop quando l'impostazione InitialProgram è mancante o vuota nel file ICA
  - SelfService
    - Opzioni delle preferenze Avanzate
    - Abilita FTA predefinito
    - Abilita FTA
    - Abilita preavvio dell'applicazione
    - Archiviare i token di autenticazione
    - Autenticazione invisibile all'utente per Citrix Workspace
    - Consenti/Impedisci agli utenti di pubblicare contenuto non sicuro
    - Consenti/Impedisci agli utenti di pubblicare contenuto sicuro
    - Consenti agli utenti di aggiungere/rimuovere un account
    - Controlla quando Citrix Workspace tenta di riconnettersi a sessioni esistenti
    - EnableFTU
    - Gestisci collegamento app
    - Gestisci protezione app
    - Gestisci SelfServiceMode
    - Local app discovery
    - vPrefer
  - StoreFront
    - Elenco degli account URL di NetScaler Gateway/StoreFront
  - Supporto API Fast Connect
    - Gestisci il supporto FastConnectAPI
  - Uso remoto dei dispositivi client
    - Uso remoto USB generico
    - Accesso hardware client
    - Acquisizione immagini
    - Appunti
    - Dispositivi plug-n-play USB
    - Dispositivi USB POS
    - Mappatura unità client
    - Microfono client
    - Stampanti client
    - Trascinamento selezione
  - Consenti connessioni client
  - Impostazioni di reindirizzamento da host a client
  - Protezione app - Avanzata
- Abilitare la firma dei file ICA

Modelli amministrativi (utenti)

Componenti Citrix
- Citrix Workspace
  - Autenticazione utente
  - Esperienza utente
  - HDX MediaStream Flash Redirection - Client
  - ICA multi-flusso
    - ICA multi-flusso
  - Instradamento di rete
  - Motore client
  - Uso remoto dei dispositivi client
    - Uso remoto USB generico
    - Accesso hardware client
    - Acquisizione immagini
    - Appunti
    - Dispositivi plug-n-play USB
    - Dispositivi USB POS
    - Mappatura unità client
    - Microfono client
    - Stampanti client
    - Trascinamento selezione
  - Consenti connessioni client