安全注意事项和最佳实践

注意:

您的组织可能需要满足特定的安全标准以满足法规要求。本文档不涉及此主题，因为此类安全标准会随着时间的推移而变化。有关安全标准和思杰产品的最新信息，请咨询//m.giftsix.com/security/。

安全最佳实践

将您的环境中的所有机器保存在安全补丁中最新。一个优点是您可以使用瘦客户机作为终端，这简化了此任务。

用杀毒软件保护您环境中的所有机器。

考虑使用特定平台的反恶意软件。

使用外围防火墙保护您环境中的所有机器，包括适当的飞地边界。

如果要将传统环境迁移到此版本，则可能需要重新定位现有的外围防火墙或添加新的外线防火墙。例如，假设数据中心中的传统客户端和数据库服务器之间存在周边防火墙。使用此版本时，必须放置外围防火墙，以便虚拟桌面和用户设备在一侧，数据库服务器和数据中心中的传送控制器位于另一侧。因此，考虑在数据中心中创建一个固定，以包含数据库服务器和控制器。还要考虑在用户设备和虚拟桌面之间进行保护。

您环境中的所有机器都应该受到个人防火墙的保护。当您安装核心组件和VDAs时，如果检测到Windows Firewall Service(即使没有启用防火墙)，您可以选择自动打开组件和特性通信所需的端口。您也可以选择手动配置这些防火墙端口。如果使用不同的防火墙，则必须手动配置防火墙。

注意:

TCP端口1494和2598用于ICA和CGP，因此可能在防火墙处开放，以便数据中心以外的用户可以访问它们。Citrix建议您不要将这些端口用于其他任何事情，以避免无意中使管理接口开放给攻击的可能性。第1494及2598号端口已在互联网编号分配机构(http://www.iana.org/）.

所有网络通信应适当地保护和加密以匹配您的安全策略。您可以使用IPSec保护Microsoft Windows计算机之间的所有通信;有关如何执行此操作的详细信息，请参阅操作系统文档。此外，用户设备和桌面之间的通信通过Citrix SecureCICS固定，默认为128位加密配置。您可以在创建或更新传递组时配置SECUREIC。

注意:

Citrix Secureica构成了ICA / HDX协议的一部分，但它不是传输层安全性等标准的网络安全协议（TLS）。您还可以使用TLS确保用户设备和桌面之间的网络通信。要配置TLS，请参阅传输层安全性（TLS）。

应用Windows帐户管理最佳实践。在模板或镜像被机器创建服务或发放服务复制之前，不要在模板或镜像上创建帐户。不要使用存储的特权域帐户调度任务。不要手动创建共享的Active Directory计算机帐户。这些做法将有助于防止机器攻击获取本地持久帐户密码，然后使用它们登录到MCS/PVS共享图像属于其他人。

App 保护

为了防止非管理员用户执行恶意操作，我们建议您为VDA主机和本地Windows客户端上的安装程序、应用程序、可执行程序和脚本配置Windows AppLocker规则。

管理用户权限

仅授予用户所需的功能。Microsoft Windows权限以通常的方式将继续应用于桌面：通过用户权限分配和组成员身份通过组策略配置权限。此版本的一个优点是可以将用户管理权限授予桌面，而无需授予存储桌面的计算机上的物理控制。

在规划桌面特权时注意以下事项:

• 默认情况下，当非特权用户连接到桌面时，他们看到的是运行桌面的系统的时区，而不是他们自己的用户设备的时区。有关如何允许用户在使用桌面时查看本地时间的信息，请参阅Manage Delivery Groups文章。
• 管理员用户对桌面具有完全的控制权。如果一个桌面是池式桌面而不是专用桌面，那么该用户必须受到该桌面的所有其他用户(包括未来用户)的信任。桌面的所有用户都需要意识到这种情况对他们的数据安全构成的潜在永久风险。这种考虑并不适用于只有一个用户的专用桌面;该用户不应该是任何其他桌面的管理员。
• 作为桌面上的管理员的用户通常可以在该桌面上安装软件，包括潜在的恶意软件。用户还可以在连接到桌面的任何网络上监视或控制流量。

管理登录的权利

用户帐户和计算机帐户都需要登录权限。与Microsoft Windows特权一样，登录权限继续以通常的方式应用于桌面:通过用户权限分配配置登录权限，通过组策略配置组成员关系。

Windows登录权限包括:本地登录、通过远程桌面服务登录、通过网络登录(从网络访问此计算机)、作为批处理作业登录和作为服务登录。

对于计算机帐户，仅授予计算机所需的登录权限。要求登录“从网络访问此计算机”：

• 在VDAS，对于递送控制器的计算机帐户
• 在Delivery Controllers，用于VDAs的计算机帐户。看到基于Active Directory ou的控制器发现。
• 在StoreFront服务器上，用于同一StoreFront服务器组中其他服务器的计算机帐户

对于用户帐户，只授予用户所需的登录权限。

根据Microsoft，默认情况下远程桌面用户组被授予登录权限“允许通过远程桌面服务登录”(域控制器除外)。

您的组织的安全策略可能明确声明应该从登录权限中删除该组。考虑以下方法:

• 多次会话OS的虚拟传送代理（VDA）使用Microsoft远程桌面服务。您可以将远程桌面用户组配置为受限组，并通过Active Directory组策略控制组的成员身份。有关更多信息，请参阅Microsoft文档。
• 对于Citrix虚拟应用程序和桌面的其他组件，包括单会话操作系统的VDA，不需要组远程桌面用户。因此，对于这些组件，组远程桌面用户不需要登录右“允许通过远程桌面服务登录”;你可以删除它。此外：
  • 如果您通过“远程桌面服务”管理这些计算机，请确保所有此类管理员都已是“管理员”组的成员。
  • 如果您不通过远程桌面服务管理这些计算机，请考虑在这些计算机上禁用远程桌面服务本身。

虽然可以将用户和组添加到“通过远程桌面服务拒绝登录”的登录权限中，但一般不建议使用拒绝登录权限。有关更多信息，请参阅Microsoft文档。

配置用户权限

Delivery Controller安装将创建以下Windows服务:

• CitrixADIdentityService (NT Service \CitrixADIdentityService):管理虚拟机的Microsoft Active Directory计算机帐户。
• Citrix Analytics（NT Service \ Citrixanalytics）：如果此集合由站点管理员批准，则收集Citrix的站点配置使用信息。然后它将此信息提交给Citrix，以帮助改进产品。
• CitrixAppLibrary (NT SERVICE\CitrixAppLibrary):支持AppDisks管理和发放、AppDNA集成、App- v管理。
• CitrixBrokerService (NT Service \CitrixBrokerService):选择用户可用的虚拟桌面或应用程序。
• Citrix Configuration Logging Service（NT服务\ CitrixConfigurationLogging）：记录管理员对网站的所有配置更改和其他状态更改。
• Citrix Configuration Service（NT Service \ CitrixConfigurationService）：Site-Wide存储库，用于共享配置。
• Citrix委派管理服务(NT Service \CitrixDelegatedAdmin):管理授予管理员的权限。
• Citrix环境测试服务（NT服务\ Citrixenvtest）：管理其他交付控制器服务的自检。
• Citrix主机服务(NT Service \CitrixHostService):存储有关Citrix虚拟应用程序或Citrix虚拟桌面部署中使用的管理程序基础设施的信息，还提供控制台使用的功能，用于枚举管理程序池中的资源。
• CitrixMachineCreationService (NT Service \CitrixMachineCreationService):负责桌面虚拟机的创建。
• CitrixMonitor Service (NT Service \CitrixMonitor):为Citrix虚拟应用程序或Citrix虚拟桌面收集指标，存储历史信息，并为故障排除和报告工具提供查询界面。
• Citrix StoreFront服务（NT服务\ CitrixStorefront）：支持店面管理。（它不是店面组件本身的一部分。）
• Citrix StoreFront Privileged Administration Service（NT Service \ CitrixPrivileGedService）：支持StoreFront的特权管理操作。（它不是店面组件本身的一部分。）
• Citrix配置同步器服务(NT Service \CitrixConfigSyncService):将配置数据从主站点数据库传播到本地主机缓存。
• Citrix高可用性服务（NT Service \ CitrixhighAvailabilityService）：选择用户的虚拟桌面或应用程序，当主站点数据库不可用。

交付控制器安装还会创建以下Windows服务。使用其他Citrix组件安装时也会创建这些：

• Citrix诊断工具COM服务器(NT SERVICE\CdfSvc):支持收集诊断信息供Citrix Support使用。
• Citrix遥测服务（NT Service \ CitrixTelemetryService）：收集Citrix分析的诊断信息，从而可以通过管理员查看分析结果和建议，以帮助诊断网站问题。

交付控制器安装还会创建以下Windows服务。目前尚未使用这一点。如果已启用，请禁用它。

• Citrix远程代理提供商(NT SERVICE\XaXdCloudProxy)

交付控制器安装还会创建以下Windows服务。这些功能目前没有使用，但必须启用。不要禁用它们。

• Citrix Orchestration服务（NT服务\ Citrixorchestration）
• 思捷信托服务(新界服务\思捷信托)

除了Citrix Storefront特权管理服务外，这些服务都被授予了登录权限“以服务身份登录”和特权“为进程调整内存配额”、“生成安全审计”和“替换进程级别令牌”。不需要修改这些用户权限。交付控制器不使用这些特权，它们将被自动禁用。

配置服务设置

除Citrix店面特许行政服务和Citrix遥测服务外，上述配置用户权限部分配置为作为NETWORK SERVICE标识登录。不要更改这些服务设置。

已将Citrix店面特权管理服务配置为登录本地系统(NT AUTHORITY\ System)。对于服务通常不可用的Delivery Controller StoreFront操作(包括创建Microsoft IIS站点)，这是必需的。不要更改其服务设置。

Citrix Telemetry Service配置为以其自己特定于服务的标识登录。

您可以关闭“Citrix遥测服务”。除了此服务和已禁用的服务外，不要禁用这些Delivery Controller Windows服务中的任何其他服务。

配置注册表设置

不再需要在VDA文件系统上创建8.3文件名和文件夹。注册表键NtfsDisable8dot3NameCreation可以配置为禁用创建8.3文件名称和文件夹。也可以使用Fsutil.exe行为设置命令。

部署场景的安全影响

您的用户环境可以包含不由您的组织管理但完全在用户控制下的用户设备，也可以包含由您的组织管理和管理的用户设备。这两种环境的安全考虑因素通常是不同的。

托管用户设备

被管理用户设备处于管理控制之下;它们要么在你自己的控制之下，要么在你信任的另一个组织的控制之下。您可以直接配置和提供用户设备给用户;或者，您可以提供一些终端，在这些终端上，单个桌面只能以全屏模式运行。对于所有托管用户设备，遵循上面描述的一般安全性最佳实践。这个版本的优点是用户设备上只需要最小的软件。

被管理的用户设备可以配置为全屏模式或窗口模式:

• 仅限全屏模式：用户使用常用的登录到Windows屏幕登录它。然后使用相同的用户凭据来自动登录此版本。
• 用户在一个窗口中看到他们的桌面:用户首先登录到用户设备，然后通过发布版提供的网站登录到这个发布版。

非托管用户设备

不受受信任组织管理和管理的用户设备不能假定处于管理控制之下。例如，您可能允许用户获取和配置他们自己的设备，但用户可能不遵循上面描述的一般安全最佳实践。这个版本的优点是可以安全地将桌面交付给非托管用户设备。这些设备仍然应该有基本的防病毒保护，将击败键盘记录器和类似的输入攻击。

数据存储注意事项

使用此版本时，可以防止用户将数据存储在其物理控制下的用户设备上。但是，您仍然必须考虑用户在桌面存储数据的影响。用户将数据存储在台式机上不是一个好的实践;数据应该保存在文件服务器、数据库服务器或其他可以适当保护它的存储库中。

您的桌面环境可能包含各种类型的桌面，例如池式和专用桌面。用户不应该将数据存储在用户之间共享的台式机上，例如共享台式机。如果用户将数据存储在专用的台式机上，那么如果稍后其他用户可以使用台式机，则应该删除这些数据。

混合版本的环境

在某些升级期间，混合版环境是不可避免的。遵循最佳实践，并最大限度地减少不同版本的Citrix组件共存的时间。在混合版环境中，例如，安全策略可能不会均匀强制执行。

注意:

这是典型的其他软件产品;使用早期版本的Active Directory仅使用较高版本的Windows才能部分强制执行组策略。

下面的场景描述了在特定的混合版本Citrix环境中可能发生的安全问题。当使用Citrix Receiver 1.7连接XenApp和XenDesktop 7.6 Feature Pack 2中运行VDA的虚拟桌面时，策略设置允许文件传输之间的桌面和客户端在站点中启用但无法通过运行XenApp和XenDesktop 7.1的传递控制器禁用。它无法识别在产品的后期版本中发布的策略设置。此策略设置允许用户将文件上传和下载到其虚拟桌面，这是安全问题。要解决此问题，请将传递控制器（或Studio的独立实例）升级到7.6版功能包2，然后使用组策略禁用策略设置。或者，在所有受影响的虚拟桌面上使用本地策略。

远程PC访问安全注意事项

远程PC接入实现了以下安全特性:

• 支持智能卡使用。
• 当远程会话连接时，办公室PC的显示器显示为空白。
• Remote PC Access将所有键盘和鼠标输入重定向到远程会话，除了CTRL+ALT+DEL和usb智能卡和生物识别设备。
• SmoothRoaming仅支持单个用户。
• 当用户与办公PC建立远程会话时，只有该用户可以恢复办公PC的本地访问。要恢复本地访问，用户在本地PC上按Ctrl-Alt-Del，然后使用远程会话使用的相同凭据登录。如果您的系统有适当的第三方凭证提供者集成，用户还可以通过插入智能卡或利用生物识别恢复本地访问。通过启用组策略对象快速用户切换(Fast User Switching via Group Policy Objects, GPOs)或编辑注册表，可以覆盖此默认行为。

注意:

Citrix建议不要将VDA管理员权限分配给普通会话用户。

自动作业

默认情况下，远程PC Access支持将多个用户的自动分配给VDA。在XenDesktop 5.6功能包1中，管理员可以使用remotepcaccess.ps1 powershell脚本覆盖此行为。此版本使用注册表项来允许或禁止多个自动远程PC分配;此设置适用于整个站点。

警告:

编辑注册表错误可能会导致可能要求您重新安装操作系统的严重问题。Citrix无法保证可以解决由注册表编辑器使用不正确使用的问题。使用注册表编辑器以您自己的风险。在编辑之前，请务必备份注册表。

限制自动分配给单个用户:

在站点的每个Controller上，设置以下注册表项:

HKEY_LOCAL_MACHINE\Software\Citrix|DesktopServer Name: AllowMultipleRemotePCAssignments Type: REG_DWORD Data: 0 =禁用多用户分配，1 =(默认)启用多用户分配。

如果存在任何现有的用户分配，请使用SDK命令删除它们，以便VDA随后有资格进行单个自动分配。

• 从VDA中删除所有分配的用户:美元的机器。| %{Remove-BrokerUser-Name $_ -Machine $machine . txt
• 从送货组中删除VDA：$machine | Remove-BrokerMachine -DesktopGroup

重启办公物理PC。

XML的信任

XML信任设置适用于以下部署:

• 一个本地的店面。
• 订户（用户）身份验证技术，不需要密码。这种技术的示例是域通过，智能卡，SAML和veridium解决方案。

启用XML信任设置允许用户成功地进行身份验证并启动应用程序。交付控制器信任从StoreFront发送的凭据。只有当您已确保交付控制器和StoreFront之间的通信安全(使用防火墙、IPsec或其他安全建议)时，才能启用此设置。

此设置在默认情况下是禁用的。

使用Citrix Virtual Apps和Desktops PowerShell SDK检查、启用或禁用XML信任设置。

• 要检查XML信任设置的当前值，请运行Get-Brokersite.并检查其价值TrustRequestsSentToTheXMLServicePort。
• 要启用XML信任，请运行Set-BrokerSite -TrustRequestsSentToTheXmlServicePort真正的美元。
• 禁用XML信任，运行Set-BrokerSite -TrustRequestsSentToTheXmlServicePort假美元。