15. Oktober 2021

Citrix Virtual Apps and Desktops – “Virtual channel security”-Konfiguration für deviceTRUST

Gültig für

  • Virtual Apps and Desktops (VAAD) CR 2109
  • Virtual Apps and Desktops (VAAD) LTSR 1912 CU4

Mit den aktuellen Versionen von Citrix VAAD ist die Policy-Einstellung “Virtual channel allow list” im Standard auf “enabled” gesetzt. Mit dieser Einstellung lassen sich die virtuellen Kanäle kontrollieren, die innerhalb des ICA/HDX-Protokolls verwendet werden können.

deviceTRUST verwendet zur Kommunikation zwischen Host und Client einen eigenen virtuellen Kanal. Die Standard-Einstellung in Citrix VAAD 2109 und 1912 CU4 deaktiviert diesen Kanal und somit auch die Funktion von deviceTRUST.

Dieser Blog zeigt, wie Citrix VAAD konfiguriert werden kann, um deviceTRUST weiterhin zu unterstützen und dabei die Sicherheitsrichtlinien für virtuelle Kanäle in Citrix VAAD einzuhalten.

Konfiguration

Es gibt zwei Optionen, die „Virtual channel allow list“ so zu konfigurieren, dass deviceTRUST unterstütz wird: Das Erlauben aller Citrix-Kanäle und zusätzlich das explizite Hinzufügen des Kanals für deviceTRUST oder das Erlauben aller virtuellen Kanäle. Die erste Variante wird empfohlen, da Sie Citrix‘ Idee der Sicherheit für virtuelle Kanäle entspricht. Es werden hier dennoch beide Ansätze dargestellt.

Die Einstellungen werden auf VDA-Level umgesetzt. Sie sind in den Citrix-Farm-Policies zu konfigurieren. Die zu verwendende Einstellung heißt “Virtual channel allow list”. Standardmäßig ist diese Einstellung auf „enabled“ konfiguriert, was bedeutet, dass ausschließlich alle Citrix-Kanäle erlaubt sind.

 

Erlauben aller Citrix-Kanäle und zusätzlich des Kanals für deviceTRUST

Wir empfehlen, den für deviceTRUST benötigten Kanal explizit zu konfigurieren. So wird Citrix‘ Konzept für die Sicherheit der virtuellen Kanäle eingehalten und zusätzlich kann die Verbindung zwischen deviceTRUST Host und Client erfolgreich hergestellt werden. Das Umsetzen der Konfiguration erfordert:

  • Die Policy-Einstellung “Virtual channel allow list” explizit zu erlauben
  • Den deviceTRUST- Kanal und den Namen des deviceTRUST Host-Prozess zur Allow-List hinzuzufügen
  • “DEVTRST,C:\Program Files\deviceTRUST\Host\Bin\dthost.exe”

Achtung: Wenn Sie neben den Citrix-Kanälen und deviceTRUST weitere virtuelle Kanäle verwenden, müssen diese zusätzlich explizit erlaubt werden!

Erlauben aller Kanäle

Es ist alternativ möglich, alle virtuellen Kanäle zu erlauben. Aus technischer Sicht ist diese Methode genauso valide wie die explizite Methode. Allerdings wird damit das Sicherheitskonzept für virtuelle Kanäle aus VAAD 2109 ausgehebelt.

Zusammenfassung

Citrix erweitert in VAAD das Sicherheitskonzept um explizite Konfiguration der virtuellen Kanäle. deviceTRUST unterstützt dieses Konzept vollständig. Mit den oben gezeigten Konfigurationsschritten erhalten Sie die Funktion von deviceTRUST in Ihrer Umgebung – bei gleichzeitig sicherer Konfiguration.

Details zur Konfigurationsänderung in Citrix VAAD CR 2109 finden Sie hier: Sicherheit virtueller Kanäle | Citrix Virtual Apps and Desktops 7 2109

Details zur Konfigurationsänderung in Citrix VAAD LTSR 1912 CU4 finden Sie hier: Sicherheit virtueller Kanäle | Citrix Virtual Apps and Desktops 7 1912 LTSR

Generelle Informationen zu virtuellen Kanälen in Citrix sind hier zu finden: Virtuelle ICA-Kanäle von Citrix | Citrix Virtual Apps and Desktops 7 2109

von Sven Jansen – Pre-Sales Manager DACH