En aquest document s'explica com configurar certs aspectes del client de Citrix, això afectaria els clients amb la versió superior a la 10.x. El que caldria fer és descarregar-se una plantilla (icaclient.adm – AKI), i afegir-la a la directriu que ens interessi, editar les configuracions que desitgem per equip o per usuari i aplicar-la.

Importar la plantilla – AKI
Descripció de la plantilla i les seves directives – AKI

Importar la plantilla ,

En aquest document s'explica utilitzant la consola de “Administració de directives de grup”, aquesta consola no cal que la tinguis instal·lada, seria igual, s'hi accedeix de manera similar des de la UO a la consola de “Usuarios y equipos de Active Directory”.

Un cop oberta la consola, és anar a la Unitat Organitzativa i editar la directiva que ens interessi o bé crear-ne una per provar-la, aquest és el meu cas, sobre la UO que ens interessi amb botó dret “Crear i vincular un GPO aquí…”

Li indiquem un nom descriptiu, “Acceptar”

I la editem, per a això, sobre la directiva amb botó dret “Editar…”,

Ara anem a posar la plantilla de Citrix, sobre “Configuració de l' equip” > botón derecho en “Plantilles administratives” > “Afegir o treure plantilles…”

Veurem les que tenim, i posem la nova amb “Agregar…”

Busquem la plantilla (icaclient.adm – AKI) que ens hem baixat, la seleccionem i l'obrim,

Veiem que hi és, perfecte, tanquem aquesta finestra,

Descripció de la plantilla i les seves directives,

Ara ja tenim diferents directives des de “Configuració de l' equip” > “Plantilles administratives” > “Components de Citrix”. En “Client del Presentation Server” tenim una directiva anomenada:

“Permetre connexions del client”
Utilitzeu aquesta política per habilitar o deshabilitar completament les connexions del client del Citrix Presentation Server.
Quan aquesta política no està configurada, el client permetrà la connexió als servidors.
Quan aquesta política està habilitada, el client només es connectarà a un servidor si l'opció “Habilitar client” està seleccionada, i si el seu número de versió és superior o igual al “Versió mínima del client”.
Quan la política està deshabilitada, el client no permetrà connexions a cap servidor.

En “Components de Citrix” > “Client del Presentation Server” > “Enrutament de xarxa” tenim diverses directrius:

“Xifrat de dades TLS/SSL i identificació del servidor”
Utilitzeu aquesta política per configurar les opcions TLS/SSL que ajuden a assegurar que el client es connecti a aplicacions i escriptoris remots genuïns. TLS i SSL xifren les dades transferides per evitar que tercers visualitzin o modifiquin el trànsit de dades. Citrix recomana que qualsevol connexió a través de xarxes no fiables utilitzi TLS/SSL o una altra solució de xifrat amb almenys el mateix nivell de protecció.
Quan aquesta política està habilitada, el client aplicarà aquestes configuracions a totes les connexions TLS/SSL que realitzi el client. La casella de selecció “Requerir SSL per a totes les connexions” es pot utilitzar per obligar el client a utilitzar el protocol TLS o SSL per a totes les connexions que realitzi.
TLS i SSL identifiquen els servidors remots pel nom comú del certificat de seguretat enviat pel servidor durant la negociació de connexió. Normalment el nom comú és el nom DNS del servidor, per exemple www.citrix.com. It is possible to restrict the common names to which the client will connect by specifying a comma-separated list in the “Allowed SSL servers” setting. Note that a wildcard address, for example “*.citrix.com:443”, will match all common names that end with “.citrix.com”. The information contained in a certificate is guaranteed to be correct by the certificate’s issuer.
Some security policies have requirements related to the exact choice of cryptography used for a connection. By default the client will automatically select either TLS v1.0 or SSL v3.0 (with preference for TLS v1.0) depending on what the server supports. This can be restricted to only TLS v1.0 or SSL v3.0 using the “SSL/TLS version” setting.
Similarly, certain security policies have requirements relating to the cryptographic ciphersuites used for a connection. Per defecte, el client negociarà automàticament un ciphersuite adequat dels cinc que es llisten a continuació. Si és necessari, és possible restringir-se només als ciphersuites d'una de les dues llistes.
Ciphersuites Governamentals:
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
Ciphersuites Comercials:
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_RC4_128_MD5
Certificate Revocation List (CRL) la comprovació és una característica avançada suportada per alguns emisors de certificats. Permet revocar certificats de seguretat (invalida-los abans de la seva data de caducitat) en cas de compromís criptogràfic de la clau privada del certificat, o simplement un canvi inesperat en el nom DNS.
Els CRL vàlids s'han de descarregar periòdicament de l'emissor del certificat i emmagatzemar-los localment. Això es pot controlar mitjançant la selecció feta a “Verificació CRL”
– Desactivat: Quan “Desactivat” està seleccionat, no es realitzarà cap comprovació de CRL.
– Només comprovar les CRL emmagatzemades localment: Quan “Només comprovar les CRL emmagatzemades localment” està seleccionat, s'utilitzaran qualsevol CRL que s'hagin instal·lat o descarregat prèviament en la validació del certificat. Si es troba que un certificat ha estat revocat, la connexió fallarà.
– Recuperar CRL des de la xarxa: Quan “Recuperar CRL des de la xarxa” està seleccionat, el client intentarà recuperar les CRL dels emissors de certificat corresponents. Si es troba que un certificat ha estat revocat, la connexió fallarà.
– Requerir CRL per a la connexió: Quan “Requerir CRL per a la connexió” està seleccionat, el client intentarà recuperar les CRL dels emissors de certificat corresponents. Si es troba que un certificat ha estat revocat, la connexió fallarà. Si el client no pot recuperar una CRL vàlida, la connexió fallarà.

“Configurar la configuració del servidor de confiança”
Utilitzeu aquesta política per controlar com el client identifica l'aplicació o escriptori publicat al qual es connecta. El client determinarà un nivell de confiança, anomenat una “regió de confiança” amb una connexió. La regió de confiança determinarà llavors com es configura el client per a la connexió.
Quan aquesta política està habilitada, el client pot ser forçat a realitzar la identificació de la regió utilitzant l' “Aplicar la configuració del servidor de confiança” opció.
Per defecte, La identificació de la regió es basa en l'adreça del servidor al qual es connecta el client. Per ser membre de la regió de confiança, el servidor ha de ser membre de la zona de llocs de confiança de Windows. Podeu configurar això utilitzant la “zona d'internet de Windows” setting.
Alternativament, per compatibilitat amb clients no Windows, l'adreça del servidor es pot confiar específicament utilitzant la “Address” setting. Això és una llista de servidors separats per comes que admet l'ús de comodins, for example, cps*.citrix.com.

“Fiabilitat de la sessió i reconexió automàtica”
Utilitzeu aquesta política per controlar com es comporta el client quan una fallada de xarxa provoca que es perdi la connexió.
Quan aquesta política està habilitada, el client intentarà reconnectar-se a un servidor només si “Activa la reconexió” està seleccionat. Per defecte es fan tres intents de reconexió, però això es pot modificar utilitzant el “Nombre de reintents” setting. De manera similar, el retard entre intents es pot modificar respecte al valor per defecte de 30 segons utilitzant el “Retard de reintent” setting.
Una configuració separada, “Habilitar la reconnexió SSL/TLS”, es proporciona per permetre la reconnexió a un servidor SSL/TLS. El suport per a aquesta configuració depèn de la configuració del servidor SSL.

En “Components de Citrix” > “Client del Presentation Server” > “Enrutament de xarxa” > “Proxy” tenim diverses directrius:

“Configura la configuració del proxy del client”
Utilitza aquesta política per configurar els proxies de xarxa principals que el client pot utilitzar quan es connecta a una aplicació remota o escriptori.
Quan aquesta política no està configurada, el client utilitzarà la seva pròpia configuració per decidir si es connecta a través d'un servidor proxy.
Quan aquesta política està habilitada, el client utilitzarà el proxy configurat segons el tipus de proxy seleccionat:
– tipus de proxy: None: Quan “None” està seleccionat, el client intentarà connectar-se directament al servidor sense travessar un servidor proxy.
– tipus de proxy: Auto: Quan “Auto” està seleccionat, the client will use the local machine settings to determine which proxy server to use for a connection. This is usually the settings used by the Web browser installed on the machine.
– tipus de proxy: Script: Quan “Script” està seleccionat, the client will retrieve a JavaScript based “.pac” file from the URL specified in the “Proxy script URLs” policy option. The “.pac” file is executed to identify which proxy server should be used for the connection.
– tipus de proxy: Secure: Quan “Secure” està seleccionat, the client will contact the proxy identified by the “Proxy host names” i “Proxy ports” Configuració. The negotiation protocol will use a “HTTP CONNECT” header request specifying the desired destination address. This proxy protocol is commonly used for HTTP based traffic, and supports GSSAPI proxy authentication.
– Proxy Type: SOCKS/SOCKS V4/SOCKS V5: When a “SOCKS” proxy is selected, el client realitzarà un intercanvi de salutació SOCKS V4 o SOCKS V5 amb el proxy identificat per la “Noms d'amfitrió del proxy” i “Proxy ports” Configuració. The “SOCKS” l'opció detectarà i utilitzarà la versió correcta de Socks.
Per a qualsevol tipus de proxy, pots proporcionar una llista de servidors que no travessaran el proxy. Aquests s'han de col·locar a la “Llista de servidors evitats”.

“Configura la configuració de proxy de reserva del client”
Utilitzeu aquesta política per configurar proxies de xarxa alternatius que el client pugui utilitzar si el proxy de xarxa principal no aconsegueix connectar-se a una aplicació o escriptori remot.
Quan aquesta política no està configurada, el client utilitzarà la seva pròpia configuració per decidir si es connecta a través d'un servidor proxy.
Quan aquesta política està habilitada, el client intentarà una connexió utilitzant un proxy alternatiu si la connexió amb un proxy principal falla. La configuració del proxy de reserva funciona de manera idèntica a la configuració del proxy principal.
Si tant el proxy principal com l'alternatiu no aconsegueixen atendre la connexió, seleccionant la “Falla a connexió directa” la casella d'opció instruiex al client per intentar una connexió final directa sense proxies.

“Configureu la configuració del proxy SOCKS”
Utilitzeu aquesta política per configurar l'ús de proxies SOCKS addicionals que són necessaris per a algunes topologies de xarxa avançades.
Quan està habilitat, el client examinarà la “Versió del protocol SOCKS” setting. Si la connexió mitjançant SOCKS no està deshabilitada, el client intentarà connectar utilitzant el proxy SOCKS especificat per la “Proxy host names” i “Proxy ports” Configuració.
El client admet connexions utilitzant servidors proxy SOCKS v4 o SOCKS v5. Alternativament, pot intentar detectar automàticament la versió que està utilitzant el servidor proxy.

“Configura l'autenticació del proxy”
Utilitza aquesta política per controlar els mecanismes d'autenticació que el client utilitza quan es connecta a un servidor proxy. Els servidors proxy d'autenticació es poden utilitzar per monitoritzar el trànsit de dades en grans desplegaments de xarxa.
en general, l'autenticació és gestionada pel sistema operatiu però en alguns escenaris, l'usuari pot rebre un nom d'usuari i una contrasenya específics. per evitar que l'usuari sigui específicament sol·licitat per aquestes credencials, esborrar el “sol·licitar les credencials a l'usuari” casella de selecció. Això obligarà el client a intentar una connexió anònima. Alternativament, pots configurar el client perquè es connecti utilitzant les credencials que li ha passat el servidor d'interfície web, o aquestes es poden especificar explícitament mitjançant la Política de Grup utilitzant el “Nom d'usuari explícit” i “Contrasenya explícita” opcions.

En “Components de Citrix” > “Client del Presentation Server” > “Autenticació d'usuari ” tenim diverses directrius:

“Autenticació amb targeta intel·ligent”
Utilitza aquesta política per controlar com el client utilitza les targetes intel·ligents connectades al dispositiu client.
Quan està habilitat, aquesta política permet que el servidor remot accedeixi a les targetes intel·ligents connectades al dispositiu client per a l'autenticació i altres finalitats.
Quan està desactivada, el servidor no pot accedir a les targetes intel·ligents connectades al dispositiu client.

“Autenticació Kerberos”
Feu servir aquesta política per controlar com el client utilitza Kerberos per autenticar l'usuari a l'aplicació o escriptori remot.
Quan està habilitat, aquesta política permet al client autenticar l'usuari mitjançant el protocol Kerberos. Kerberos és una transacció d'autenticació autoritzada pel Controlador de Domini que evita la necessitat de transmetre les dades reals de credencials de l'usuari al servidor.
Quan està desactivada, el client no intentarà l'autenticació Kerberos.

“Nom d'usuari i contrasenya locals”
Feu servir aquesta política per instruir el client a utilitzar les mateixes credencials d'inici de sessió (autenticació pass-through) per al Citrix Presentation Server com la màquina client.
Quan aquesta política està habilitada, es pot impedir que el client utilitzi les credencials d'inici de sessió de l'usuari actual per autenticar-se al servidor remot esborrant el “Activar l'autenticació pass-through” casella de selecció.
Quan s'executa en un entorn de Novell Directory Server, seleccionant la “Utilitza les credencials del Novell Directory Server” caselles de selecció sol·licita que el client utilitzi les credencials NDS de l'usuari.

“Credencials emmagatzemades localment”
Utilitza aquesta política per controlar com s'utilitzen les dades de credencials d'usuari emmagatzemades a les màquines dels usuaris o col·locades en fitxers ICA per autenticar l'usuari a l'aplicació publicada remotament o a l'escriptori.
Quan aquesta política està habilitada, pots evitar que les contrasenyes emmagatzemades localment s'enviïn automàticament a servidors remots esborrant el “Permetre l'autenticació amb credencials emmagatzemades localment” casella de selecció. Això fa que qualsevol camp de contrasenya es substitueixi per dades fictícies.
A més, el “Nom d'usuari” i “Domain” les opcions es poden utilitzar per restringir o anul·lar quins usuaris poden autenticar-se automàticament als servidors. Aquestes es poden especificar com a llistes separades per comes.

“tiquet d'autenticació de la interfície web”
Utilitza aquesta política per controlar la infraestructura de tiquets utilitzada quan s'autentica a través de la interfície web.
Quan aquesta política està habilitada, La gestió de tiquets heretats es pot desactivar esborrant el “Gestió de tiquets heretats” casella de selecció. La gestió de tiquets antigues es va implementar passant una cookie d'autenticació d'un sol ús al servidor al camp de contrasenya ClearText.
Començant per la versió 4.5 de la interfície web, el client gestiona un token d'autenticació en forma d'un LognTicket opac amb una interpretació associada definida pel LogonTicketType. Aquesta funcionalitat es pot desactivar esborrant els “Web Interface 4.5 i superiors” casella de selecció.

En “Components de Citrix” > “Client del Presentation Server” > “Dispositius client remots” tenim diverses directrius:

“Mapeig de unitats del client”
Utilitzeu aquesta política per permetre i restringir l'accés de l'aplicació remota o de l'escriptori als sistemes de fitxers del client.
Quan està habilitat, el client denegarà completament el mapa de les unitats del client (CDM) accés al canal virtual al sistema de fitxers del client si la casella de selecció “Habilita el mapeig d'unitats del client” no està seleccionada. Això impedeix que la DLL que implementa el canal virtual de mapeig d'unitats del client (vdcdmn.dll) es carregui a l'inici del client. En aquest moment, podeu eliminar la DLL del paquet del client.
Si CDM està habilitat, estan disponibles opcions addicionals per restringir el tipus d'accés disponible per al servidor. Si la casella de selecció “Unitats de client de només lectura” està seleccionada, el canal virtual CDM només permet accés de lectura a les unitats del client.
L'accés a les unitats de Windows es pot desactivar introduint la lletra de la unitat corresponent a la “No mapar unitats” caixa. This is a concatenation of all drives that should not be mapped when connecting to a published application or desktop, for example “ABFK” disables the drives A, B, F and K.

“Client printers”
Use this policy to enable and restrict the remote application or desktop’s access to client printers.
When this policy is disabled, the client prevents the server from accessing or printing to printers available to the client device.

“Client hardware access”
Use this policy to enable and restrict the remote application or desktop’s access to the client’s serial, USB, and parallel ports. This allows the server to use locally attached hardware.

“Image capture”
Use this policy to enable and restrict the remote application or desktop’s access to scanners, webcams, and other imaging devices on the client device.

“Client microphone”
Utilitzeu aquesta política per habilitar i restringir l'accés de l'aplicació o escriptori remot als dispositius locals de captura d'àudio (micròfons).
Els controls i indicadors addicionals proporcionats pel dispositiu Philips SpeechMike es poden desactivar esborrant el “Utilitzar els controls remots del SpeechMike” casella de selecció.

“Portapapers”
Utilitzeu aquesta política per habilitar i restringir l'accés de l'aplicació o escriptori remot al contingut del portapapers del client.

En “Components de Citrix” > “Client del Presentation Server” > “Dispositius client remots” tenim diverses directrius:

“Configuració d'àudio del client”
Utilitzeu aquesta política per controlar com els efectes de so i la música produïts per aplicacions o escriptoris remots es dirigeixen a la màquina del client.
Quan aquesta política està habilitada, el “Habilitar àudio” la casella de selecció es pot utilitzar per desactivar completament la mapatge d'àudio del client. Això no afecta les dades d'àudio del client al servidor, que està controlat mitjançant la “Dispositius client remots” política.
També és possible controlar la qualitat de l'àudio. Es donen suport a tres nivells de qualitat: baix, mitjà i alt. Aquesta configuració afecta tant la qualitat de l'àudio del servidor al client com del client al servidor. Tingueu en compte que els requisits d'ample de banda per a àudio d'alta qualitat podrien fer que aquesta configuració no sigui adequada per a moltes implementacions.

“Configuració gràfica del client”
Utilitzeu aquesta política per controlar la qualitat dels gràfics presentats per aplicacions o escriptoris remots. Gràfics de menor qualitat poden ajudar a millorar l'experiència de l'usuari quan hi ha un ample de banda limitat.
– Profunditat de color: Especifica la profunditat de color preferida per a una sessió. en general, Les profunditats de color baixes ofereixen un millor rendiment amb baix ample de banda; Tanmateix, algunes de les tecnologies de compressió disponibles només es poden utilitzar amb color complet, per tant, el rendiment efectiu depèn de l'aplicació individual i del patró d'ús. El servidor pot triar no respectar la configuració de la profunditat de color escollida perquè profunditats de color més altes resulten en un ús elevat de la memòria als servidors.
– Caché basat en disc: Per a dispositius clients amb RAM limitada, es poden obtenir millors taxes de compressió guardant objectes gràfics temporals al caché de disc.
– Compressió amb pèrdua: Per a la màxima compressió i resposta ràpida, el servidor de vegades permetrà que les dades d'imatge transferides es degradin en qualitat. Això normalment passa quan la connexió és lenta, o quan l'amplada de banda és limitada i s'estan realitzant actualitzacions d'àrees grans. Això no és apropiat per a totes les aplicacions i usos. Esborrar aquesta configuració força que totes les dades d'imatge siguin transmeses a qualitat completa.
– Acceleració del navegador SpeedScreen: This feature allows images being displayed by Microsoft Internet Explorer to be specially handled by the SpeedBrowse Browser Acceleration virtual channel. This improves responsiveness when using Microsoft Internet Explorer remotely.
– SpeedScreen browser acceleration lossy compression: This is an extension to the SpeedScreen browser acceleration setting, permetre que les imatges mostrades per Microsoft Internet Explorer es degradin abans de ser transmeses al client. Això no és apropiat per a totes les aplicacions i usos. Desmarcar aquesta opció obliga a transmetre totes les dades d’imatges del navegador web a qualitat completa.
– Vídeo remot: L'opció de vídeo remot permet al servidor transmetre directament determinades dades de vídeo al client. Això proporciona un millor rendiment que descomprimir i recomprimir les dades de vídeo a l'ordinador que executa Citrix Presentation Server.
– Reducció de latència SpeedScreen: Habilitar les opcions de reducció de latència SpeedScreen permet al client predir com apareixeran els moviments del ratolí i l’entrada de text al servidor. Això provoca que l'usuari rebi retroalimentació immediata en escriure o moure el punter del ratolí.

“Configuració de la pantalla del client”
Use this policy to control how the client presents remote applications and desktops to the end user. Remote applications can be seamlessly integrated with local applications, or the entire local environment can be replaced with a remote desktop.
– Seamless windows: When set to false this setting allows the client to disable the use of seamless windows, instead displaying a fixed size window. When set to true it forces the client to request seamless windows, tot i que el servidor pot optar per rebutjar aquesta sol·licitud.
– Amplada i altura de la finestra: Aquesta configuració determina l'amplada i l'altura de la finestra. És possible definir intervals de valors preferits (for example 800-). El servidor pot optar per ignorar aquest valor. Aquesta configuració s'ignora quan s'utilitzen finestres sense costures.
– Percentatge de finestra: Això es pot utilitzar com a alternativa a triar manualment l'amplada i l'altura. Selecciona una mida de finestra com un percentatge fix de tota la pantalla. El servidor pot optar per ignorar aquest valor. Aquesta configuració s'ignora quan s'utilitzen finestres sense costures.
– Pantalla completa: Aquesta configuració canvia el client a mode de pantalla completa. La pantalla del servidor cobrirà completament la pantalla del client.

“Aplicacions remotes”
Utilitzeu aquesta política per configurar la gestió d'aplicacions remotes del client.
Quan està habilitat, aquesta política utilitza la llista a la “Application” caixa per determinar quines aplicacions publicades poden ser llançades directament pel client.
Pots sol·licitar que les aplicacions remotes comparteixin sessions (s'executin en una sola connexió ICA). Això proporciona una millor experiència d'usuari, però de vegades no és desitjable. La funció de compartició de sessions es pot desactivar esborrant la “Compartició de sessions” casella de selecció.

Si volem també podem editar aquestes directrius a nivell d'usuari i no fer-ho a nivell d'equip, estaria en “Configuració d'usuari” > “Plantilles administratives” > “Components de Citrix” > “Client del Presentation Server”.

www.bujarra.com – Héctor Herrero – nh*****@*****ra.com – v 1.0