Neste documento explica-se como configurar certos aspetos do cliente Citrix, isto afetaria clientes com a versão superior a 10.x. O que seria necessário fazer é descarregar um modelo (icaclient.adm – AQUI), e adicioná-lo à política que nos interessar, editar as configurações que desejarmos por computador ou por utilizador e aplicá-las.

Importar o modelo – AQUI
Descrição do modelo e das suas diretivas – AQUI

Importar o modelo ,

Neste documento explica-se usando a consola de “Administración de directivas de grupo”, nesta consola não é necessário tê-la instalada, não faria diferença, acede-se de forma semelhante a partir da UO na consola de “Utilizadores e computadores do Active Directory”.

Uma vez aberta a consola, é ir à Unidade Organizativa e editar a diretiva que nos interesse ou criar uma para testar, esse é o meu caso, na UO que nos interesse com botão direito “Criar e ligar um GPO aqui…”

Damos-lhe um nome descritivo, “Aceitar”

E editamo-lo, por isso, na diretiva com botão direito “Editar…”,

Agora vamos inserir o modelo da Citrix, envelope “Configuração do computador” > botón derecho en “Modelos administrativos” > “Adicionar ou remover modelos…”

Veremos os que temos, e inserimos o novo com “Adicionar…”

Procuramos o modelo (icaclient.adm – AQUI) que descarregámos, selecionamo-lo e abrimo-lo,

Vemos que está lá, perfeito, cerramos esta ventana,

Descrição do modelo e das suas diretivas,

Ahora ya tenemos diferentes directivas desde “Configuração do computador” > “Modelos administrativos” > “Componentes Citrix”. Em “Cliente Presentation Server” tenemos una directiva llamada:

“Permitir ligações do cliente”
Use esta política para ativar ou desativar completamente as ligações do cliente Citrix Presentation Server.
Quando esta política não estiver configurada, o cliente permitirá a ligação a servidores.
Quando esta política estiver ativada, o cliente só se ligará a um servidor se o “Ativar cliente” opção selecionada, e se o seu número de versão for maior ou igual a “Versão mínima do cliente”.
Quando a política está desativada, o cliente não permitirá ligações a nenhum servidor.

Em “Componentes Citrix” > “Cliente Presentation Server” > “Roteamento de rede” tenemos varias directivas:

“encriptação de dados TLS/SSL e identificação de servidores”
Utilize esta política para configurar as opções TLS/SSL que ajudam a garantir que o cliente se conecta a aplicações e áreas de trabalho remotas genuínas. O TLS e o SSL encriptam os dados transferidos para impedir que terceiros vejam ou modifiquem o tráfego de dados. A Citrix recomenda que quaisquer conexões em redes não confiáveis utilizem TLS/SSL ou outra solução de encriptação com pelo menos o mesmo nível de proteção.
Quando esta política estiver ativada, O cliente aplicará estas definições a todas as conexões TLS/SSL realizadas pelo cliente. A caixa de verificação “Exigir SSL para todas as conexões” pode ser utilizada para obrigar o cliente a usar o protocolo TLS ou SSL em todas as conexões que realizar.
O TLS e o SSL identificam servidores remotos pelo nome comum no certificado de segurança enviado pelo servidor durante a negociação da conexão. Usually the common name is the DNS name of the server, for example www.citrix.com. It is possible to restrict the common names to which the client will connect by specifying a comma-separated list in the “Allowed SSL servers” setting. Note that a wildcard address, for example “*.citrix.com:443”, will match all common names that end with “.citrix.com”. The information contained in a certificate is guaranteed to be correct by the certificate’s issuer.
Some security policies have requirements related to the exact choice of cryptography used for a connection. By default the client will automatically select either TLS v1.0 or SSL v3.0 (with preference for TLS v1.0) depending on what the server supports. This can be restricted to only TLS v1.0 or SSL v3.0 using the “SSL/TLS version” setting.
Similarly, certas políticas de segurança têm requisitos relacionados com os conjuntos de cifras criptográficas usados para uma ligação. Por predefinição, o cliente irá negociar automaticamente um conjunto de cifras adequado a partir dos cinco listados abaixo. Se necessário, é possível restringir apenas aos conjuntos de cifras de uma das duas listas.
Conjuntos de Cifras do Governo:
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
Conjuntos de Cifras Comerciais:
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_RC4_128_MD5
Lista de Revogação de Certificados (CRL) verificação é uma funcionalidade avançada suportada por alguns emissores de certificados. Permite que certificados de segurança sejam revogados (invalidando-os antes da sua data de expiração) no caso de comprometimento criptográfico da chave privada do certificado, ou simplesmente uma alteração inesperada no nome DNS.
As CRLs válidas devem ser descarregadas periodicamente a partir do emissor do certificado e armazenadas localmente. Isto pode ser controlado através da seleção feita em “Verificação de CRL”
– Desabilitado: Quando “Desabilitado” é selecionado, não será realizada qualquer verificação de CRL.
– Verificar apenas CRLs armazenadas localmente: Quando “Verificar apenas CRLs armazenadas localmente” é selecionado, quaisquer CRLs que tenham sido previamente instaladas ou descarregadas serão utilizadas na validação do certificado. Se for detetado que um certificado foi revogado, a ligação falhará.
– Obter CRLs a partir da rede: Quando “Obter CRLs a partir da rede” é selecionado, o cliente tentará obter CRLs junto dos emissores relevantes de certificados. Se for detetado que um certificado foi revogado, a ligação falhará.
– Exigir CRLs para a ligação: Quando “Exigir CRLs para a ligação” é selecionado, o cliente tentará obter CRLs junto dos emissores relevantes de certificados. Se for detetado que um certificado foi revogado, a ligação falhará. Se o cliente não conseguir obter uma CRL válida, a ligação falhará.

“Configurar configuração de servidor de confiança”
Utilize esta política para controlar como o cliente identifica a aplicação ou ambiente de trabalho publicado a que se está a ligar. O cliente determinará um nível de confiança, denominado “região de confiança” com uma ligação. A região de confiança irá então determinar como o cliente é configurado para a ligação.
Quando esta política estiver ativada, o cliente pode ser forçado a efectuar a identificação da região utilizando a “Aplicar configuração de servidor confiável” opção.
Por defeito, a identificação da região baseia-se no endereço do servidor ao qual o cliente se está a ligar. Para ser membro da região de confiança, o servidor deve ser membro da zona Sites de Confiança do Windows. Pode configurar isto utilizando a “Zona de Internet do Windows” setting.
Como alternativa, para compatibilidade com clientes não-Windows, o endereço do servidor pode ser especificamente confiável utilizando o “Endereço” setting. Esta é uma lista de servidores separados por vírgulas que suporta o uso de curingas, for example, cps*.citrix.com.

“Fiabilidade da sessão e reconexão automática”
Utilize esta política para controlar como o cliente se comporta quando uma falha de rede causa a interrupção da ligação.
Quando esta política estiver ativada, o cliente irá tentar reconectar a um servidor apenas se “Ativar reconexão” é selecionado. Por predefinição, são feitas três tentativas de reconexão, mas isto pode ser alterado utilizando “Número de tentativas” setting. De forma semelhante, o atraso entre tentativas pode ser alterado a partir do padrão de 30 segundos utilizando “Atraso de tentativa” setting.
Uma configuração separada, “Ativar reconexão SSL/TLS”, é fornecida para permitir reconexão a um servidor SSL/TLS. O suporte para esta configuração depende da configuração do servidor SSL.

Em “Componentes Citrix” > “Cliente Presentation Server” > “Roteamento de rede” > “Proxy” tenemos varias directivas:

“Configurar definições de proxy do cliente”
Use esta política para configurar os proxies de rede primários que o cliente pode usar ao ligar a uma aplicação ou ambiente de trabalho remoto.
Quando esta política não estiver configurada, o cliente irá usar as suas próprias definições para decidir se se conecta através de um servidor proxy.
Quando esta política estiver ativada, o cliente irá usar o proxy configurado com base no tipo de proxy selecionado:
– Tipo de proxy: Nenhum: Quando “Nenhum” é selecionado, the client will attempt to connect to the server directly without traversing a proxy server.
– Tipo de proxy: Auto: Quando “Auto” é selecionado, the client will use the local machine settings to determine which proxy server to use for a connection. This is usually the settings used by the Web browser installed on the machine.
– Tipo de proxy: Script: Quando “Script” é selecionado, the client will retrieve a JavaScript based “.pac” file from the URL specified in the “Proxy script URLs” policy option. The “.pac” file is executed to identify which proxy server should be used for the connection.
– Tipo de proxy: Secure: Quando “Secure” é selecionado, the client will contact the proxy identified by the “Proxy host names” e “Proxy ports” Configurações. The negotiation protocol will use a “HTTP CONNECT” header request specifying the desired destination address. This proxy protocol is commonly used for HTTP based traffic, and supports GSSAPI proxy authentication.
– Tipo de Proxy: SOCKS/SOCKS V4/SOCKS V5: When a “SOCKS” quando um proxy é selecionado, o cliente realizará um handshake SOCKS V4 ou SOCKS V5 com o proxy identificado pelo “Nomes de host do proxy” e “Proxy ports” Configurações. The “SOCKS” a opção irá detetar e usar a versão correta do Socks.
Para qualquer tipo de proxy, pode fornecer uma lista de servidores que não passam pelo proxy. Estes devem ser colocados na “Lista de bypass de servidores”.

“Configurar definições de proxy de failover do cliente”
Use esta política para configurar proxies de rede alternativos que o cliente pode usar se o proxy de rede principal não conseguir ligar-se a uma aplicação ou ambiente de trabalho remoto.
Quando esta política não estiver configurada, o cliente irá usar as suas próprias definições para decidir se se conecta através de um servidor proxy.
Quando esta política estiver ativada, o cliente tentará uma ligação usando um proxy alternativo se a ligação ao proxy principal falhar. As definições de proxy de failover funcionam de forma idêntica às definições do proxy principal.
Se tanto o proxy principal como o alternativo falharem em prestar o serviço para a ligação, selecionando o “Failover to direct” check box instructs the client to attempt a final direct connection with no proxies.

“Configure SOCKS proxy settings”
Use this policy to configure the use of additional SOCKS proxies that are required for some advanced network topologies.
When enabled, the client will examine the “SOCKS protocol version” setting. If connection via SOCKS is not disabled, the client will attempt to connect using the SOCKS proxy specified by the “Proxy host names” e “Proxy ports” Configurações.
The client supports connections using either SOCKS v4 or SOCKS v5 proxy servers. Como alternativa, it can attempt to automatically detect the version being used by the proxy server.

“Configure proxy authentication”
Use this policy to control the authentication mechanisms that the client uses when connecting to a proxy server. Authenticating proxy servers can be used to monitor data traffic in large network deployments.
In general, authentication is handled by the operating system but in some scenarios, the user may be provided with a specific user name and password. To prevent the user from being specifically prompted for these credentials, clear the “Prompt user for credentials” check box. This will force the client to attempt an anonymous connection. Como alternativa, you can configure the client to connect using credentials passed to it by the Web Interface server, or these can be explicitly specified via Group Policy using the “Explicit user name” e “Explicit password” Opções.

Em “Componentes Citrix” > “Cliente Presentation Server” > “User authentication ” tenemos varias directivas:

“Smart card authentication”
Use this policy to control how the client uses smart cards attached to the client device.
When enabled, esta política permite que o servidor remoto aceda a cartões inteligentes ligados ao dispositivo cliente para autenticação e outros fins.
Quando desativado, o servidor não pode aceder a cartões inteligentes ligados ao dispositivo cliente.

“Autenticação Kerberos”
Use esta política para controlar como o cliente usa o Kerberos para autenticar o utilizador à aplicação ou ambiente de trabalho remoto.
When enabled, esta política permite que o cliente autentique o utilizador usando o protocolo Kerberos. O Kerberos é uma transação de autenticação autorizada pelo Controlador de Domínio que evita a necessidade de transmitir os dados reais das credenciais do utilizador para o servidor.
Quando desativado, o cliente não tentará a autenticação Kerberos.

“Nome de utilizador e palavra-passe locais”
Use esta política para instruir o cliente a usar as mesmas credenciais de início de sessão (autenticação por passagem) para o Citrix Presentation Server como a máquina cliente.
Quando esta política estiver ativada, o cliente pode ser impedido de usar as credenciais de início de sessão do utilizador atual para autenticar-se no servidor remoto ao limpar a “Ativar autenticação automática” check box.
Quando executado num ambiente Novell Directory Server, selecionando o “Usar credenciais do Novell Directory Server” a caixa de seleção solicita que o cliente use as credenciais NDS do utilizador.

“Credenciais armazenadas localmente”
Use esta política para controlar como os dados de credenciais do utilizador armazenados nas máquinas dos utilizadores ou colocados em ficheiros ICA são utilizados para autenticar o utilizador à aplicação ou ambiente de trabalho publicado remotamente.
Quando esta política estiver ativada, pode impedir que passwords armazenadas localmente sejam enviadas automaticamente para servidores remotos ao limpar a “Permitir autenticação usando credenciais armazenadas localmente” check box. Isto faz com que quaisquer campos de palavra-passe sejam substituídos por dados fictícios.
Além disso, o “Nome de utilizador” e “Domínio” as opções podem ser usadas para restringir ou substituir quais os utilizadores que podem ser automaticamente autenticados nos servidores. Estes podem ser especificados como listas separadas por vírgulas.

“Bilhete de autenticação da Interface Web”
Use esta política para controlar a infraestrutura de bilhetes usada ao autenticar através da Interface Web.
Quando esta política estiver ativada, o bilhete da Interface Web legada pode ser desativado limpando o “Gestão de bilhetes legada” check box. O bilhete da Interface Web legada foi implementado passando um cookie de autenticação de uso único para o servidor no campo de palavra-passe ClearText.
A partir da versão 4.5 da Interface Web, o cliente lida com um token de autenticação na forma de um LogonTicket opaco com uma interpretação associada definida pelo LogonTicketType. Esta funcionalidade pode ser desativada ao limpar a “Web Interface 4.5 e acima” check box.

Em “Componentes Citrix” > “Cliente Presentation Server” > “Dispositivos cliente Remoting” tenemos varias directivas:

“Mapeamento de unidades do cliente”
Use esta política para ativar e restringir o acesso da aplicação remota ou da área de trabalho aos sistemas de ficheiros do cliente.
When enabled, o cliente irá negar completamente o mapeamento de unidades do cliente (CDM) acesso ao canal virtual ao sistema de ficheiros do cliente se a caixa de verificação “Ativar mapeamento de unidades do cliente” não estiver selecionada. Isto impede que a DLL que implementa o canal virtual de mapeamento de unidades do cliente (vdcdmn.dll) se carregue na inicialização do cliente. Neste ponto, pode eliminar a DLL do pacote do cliente.
Se o CDM estiver ativado, opções adicionais estão disponíveis para restringir o tipo de acesso disponível ao servidor. Se a “Unidades do cliente só de leitura” caixa de verificação estiver selecionada, o canal virtual CDM apenas permite acesso de leitura às unidades do cliente.
Access to Windows drives can be disabled by entering the relevant drive letter in the “Do not map drives” box. This is a concatenation of all drives that should not be mapped when connecting to a published application or desktop, for example “ABFK” disables the drives A, B, F and K.

“Client printers”
Use this policy to enable and restrict the remote application or desktop’s access to client printers.
When this policy is disabled, the client prevents the server from accessing or printing to printers available to the client device.

“Client hardware access”
Use this policy to enable and restrict the remote application or desktop’s access to the client’s serial, USB, and parallel ports. This allows the server to use locally attached hardware.

“Image capture”
Use this policy to enable and restrict the remote application or desktop’s access to scanners, webcams, and other imaging devices on the client device.

“Client microphone”
Use this policy to enable and restrict the remote application or desktop’s access to local audio capture devices (microphones).
The additional controls and indicators provided by the Philips SpeechMike device can be disabled by clearing the “Use remote SpeechMike controls” check box.

“Clipboard”
Use this policy to enable and restrict the remote application or desktop’s access to the client clipboard contents.

Em “Componentes Citrix” > “Cliente Presentation Server” > “Dispositivos cliente Remoting” tenemos varias directivas:

“Client audio settings”
Use this policy to control how sound effects and music produced by remote applications or desktops are directed to the client machine.
Quando esta política estiver ativada, o “Enable audio” check box can be used to completely disable client audio mapping. Isto não afeta os dados de áudio do cliente para o servidor, que são controlados através do “Dispositivos cliente Remoting” policy.
Também é possível controlar a qualidade do áudio. São suportados três níveis de qualidade: baixo, médio e alto. Esta configuração afeta tanto a qualidade de áudio do servidor para o cliente como do cliente para o servidor. Note que os requisitos de largura de banda para áudio de alta qualidade podem tornar esta configuração inadequada para muitas implementações.

“Configurações gráficas do cliente”
Use esta política para controlar a qualidade dos gráficos apresentados por aplicações ou ambientes de trabalho remotos. Gráficos de qualidade inferior podem ajudar a melhorar a experiência do utilizador quando está disponível largura de banda limitada.
– Profundidade de cor: Isto especifica a profundidade de cor preferida para uma sessão. In general, Profundidades de cor baixas proporcionam melhor desempenho com largura de banda reduzida; no entanto, algumas das tecnologias de compressão disponíveis só podem ser usadas a cores completas, pelo que o desempenho efetivo depende da aplicação individual e do padrão de utilização. O servidor pode optar por não respeitar a definição de profundidade de cor escolhida porque profundidades de cor mais elevadas resultam num uso intensivo de memória nos servidores.
– Cache baseada em disco: Para dispositivos clientes com RAM limitada, melhores taxas de compressão podem ser alcançadas guardando objetos gráficos temporários na cache do disco.
– compressão com perdas: Para máxima compressão e resposta, o servidor por vezes permite que os dados de imagem transferidos degradem em qualidade. Isto geralmente ocorre quando a ligação é lenta, ou quando a largura de banda é limitada e estão a ocorrer grandes atualizações de área. Isto não é adequado para todas as aplicações e utilizações. Limpar esta definição força todos os dados de imagem a serem transmitidos em qualidade total.
– Aceleração do navegador SpeedScreen: Esta funcionalidade permite que as imagens exibidas pelo Microsoft Internet Explorer sejam tratadas de forma especial pelo canal virtual de aceleração do navegador SpeedBrowse. Isto melhora a capacidade de resposta ao usar o Microsoft Internet Explorer remotamente.
– Compressão com perdas da aceleração do navegador SpeedScreen: Esta é uma extensão da definição de aceleração do navegador SpeedScreen, permitindo que as imagens exibidas pelo Microsoft Internet Explorer sejam degradadas antes de serem transmitidas para o cliente. Isto não é adequado para todas as aplicações e utilizações. Limpar esta opção força todos os dados de imagem do navegador Web a serem transmitidos em qualidade total.
– Vídeo Remoto: A opção de vídeo remoto permite que o servidor transmita diretamente certos dados de vídeo para o cliente. Isto proporciona um desempenho melhor do que descomprimir e recomprimir dados de vídeo no computador que executa o Citrix Presentation Server.
– Redução de Latência do SpeedScreen: Ativar as definições de Redução de Latência do SpeedScreen permite que o cliente preveja como os movimentos do rato e a introdução de texto irão aparecer no servidor. Isto resulta numa resposta imediata para o utilizador quando digita ou move o cursor do rato.

“Definições de visualização do cliente”
Use esta política para controlar como o cliente apresenta aplicações e ambientes de trabalho remotos ao utilizador final. As aplicações remotas podem ser integradas de forma contínua com as aplicações locais, ou todo o ambiente local pode ser substituído por um ambiente de trabalho remoto.
– Janelas contínuas: Quando definido como falso, esta definição permite ao cliente desativar a utilização de janelas contínuas, em vez disso, exibindo uma janela de tamanho fixo. Quando definido como verdadeiro, força o cliente a solicitar janelas contínuas, embora o servidor possa optar por rejeitar este pedido.
– Largura e altura da janela: Estas definições determinam a largura e altura da janela. É possível definir intervalos de valores preferidos (for example 800-). O servidor pode optar por ignorar este valor. Esta definição é ignorada quando janelas contínuas estão em uso.
– Porcentagem da janela: Isto pode ser usado como alternativa a escolher manualmente a largura e altura. Seleciona um tamanho de janela como uma percentagem fixa de todo o ecrã. O servidor pode optar por ignorar este valor. Esta definição é ignorada quando janelas contínuas estão em uso.
– Ecrã completo: Esta definição alterna o cliente para o modo de ecrã completo. O ecrã do servidor irá cobrir completamente o ecrã do cliente.

“Aplicações remotas”
Utilize esta política para configurar o tratamento das aplicações remotas pelo cliente.
When enabled, esta política usa a lista em “Aplicação” caixa para determinar quais as aplicações publicadas que podem ser lançadas diretamente pelo cliente.
Pode solicitar que aplicações remotas partilhem sessões (executem numa única ligação ICA). Isto proporciona uma melhor experiência ao utilizador, mas por vezes não é desejável. A funcionalidade de partilha de sessões pode ser desativada ao limpar o “Partilha de sessões” check box.

Si queremos também podemos editar estas directivas a nível de usuario y no hacerlo a nível de equipo, estaría en “Configurações do usuário” > “Modelos administrativos” > “Componentes Citrix” > “Cliente Presentation Server”.

www.bujarra.com – Héctor Herrero – Nh*****@*****ra.com – v 1.0