CITRIX安全设置策略

CITRIX安全设置策略

一、应用背景

由于Citrix是基于终端服务的应用模式，而金蝶K3客户端Windows登录账号必须是PowerUser用户组以上，故如果没有对该服务器作安全控制和设置，且在该服务器上是多人并发操作，存在安全漏洞，若不采取安全措施，对Citrix应用价值不大，客户将不认同这种做法，那么如何解决该问题，本篇文档就如何解决该问题逐一要点讲述。 二、环境要求及条件

1、部门级服务器，双CPU,2~4G左右内存，1G双网卡（如果中间层和数据库网卡均1G接入交换机，以达到更高的网络传输速度）

2、Citrix环境，WIndows2000 Server/Windows2000Advanced Server+SPn

3、终端服务应用程序组件安装、终端服务配置ICA-TCP（会话→替代用户设置→结束已断开的会话→活动会话限制→空闲会话限制）

4、AD域服务器，对Citrix服务器操作系统登录账号进行“组策略控制”，防止非法操作 三、设置步骤

1、安装Windows操作系统+终端服务组件应用程序模式

2、终端服务配置ICA_tcp，建议配置结束已断开的会话（1分钟），活动会话限制（3小时或更短），空闲会话限制（30分钟）；

3、在AD域服务器中，对Citrix操作系统供客户端登录的账号进行组策略控制（具体设置，请参考Windows2000帮助，由于篇幅所限，在本文中不详细说明，大致操作步骤如下：打开Active Directory 用户和计算机→新建组织单位OU→属性→组策略→新建策略→编辑→用户配置→管理模板

4、在AD中没，新建用户Terminaluser,并将该账号移动到OU；将Terminaluser添加Citrix终端服务器poweruser组或系统管理员组中。 以下为金蝶K3GUI系统自身安全设置；

5、删除金蝶帮助文件（目录C:\\Program Files\\Kingdee\\K3ERP），删除MSinfo32.exe、Msinfo32.msc 四、其他

A、驱动器映射设置，将有助与客户端将引出的文件保存至本地；

B、打印机，对客户端打印机，如果Windows2000默认找不到，则要求在该Citrix服务器安装加载驱动程序，否则不能打印；

C、输入法设置，首先将OU组中的Terminaluser账号临时移动至User，在Citrix服务器以Terminaluser账号登录后，进行输入法配置完毕后，再将Terminaluser移动至OU组 D、自动登录设置（可选项），和删除默认共享文件夹C$、D$等。

E、端口开放，如果Citrix服务器要求在Internet应用，则建议仅开放以下端口，具体设置步骤简要如下：网卡TCP/IP高级属性→选项→Tcp/IP →Filtering→Permin Only →端口列表（例如：80，1494等等）。