CITRI安全设置策略.docx

CITRIX 安全设置策略 一、应用背景 由于Citrix 是基于终端服务的应用模式，而金蝶 K3 客户端Windows 登录账号必须是PowerUser 用户组以上，故如果没有对该服务器作安全控制和设置，且在该服务器上是多人并发操作，存在 安全漏洞，若不采取安全措施，对Citrix 应用价值不大，客户将不认同这种做法，那么如何解决该问题，本篇文档就如何解决该问题逐一要点讲述。 二、环境要求及条件 1、部门级服务器，双CPU,2~4G 左右内存，1G 双网卡（如果中间层和数据库网卡均 1G 接入交换机，以达到更高的网络传输速度） 2、Citrix 环境，WIndows2000 Server/Windows2000Advanced Server+SPn 3、终端服务应用程序组件安装、终端服务配置ICA-TCP（会话→替代用户设置→结束已断开 的会话→活动会话限制→空闲会话限制） 4、AD 域服务器，对 Citrix 服务器操作系统登录账号进行“组策略控制”，防止非法操作三、设置步骤 1、安装 Windows 操作系统+终端服务组件应用程序模式 2、终端服务配置 ICA_tcp，建议配置结束已断开的会话（1 分钟），活动会话限制（3 小时或更短），空闲会话限制（30 分钟）； 3、在 AD 域服务器中，对 Citrix 操作系统供客户端登录的账号进行组策略控制（具体设置， 请参考 Windows2000 帮助，由于篇幅所限，在本文中不详细说明，大致操作步骤如下：打开Active Directory 用户和计算机→新建组织单位 OU→属性→组策略→新建策略→编辑→用户配置→管理模板 4、在 AD 中没，新建用户 Terminaluser,并将该账号移动到 OU；将 Terminaluser 添加 Citrix 终端服务器 poweruser 组或系统管理员组中。 以下为金蝶 K3GUI 系统自身安全设置； 5 、删除金蝶帮助文件（ 目录 C:\Program Files\Kingdee\K3ERP ）， 删除 MSinfo32.exe 、Msinfo32.msc 四、其他 A、驱动器映射设置，将有助与客户端将引出的文件保存至本地； B、打印机，对客户端打印机，如果Windows2000 默认找不到，则要求在该Citrix 服务器安装加载驱动程序，否则不能打印； C、输入法设置，首先将 OU 组中的 Terminaluser 账号临时移动至 User，在 Citrix 服务器以 Terminaluser 账号登录后，进行输入法配置完毕后，再将 Terminaluser 移动至 OU 组 D、自动登录设置（可选项），和删除默认共享文件夹 C$、D$等。 E、端口开放，如果 Citrix 服务器要求在 Internet 应用，则建议仅开放以下端口，具体设置步骤简要如下：网卡TCP/IP 高级属性→选项→Tcp/IP →Filtering→Permin Only →端口列表（例如： 80，1494 等等）。 石 控封 台1 一［ 控 封 台根 节点 ＼“本遠计算机” 徊 文件Q) 操作Q) 查看心 收藏夹Q) 七 吻匡]陌 | 匼| 宙 匹l O 控制台根节点 白 $ “本地计笾机 ”策略 一计笾机配置 曰心 用户配置 ＼用户配笠＼笞理程板＼＇i ndo..s 组件＼冒i n do..s 策略宙口包） 帮助叨 策略 资滚 笞理 器 l l!!IElE 组tafram 组 taframe 三 OO 软件设置 00 冒 i ndows 设 置 巳 亡 ］笞理模板 臼·0 阳 ndows 组件 困··D· NetMeeting e巴·色 I nter ne t Explorer 色］应用程序薰容性 包 附件笞理器 e 曰． 1 ，暑为书钳f# I 亡 ］通用打开文件对话框 巴· 亡 Mi cr os of t M agem ent Console e]色 任务计划程序白色 e] e] e] 会话 D Windows Installer 色］胄i ndow s Messenger 色 ］胄i ndow s Update 色］胄i ndow s Movie Maker 田色］胄i ndow s Media Player C] 任务栏和「开抬」菜单 臼·0 桌面 D Active Desktop 色］Act i ve Directory 田O 控制面板 C] 共享文件夹 臼亡l 网络 亡 ］脱机文件 色 网络连接 臼 D 系 统 亡 ］用户配置文件色 脚 本 色 Ctr l+ Al t+Del 选 项 显示 屋挂要求 只能在 Mi cr os oft 仇 ndow s XP Pr of ess i onal 上工作 猫述