测试环境
- DC 域控/WI/LICENSE 授权和接入以及LDAP
- XENAPP xenapp服务器 应用发布
- MERCHANDISING merchandising server 自动交付服务器
- WIN7 XenVault client 用于测试XenVault加密功能
部署说明
基本上要使用到XenVault,那么必须使用到Citrix应用交付中心的功能,也就是说必须使用Merchandising Server来动态交付加密内容,不适用Citrix Receiver,那么无法实现Safe Zone(本地机器上用于保存加密的应用数据的一块区域)的解锁和加密,以及数据的同步、远程数据安全控制和策略更新。所以必须使用Citrix自动交付中心解决方案。
XenVault1.0目前只支持Windows7 32bit/64bit。
XenVault功能测试
首先来看看XenVault能干些什么:
- l 在用户设备上创建加密区域
- l Safe Zone只能通过受信任的应用程序访问(xenapp或者app-v发布的程序)
- l 锁定删除指定用户的Safe Zone(通过Merchandising Server的Rule(规则)来走)
- l 脱离指定的时间后锁定Safe Zone或者删除
- l 允许你重置密码(创建Safe Zone时的加密密码),需要备份
加密区域:
XenVault会在安装的时候创建一块由管理员指定大小的区域。会在Windows库和磁盘中出现,默认为X盘,大小在merchandising server交付的时候可以指定,后面会介绍;
访问控制:
XenVault目前的访问控制方式是密码验证方式,仅仅允许通过XenApp交付或者App-V交互的应用程序访问加密数据,其他程序和用户无法通过其他方式打开。大概流程是这样的:Citrix Receiver启动的时候会验证插件,发现已经安装了XenVault的话,如果已经创建过了Safe Zone(加密区域),那么会提示用户输入解锁密码,如果用户不输入密码,那么在windows库和磁盘中是无法看到SafeZone的,只有在在用户输入正确的密码以后,才会由Receiver来启动XenVault,并由XenVault来载入加密数据并创建库和盘符。
再来说说XenVault对数据的访问控制:
- Windows资源管理器是可以查看加密区域中的文件列表和目录结构,是否可以查看数据由Merchandising Server交付XenVault时指定可以后期更新策略,实际测试,不管是否Allow Windows Explorer to read from files inside Safe Zone,windows资源管理都是没权限查看数据的;虽然不能查看内容,但是可以删除数据。
- 只有通过XenApp和App-v交付的程序可以访问加密数据,实际测试使用本地和公司OA服务器都可以访问加密数据,本地应用程序不可访问数据,说明XenVault只是做本地数据加密和解密,无法判断远程服务器和用户,要实现数据加密,那么必须在用户不使用的时候退出Receiver,防止他人登录解密数据,简单说就是,加密,任何人不能访问,解密,只要是虚拟应用都可以访问。猜测可能是对RDP或者ICA通道的数据进行了解密,但是直接RDP挂接Safe Zone磁盘不能访问,可能是RDP对资源是映射的原因,有待研究。
- 远程数据同步、备份、锁定、删除、解锁等,都是通过Merchandising Server的Rule,然后由Receiver同步更新控制。
下面是详细的测试报告:由于站点迁移问题,测试报告文件丢失,而且,目前也找不到了。
