标准化实施方案 | 白皮书 | Citrix Virtual Apps and Desktops/ADC/SD-WAN
POC标准化实施指南
基础环境
安全浏览器 Secure Browser
版本:v1.0
www.citrix.com
1.3.1 基于Internet Explorer的应用 6
安全浏览器 Secure Browser
本章节介绍了安全浏览器 Secure Browser功能的搭建、配置和验证过程。
创建计算机目录
Citrix Studio中创建多会话操作系统的计算机目录,具体步骤详见PoC手册中相关的章节,此文档中略过。
创建交付组
| 步骤 | 操作 |
|---|---|
Citrix Studio里创建交付组时,需要允许未经身份验证的匿名用户访问
 |
|
安全浏览器的交付组不发布共享桌面
 |
|
完成创建
  |
发布安全浏览器应用
基于Internet Explorer的应用
| 步骤 | 操作 |
|---|---|
Citrix Studio里,找到安全浏览器交付组,创建应用程序,手动选择路径
  |
|
命令行参数中指定-k 参数,打开Internet Explorer的Kiosk模式
 |
|
如需修改应用的图标,可在点击属性按钮选择图标文件
  |
|
完成创建
 |
基于Chrome的应用
| 步骤 | 操作 |
|---|---|
找到交付组,创建应用程序,从开始菜单中选取Chrome
  |
|
修改Chrome的命令行参数,打开Kiosk模式
  |
|
完成创建
 |
启用Web Socket策略
| 步骤 | 操作 |
|---|---|
Citrix Studio中,创建一个新的HDX策略,选中WebSocket类别,启用WebSocket连接
  |
|
指定安全浏览器交付组应用该策略
  |
|
 |
|
完成策略创建,并将策略的优先级调高
  |
创建安全浏览器使用的Store
| 步骤 | 操作 |
|---|---|
StoreFront上创建新的Store,仅允许匿名用户访问
  |
|
 |
|
找到刚创建的Store,点管理Receiver for Web站点,设置始终使用H5 receiver访问该站点,并在单独的浏览器选项卡中启动安全浏览器应用
  |
|
在Web站点快捷方式中,Web站点中添加希望嵌入安全浏览器应用URL的企业网站。建议至少填入一个网站,比如StoreFront的基本URL。如果不做这一步,用户在步骤1.7使用快捷方式直接访问安全浏览器应用的时候可能会报错“无法完成您的请求”
 |
|
Receiver for Web站点的注销操作设为终止,并去掉“启用工作区控制”的勾选
 |
|
完成Receiver for Web站点的修改
 |
优化浏览器的策略
Internet Explorer
| 步骤 | 操作 |
|---|---|
将安全浏览器的VDA计算机账号存放在特定的AD OU,在OU上创建组策略,找到Computer Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer,阻止运行“首次运行”向导、关闭重新打开上次浏览的会话、关闭自动故障恢复
  注:以上策略需要对于计算机账号生效。因为访问安全浏览器应用的是匿名用户,无法通过用户级别的组策略设置这些策略 |
|
组策略中找到Computer Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security Page\Internet Zone,关闭首次运行提示
 注:该策略需要对于计算机账号生效。因为访问安全浏览器应用的是匿名用户,无法通过用户级别的组策略设置 |
|
修改安全浏览器VDA的本地策略(local policy),找到User Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer\Browser Menus,关闭快捷菜单
 |
Chrome
| 步骤 | 操作 |
|---|---|
| 从网址https://support.google.com/chrome/a/answer/187202?hl=en 下载Chrome的组策略管理模板,导入组策略编辑器 | |
将安全浏览器的VDA计算机账号存放在特定的AD OU,在OU上创建组策略,找到Computer Configuration\Policies\Administrative Templates\Google\Google Chrome,设置以下策略项
  注:该策略需要对于计算机账号生效。因为访问安全浏览器应用的是匿名用户,无法通过用户级别的组策略设置 |
|
组策略找到Computer Configuration\Policies\Administrative Templates\Google\Google Chrome\Password manager,修改以下策略项
 注:以上策略需要对于计算机账号生效。因为访问安全浏览器应用的是匿名用户,无法通过用户级别的组策略设置这些策略 |
验证安全浏览器
| 步骤 | 操作 |
|---|---|
在没有安装receiver或citrix workspace app的终端上,匿名访问安全浏览器的storeweb网址,点击打开安全浏览器应用
 如果打开了多个安全浏览器应用,可以使用安全浏览器标签页下方的导航按钮切换各个应用  注:如果希望在一个浏览器中匿名打开多个安全浏览器应用,终端设备应选用Chrome或Firefox,不能选用IE或Safari。因为后两者不支持HTML5的Shared Workers功能,无法在匿名情况下为多个H5应用共享一个会话,现象是原本打开了第一个安全浏览器应用的标签页会自动关闭。对于非匿名的安全浏览器会话,则IE和Safari可以支持同时打开多个安全浏览器应用。Chrome和Firefox没有这个限制 |
|
除了先访问StoreWeb网页,用户还可以直接在客户端的浏览器中输入安全浏览器应用的快捷方式URL,直接打开安全浏览器应用。管理员需要先到StoreFront管理界面中,选中安全浏览器Store,管理Receiver for Web站点,在Web站点快捷方式中点“获取快捷方式”
  |
|
 如果希望快捷方式能正常访问,在步骤1.5记得添加用于托管资源快捷方式的Web站点的URL |
| 产品 | 版本 |
| CVAD | 1912 LTSR |
| Citrix Hypervisor | 7.1 LTSR |