Secure Clipboard Control

Citrix Vor einigen Tagen stand ich bei einem Kunden vor folgender Anforderung: Für die Benutzer soll der Zugriff auf die lokalen Laufwerke gestattet sein wenn die Benutzer über das VPN / Access Gateway zugreifen. Weiterhin soll es den Benutzern aber nur möglich sein Dokumente auf den zentralen File Servern abzuspeichern, ein Speichern auf lokalen Laufwerken soll nicht gestattet sein. Weiterhing soll ein “Copy and Paste” vom Server zum Client nicht möglich sein. Auf den ersten Blick teilt sich die Anforderung in zwei Bereiche. Zuerst der Zugriff nur von “außen”. Dies ist sehr einfach mit einer entsprechenden Richtlinie (Citrix Policy) zu regeln indem in einer Richtlinie für alle Benutzer der Zugriff auf lokale Laufwerke “Client Drive Mapping” deaktiviert wird und in einer zweiten Richtlinie mit höherer Priorität der Zugriff aktiviert wird. Diese zweite Richtlinie wirkt dann nur auf Benutzer deren aktuelle Client IP Adresse nicht zur OP Range des Unternehmens gehört.

Somit ist Teil eins der Anforderung gelöst. Der zweite Teil ist da schon etwas kniffeliger denn es soll ja nur Speichern auf dem Server, aber nicht auf dem Client möglich sein. Ebenso soll “Copy and Paste” nur in eine Richtung, nämlich vom Client zum Server funktionieren. Der Wunsch war es das Daten nicht auf den lokalen Laufwerken gespeichert werden können. Doch zum Glück gibt es dafür eine Lösung. Mit den folgenden Registry Einstellungen kann dieses Anforderung realisiert werden.

Funktion des Secure Clipboard Mapping aktivieren:

[HKLM\SYSTEM\CurrentControlSet\Services\Cdm\Parameters]
“ReadOnlyMappedDrive”=dword:00000001

Nur Lesen für Client Drive aktivieren

[HKLM\SYSTEM\CurrentControlSet\Control\Citrix\wfshell\Virtual Clipboard]
ReadOnly=dword:00000001

Die Änderungen erfordern einen Neustart des Servers und funktionieren nur auf einem Citrix XenApp 5 Feature Pack 2 Server auf einer Windows 2003 Plattform. 

Von nun an können Benutzer lokale Dateien in einer Published Application öffnen, bearbeiten aber nur noch auf einem File Share im Unternehmensnetzwerk abspeichern. Weiterhin können Daten nur vom Client zum Server über die Zwischenablage kopiert werden.

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s