XenVault1.0数据加密测试

测试环境

• DC 域控/WI/LICENSE 授权和接入以及LDAP
• XENAPP xenapp服务器 应用发布
• MERCHANDISING merchandising server 自动交付服务器
• WIN7 XenVault client 用于测试XenVault加密功能

部署说明

基本上要使用到XenVault，那么必须使用到Citrix应用交付中心的功能，也就是说必须使用Merchandising Server来动态交付加密内容，不适用Citrix Receiver，那么无法实现Safe Zone（本地机器上用于保存加密的应用数据的一块区域）的解锁和加密，以及数据的同步、远程数据安全控制和策略更新。所以必须使用Citrix自动交付中心解决方案。

XenVault1.0目前只支持Windows7 32bit/64bit。

XenVault功能测试

首先来看看XenVault能干些什么：

• l 在用户设备上创建加密区域
• l Safe Zone只能通过受信任的应用程序访问（xenapp或者app-v发布的程序）
• l 锁定删除指定用户的Safe Zone（通过Merchandising Server的Rule（规则）来走）
• l 脱离指定的时间后锁定Safe Zone或者删除
• l 允许你重置密码（创建Safe Zone时的加密密码），需要备份

加密区域：

XenVault会在安装的时候创建一块由管理员指定大小的区域。会在Windows库和磁盘中出现，默认为X盘，大小在merchandising server交付的时候可以指定，后面会介绍；

访问控制：

XenVault目前的访问控制方式是密码验证方式，仅仅允许通过XenApp交付或者App-V交互的应用程序访问加密数据，其他程序和用户无法通过其他方式打开。大概流程是这样的：Citrix Receiver启动的时候会验证插件，发现已经安装了XenVault的话，如果已经创建过了Safe Zone（加密区域），那么会提示用户输入解锁密码，如果用户不输入密码，那么在windows库和磁盘中是无法看到SafeZone的，只有在在用户输入正确的密码以后，才会由Receiver来启动XenVault，并由XenVault来载入加密数据并创建库和盘符。

再来说说XenVault对数据的访问控制：

• Windows资源管理器是可以查看加密区域中的文件列表和目录结构，是否可以查看数据由Merchandising Server交付XenVault时指定可以后期更新策略，实际测试，不管是否Allow Windows Explorer to read from files inside Safe Zone，windows资源管理都是没权限查看数据的；虽然不能查看内容，但是可以删除数据。
• 只有通过XenApp和App-v交付的程序可以访问加密数据，实际测试使用本地和公司OA服务器都可以访问加密数据，本地应用程序不可访问数据，说明XenVault只是做本地数据加密和解密，无法判断远程服务器和用户，要实现数据加密，那么必须在用户不使用的时候退出Receiver，防止他人登录解密数据，简单说就是，加密，任何人不能访问，解密，只要是虚拟应用都可以访问。猜测可能是对RDP或者ICA通道的数据进行了解密，但是直接RDP挂接Safe Zone磁盘不能访问，可能是RDP对资源是映射的原因，有待研究。
• 远程数据同步、备份、锁定、删除、解锁等，都是通过Merchandising Server的Rule，然后由Receiver同步更新控制。

详细的测试报告见附件。