配置反键盘记录和防屏幕捕获
可以为以下对象配置反键盘记录和防屏幕捕获:
为身份验证和自助服务插件配置反键盘记录和防屏幕捕获
可以使用以下方法为身份验证和自助服务插件配置反键盘记录和防屏幕捕获:
| 配置方法 | 适用于 Linux 的 Citrix Workspace 应用程序 | 适用于 Mac 的 Citrix Workspace 应用程序 | 适用于 Windows 的 Citrix Workspace 应用程序 |
|---|---|---|---|
| 使用组策略对象 | 否 | 否 | 是 |
| 使用 Global App Configuration Service | 否 | 是 | 是 |
| 使用 AuthManConfig.xml | 是 | 否 | 否 |
使用组策略对象
- 通过运行
gpedit.msc打开 Citrix Workspace 应用程序组策略对象管理模板。 - 在计算机配置节点下,转至管理模板 > Citrix 组件 > Citrix Workspace。
- 请使用以下步骤之一,具体取决于您是为身份验证管理器还是为自助服务插件配置 App Protection 功能:
-
身份验证管理器
要为身份验证管理器配置反键盘记录和防屏幕捕获,请选择用户身份验证 > 管理 App Protection 策略。
-
自助服务插件界面
要为自助服务插件界面配置反键盘记录和防屏幕捕获,请选择自助服务 > 管理 App Protection 策略。
-
- 选择以下选项之一或同时选中二者:
- 反键盘记录:防止键盘记录器捕获按键。
- 防屏幕捕获:防止用户创建屏幕截图和共享其屏幕。
- 单击应用和确定。
预期行为:
预期行为取决于您访问具有受保护的资源的 StoreFront 的方法。
使用 Global App Configuration Service 用户界面
自适用于 Windows 的 Citrix Workspace 应用程序 2302 或适用于 Windows 的 Citrix Workspace 应用程序 2301 版本起,Citrix Workspace 应用程序允许您使用 Global App Configuration Service (GACS) 为身份验证屏幕和自助服务插件配置 App Protection。
如果您使用 GACS 启用反键盘记录和防屏幕捕获功能,这两项功能将同时适用于身份验证和自助服务插件屏幕。
注意:
- 使用 GACS 为身份验证和自助服务插件配置反键盘记录或防屏幕捕获适用于 Windows 的 Citrix Workspace 应用程序和适用于 Mac 的 Citrix Workspace 应用程序。此功能不适用于适用于 Linux 的 Citrix Workspace 应用程序。
- GACS 配置不适用于 Virtual Apps and Desktops 以及 Web 和 SaaS 应用程序。这些资源将继续使用 Delivery Controller 和 Citrix Secure Private Access 进行控制。
- 自适用于 Mac 的 Citrix Workspace 应用程序 2311 版本起,对于云应用商店和本地应用商店,您都可以使用 Global App Configuration Service 用户界面为身份验证和自助服务插件配置 App Protection。但是,如果您使用的是早于 2311 版本的适用于 Mac 的 Citrix Workspace 应用程序,则只能为云应用商店配置该功能。
管理员可以使用 Workspace 配置用户界面配置 App Protection:
-
登录到您的 Citrix Cloud 帐户并选择 Workspace 配置。
-
选择 App Configuration(应用程序配置)> Security and Authentication(安全性和身份验证)> App Protection。
-
单击 Anti Screen Capture(防屏幕捕获),然后选择相关的操作系统(Windows 或 Mac)。
-
单击 Enabled(已启用)切换按钮,然后单击 Publish Drafts(发布草稿)。
-
单击 Anti Key Logging(反键盘记录),然后选择相关的操作系统(Windows 或 Mac)。
-
单击 Enabled(已启用)切换按钮,然后单击 Publish Drafts(发布草稿)。
-
在发布设置对话框中,单击是。
使用 Global App Configuration Service API
管理员可以使用 API 配置这些 App Protection 功能。设置如下所示:
-
用于启用或禁用防屏幕捕获的设置:
“name”: “enable anti screen capture for auth and ssp” “value”: “true” or “false”
-
用于启用或禁用反键盘记录的设置:
“name”: “enable anti key-logging for auth and ssp” “value”: “true” or “false”
示例: 下面是在 GACS 中为 Citrix Workspace 应用程序启用防屏幕捕获和反键盘记录功能的示例 JSON 文件:
{
"category": "App Protection",
"userOverride": true,
"assignedTo": [
"AllUsersNoAuthentication"
],
"settings": [
{
"name": "enable anti screen capture for auth and ssp",
"value": true
},
{
"name": "enable anti key-logging for auth and ssp",
"value": true
}
]}
对身份验证管理器使用 AuthManConfig.xml
请按如下所示导航到 $ICAROOT/config/AuthManConfig.xml 并编辑该文件:
/opt/Citrix/ICAClient/config$ cat AuthManConfig.xml | grep -i authmananti -A 1
<key>AuthManAntiScreenCaptureEnabled</key>
<value>true</value>
<key>AuthManAntiKeyLoggingEnabled</key>
<value>true </value>
<!--NeedCopy-->
对自助服务插件界面使用 AuthManConfig.xml
请按如下所示导航到 $ICAROOT/config/AuthManConfig.xml 并编辑该文件:
/opt/Citrix/ICAClient/config$ cat AuthManConfig.xml | grep -i protection -A 4
<!-- Selfservice App Protection configuration -->
<Selfservice>
<AntiScreenCaptureEnabled>true</AntiScreenCaptureEnabled>
<AntiKeyLoggingEnabled>true</AntiKeyLoggingEnabled>
</Selfservice>
<!--NeedCopy-->
为 Virtual Apps and Desktops 配置反键盘记录和防屏幕捕获
两个策略在会话中提供了反键盘记录和防屏幕捕获功能。可以按如下所示为 Virtual Apps and Desktops 配置反键盘记录和防屏幕捕获:
注意:
自版本 2103 起,Citrix DaaS 支持对 StoreFront 和 Workspace 使用 App Protection。
使用 Web Studio
要通过 Web Studio 为 Citrix Virtual Apps 或 Citrix Virtual Desktops 配置反键盘记录和防屏幕捕获,请执行以下步骤:
-
App Protection 需要 XML 信任。要启用 XML 信任,请执行以下步骤:
-
登录您的 Citrix DaaS 帐户,然后转至管理 > 设置 > 启用 XML 信任。
-
打开启用 XML 信任开关。
-
-
要为交付组选择一种 App Protection 方法,请执行以下步骤:
-
在 Citrix DaaS 中,转至管理 > 交付组。
-
选择一个交付组,然后在操作栏中单击编辑。
-
单击 App Protection,然后选择反键盘记录和防屏幕捕获复选框。
-
单击保存。
-
使用 PowerShell
注意:
在 Citrix DaaS 环境中,请在任何计算机(Citrix Cloud Connector 计算机除外)上使用 Citrix Virtual Apps and Desktops 远程 PowerShell SDK 中的 cmdlet 执行此部分中的命令。
在任何安装了 Delivery Controller 的计算机上或安装了独立 Studio 以及 FMA PowerShell 管理单元的计算机上,使用 Citrix Virtual Apps and Desktops SDK 为 App Protection 交付组启用以下属性。
-
AppProtectionKeyLoggingRequired:True -
AppProtectionScreenCaptureRequired:True
可以为每个交付组单独启用其中的每个策略。例如,可以仅为 DG1 配置键盘记录保护,仅为 DG2 配置屏幕捕获保护。可以为 DG3 启用这两个策略。
示例:
要为名为 DG3 的交付组启用这两个策略,请在站点中的任何 Delivery Controller 上运行以下命令:
Set-BrokerDesktopGroup -Name DG3 -AppProtectionKeyLoggingRequired $true -AppProtectionScreenCaptureRequired $true
要验证设置,请运行以下 cmdlet:
Get-BrokerDesktopGroup -Property Name, AppProtectionKeyLoggingRequired, AppProtectionScreenCaptureRequired | Format-Table -AutoSize
此外,请启用 XML 信任:
Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true
请务必保护 StoreFront 与 Broker 之间的网络安全。有关详细信息,请参阅知识中心文章 CTX236929 和保护 XenApp 和 XenDesktop XML Service 的安全。
为 Web 和 SaaS 应用程序配置反键盘记录和防屏幕捕获
对于适用于 Windows 的 Citrix Workspace 应用程序和适用于 Mac 的 Citrix Workspace 应用程序,Web 和 SaaS 应用程序在 Citrix Enterprise Browser 中打开。如果将这些应用程序配置为通过 Citrix Secure Private Access 使用 App Protection 策略,App Protection 将按选项卡应用。
请使用以下方法为 Web 和 SaaS 应用程序配置 App Protection:
- 要为适用于 Workspace 的 Web 和 SaaS 应用程序配置 App Protection,请参阅适用于 Citrix Workspace 的 Citrix Secure Private Access。
- 要为适用于 StoreFront 的 Web 和 SaaS 应用程序配置 App Protection,请参阅 StoreFront 支持 Citrix Secure Private Access。