Der App-Schutz ist eine Zusatzfunktion (Add-On) für die Citrix Workspace-App, die erweiterte Sicherheit bei der Verwendung von in Citrix Virtual Apps and Desktops veröffentlichten Ressourcen bietet.

Zwei Richtlinien bieten Schutz vor Keylogging und Bildschirmerfassung für Citrix HDX-Sitzungen. Bei Verwendung mit der Citrix Workspace-App ab 1912 für Windows bzw. Citrix Workspace-App ab 2001 für Mac können die Richtlinien zum Schutz von Daten vor Keylogging und Screen Scraping beitragen.

Bei aktiviertem Schutz vor Keylogging:

Bei aktiviertem Schutz vor Bildschirmerfassung:

Sie konfigurieren die Richtlinien nur über PowerShell. Das Verwalten über die Benutzeroberfläche ist nicht möglich. Diese Konfiguration ist nur erforderlich, um die Funktionalität für eine bestimmte Bereitstellungsgruppe zu aktivieren oder zu deaktivieren.

Stellen Sie nach dem Erwerb des Features sicher, dass Sie die Lizenz für den App-Schutz und die App-Schutzrichtlinien aktivieren und die Featuretabelle FeatureTable.OnPrem.AppProtection.xml importieren.

Haftungsausschluss:

App-Schutzrichtlinien filtern den Zugriff auf erforderliche Funktionen des zugrunde liegenden Betriebssystems (spezifische API-Aufrufe für die Bildschirmerfassung oder das Aufzeichnen von Tastenanschlägen). Damit schützen sie auch vor benutzerdefinierten und speziell entwickelten Hackertools. Die Weiterentwicklung von Betriebssystemen führt jedoch immer wieder zu neuen Einfallstoren für das Keylogging oder die Bildschirmerfassung. Darum ist kein hundertprozentiger Schutz möglich, auch wenn wir diese Schwachstellen kontinuierlich identifizieren und korrigieren.

Einschränkungen

Folgende Einschränkungen sind designbedingt:

Erwartetes Verhalten

Das erwartete Verhalten hängt davon ab, wie Sie auf den StoreFront-Store zugreifen, der geschützte Ressourcen enthält. Sie können mit einem unterstützten nativen Client der Citrix Workspace-App auf die Ressourcen zugreifen.

Der Schutz wird unter folgenden Bedingungen angewendet:

Was wird durch den App-Schutz geschützt?

Um den Screenshot eines Fensters zu erstellen, das außerhalb der Citrix Workspace-App ist, müssen Benutzer zunächst das geschützte Fenster minimieren.

Standardmäßig sind folgende Citrix-Fenster durch den App-Schutz geschützt:

Citrix Anmeldefenster - geschützt

Fenster mit Citrix verwaltetem Desktop - geschützt

Citrix Self-Service-Fenster - geschützt

Was wird durch den App-Schutz nicht geschützt?

Die Elemente unter dem Symbol der Citrix Workspace-App in der Navigationsleiste:

Systemanforderungen

Mindestversionen von Citrix Komponenten

Betriebssystemplattformen

Die App-Schutzrichtlinienlaufzeit ist auf dem Endpunkt installiert, von dem die Verbindung ausgeht und nicht auf dem VDA an dem die Verbindung eingeht. Daher ist nur die Betriebssystemversion des Endpunkts von Bedeutung. Der App-Schutz kann eine Verbindung zu VDAs unter allen unterstützten Betriebssystemen (siehe Systemanforderungen für Citrix Virtual Apps and Desktops) herstellen.

Der App-Schutz wird auf Endpunkten mit folgenden Betriebssystemen unterstützt:

Konfigurieren

Nach dem Kauf des App-Schutzes können Sie das Feature mit folgenden Schritten konfigurieren und aktivieren:

  1. Importieren Sie die Lizenz für den App-Schutz.
  2. Konfigurieren Sie die Workspace-App.
  3. Importieren Sie die Featuretabelle FeatureTable.OnPrem.AppProtection.xml.
  4. Aktivieren Sie die Richtlinien zum App-Schutz auf den Delivery Controllern.

1. Lizenzierung

Für den App-Schutz müssen Sie eine Add-On-Lizenz auf dem Citrix Lizenzserver installieren. Als Mindestversion muss eine Citrix Virtual Desktops 1912-Lizenz vorhanden sein. Wenden Sie sich an einen Citrix Vertriebsmitarbeiter, um die Add-On-Lizenz für den App-Schutz zu erwerben.

  1. Laden Sie die Lizenzdatei herunter und importieren Sie sie zusammen mit einer vorhandenen Citrix Virtual Desktops-Lizenz in den Citrix Lizenzserver.
  2. Importieren Sie die Lizenzdatei mit dem Citrix Licensing Manager (bevorzugte Methode), oder kopieren Sie die Lizenzdatei in C:\Program Files (x86)\Citrix\Licensing\MyFiles auf dem Lizenzserver und starten Sie den Citrix Lizenzierungsdienst neu. Weitere Informationen finden Sie unter Installieren von Lizenzen.

2. Citrix Workspace-App

Konfigurieren Sie den App-Schutz in der Citrix Workspace-App.

Citrix Workspace-App für Windows:

Sie können die App-Schutz-Komponente mit den folgenden Verfahren in die Citrix Workspace-App integrieren:

Stellen Sie sicher, dass die Citrix Workspace-App mit aktiviertem Switch /includeappprotection installiert wurde.

Weitere Informationen finden Sie unter App-Schutz.

Citrix Workspace-App für Mac:

Der App-Schutz erfordert keine spezifische Konfiguration in der Citrix Workspace-App für Mac.

3. Datei der Featuretabelle

Aktivieren Sie nach dem Erwerb des App-Schutz-Features die Lizenz und die Richtlinien für den App-Schutz und importieren Sie die Featuretabelle FeatureTable.OnPrem.AppProtection.xml.

Der Abschnitt Komponenten auf der Downloadseite für Citrix Virtual Apps and Desktops 1912 oder höher enthält die erforderliche XML-Datei. Sie benötigen ein Citrix-Konto, um die Datei herunterzuladen.

Der App-Schutz ist standardmäßig deaktiviert. Verwenden Sie zum Aktivieren des Features das Cmdlet Import-ConfigFeatureTable, um die Featuretabelle FeatureTable.OnPrem.AppProtection.xml zu importieren, für die der App-Schutz aktiviert ist. Führen Sie das Cmdlet einmal für die gesamte Site aus. Weitere Informationen finden Sie unter Import-Configfeaturetable.

Import-ConfigFeatureTable –Path .\FeatureTable.OnPrem.AppProtection.xml

Sie können das Cmdlet auf jeder Maschine mit installiertem Delivery Controller oder auf einer Maschine mit eigenständiger Studio-Instanz und installierten FMA PowerShell-Snap-Ins ausführen.

Führen Sie Get-ConfigEnabledFeature | Select-String –Pattern ‘AppProtection’ aus, um sicherzustellen, dass der App-Schutz aktiviert ist.

4. Bereitstellungsgruppen

Aktivieren Sie die folgenden Eigenschaften für die App-Schutz-Bereitstellungsgruppe mit dem PowerShell-SDK auf jeder Maschine mit installiertem Delivery Controller oder auf einer Maschine mit eigenständiger Studio-Instanz und installierten FMA PowerShell-Snap-Ins.

Sie können jede Richtlinie individuell pro Bereitstellungsgruppe aktivieren. Beispielsweise können Sie den Schutz vor Keylogging nur für DG1 und den Schutz vor Bildschirmerfassung nur für DG2 konfigurieren. Für DG3 können Sie beide Richtlinien aktivieren.

Beispiel:

Um beide Richtlinien für die Bereitstellungsgruppe DG3 zu aktivieren, führen Sie folgenden Befehl auf einem beliebigen Delivery Controller in der Site aus:

Set-BrokerDesktopGroup -Name DG3 -AppProtectionKeyLoggingRequired $true -AppProtectionScreenCaptureRequired $true

Führen Sie folgendes Cmdlet aus, um die Einstellungen zu überprüfen:

Get-BrokerDesktopGroup -Property Name, AppProtectionKeyLoggingRequired, AppProtectionScreenCaptureRequired | Format-Table -AutoSize

Aktivieren Sie außerdem die XML-Vertrauensstellung:

Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true

Schützen Sie das Netzwerk zwischen StoreFront und Broker. Weitere Informationen finden Sie in den Knowledge Center-Artikeln CTX236929 und Schützen des XenApp und XenDesktop-XML-Diensts.

Empfehlung

App-Schutzrichtlinien konzentrieren sich in erster Linie auf die Verbesserung der Sicherheit und des Schutzes von Endpunkten. Überprüfen Sie alle anderen Sicherheitsempfehlungen und Richtlinien für Ihre Umgebung. Sie können eine Sicherheit und Steuerung-Richtlinienvorlage für eine empfohlene Konfiguration in Umgebungen mit geringer Risikotoleranz verwenden. Weitere Informationen finden Sie unter Richtlinienvorlagen.

Problembehandlung

Anwendungen werden nicht aufgelistet oder nicht gestartet:

Richtlinien zum App-Schutz werden nicht ordnungsgemäß angewendet:

Keine Bildschirmerfassung in Citrix-fremden Fenstern: