Citrix Virtual Apps and Desktops

App-Schutz

Der App-Schutz ist eine Zusatzfunktion (Add-On) für die Citrix Workspace-App, die erweiterte Sicherheit bei der Verwendung von in Citrix Virtual Apps and Desktops veröffentlichten Ressourcen bietet.

Zwei Richtlinien bieten Schutz vor Keylogging und Bildschirmerfassung in einer Citrix HDX-Sitzung. Bei Verwendung mit der Citrix Workspace-App ab 1912 für Windows bzw. Citrix Workspace-App ab 2001 für Mac können die Richtlinien zum Schutz von Daten vor Keylogging und Screen Scraping beitragen.

Bei aktiviertem Schutz vor Keylogging:

  • Der Keylogger sieht unsinnige Tastenanschläge.
  • Das Feature ist nur aktiv, wenn ein geschütztes Fenster im Fokus ist.

Bei aktiviertem Schutz vor Bildschirmerfassung:

  • Die Bildschirmaufnahme ist leer.
  • Das Feature ist aktiv, wenn ein geschütztes Fenster sichtbar ist (nicht minimiert).

Sie konfigurieren die Richtlinien nur über PowerShell. Das Verwalten über die Benutzeroberfläche ist nicht möglich.

Stellen Sie nach dem Erwerb des Features sicher, dass Sie die Lizenz für den App-Schutz und die App-Schutzrichtlinien aktivieren und die Featuretabelle FeatureTable.OnPrem.AppProtection.xml importieren.

Haftungsausschluss:

App-Schutzrichtlinien filtern den Zugriff auf erforderliche Funktionen des zugrunde liegenden Betriebssystems (spezifische API-Aufrufe für die Bildschirmerfassung oder das Aufzeichnen von Tastenanschlägen). Damit schützen sie auch vor benutzerdefinierten und speziell entwickelten Hackertools. Die Weiterentwicklung von Betriebssystemen führt jedoch immer wieder zu neuen Einfallstoren für das Keylogging oder die Bildschirmerfassung. Darum ist kein hundertprozentiger Schutz möglich, auch wenn wir diese Schwachstellen kontinuierlich identifizieren und korrigieren.

Einschränkungen

Folgende Einschränkungen sind designbedingt:

  • Das Feature unterstützt keine Double-Hop-Szenarien. Zum Beispiel das Starten einer veröffentlichten App innerhalb eines veröffentlichten Desktops.
  • Das Feature unterstützt keine Verbindungen über RDP (Remote Desktop Protocol).
  • Das Feature unterstützt keine nicht unterstützten Versionen der Citrix Workspace-App oder von Citrix Receiver.
  • Um den Screenshot eines Fensters zu erstellen, das außerhalb der Citrix Workspace-App ist, müssen Benutzer zunächst das geschützte Fenster minimieren.
  • Damit der App-Schutz ordnungsgemäß funktioniert, müssen Sie auf dem VDA die Citrix-Richtlinie zur Zwischenablagenumleitung deaktivieren.

Erwartetes Verhalten

Das erwartete Verhalten hängt davon ab, wie Sie auf den StoreFront-Store zugreifen, der geschützte Ressourcen enthält. Sie können mit einem unterstützten nativen Client der Citrix Workspace-App auf die Ressourcen zugreifen.

  • Verhalten auf StoreWeb: Anwendungen mit App-Schutzrichtlinien werden in StoreFront-Webstores nicht aufgelistet.
  • Verhalten auf nicht unterstützten Citrix Receivern oder Citrix Workspace-Apps: Anwendungen mit App-Schutzrichtlinien werden nicht aufgelistet.
  • Verhalten in unterstützten Versionen der Citrix Workspace-App: Geschützte Ressourcen werden aufgelistet und ordnungsgemäß gestartet.

Was wird durch den App-Schutz geschützt?

Um den Screenshot eines Fensters zu erstellen, das außerhalb der Citrix Workspace-App ist, müssen Benutzer zunächst das geschützte Fenster minimieren.

Standardmäßig sind folgende Citrix-Fenster durch den App-Schutz geschützt:

  • Citrix Anmeldefenster

Citrix Anmeldefenster - geschützt

  • HDX-Sitzungsfenster der Citrix Workspace-App (Beispiel: verwalteter Desktop)

Fenster eines verwalteten Desktops in Citrix - geschützt

  • Fenster des Self-Service-Store

Fenster des Citrix Self-Service-Store - geschützt

Was wird durch den App-Schutz nicht geschützt?

Die Elemente unter dem Symbol der Citrix Workspace-App in der Navigationsleiste:

  • Connection Center
  • Alle Links unter “Erweiterte Einstellungen”
  • Personalisieren
  • Nach Updates suchen
  • Abmelden

Systemanforderungen

Mindestversionen von Citrix Komponenten:

  • Citrix Workspace-App 1912 für Windows Long Term Service Release
  • Citrix Workspace-App 2002 für Windows
  • Citrix Workspace-App 2001 für Mac
  • StoreFront 1912
  • Delivery Controller 1912
  • Gültige Citrix Lizenzen
    • Add-On-Lizenz für App-Schutz
    • Citrix Virtual Apps and Desktops 1912

Betriebssystemplattformen:

Diese Betriebssysteme werden auf dem Endpunkt unterstützt. Der VDA unterstützt alle Betriebssysteme.

  • Windows 10
  • Windows 8.1
  • Windows 7
  • macOS High Sierra (10.13) und höher

Konfigurieren

Nach dem Kauf des App-Schutzes können Sie das Feature mit folgenden Schritten konfigurieren und aktivieren:

  1. Importieren Sie die Lizenz für den App-Schutz.
  2. Konfigurieren Sie die Workspace-App.
  3. Importieren Sie die Featuretabelle FeatureTable.OnPrem.AppProtection.xml.
  4. Aktivieren Sie das Feature auf dem StoreFront-Server.
  5. Aktivieren Sie die Richtlinien zum App-Schutz auf den Delivery Controllern.
  6. Deaktivieren Sie die Zwischenablagenumleitung auf VDAs mit App-Schutz.

1. Lizenzierung

Für den App-Schutz müssen Sie eine Add-On-Lizenz auf dem Citrix Lizenzserver installieren. Als Mindestversion muss eine Citrix Virtual Desktops 1912-Lizenz vorhanden sein. Wenden Sie sich an einen Citrix Vertriebsmitarbeiter, um die Add-On-Lizenz für den App-Schutz zu erwerben.

  1. Laden Sie die Lizenzdatei herunter und importieren Sie sie zusammen mit einer vorhandenen Citrix Virtual Desktops-Lizenz in den Citrix Lizenzserver.
  2. Importieren Sie die Lizenzdatei mit dem Citrix Licensing Manager (bevorzugte Methode), oder kopieren Sie die Lizenzdatei in C:\Program Files (x86)\Citrix\Licensing\MyFiles auf dem Lizenzserver und starten Sie den Citrix Lizenzierungsdienst neu. Weitere Informationen finden Sie unter Installieren von Lizenzen.

2. Citrix Workspace-App

Konfigurieren Sie den App-Schutz in der Citrix Workspace-App.

Citrix Workspace-App für Windows:

Sie können die App-Schutz-Komponente mit den folgenden Verfahren in die Citrix Workspace-App integrieren:

  • Während der Installation der Citrix Workspace-App.
  • Über die Befehlszeilenschnittstelle nach der Installation der Citrix Workspace-App.

Stellen Sie sicher, dass die Citrix Workspace-App mit aktiviertem Switch /includeappprotection installiert wurde.

Weitere Informationen finden Sie unter App-Schutz.

Citrix Workspace-App für Mac:

Der App-Schutz erfordert keine spezifische Konfiguration in der Citrix Workspace-App für Mac.

3. Datei der Featuretabelle

Aktivieren Sie nach dem Erwerb des App-Schutz-Features die Lizenz und die Richtlinien für den App-Schutz und importieren Sie die Featuretabelle FeatureTable.OnPrem.AppProtection.xml.

Der Abschnitt Komponenten auf der Downloadseite für Citrix Virtual Apps and Desktops 1912 oder höher enthält die erforderliche XML-Datei. Sie benötigen ein Citrix-Konto, um die Datei herunterzuladen.

Der App-Schutz ist standardmäßig deaktiviert. Verwenden Sie zum Aktivieren des Features das Cmdlet Import-ConfigFeatureTable, um die Featuretabelle FeatureTable.OnPrem.AppProtection.xml zu importieren, für die der App-Schutz aktiviert ist. Führen Sie das Cmdlet einmal für die gesamte Site aus. Weitere Informationen finden Sie unter Import-Configfeaturetable.

Import-ConfigFeatureTable –Path .\FeatureTable.OnPrem.AppProtection.xml

Sie können das Cmdlet auf jeder Maschine mit installiertem Delivery Controller oder auf einer Maschine mit eigenständiger Studio-Instanz und installierten FMA PowerShell-Snap-Ins ausführen.

Führen Sie Get-ConfigEnabledFeature | Select-String–Pattern ‘AppProtection’ aus, um sicherzustellen, dass der App-Schutz aktiviert ist.

4. StoreFront-Server

Um das Auflisten und Starten geschützter Ressourcen zu aktivieren, führen Sie den folgenden PowerShell-Befehl auf dem StoreFront-Server aus: Add-STFFeatureState -Name "Citrix.StoreFront.AppProtectionPolicy.Control" -IsEnabled $True

In einer StoreFront-Bereitstellung mit mehreren Servern müssen Sie diese Änderungen manuell auf alle anderen Server in der Servergruppe übertragen. Weitere Informationen finden Sie unter Weitergeben lokaler Änderungen an eine Servergruppe.

Um zu überprüfen, ob das Feature auf einem StoreFront-Server aktiviert ist, verwenden Sie den folgenden PowerShell-Befehl:

Get-STFFeatureState -Name "Citrix.StoreFront.AppProtectionPolicy.Control"

5. Bereitstellungsgruppen

Aktivieren Sie die folgenden Eigenschaften für die App-Schutz-Bereitstellungsgruppe mit dem PowerShell-SDK auf jeder Maschine mit installiertem Delivery Controller oder auf einer Maschine mit eigenständiger Studio-Instanz und installierten FMA PowerShell-Snap-Ins.

  • AppProtectionKeyLoggingRequired: True
  • AppProtectionScreenCaptureRequired: True

Sie können jede Richtlinie individuell pro Bereitstellungsgruppe aktivieren. Beispielsweise können Sie den Schutz vor Keylogging nur für DG1 und den Schutz vor Bildschirmerfassung nur für DG2 konfigurieren. Für DG3 können Sie beide Richtlinien aktivieren.

Beispiel:

Um beide Richtlinien für die Bereitstellungsgruppe DG3 zu aktivieren, führen Sie folgenden Befehl auf einem beliebigen Delivery Controller in der Site aus:

Set-BrokerDesktopGroup -Name DG3 -AppProtectionKeyLoggingRequired $true -AppProtectionScreenCaptureRequired $true

Führen Sie folgendes Cmdlet aus, um die Einstellungen zu überprüfen:

Get-BrokerDesktopGroup -Property Name, AppProtectionKeyLoggingRequired, AppProtectionScreenCaptureRequired | Format-Table -AutoSize

Aktivieren Sie außerdem die XML-Vertrauensstellung:

Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true

Schützen Sie das Netzwerk zwischen StoreFront und Broker. Weitere Informationen finden Sie in den Knowledge Center-Artikeln CTX236929 und Schützen des XenApp und XenDesktop-XML-Diensts.

6. VDA-Richtlinie

Deaktivieren Sie die Richtlinie zur Zwischenablagenumleitung auf den VDAs mit App-Schutz. Weitere Informationen finden Sie unter Clientzwischenablagenumleitung.

Sie können die Richtlinie zur Clientzwischenablagenumleitung deaktivieren, indem Sie sie in Citrix Studio, im Gruppenrichtlinienobjekt oder in der Registrierung bearbeiten. Weitere Informationen finden Sie unter Arbeiten mit Richtlinien.

Problembehandlung

Anwendungen werden nicht aufgelistet oder nicht gestartet:

  • Prüfen Sie, ob der betroffene Benutzer eine unterstützte Version der Citrix Workspace-App verwendet.
  • Stellen Sie sicher, dass das Feature auf dem StoreFront-Server aktiviert ist.
  • Stellen Sie sicher, dass die richtigen Features für die Bereitstellungsgruppe aktiviert sind.

Richtlinien zum App-Schutz werden nicht ordnungsgemäß angewendet:

  • Stellen Sie sicher, dass das Feature in StoreFront-Server aktiviert ist.
  • Stellen Sie sicher, dass die richtigen Features für die Bereitstellungsgruppe aktiviert sind.
  • Stellen Sie sicher, dass das Feature auf dem Endpunkt installiert ist.
  • Stellen Sie sicher, dass der betroffene Benutzer eine unterstützte Version der Citrix Workspace-App verwendet.
  • Stellen Sie sicher, dass die Citrix Workspace-App mit aktiviertem Switch /includeappprotection installiert wurde.
  • Überprüfen Sie, ob die Richtlinie zur Zwischenablagenumleitung für den VDA deaktiviert ist.

Keine Bildschirmerfassung in Citrix-fremden Fenstern:

  • Minimieren oder schließen Sie die geschützten Citrix-Fenster.
App-Schutz