Produktdokumentation
Citrix Virtual Apps and Desktops
Service Current Release 2209 2206 2203 LTSR 2112 2109 2106 2103 1912 LTSR
PDF anzeigen

App-Schutz

September 7, 2022
Beitrag von: 
C

Der App-Schutz ist eine Zusatzfunktion (Add-On) für die Citrix Workspace-App, die erweiterte Sicherheit bei der Verwendung von in Citrix Virtual Apps and Desktops veröffentlichten Ressourcen bietet.

Zwei Richtlinien bieten Schutz vor Keylogging und Bildschirmerfassung für Citrix HDX-Sitzungen. Bei Verwendung mit der Citrix Workspace-App ab 1912 für Windows, der Citrix Workspace-App ab 2108 für Linux bzw. der Citrix Workspace-App ab 2001 für Mac können die Richtlinien zum Schutz von Daten vor Keylogging und Screen Scraping beitragen.

Bei aktiviertem Schutz vor Keylogging:

  • Der Keylogger sieht verschlüsselte Tastenanschläge.
  • Das Feature ist nur aktiv, wenn ein geschütztes Fenster im Fokus ist.

Bei aktiviertem Schutz vor Bildschirmerfassung:

  • Die Bildschirmaufnahme unter Windows bzw. Linux ist leer. Unter macOS ist nur der Inhalt des geschützten Fensters leer.
  • Unter Windows und macOS ist das Feature aktiv, wenn ein geschütztes Fenster sichtbar ist (nicht minimiert). Unter Linux ist das Feature aktiv, wenn ein geschütztes Fenster minimiert oder maximiert ist.

Sie konfigurieren die Richtlinien nur über PowerShell. Das Verwalten über die Benutzeroberfläche ist nicht möglich. Diese Konfiguration ist nur erforderlich, um die Funktionalität für eine bestimmte Bereitstellungsgruppe zu aktivieren oder zu deaktivieren.

Stellen Sie nach dem Erwerb des Features sicher, dass Sie die Lizenz für den App-Schutz aktivieren.

Haftungsausschluss:

App-Schutzrichtlinien filtern den Zugriff auf erforderliche Funktionen des zugrunde liegenden Betriebssystems (spezifische API-Aufrufe für die Bildschirmerfassung oder das Aufzeichnen von Tastenanschlägen). Damit schützen sie auch vor benutzerdefinierten und speziell entwickelten Hackertools. Die Weiterentwicklung von Betriebssystemen führt jedoch immer wieder zu neuen Einfallstoren für das Keylogging oder die Bildschirmerfassung. Darum ist kein hundertprozentiger Schutz möglich, auch wenn wir diese Schwachstellen kontinuierlich identifizieren und korrigieren.

Citrix App-Schutzrichtlinien arbeiten effektiv mit zugrundeliegenden Betriebssystemkomponenten, einschließlich ICA-Dateien. Citrix kann keinen Support leisten, wenn vorsätzliche Manipulationen oder Änderungen der zugrundeliegenden Komponenten festgestellt werden, um die Integrität der angewandten Richtlinien zu gewährleisten.

Einschränkungen

Folgende Einschränkungen sind designbedingt:

  • Keine Unterstützung für die Anti-Keylogging in HDX- und RDP-Sitzungen. Endpunktschutz ist weiterhin aktiv. Diese Einschränkung gilt nur für Double-Hop-Szenarien.
  • Das Feature unterstützt keine nicht unterstützten Versionen der Citrix Workspace-App oder von Citrix Receiver. In diesem Fall werden Ressourcen verborgen.
  • App-Schutz wird für On-Premises-Bereitstellungen von Citrix Virtual Apps and Desktops und Citrix Virtual Apps and Desktops Service mit StoreFront und Workspace unterstützt.
  • Keine Featureunterstützung für StoreFront-Webstores.
  • App-Schutz-Add-On für die Citrix Workspace-App verhindert ausgehende Bildschirmfreigabe.
  • Der App-Schutz verhindert möglicherweise die ausgehende und eingehende Bildschirmfreigabe für Apps oder Features zur Zusammenarbeit, bei denen die Optimierung aktiviert ist.
  • Anwendungen mit App-Schutzrichtlinien werden in den Verbindungsleases nicht aufgezählt, daher zeigt die Servicekontinuität die App-/Desktop-Symbole bei einem Ausfall bzw. im Offlinemodus nicht in der Citrix Workspace-App an.

Erwartetes Verhalten

Das erwartete Verhalten hängt davon ab, wie Sie auf den StoreFront-Store zugreifen, der geschützte Ressourcen enthält. Sie können mit einem unterstützten nativen Client der Citrix Workspace-App auf die Ressourcen zugreifen.

  • Verhalten auf StoreWeb: Anwendungen mit App-Schutzrichtlinien werden in StoreFront-Webstores nicht aufgelistet.
  • Verhalten auf nicht unterstützten Citrix Receivern oder Citrix Workspace-Apps: Anwendungen mit App-Schutzrichtlinien werden nicht aufgelistet.
  • Verhalten in unterstützten Versionen der Citrix Workspace-App: Geschützte Ressourcen werden aufgelistet und ordnungsgemäß gestartet.

Der Schutz wird unter folgenden Bedingungen angewendet:

  • Anti-Screenshotfunktion: Unter Windows und Mac aktiviert, wenn ein geschütztes Fenster auf dem Bildschirm sichtbar ist. Um den Schutz zu deaktivieren, minimieren Sie alle geschützten Fenster. Unter Linux ist das Feature aktiviert, wenn ein geschütztes Fenster aktiv ist. Um den Schutz zu deaktivieren, schließen Sie alle geschützten Fenster.
  • Anti-Keylogging: aktiviert, wenn ein geschütztes Fenster im Fokus steht. Um den Schutz zu deaktivieren, verschieben Sie den Fokus auf ein anderes Fenster.

Was wird durch den App-Schutz geschützt?

Um den Screenshot eines Fensters zu erstellen, das außerhalb der Citrix Workspace-App ist, müssen Benutzer zunächst das geschützte Fenster minimieren. Unter Linux müssen die Benutzer alle geschützten Fenster schließen.

Standardmäßig sind folgende Citrix-Fenster durch den App-Schutz geschützt:

  • Citrix Anmeldefenster: Citrix Workspace-Dialogfelder zur Authentifizierung sind nur unter Windows geschützt. Unter Linux müssen Sie das App-Schutzfeature in der Datei AuthManConfig.xml konfigurieren, um es für den Authentifizierungsmanager zu aktivieren.

Citrix Anmeldefenster - geschützt

  • HDX-Sitzungsfenster der Citrix Workspace-App (Beispiel: verwalteter Desktop)

Fenster mit Citrix verwaltetem Desktop - geschützt

  • Self-Service-Fenster: Self-Service-Fenster in Citrix Workspace sind nur unter Windows geschützt. Unter Linux müssen Sie das App-Schutzfeature in der Datei AuthManConfig.xml konfigurieren, um es für Self-Service-Fenster zu aktivieren.

Citrix Self-Service-Fenster - geschützt

Was wird durch den App-Schutz nicht geschützt?

Die Elemente unter dem Symbol der Citrix Workspace-App in der Navigationsleiste:

  • Connection Center
  • Alle Links unter “Erweiterte Einstellungen”
  • Personalisieren
  • Nach Updates suchen
  • Abmelden

Systemanforderungen

Mindestversionen von Citrix Komponenten

  • Citrix Workspace-App 2108 für Linux
  • Citrix Workspace-App 1912 für Windows Long Term Service Release
  • Citrix Workspace-App 2002 für Windows
  • Citrix Workspace-App 2001 für Mac
  • StoreFront 1912
  • Delivery Controller 1912
  • Gültige Citrix Lizenzen
    • Add-On-Lizenz für App-Schutz
    • Gültige Lizenz für Citrix Virtual App and Desktops 1912 oder höher

Betriebssystemplattformen

Die App-Schutzrichtlinienlaufzeit ist auf dem Endpunkt installiert, von dem die Verbindung ausgeht und nicht auf dem VDA an dem die Verbindung eingeht. Daher ist nur die Betriebssystemversion des Endpunkts von Bedeutung. Der App-Schutz kann eine Verbindung zu VDAs unter allen unterstützten Betriebssystemen (siehe Systemanforderungen für Citrix Virtual Apps and Desktops) herstellen.

Der App-Schutz wird auf Endpunkten mit folgenden Betriebssystemen unterstützt:

  • Windows 10
  • Windows 8.1
  • Windows 7
  • macOS High Sierra (10.13) und höher
  • Ubuntu 18.04+ (64-Bit)
  • Debian 9+ (64-Bit)
  • CentOS7.5+ (64-Bit)
  • RHEL7.5+ (64-Bit)
  • ARMHF Raspbian 10 (Buster)+ (32-Bit)

Hinweis:

Für den App-Schutz erfordert die Citrix Workspace-App für Linux Gnome Display Manager sowie ein unterstütztes Betriebssystem.

Konfigurieren

Zum Konfigurieren und Aktivieren des Features gehen Sie folgendermaßen vor:

  1. Importieren Sie die Lizenz für den App-Schutz†.
  2. Konfigurieren Sie die Workspace-App.
  3. Aktivieren Sie die Richtlinien zum App-Schutz auf den Delivery Controllern†.

† In einer Citrix Virtual Apps and Desktops Service-Umgebung sind die Konfigurationsschritte geringfügig anders. Siehe die Hinweise in folgenden Abschnitten.

1. Lizenzierung

Hinweis:

In einer Citrix Virtual Apps and Desktops Service-Umgebung ignorieren Sie diesen Schritt, da keine Lizenzen installiert werden müssen. Der App-Schutz ist als Teil spezifischer Citrix Cloud-Servicepakete und die Lizenzen werden direkt in Citrix Cloud bereitgestellt.

Für den App-Schutz müssen Sie eine Add-On-Lizenz auf dem Citrix Lizenzserver installieren. Außerdem ist eine gültige Lizenz für Citrix Virtual App and Desktops 1912 oder höher erforderlich. Wenden Sie sich an einen Citrix Vertriebsmitarbeiter, um die Add-On-Lizenz für den App-Schutz zu erwerben.

  1. Laden Sie die Lizenzdatei herunter und importieren Sie sie zusammen mit einer vorhandenen Citrix Virtual Desktops-Lizenz in den Citrix Lizenzserver.
  2. Importieren Sie die Lizenzdatei mit dem Citrix Licensing Manager (bevorzugte Methode), oder kopieren Sie die Lizenzdatei in C:\Program Files (x86)\Citrix\Licensing\MyFiles auf dem Lizenzserver und starten Sie den Citrix Lizenzierungsdienst neu. Weitere Informationen finden Sie unter Installieren von Lizenzen.

2. Citrix Workspace-App

Konfigurieren Sie den App-Schutz in der Citrix Workspace-App.

Citrix Workspace-App für Windows

Sie können die App-Schutz-Komponente mit den folgenden Verfahren in die Citrix Workspace-App integrieren:

  • Während der Installation der Citrix Workspace-App.
  • Über die Befehlszeilenschnittstelle nach der Installation der Citrix Workspace-App.

Stellen Sie sicher, dass die Citrix Workspace-App mit aktiviertem Switch /includeappprotection installiert wurde.

Weitere Informationen finden Sie unter App-Schutz.

Citrix Workspace-App für Mac

Der App-Schutz erfordert keine spezifische Konfiguration in der Citrix Workspace-App für Mac.

Citrix Workspace-App für Linux

Der App-Schutz wird nur unterstützt, wenn die Citrix Workspace-App für Linux mithilfe eines der folgenden Pakete installiert wird: Tarball, Debian, Red Hat Package Manager (RPM). Es werden die Architekturen x64 und ARMHF unterstützt.

Weitere Informationen finden Sie unter App-Schutz.

3. Bereitstellungsgruppen

Hinweis:

In a Citrix Virtual Apps and Desktops service environment, use the cmdlets in the Citrix Virtual Apps and Desktops Remote PowerShell SDK on any machine (apart from Citrix Cloud Connector machines) to issue the commands in this section.

Aktivieren Sie die folgenden Eigenschaften für die App-Schutz-Bereitstellungsgruppe mit dem Citrix Virtual Apps and Desktops-SDK auf jeder Maschine mit installiertem Delivery Controller oder auf einer Maschine mit eigenständiger Studio-Instanz und installierten FMA PowerShell-Snap-Ins.

  • AppProtectionKeyLoggingRequired: True
  • AppProtectionScreenCaptureRequired: True

Sie können jede Richtlinie individuell pro Bereitstellungsgruppe aktivieren. Beispielsweise können Sie den Schutz vor Keylogging nur für DG1 und den Schutz vor Bildschirmerfassung nur für DG2 konfigurieren. Für DG3 können Sie beide Richtlinien aktivieren.

Beispiel

Um beide Richtlinien für die Bereitstellungsgruppe DG3 zu aktivieren, führen Sie folgenden Befehl auf einem beliebigen Delivery Controller in der Site aus:

Set-BrokerDesktopGroup -Name DG3 -AppProtectionKeyLoggingRequired $true -AppProtectionScreenCaptureRequired $true

Führen Sie folgendes Cmdlet aus, um die Einstellungen zu überprüfen:

Get-BrokerDesktopGroup -Property Name, AppProtectionKeyLoggingRequired, AppProtectionScreenCaptureRequired | Format-Table -AutoSize

Aktivieren Sie außerdem die XML-Vertrauensstellung:

Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true

Schützen Sie das Netzwerk zwischen StoreFront und Broker. Weitere Informationen finden Sie in den Knowledge Center-Artikeln CTX236929 und Schützen des XenApp und XenDesktop-XML-Diensts.

Empfehlung

App-Schutzrichtlinien konzentrieren sich in erster Linie auf die Verbesserung der Sicherheit und des Schutzes von Endpunkten. Überprüfen Sie alle anderen Sicherheitsempfehlungen und Richtlinien für Ihre Umgebung. Sie können eine Sicherheit und Steuerung-Richtlinienvorlage für eine empfohlene Konfiguration in Umgebungen mit geringer Risikotoleranz verwenden. Weitere Informationen finden Sie unter Richtlinienvorlagen.

Kontextbezogener App-Schutz

Der kontextbezogene App-Schutz ermöglicht es, App-Schutzrichtlinien flexibel und granular nur auf bestimmte Benutzergruppen anzuwenden – basierend auf Benutzern, ihrem Gerät und der Netzwerkstruktur. Weitere Informationen finden Sie unter Kontextbezogener App-Schutz.

Problembehandlung

Anwendungen werden nicht aufgelistet oder nicht gestartet:

  • Prüfen Sie, ob der betroffene Benutzer eine unterstützte Version der Citrix Workspace-App verwendet.
  • Stellen Sie sicher, dass die richtigen Features für die Bereitstellungsgruppe aktiviert sind.

Richtlinien zum App-Schutz werden nicht ordnungsgemäß angewendet:

  • Stellen Sie sicher, dass die richtigen Features für die Bereitstellungsgruppe aktiviert sind.
  • Stellen Sie sicher, dass das Feature auf dem Endpunkt installiert ist.
  • Stellen Sie sicher, dass der betroffene Benutzer eine unterstützte Version der Citrix Workspace-App verwendet.
  • Stellen Sie sicher, dass die Citrix Workspace-App mit aktiviertem Switch /includeappprotection installiert wurde.

Keine Bildschirmerfassung in Citrix-fremden Fenstern:

  • Minimieren oder schließen Sie die geschützten Citrix Fenster, einschließlich Citrix Workspace-App.
App-Schutz
September 7, 2022
Beitrag von: 
C
September 7, 2022
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung
© 1999- Cloud Software Group, Inc. All rights reserved.