Citrix Virtual Apps and Desktops

App-Schutz

Der App-Schutz ist eine Zusatzfunktion (Add-On) für die Citrix Workspace-App, die erweiterte Sicherheit bei der Verwendung von in Citrix Virtual Apps and Desktops veröffentlichten Ressourcen bietet.

Zwei Richtlinien bieten Schutz vor Keylogging und Bildschirmerfassung für Citrix HDX-Sitzungen. Bei Verwendung mit der Citrix Workspace-App ab 1912 für Windows bzw. Citrix Workspace-App ab 2001 für Mac können die Richtlinien zum Schutz von Daten vor Keylogging und Screen Scraping beitragen.

Bei aktiviertem Schutz vor Keylogging:

  • Der Keylogger sieht verschlüsselte Tastenanschläge.
  • Das Feature ist nur aktiv, wenn ein geschütztes Fenster im Fokus ist.

Bei aktiviertem Schutz vor Bildschirmerfassung:

  • Die Bildschirmaufnahme unter Windows ist leer. Unter macOS ist nur der Inhalt des geschützten Fensters leer.
  • Das Feature ist aktiv, wenn ein geschütztes Fenster sichtbar ist (nicht minimiert).

Sie konfigurieren die Richtlinien nur über PowerShell. Das Verwalten über die Benutzeroberfläche ist nicht möglich. Diese Konfiguration ist nur erforderlich, um die Funktionalität für eine bestimmte Bereitstellungsgruppe zu aktivieren oder zu deaktivieren.

Stellen Sie nach dem Erwerb des Features sicher, dass Sie die Lizenz für den App-Schutz und die App-Schutzrichtlinien aktivieren und die Featuretabelle FeatureTable.OnPrem.AppProtection.xml importieren.

Haftungsausschluss:

App-Schutzrichtlinien filtern den Zugriff auf erforderliche Funktionen des zugrunde liegenden Betriebssystems (spezifische API-Aufrufe für die Bildschirmerfassung oder das Aufzeichnen von Tastenanschlägen). Damit schützen sie auch vor benutzerdefinierten und speziell entwickelten Hackertools. Die Weiterentwicklung von Betriebssystemen führt jedoch immer wieder zu neuen Einfallstoren für das Keylogging oder die Bildschirmerfassung. Darum ist kein hundertprozentiger Schutz möglich, auch wenn wir diese Schwachstellen kontinuierlich identifizieren und korrigieren.

Einschränkungen

Folgende Einschränkungen sind designbedingt:

  • Keine Unterstützung für die Anti-Keylogging in HDX- und RDP-Sitzungen. Endpunktschutz ist weiterhin aktiv. Diese Einschränkung gilt nur für Double-Hop-Szenarien.
  • Das Feature unterstützt keine nicht unterstützten Versionen der Citrix Workspace-App oder von Citrix Receiver. In diesem Fall werden Ressourcen verborgen.
  • Keine Unterstützung für Citrix Cloud Services. App-Schutz wird nur für On-Premises-Bereitstellungen von Citrix Virtual Apps and Desktops unterstützt.
  • Keine Featureunterstützung für StoreFront-Webstores.

Erwartetes Verhalten

Das erwartete Verhalten hängt davon ab, wie Sie auf den StoreFront-Store zugreifen, der geschützte Ressourcen enthält. Sie können mit einem unterstützten nativen Client der Citrix Workspace-App auf die Ressourcen zugreifen.

  • Verhalten auf StoreWeb: Anwendungen mit App-Schutzrichtlinien werden in StoreFront-Webstores nicht aufgelistet.
  • Verhalten auf nicht unterstützten Citrix Receivern oder Citrix Workspace-Apps: Anwendungen mit App-Schutzrichtlinien werden nicht aufgelistet.
  • Verhalten in unterstützten Versionen der Citrix Workspace-App: Geschützte Ressourcen werden aufgelistet und ordnungsgemäß gestartet.

Der Schutz wird unter folgenden Bedingungen angewendet:

  • Anti-Screenshotfunktion: aktiviert, wenn ein geschütztes Fenster auf dem Bildschirm sichtbar ist. Um den Schutz zu deaktivieren, minimieren Sie alle geschützten Fenster.
  • Anti-Keylogging: aktiviert, wenn ein geschütztes Fenster im Fokus steht. Um den Schutz zu deaktivieren, verschieben Sie den Fokus auf ein anderes Fenster.

Was wird durch den App-Schutz geschützt?

Um den Screenshot eines Fensters zu erstellen, das außerhalb der Citrix Workspace-App ist, müssen Benutzer zunächst das geschützte Fenster minimieren.

Standardmäßig sind folgende Citrix-Fenster durch den App-Schutz geschützt:

  • Citrix Anmeldefenster: Citrix Workspace-Dialogfelder zur Authentifizierung sind nur unter Windows geschützt.

Citrix Anmeldefenster - geschützt

  • HDX-Sitzungsfenster der Citrix Workspace-App (Beispiel: verwalteter Desktop)

Fenster eines verwalteten Desktops in Citrix - geschützt

  • Fenster des Self-Service-Store

Fenster des Citrix Self-Service-Store - geschützt

Was wird durch den App-Schutz nicht geschützt?

Die Elemente unter dem Symbol der Citrix Workspace-App in der Navigationsleiste:

  • Connection Center
  • Alle Links unter “Erweiterte Einstellungen”
  • Personalisieren
  • Nach Updates suchen
  • Abmelden

Systemanforderungen

Mindestversionen von Citrix Komponenten:

  • Citrix Workspace-App 1912 für Windows Long Term Service Release
  • Citrix Workspace-App 2002 für Windows
  • Citrix Workspace-App 2001 für Mac
  • StoreFront 1912
  • Delivery Controller 1912
  • Gültige Citrix Lizenzen
    • Add-On-Lizenz für App-Schutz
    • Citrix Virtual Apps and Desktops 1912

Betriebssystemplattformen:

Diese Betriebssysteme werden auf dem Endpunkt unterstützt. Der VDA unterstützt alle Betriebssysteme.

  • Windows 10
  • Windows 8.1
  • Windows 7
  • macOS High Sierra (10.13) und höher

Konfigurieren

Nach dem Kauf des App-Schutzes können Sie das Feature mit folgenden Schritten konfigurieren und aktivieren:

  1. Importieren Sie die Lizenz für den App-Schutz.
  2. Konfigurieren Sie die Workspace-App.
  3. Importieren Sie die Featuretabelle FeatureTable.OnPrem.AppProtection.xml.
  4. Aktivieren Sie die Richtlinien zum App-Schutz auf den Delivery Controllern.

1. Lizenzierung

Für den App-Schutz müssen Sie eine Add-On-Lizenz auf dem Citrix Lizenzserver installieren. Als Mindestversion muss eine Citrix Virtual Desktops 1912-Lizenz vorhanden sein. Wenden Sie sich an einen Citrix Vertriebsmitarbeiter, um die Add-On-Lizenz für den App-Schutz zu erwerben.

  1. Laden Sie die Lizenzdatei herunter und importieren Sie sie zusammen mit einer vorhandenen Citrix Virtual Desktops-Lizenz in den Citrix Lizenzserver.
  2. Importieren Sie die Lizenzdatei mit dem Citrix Licensing Manager (bevorzugte Methode), oder kopieren Sie die Lizenzdatei in C:\Program Files (x86)\Citrix\Licensing\MyFiles auf dem Lizenzserver und starten Sie den Citrix Lizenzierungsdienst neu. Weitere Informationen finden Sie unter Installieren von Lizenzen.

2. Citrix Workspace-App

Konfigurieren Sie den App-Schutz in der Citrix Workspace-App.

Citrix Workspace-App für Windows:

Sie können die App-Schutz-Komponente mit den folgenden Verfahren in die Citrix Workspace-App integrieren:

  • Während der Installation der Citrix Workspace-App.
  • Über die Befehlszeilenschnittstelle nach der Installation der Citrix Workspace-App.

Stellen Sie sicher, dass die Citrix Workspace-App mit aktiviertem Switch /includeappprotection installiert wurde.

Weitere Informationen finden Sie unter App-Schutz.

Citrix Workspace-App für Mac:

Der App-Schutz erfordert keine spezifische Konfiguration in der Citrix Workspace-App für Mac.

3. Datei der Featuretabelle

Aktivieren Sie nach dem Erwerb des App-Schutz-Features die Lizenz und die Richtlinien für den App-Schutz und importieren Sie die Featuretabelle FeatureTable.OnPrem.AppProtection.xml.

Der Abschnitt Komponenten auf der Downloadseite für Citrix Virtual Apps and Desktops 1912 oder höher enthält die erforderliche XML-Datei. Sie benötigen ein Citrix-Konto, um die Datei herunterzuladen.

Der App-Schutz ist standardmäßig deaktiviert. Verwenden Sie zum Aktivieren des Features das Cmdlet Import-ConfigFeatureTable, um die Featuretabelle FeatureTable.OnPrem.AppProtection.xml zu importieren, für die der App-Schutz aktiviert ist. Führen Sie das Cmdlet einmal für die gesamte Site aus. Weitere Informationen finden Sie unter Import-Configfeaturetable.

Import-ConfigFeatureTable –Path .\FeatureTable.OnPrem.AppProtection.xml

Sie können das Cmdlet auf jeder Maschine mit installiertem Delivery Controller oder auf einer Maschine mit eigenständiger Studio-Instanz und installierten FMA PowerShell-Snap-Ins ausführen.

Führen Sie Get-ConfigEnabledFeature | Select-String –Pattern ‘AppProtection’ aus, um sicherzustellen, dass der App-Schutz aktiviert ist.

4. Bereitstellungsgruppen

Aktivieren Sie die folgenden Eigenschaften für die App-Schutz-Bereitstellungsgruppe mit dem PowerShell-SDK auf jeder Maschine mit installiertem Delivery Controller oder auf einer Maschine mit eigenständiger Studio-Instanz und installierten FMA PowerShell-Snap-Ins.

  • AppProtectionKeyLoggingRequired: True
  • AppProtectionScreenCaptureRequired: True

Sie können jede Richtlinie individuell pro Bereitstellungsgruppe aktivieren. Beispielsweise können Sie den Schutz vor Keylogging nur für DG1 und den Schutz vor Bildschirmerfassung nur für DG2 konfigurieren. Für DG3 können Sie beide Richtlinien aktivieren.

Beispiel:

Um beide Richtlinien für die Bereitstellungsgruppe DG3 zu aktivieren, führen Sie folgenden Befehl auf einem beliebigen Delivery Controller in der Site aus:

Set-BrokerDesktopGroup -Name DG3 -AppProtectionKeyLoggingRequired $true -AppProtectionScreenCaptureRequired $true

Führen Sie folgendes Cmdlet aus, um die Einstellungen zu überprüfen:

Get-BrokerDesktopGroup -Property Name, AppProtectionKeyLoggingRequired, AppProtectionScreenCaptureRequired | Format-Table -AutoSize

Aktivieren Sie außerdem die XML-Vertrauensstellung:

Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true

Schützen Sie das Netzwerk zwischen StoreFront und Broker. Weitere Informationen finden Sie in den Knowledge Center-Artikeln CTX236929 und Schützen des XenApp und XenDesktop-XML-Diensts.

Empfehlung

App-Schutzrichtlinien konzentrieren sich in erster Linie auf die Verbesserung der Sicherheit und des Schutzes von Endpunkten. Überprüfen Sie alle anderen Sicherheitsempfehlungen und Richtlinien für Ihre Umgebung. Sie können eine Sicherheit und Steuerung-Richtlinienvorlage für eine empfohlene Konfiguration in Umgebungen mit geringer Risikotoleranz verwenden. Weitere Informationen finden Sie unter Richtlinienvorlagen.

Problembehandlung

Anwendungen werden nicht aufgelistet oder nicht gestartet:

  • Prüfen Sie, ob der betroffene Benutzer eine unterstützte Version der Citrix Workspace-App verwendet.
  • Stellen Sie sicher, dass das Feature auf dem StoreFront-Server aktiviert ist.
  • Stellen Sie sicher, dass die richtigen Features für die Bereitstellungsgruppe aktiviert sind.

Richtlinien zum App-Schutz werden nicht ordnungsgemäß angewendet:

  • Stellen Sie sicher, dass das Feature in StoreFront-Server aktiviert ist.
  • Stellen Sie sicher, dass die richtigen Features für die Bereitstellungsgruppe aktiviert sind.
  • Stellen Sie sicher, dass das Feature auf dem Endpunkt installiert ist.
  • Stellen Sie sicher, dass der betroffene Benutzer eine unterstützte Version der Citrix Workspace-App verwendet.
  • Stellen Sie sicher, dass die Citrix Workspace-App mit aktiviertem Switch /includeappprotection installiert wurde.

Keine Bildschirmerfassung in Citrix-fremden Fenstern:

  • Minimieren oder schließen Sie die geschützten Citrix-Fenster.