Citrix Virtual Apps and Desktops

Kontextbezogener App-Schutz für Workspace

Der kontextbezogene App-Schutz ermöglicht es, App-Schutzrichtlinien flexibel und granular nur auf bestimmte Benutzergruppen anzuwenden – basierend auf Benutzern, ihrem Gerät und der Netzwerkstruktur.

Kontextbezogenen App-Schutz implementieren

Sie können den kontextbezogenen App-Schutz mit den Verbindungsfiltern implementieren, die in der Brokerzugriffsrichtlinienregel definiert sind. Die Brokerzugriffsrichtlinien definieren die Regeln, die den Zugriff eines Benutzers auf Desktopgruppen steuern. Die Richtlinie umfasst mehrere Regeln. Jede Regel bezieht sich auf eine einzelne Desktopgruppe und enthält eine Reihe von Verbindungsfiltern und Steuerelementen für Zugriffsrechte.

Benutzer erhalten Zugriff auf eine Desktopgruppe, wenn ihre Verbindungsdetails mit den Verbindungsfiltern einer oder mehrerer Regeln in der Brokerzugriffsrichtlinie übereinstimmen. Benutzer können standardmäßig auf keine Desktopgruppe in einer Site zugreifen. Je nach Bedarf können Sie weitere Brokerzugriffsrichtlinien erstellen. Es können mehrere Regeln für dieselbe Desktopgruppe gelten. Weitere Informationen finden Sie unter New-BrokerAssignmentPolicyRule.

Die folgenden Parameter in der Brokerzugriffsrichtlinienregel bieten die Möglichkeit, den App-Schutz flexibel und kontextbezogen zu aktivieren, wenn die Verbindung des Benutzers mit den Verbindungsfiltern übereinstimmt, die in der Zugriffsrichtlinienregel definiert sind:

  • AppProtectionKeyLoggingRequired
  • AppProtectionScreenCaptureRequired

Verwenden Sie die Smart Access-Richtlinien, auf die in den Brokerzugriffsrichtlinien verwiesen wird, um die Verbindungsrichtlinien weiter anzupassen. Die in diesem Artikel erläuterten Szenarien verdeutlichen, wie Sie die Smart Access-Richtlinien zum Einrichten des kontextbezogenen App-Schutzes verwenden.

Voraussetzungen

Folgende Voraussetzungen müssen erfüllt sein:

  • Citrix Virtual Apps and Desktops Version 2109 oder höher
  • Delivery Controller Version 2109 oder höher
  • Netzwerkpositionsdienst (NLS) für Szenarios basierend auf dem Netzwerkstandort des Benutzers
  • Lizenzanforderungen -
    • App-Schutz für DaaS
    • Anspruch auf adaptive Authentifizierung für Szenarios mit Smart Access-Richtlinien.

Kontextbezogenen App-Schutz konfigurieren — Beispielszenarien

Szenario 1: Aktivieren des App-Schutzes für externe Benutzer mit Zugriff über Access Gateway

  1. Adaptive Authentifizierung konfigurieren

  2. Adaptiven Zugriff basierend auf dem Netzwerkstandort konfigurieren
    1. Melden Sie sich bei Citrix Cloud an und navigieren Sie zu Netzwerkspeicherorte.

      Netzwerkspeicherorte

    2. Fügen Sie eine Netzwerk-IP-Adresse oder ein Subnetz zur Behandlung als “Intern” oder “Direkt” hinzu.
    3. Geben Sie “location_internal” im Feld “Tags für den Ort” ein.
    4. Wählen Sie als Netzwerkverbindungstyp “Intern”.

      Netzwerkverbindungstyp

      Wenn Sie sich beim Cloudstore von einem Gerät aus anmelden, dessen IP-Adresse als “Intern” konfiguriert ist, gilt die Verbindung als interne Verbindung. Alle anderen Netzwerkverbindungen gelten als extern oder über Access Gateway.

  3. Richtlinienregeln für den Brokerzugriff konfigurieren

    Für jede Bereitstellungsgruppe werden standardmäßig zwei Brokerzugriffsrichtlinien erstellt, eine für über Access Gateway eingehende Verbindungen, die zweite für direkte Verbindungen. Sie können den App-Schutz nur für Verbindungen über Access Gateway aktivieren (externe Verbindungen). Gehen Sie wie folgt vor, um Richtlinienregeln für den Brokerzugriff zu konfigurieren:

    1. Installieren Sie das Citrix PowerShell-SDK und stellen Sie eine Verbindung mit der Cloud-API her (Anweisungen siehe Citrix Blogbeitrag Getting started with PowerShell automation for Citrix Cloud).

    2. Führen Sie den Befehl Get-BrokerAccessPolicyRule aus.

      Eine Liste aller Brokerzugriffsrichtlinien für alle Bereitstellungsgruppen wird angezeigt.

    3. Suchen Sie die DesktopGroupUid der Bereitstellungsgruppe, die Sie ändern möchten.

      Desktopgruppen-UID

    4. Verwenden Sie DesktopGroupUid, um für die jeweilige Bereitstellungsgruppe geltende Richtlinien abzurufen. Es gibt mindestens zwei Richtlinien, eine mit der Einstellung ViaAG für AllowedConnections und eine zweite mit der Einstellung NotViaAG.

      Get-BrokerAccessPolicyRule -DesktopGroupUid 7

      Brokerzugriffsrichtlinie abrufen

      Der Screenshot zeigt zwei Richtlinien:

      • CAP_Desktops_AG - AllowedConnections mit ViaAG: Richtlinie für externe Verbindungen oder Verbindungen über Access Gateway

      • CAP_Desktops_Direct – AllowedConnections mit NotViaAG: Richtlinie für interne bzw. direkte Verbindungen

  4. Aktivieren Sie mit den folgenden Befehlen App-Schutzrichtlinien nur für externe Verbindungen und deaktivieren Sie sie für interne Verbindungen:

    • Set-BrokerAccessPolicyRule CAP_Desktops_AG -AppProtectionKeyLoggingRequired $true -AppProtectionScreenCaptureRequired $true

    • Set-BrokerAccessPolicyRule CAP_Desktops_Direct -AppProtectionKeyLoggingRequired $false -AppProtectionScreenCaptureRequired $false

Überprüfung

Melden Sie sich von der Citrix Workspace-App ab und dann wieder an. Starten Sie die geschützte Ressource über eine externe Verbindung. Die App-Schutzrichtlinien werden angewendet. Starten Sie dieselbe Ressource über eine interne Verbindung (Gerät innerhalb des im ersten Schritt konfigurierten IP-Adressbereichs). Die App-Schutzrichtlinien sind deaktiviert.

Szenario 2: App-Schutz für nicht vertrauenswürdige Geräte aktivieren

Es gibt mehrere Definitionen vertrauenswürdiger und nicht vertrauenswürdiger Geräte. In diesem Beispiel gilt ein Gerät als vertrauenswürdig, wenn die Endpunktanalyse (EPA) erfolgreich ist. Alle anderen Geräte gelten als nicht vertrauenswürdige Geräte.

  1. Adaptive Authentifizierung konfigurieren
  2. Erstellen Sie die Authentifizierungsrichtlinie mit EPA:

    1. Melden Sie sich an der Verwaltungsoberfläche von Citrix ADC an. Gehen Sie auf der Registerkarte Configuration zu Security > AAA-Application Traffic -> Virtual Servers. Klicken Sie auf den gewünschten virtuellen Server (in diesem Beispiel auth_vs).

      Virtuelle Server

    2. Gehen Sie zu Authentication Policies > Add Binding.

      Authentifizierungsrichtlinien

      Bindung hinzufügen

    3. Klicken Sie auf Hinzufügen, um eine Richtlinie zu erstellen.

      Richtlinienbindung

    4. Erstellen Sie eine auf der EPA basierende Authentifizierungsrichtlinie. Geben Sie einen Namen für die Richtlinie ein. Wählen Sie für Action Type die Option EPA. Klicken Sie auf Add, um die Aktion zu erstellen.

      Authentifizierungsrichtlinie erstellen

    5. Die Seite Create Authentication EPA Actionwird angezeigt.

      Authentifizierung-EPA erstellen

      Geben Sie auf der Seite Create Authentication EPA Action die folgenden Details ein und klicken Sie auf Create, um die Aktion zu erstellen.

      • Den Namen der EPA-Aktion. In diesem Beispiel EPA_Action_FileExists.
      • Default Group. Geben Sie den Namen der Standardgruppe ein. Wenn der EPA-Ausdruck auf True festgelegt ist, werden Benutzer der Standardgruppe hinzugefügt. Die Standardgruppe ist in diesem Beispiel FileExists.
      • Quarantine Group. Geben Sie den Namen der Quarantänegruppe ein. Wenn der EPA-Ausdruck auf True festgelegt ist, werden Benutzer der Quarantänegruppe hinzugefügt.
      • Expression. Fügen Sie den zu analysierenden EPA-Ausdruck hinzu. In diesem Beispiel gilt die EPA als erfolgreich, wenn die Datei sys.client_expr("file_0_C:\\\\epa\\\\avinstalled.txt") vorhanden ist.
    6. Die Seite Create Authentication Policy wird wieder angezeigt. Geben Sie im Ausdruckseditor true ein und klicken Sie auf Create.

      Authentifizierung mit EPA = true

    7. Die Seite Policy Binding wird wieder angezeigt. Führen Sie folgende Schritte aus:

      • Wählen Sie NEXT für Goto Expression.
      • Wählen Sie im Bereich Next Factor die LDAP-Richtlinie aus, die Sie für die Authentifizierung in Application Delivery Controller (ADC) konfiguriert haben.
      • Klicken Sie auf Bind.

        Details der Richtlinienbindung

  3. Erstellen Sie eine Smart Access-Richtlinie für vertrauenswürdige Geräte:
    1. Wählen Sie auf der Seite Authentication Virtual Server des Servers auth_vs die Option Smart Access Policies.

      Virtuelle Authentifizierungsserver

    2. Klicken Sie auf Add binding.

      Bindung hinzufügen

    3. Klicken Sie auf der Seite Policy Binding im Bereich Select Policy auf Add.

      Richtlinie auswählen

    4. Die Seite Create Authentication Smart Access Policy wird angezeigt.

      Smart Access-Authentifizierung

      Geben Sie auf der Seite Create Authentication Smart Access Policy einen Namen für die Smart Access-Richtlinie ein und klicken Sie auf Add, um ein Smart Access-Profil zu erstellen.

    5. Die Seite Create Authentication Smart Access Profile wird angezeigt. Fügen Sie einen Namen für die Aktion hinzu. Geben Sie trusted für Tags ein. Das Tag wird später in der Brokerzugriffsrichtlinienregel zur Konfiguration referenziert. Klicken Sie auf Erstellen.

      Authentifizierungsprofil erstellen

    6. Die Seite Create Authentication Smart Access Policy wird wieder angezeigt. Geben Sie im Abschnitt “Expression” den Ausdruck ein, für den Sie das Tag bereitstellen möchten. Da das Tag in diesem Beispiel für vertrauenswürdige Geräte bereitgestellt wird, geben Sie AAA.USER.IS_MEMBER_OF(“FileExists”) ein. Klicken Sie auf Erstellen.

      Tag für vertrauenswürdige Geräte

    7. Die Seite Policy Binding wird wieder angezeigt. Wählen Sie für Goto Expression “End” und klicken Sie auf Bind.

      Goto-Ausdruck wählen

  4. Erstellen Sie eine Smart Access-Richtlinie für nicht vertrauenswürdige Geräte.

    1. Folgen Sie den Anweisungen des vorherigen Verfahrens mit Ausnahme der Schritte v und vi.
    2. Fügen Sie für Schritt v auf der Seite Create Smart Access Profile für die Aktion Name hinzu. Geben Sie untrusted für Tags ein. Das Tag wird später in der Brokerzugriffsrichtlinienregel zur Konfiguration referenziert. Klicken Sie auf Erstellen.
    3. Geben Sie für Schritt vi im Bereich Expression der Seite Create Authentication Smart Access Policy den Ausdruck ein, für den Sie das Tag bereitstellen möchten. Da das Tag in diesem Beispiel für nicht vertrauenswürdige Geräte bereitgestellt wird, geben Sie AAA.USER.IS_MEMBER_OF(“FileExists”).NOT ein.
  5. Richtlinienregeln für den Brokerzugriff konfigurieren

    1. Installieren Sie das Citrix PowerShell-SDK und stellen Sie eine Verbindung mit der Cloud-API her (Anweisungen siehe Citrix Blogbeitrag Getting started with PowerShell automation for Citrix Cloud).
    2. Führen Sie den Befehl Get-BrokerAccessPolicyRule aus.

      Eine Liste aller Brokerzugriffsrichtlinien für alle Bereitstellungsgruppen wird angezeigt.

    3. Suchen Sie die DesktopGroupUid der Bereitstellungsgruppe, die Sie ändern möchten.

      Desktopgruppen-UID

    4. Rufen Sie die Richtlinien, die nur auf eine bestimmte Bereitstellungsgruppe angewendet werden, mit dem folgenden Befehl ab: Get-BrokerAccessPolicyRule -DesktopGroupUid 7
    5. Zum Filtern von Benutzern mit vertrauenswürdigen Geräten erstellen Sie eine weitere Brokerzugriffsrichtlinie mit folgendem Befehl: New-BrokerAccessPolicyRule -Name CAP_Desktops_AG_Trusted-DesktopGroupUid 7 - AllowedConnections ViaAG -AllowedProtocols HDX, RDP -AllowedUsers AnyAuthenticated - AllowRestart $true -Enabled $true-IncludedSmartAccessFilterEnabled $true
    6. Verwenden Sie den folgenden Befehl, um den App-Schutz für vertrauenswürdige Geräte zu deaktivieren und für nicht vertrauenswürdige Geräte zu aktivieren: Set-BrokerAccessPolicyRule CAP_Desktops_AG_trusted -IncludedSmartAccessTags Workspace:trusted -AppProtectionKeyLoggingRequired $false -AppProtectionScreenCaptureRequired $false

      Set-BrokerAccessPolicyRule CAP_Desktops_AG -IncludedSmartAccessTags Workspace:untrusted -AppProtectionKeyLoggingRequired $true -AppProtectionScreenCaptureRequired $true

Überprüfung

Melden Sie sich von der Citrix Workspace-App ab und dann wieder an. Starten Sie die geschützte Ressource von einem vertrauenswürdigen Gerät, das die EPA-Bedingung erfüllt. Die App-Schutzrichtlinien werden nicht angewendet. Starten derselben Ressource von einem nicht vertrauenswürdigen Gerät. Die App-Schutzrichtlinien werden angewendet.

Kontextbezogener App-Schutz für Workspace