Produktdokumentation
Citrix Workspace™-App für Linux
PDF anzeigen

Sicherheit

November 23, 2025
Beitrag von: 
C C

App Protection

HAFTUNGSAUSSCHLUSS

Die Richtlinien von App Protection filtern den Zugriff auf erforderliche Funktionen des zugrunde liegenden Betriebssystems. Spezifische API-Aufrufe sind für Screenshots oder das Aufzeichnen von Tastenanschlägen erforderlich. Dieses Feature bewirkt, dass die Richtlinien von App Protection auch vor benutzerdefinierten und speziell entwickelten Hackertools schützen. Die Weiterentwicklung von Betriebssystemen führt jedoch immer wieder zu neuen Einfallstoren für das Keylogging oder die Bildschirmerfassung. Darum ist kein hundertprozentiger Schutz möglich, auch wenn wir diese Schwachstellen kontinuierlich identifizieren und korrigieren.

App Protection ist eine Zusatzfunktion, die erweiterte Sicherheit bei der Verwendung von Citrix Virtual Apps and Desktops bietet. Sie verringert das Risiko, dass Clients durch Keylogging und Screenshot-Malware kompromittiert werden. App Protection verhindert das Exfiltrieren vertraulicher Informationen, wie Benutzeranmeldeinformationen und sensible Informationen, die auf dem Bildschirm angezeigt werden. Die Funktion verhindert, dass Benutzer und Angreifer Screenshots erstellen und Keylogger verwenden, um vertrauliche Informationen zu lesen und zu nutzen.

Hinweise:

  • Diese Funktion wird nur unterstützt, wenn die Citrix Workspace-App mit einem der folgenden Pakete installiert wird: Tarball, Debian, Red Hat Package Manager (RPM). Außerdem sind x64 und ARM64 die einzigen unterstützten Architekturen.

  • Dieses Feature wird für On-Premises-Bereitstellungen von Citrix Virtual Apps and Desktops unterstützt. Und für Bereitstellungen mit Citrix Virtual Apps and Desktops Service mit StoreFront.

Für App Protection müssen Sie eine Add-On-Lizenz auf dem Lizenzserver installieren. Eine Citrix Virtual Desktops-Lizenz muss ebenfalls vorhanden sein. Weitere Informationen finden Sie unter Konfigurieren in der Dokumentation zu Citrix Virtual Apps and Desktops.

Ab Version 2108 ist das App Protection-Feature voll funktionsfähig. Das App Protection-Feature unterstützt App- und Desktopsitzungen und ist standardmäßig aktiviert. Sie müssen jedoch das App Protection-Feature in der Datei AuthManConfig.xml konfigurieren, um es für den Authentifizierungsmanager und die Self-Service-Plug-In-Schnittstellen zu aktivieren.

Ab dieser Version können Sie geschützte Ressourcen aus der Citrix Workspace-App starten, während Mozilla Firefox ausgeführt wird.

Voraussetzung:

Das App Protection-Feature funktioniert am besten mit folgenden Betriebssystemen und dem Gnome-Anzeigemanager:

  • 64-Bit Ubuntu 18.04, Ubuntu 20.04 und Ubuntu 22.04
  • 64-Bit-Debian 9, Debian 10 und Debian 11
  • 64-Bit CentOS 7
  • 64-Bit RHEL 7
  • ARM64 Raspberry Pi OS (basierend auf Debian 11 (Bullseye))

App Protection installieren:

Wenn Sie die Citrix Workspace-App mit dem Tarball-Paket installieren, wird die folgende Meldung angezeigt.

“Möchten Sie App Protection installieren? Warnung: Sie können dieses Feature nicht deaktivieren. Um es zu deaktivieren, müssen Sie die Citrix Workspace-App deinstallieren. Weitere Informationen erhalten Sie von Ihrem Systemadministrator. [default $INSTALLER_N]:”

Geben Sie Y ein, um App Protection zu installieren.

App Protection ist standardmäßig nicht installiert.

Starten Sie die Maschine neu, damit die Änderungen wirksam werden. Damit App Protection wie erwartet funktioniert, müssen Sie Ihre Maschine neu starten.

App Protection auf RPM-Paketen installieren:

Ab Version 2104 wird App Protection von der RPM-Version der Citrix Workspace-App unterstützt.

Mit den folgenden Schritten installieren Sie App Protection:

  1. Installieren Sie die Citrix Workspace-App.
  2. Installieren Sie das App Protection-Paket ctxappprotection<version>.rpm aus dem Citrix Workspace-App-Installationsprogramm.
  3. Starten Sie das System neu, damit die Änderungen wirksam werden.

App Protection auf Debian-Paketen installieren:

Ab Version 2101 wird App Protection von der Debian-Version der Citrix Workspace-App unterstützt.

Führen Sie für die unbeaufsichtigte Installation von App Protection den folgenden Befehl vom Terminal aus, bevor Sie die Citrix Workspace-App installieren:

  export DEBIAN_FRONTEND="noninteractive"
sudo debconf-set-selections <<< "icaclient app_protection/install_app_protection select yes"

sudo debconf-show icaclient
*  app_protection/install_app_protection: yes

sudo apt install -f ./icaclient_<version>._amd64.deb
<!--NeedCopy-->

Die Citrix Workspace-App bietet ab Version 2106 eine Option, mit der Sie Keyloggingschutz- und Screenshotschutzfunktionen für den Authentifizierungsmanager und das Self-Service-Plug-In separat konfigurieren können.

App Protection für den Authentifizierungsmanager konfigurieren:

Navigieren Sie zu $ICAROOT/config/AuthManConfig.xml und bearbeiten Sie die Datei wie folgt:


  /opt/Citrix/ICAClient/config$ cat AuthManConfig.xml | grep -i authmananti -A 1
    <key>AuthManAntiScreenCaptureEnabled</key>
    <value>true</value>
    <key>AuthManAntiKeyLoggingEnabled</key>
    <value>true</value>

<!--NeedCopy-->

App Protection für das Self-Service-Plug-In konfigurieren:

Navigieren Sie zu $ICAROOT/config/AuthManConfig.xml und bearbeiten Sie die Datei wie folgt:


  /opt/Citrix/ICAClient/config$ cat AuthManConfig.xml | grep -i protection -A 4
<!-- Selfservice App Protection configuration -->
    <Selfservice>
      <AntiScreenCaptureEnabled>true</AntiScreenCaptureEnabled>
      <AntiKeyLoggingEnabled>true</AntiKeyLoggingEnabled>
    </Selfservice>

<!--NeedCopy-->

Bekannte Probleme:

  • Wenn Sie einen geschützten Bildschirm minimieren, wird App Protection weiterhin im Hintergrund ausgeführt.

Einschränkung:

  • In einigen Fällen können Sie geschützte Ressourcen nicht starten, wenn eine aus dem Snap-Store installierte Anwendung ausgeführt wird. Prüfen Sie als Workaround in der Protokolldatei der Citrix Workspace-App, welche Anwendung das Problem verursacht. Schließen Sie dann die Anwendung. Weitere Informationen finden Sie unter Positivliste für die Apps mit den LD_Preload-Funktionen konfigurieren
  • Beim Versuch, den Screenshot eines geschützten Fensters zu erstellen, wird der gesamte Bildschirm abgeblendet, einschließlich der nicht geschützten Apps im Hintergrund.

Unterstützung von App Protection für eLux® 7

Ab dieser Version unterstützt die Citrix Workspace-App für Linux App Protection auf eLux 7. Diese Integration bietet verbesserte Sicherheit, indem sie beim Zugriff auf virtuelle Apps und Desktops von eLux 7-Geräten vor Bedrohungen durch Keylogging und Bildschirmaufnahmen schützt. Mit aktivierter App Protection können Unternehmen vertrauliche Informationen besser schützen und die Einhaltung von Sicherheitsrichtlinien sicherstellen, selbst auf Thin-Client-Endpunkten mit eLux 7. Weitere Informationen zu App Protection finden Sie in der App Protection-Dokumentation.

Inaktivitätstimeout für die Citrix Workspace-App

Die Inaktivitätstimeout-Funktion meldet Sie basierend auf einem vom Administrator festgelegten Wert von der Citrix Workspace-App ab. Ab Version 2303 können Administratoren die zulässige Leerlaufzeit festlegen, bevor ein Benutzer automatisch von der Citrix Workspace-App abgemeldet wird. Sie werden automatisch abgemeldet, wenn innerhalb des angegebenen Zeitraums im Fenster der Citrix Workspace-App keine Aktivität mit der Maus, der Tastatur oder per Touch erfolgt. Das Inaktivitätstimeout hat keine Auswirkungen auf die bereits ausgeführten Citrix Virtual Apps and Desktops- und Citrix DaaS-Sitzungen oder die StoreFront-Stores.

Hinweis:

Dieses Feature ist nur in Cloud-Bereitstellungen verfügbar.

Als Voraussetzung müssen Sie dieses Feature in der Datei AuthManConfig.xml aktivieren. Navigieren Sie zu $ICAROOT/config/AuthManConfig.xml und fügen Sie die folgenden Einträge hinzu:

  <key>ITOEnabled</key>
<value>true</value>
<!--NeedCopy-->

Administratoren können das Timeout in der Workspacekonfiguration konfigurieren. Weitere Informationen finden Sie unter Inaktivitätstimeout für die Web- und Workspace-App für Desktop und Mobilgeräte festlegen.

Für die Endbenutzererfahrung gilt Folgendes:

  • Drei Minuten vor Ihrer Abmeldung wird eine Benachrichtigung mit der Option angezeigt, angemeldet zu bleiben oder sich abzumelden.
  • Benutzer können auf Angemeldet bleiben klicken, um die Benachrichtigung zu schließen und die App weiter zu verwenden. In diesem Fall wird der Inaktivitätstimer auf den konfigurierten Wert zurückgesetzt. Sie können auch auf Abmelden klicken, um die Sitzung für den aktuellen Store zu beenden.

Hinweis:

Das Timeoutfeature bei Inaktivität unterstützt keine Distributionen, die Wayland als Standardgrafikprotokoll haben. Entfernen Sie bei Distributionen mit Wayland die Kommentarzeichen aus einem der folgenden Einträge: WaylandEnable=false in /etc/gdm/custom.conf oder in /etc/gdm3/custom.conf.

Persistente Anmeldung

Ab Version 2303 der Citrix Workspace-App ermöglicht Ihnen das Feature der persistenten Anmeldung, über den gesamten von Ihrem Administrator konfigurierten Zeitraum (2 bis 365 Tage) angemeldet zu bleiben. Wenn dieses Feature aktiviert ist, müssen Sie während des konfigurierten Zeitraums keine Anmeldeinformationen für die Citrix Workspace-App angeben.

Mit dieser Funktion wird das SSO an Citrix DaaS-Sitzungen auf einen Zeitraum von 365 Tagen verlängert. Diese Verlängerung basiert auf der Lebensdauer langlebiger Tokens. Ihre Anmeldeinformationen werden standardmäßig für 4 Tage oder für die Lebensdauer zwischengespeichert, je nachdem, welcher Wert niedriger ist. Die Verlängerung erfolgt, wenn Sie innerhalb dieser 4 Tage eine Verbindung zur Citrix Workspace-App herstellen.

Konfigurieren der persistenten Anmeldung

Ein Administrator muss die persistente Anmeldung in der Workspaceumgebung mit dem folgenden Verfahren konfigurieren:

  1. Melden Sie sich bei Citrix Cloud an.
  2. Klicken Sie in der Citrix Cloud-Konsole auf das Menü in der oberen linken Ecke des Bildschirms.
  3. Wählen Sie die Option Workspacekonfiguration > Anpassen > Einstellungen.
  4. Scrollen Sie nach unten zu Neuauthentifizierungszeitraum für die Workspace-App.
  5. Klicken Sie neben dem Feld Aktueller Zeitraum für die erneute Authentifizierung auf Bearbeiten.
  6. Geben Sie die erforderlichen Tage in das Feld Aktueller Zeitraum für die erneute Authentifizierung ein.
  7. Sie müssen mindestens zwei Tage in das Feld Aktueller Zeitraum für die erneute Authentifizierung eingeben.

Weitere Informationen finden Sie in den Anweisungen im Abschnitt Neuauthentifizierungszeitraum für die Workspace-App in der folgenden Abbildung:

Neuauthentifizierungszeitraum für die Workspace-App

Erfahrung mit verbesserter Authentifizierung

Das Fenster für die persistente Anmeldung ist in das Self-Service-Fenster integriert.

  1. Rufen Sie die Citrix Workspace-App auf. Das Authentifizierungsfenster wird angezeigt.

    Authentifizierungsfenster

  2. Melden Sie sich mit Ihren Anmeldeinformationen an. Sie werden zwecks Bestätigung zur Berechtigungsaufforderung weitergeleitet.

    Berechtigungsfenster

  3. Klicken Sie auf Zulassen.

Hinweis:

Wenn Sie Deny auswählen, wird eine zweite Anmeldeaufforderung angezeigt, und Sie müssen sich alle 24 Stunden bei der Citrix Workspace-App anmelden.

Deaktivieren der persistenten Anmeldung

Ein Administrator kann das Feature zur dauerhaften Anmeldung in der Citrix Cloud-Benutzeroberfläche oder in der Datei AuthManConfig.xml deaktivieren. Der in der Datei AuthManConfig.xml festgelegte Wert überschreibt jedoch den in der Citrix Cloud-Benutzeroberfläche festgelegten Wert.

Verwenden der Citrix Cloud-Benutzeroberfläche

  1. Melden Sie sich bei Citrix Cloud an.
  2. Klicken Sie in der Citrix Cloud-Konsole auf das Menü in der oberen linken Ecke des Bildschirms.
  3. Wählen Sie die Option Workspacekonfiguration > Anpassen > Einstellungen.
  4. Scrollen Sie nach unten zu Neuauthentifizierungszeitraum für die Workspace-App.
  5. Klicken Sie neben dem Feld Aktueller Zeitraum für die erneute Authentifizierung auf Bearbeiten.
  6. Geben Sie in das Feld Aktueller Zeitraum für die erneute Authentifizierung einen Tag ein.

Verwenden der Datei AuthManConfig.xml

Gehen Sie wie folgt vor, um das Feature der persistenten Anmeldung zu deaktivieren.

  1. Navigieren Sie zur Datei &lt;ICAROOT&gt;/config/AuthManConfig.xml.

  2. Legen Sie die Werte wie folgt fest:

      <AuthManLite>
    <primaryTokenLifeTime>1.00:00:00</primaryTokenLifeTime>
    <secondaryTokenLifeTime>0.01:00:00</secondaryTokenLifeTime>
    <longLivedTokenSupport>true</longLivedTokenSupport>
    <nativeLoggingEnabled>true</nativeLoggingEnabled>
    <platform>linux</platform>
    <saveTokens>true</saveTokens>
    <compressedGroupsEnabled>true</compressedGroupsEnabled>
</AuthManLite>
<!--NeedCopy-->

Nahtlose Integration von deviceTRUST®

Ab Version 2503 ist deviceTRUST für eine einheitliche Bereitstellung in der Citrix Workspace-App enthalten und gewährleistet eine nahtlose Integration und Verwaltung.

Hinweis:

Diese Feature wird derzeit nur vom Ubuntu-Betriebssystem unterstützt. Überprüfen Sie die Ubuntu-Versionen wie in Unterstützte Linux-Distributionen angegeben.

Im Folgenden sind das Verhalten und die Spezifikationen der deviceTRUST-Integration aufgeführt:

  • Standardmäßig installiert die Citrix Workspace-App für Linux deviceTRUST mit der im Installationsprogramm enthaltenen Paketversion.
  • Der Fehler bei der Installation von deviceTRUST hat keine Auswirkungen auf die Installation der Citrix Workspace-App.
  • Wenn Sie die deviceTRUST Client Extension Version 23.1 oder früher bereits installiert haben, wird sie nicht automatisch aktualisiert oder entfernt. Der deviceTRUST Agent der Version 23.1 oder früher funktioniert jedoch weiterhin mit der vorhandenen Installation.

Weitere Informationen zum Installieren der deviceTRUST-Komponente auf Debian-Paketen finden Sie unter Mit einem Debian-Paket installieren.

Sicherheit
November 23, 2025
Beitrag von: 
C C
November 23, 2025
Beitrag von: 
C C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.