Produktdokumentation
Citrix Workspace app for Windows
Current Release 2402 LTSR 2203.1 LTSR 1912 LTSR
PDF anzeigen

Sicherheit

April 16, 2026
Beitrag von: 
C

App Protection

  • App Protection ist eine Zusatzfunktion, die erweiterte Sicherheit bei der Verwendung von Citrix Virtual Apps and Desktops und Citrix DaaS (ehemals Citrix Virtual Apps and Desktops Service) bietet. Verwenden Sie diese Funktion, um:

  • die Fähigkeit von Clients einzuschränken, durch Keylogging- und Screen-Capturing-Malware kompromittiert zu werden.
  • die Exfiltration vertraulicher Informationen wie Benutzeranmeldeinformationen und sensibler Informationen auf dem Bildschirm zu schützen.
  • Benutzer und Angreifer daran zu hindern, Bildschirmfotos zu erstellen und Keylogger zu verwenden, um sensible Informationen zu erfassen und auszunutzen. Weitere Informationen finden Sie unter App Protection.

Haftungsausschluss

App Protection-Richtlinien filtern den Zugriff auf erforderliche Funktionen des zugrunde liegenden Betriebssystems (spezifische API-Aufrufe, die zum Erfassen von Bildschirmen oder Tastatureingaben erforderlich sind). App Protection-Richtlinien bieten Schutz auch vor benutzerdefinierten und speziell entwickelten Hacker-Tools. Da sich Betriebssysteme jedoch weiterentwickeln, können neue Methoden zur Bildschirmerfassung und Tastenprotokollierung entstehen. Obwohl wir diese weiterhin identifizieren und beheben, können wir in bestimmten Konfigurationen und Bereitstellungen keinen vollständigen Schutz garantieren.

Informationen zum Konfigurieren von App Protection in der Citrix Workspace-App für Windows finden Sie im Abschnitt „Citrix Workspace-App für Windows“ im Artikel Konfiguration.

  • Hinweis:

  • App Protection wird nur bei einem Upgrade ab Version 1912 unterstützt.

  • Nahtlose Integration von deviceTRUST® mit der Citrix Workspace™-App für Windows

  • Ab Version 2503 enthält die Citrix Workspace-App für Windows deviceTRUST, was die Sicherheit durch kontinuierliche Gerätestatusprüfungen innerhalb der Sitzung verbessert. deviceTRUST ist mit der Citrix Workspace-App für eine einheitliche Bereitstellung gebündelt, um eine nahtlose Integration und Verwaltung zu gewährleisten. Weitere Informationen finden Sie unter deviceTRUST.

Installation

  • Die Citrix Workspace-App für Windows installiert oder aktualisiert deviceTRUST immer mit der gebündelten Version, die im Installationsprogramm der Citrix Workspace-App für Windows enthalten ist.
  • Schlägt die deviceTRUST-Installation fehl, erhalten Sie die Fehlercodes 50024 oder 50025, und die Installation der Citrix Workspace-App für Windows wird dadurch nicht beeinträchtigt.
  • Um die Installation von deviceTRUST zu überspringen, verwenden Sie den Befehl InstallDeviceTrust=N über die Befehlszeile. Sie können InstallDeviceTrust=Y verwenden, um deviceTRUST im Falle eines Upgrades zu installieren.

Deinstallation

  • Während der Deinstallation entfernt die Citrix Workspace-App deviceTRUST nur, wenn sie es selbst installiert hat.

  • Szenarien für automatische Updates

  • Für bestehende Kunden mit automatischen Updates installiert die Citrix Workspace-App deviceTRUST.
  • Wenn der Endbenutzer die Installation von deviceTRUST in einer unterstützten Version der Citrix Workspace-App übersprungen hat, wird der nächste Zyklus des automatischen Updates die Installation von deviceTRUST ebenfalls überspringen.

Verbesserte Sicherheit und Kompatibilität mit AppLocker

Die Citrix Workspace-App für Windows ist mit AppLocker, einem Tool zur Sicherheitslage, kompatibel. Diese Funktion behebt Sicherheitsbedenken und verbessert die Benutzererfahrung.

ICA®-Sicherheit

Wenn ein Benutzer eine App oder einen Desktop startet, generiert StoreFront™ ICA-Informationen, die Anweisungen für den Client enthalten, wie eine Verbindung zum VDA hergestellt wird.

In-Memory-Hybridstarts

Wenn der Benutzer eine Ressource startet, generiert StoreFront eine ICA-Datei, die Anweisungen zur Verbindung mit der Ressource enthält. Beim Start innerhalb der Citrix Workspace-App für Windows wird die ICA-Datei im Arbeitsspeicher verarbeitet und niemals auf der Festplatte gespeichert.

Wenn der Benutzer seinen Store in einem Webbrowser öffnet und die Citrix Workspace-App für Windows verwendet, um eine Verbindung zur Ressource herzustellen, spricht man von einem Hybridstart. Je nach Konfiguration gibt es verschiedene Möglichkeiten, wie der Start erfolgen kann. Siehe StoreFront User access options.

Die Citrix Workspace-App für Windows unterstützt den Citrix Workspace Launcher und Citrix Workspace-Web-Erweiterungen für In-Memory-ICA-Starts aus dem Browser des Benutzers. Es wird empfohlen, die Option des Benutzers zum Herunterladen von ICA-Dateien zu deaktivieren. Dies eliminiert Oberflächenangriffe und jegliche Malware, die die ICA-Datei missbrauchen könnte, wenn sie lokal gespeichert ist. Um die Option des Benutzers zum Herunterladen von ICA-Dateien in StoreFront 2402 und höher zu deaktivieren, siehe StoreFront documentation. Um die Option des Benutzers zum Herunterladen von ICA-Dateien in Workspace zu deaktivieren, siehe Workspace PowerShell documentation.

Starten von ICA-Dateien von der Festplatte verhindern

Sobald Sie sichergestellt haben, dass Ihr eigenes System immer In-Memory-Starts verwendet, empfiehlt Citrix®, das Starten von ICA-Dateien von der Festplatte zu deaktivieren. Dadurch können Benutzer keine ICA-Dateien öffnen, die sie von bösartigen Quellen, z. B. per E-Mail, erhalten haben. Sie können das Starten von ICA-Dateien von der Festplatte mit einer der folgenden Methoden deaktivieren:

  • Global App Config Service
  • Administrative Vorlage für Gruppenrichtlinienobjekte (GPO) auf dem Client

Global App Config Service

Sie können den Global App Configuration Service ab Citrix Workspace-App 2106 verwenden. Legen Sie unter Sicherheit und Authentifizierung > Sicherheitseinstellungen die Richtlinie Direkte ICA-Dateistarts blockieren auf aktiviert fest.

Gruppenrichtlinie

Um Sitzungsstarts von ICA-Dateien, die auf der lokalen Festplatte gespeichert sind, mithilfe von Gruppenrichtlinien zu blockieren, gehen Sie wie folgt vor:

  1. Öffnen Sie die administrative GPO-Vorlage der Citrix Workspace-App, indem Sie gpedit.msc ausführen.
    1. Navigieren Sie unter dem Knoten Computerkonfiguration zu Administrative Vorlagen > Citrix Komponenten > Citrix Workspace > Client Engine.
    1. Wählen Sie die Richtlinie Sicherer ICA-Dateisitzungsstart aus und setzen Sie sie auf Aktiviert.
    1. Klicken Sie auf Übernehmen und dann auf OK.

ICA-Dateisignierung

Die ICA-Dateisignierung schützt Sie vor einem nicht autorisierten App- oder Desktop-Start. Die Citrix Workspace-App überprüft, ob eine vertrauenswürdige Quelle den App- oder Desktop-Start basierend auf einer administrativen Richtlinie generiert hat, und schützt vor Starts von nicht vertrauenswürdigen Servern. Sie können die ICA-Dateisignierung mithilfe der administrativen GPO-Vorlage oder über StoreFront konfigurieren. Die Funktion zur ICA-Dateisignierung ist standardmäßig nicht aktiviert.

Informationen zum Aktivieren der ICA-Dateisignierung für StoreFront finden Sie unter ICA-Dateisignierung in der StoreFront-Dokumentation.

ICA-Dateisignatur konfigurieren

Hinweis:

Wenn die CitrixBase.admx\adml nicht zur lokalen GPO hinzugefügt wird, ist die Richtlinie ICA-Dateisignierung aktivieren möglicherweise nicht vorhanden.

  1. Öffnen Sie die administrative GPO-Vorlage der Citrix Workspace-App, indem Sie gpedit.msc ausführen.
  2. Navigieren Sie unter dem Knoten Computerkonfiguration zu Administrative Vorlagen > Citrix Komponenten.
  3. Wählen Sie die Richtlinie ICA-Dateisignierung aktivieren aus und wählen Sie eine der folgenden Optionen nach Bedarf aus:
    1. Aktiviert – Zeigt an, dass Sie den Fingerabdruck des Signaturzertifikats zur Zulassungsliste vertrauenswürdiger Zertifikatsfingerabdrücke hinzufügen können.
    2. Zertifikate vertrauen – Klicken Sie auf Anzeigen, um den vorhandenen Fingerabdruck des Signaturzertifikats aus der Zulassungsliste zu entfernen. Sie können die Fingerabdrücke der Signaturzertifikate aus den Eigenschaften des Signaturzertifikats kopieren und einfügen.
    3. Sicherheitsrichtlinie – Wählen Sie eine der folgenden Optionen aus dem Menü aus.
      1. Nur signierte Starts zulassen (sicherer): Ermöglicht nur signierte App- und Desktop-Starts von einem vertrauenswürdigen Server. Eine Sicherheitswarnung wird angezeigt, wenn eine ungültige Signatur vorliegt. Der Sitzungsstart schlägt aufgrund fehlender Autorisierung fehl.
      2. Benutzer bei unsignierten Starts auffordern (weniger sicher) – Eine Meldung wird angezeigt, wenn eine unsignierte oder ungültig signierte Sitzung gestartet wird. Sie können wählen, ob Sie den Start fortsetzen oder abbrechen möchten (Standard).
  4. Klicken Sie auf Übernehmen und dann auf OK, um die Richtlinie zu speichern.
  5. Starten Sie die Citrix Workspace-App-Sitzung neu, damit die Änderungen wirksam werden.

Bei der Auswahl eines digitalen Signaturzertifikats empfehlen wir Ihnen, aus der folgenden Prioritätenliste zu wählen:

  1. Kaufen Sie ein Code-Signaturzertifikat oder SSL-Signaturzertifikat von einer öffentlichen Zertifizierungsstelle (CA).
  2. Wenn Ihr Unternehmen über eine private CA verfügt, erstellen Sie ein Code-Signaturzertifikat oder SSL-Signaturzertifikat mithilfe der privaten CA.
  3. Verwenden Sie ein vorhandenes SSL-Zertifikat.
  4. Erstellen Sie ein Stamm-CA-Zertifikat und verteilen Sie es mithilfe von GPO oder manueller Installation an Benutzergeräte.

Inaktivitäts-Timeouts

Timeout für Workspace-Sitzungen

Administratoren können den Inaktivitäts-Timeout-Wert konfigurieren, um die zulässige Leerlaufzeit festzulegen, bevor Benutzer automatisch von der Citrix Workspace-Sitzung abgemeldet werden. Sie werden automatisch von Workspace abgemeldet, wenn Maus, Tastatur oder Touch für das angegebene Zeitintervall inaktiv sind. Der Inaktivitäts-Timeout wirkt sich nicht auf aktive virtuelle Apps- und Desktops-Sitzungen oder Citrix StoreFront-Stores aus.

Informationen zum Konfigurieren des Inaktivitäts-Timeouts finden Sie in der Workspace-Dokumentation.

Das Endbenutzererlebnis ist wie folgt:

  • Drei Minuten vor der Abmeldung wird in Ihrem Sitzungsfenster eine Benachrichtigung mit der Option angezeigt, angemeldet zu bleiben oder sich abzumelden.
  • Die Benachrichtigung wird nur angezeigt, wenn der konfigurierte Inaktivitäts-Timeout-Wert größer oder gleich fünf Minuten ist.
  • Benutzer können auf Angemeldet bleiben klicken, um die Benachrichtigung zu schließen und die App weiter zu verwenden. In diesem Fall wird der Inaktivitäts-Timer auf seinen konfigurierten Wert zurückgesetzt. Sie können auch auf Abmelden klicken, um die Sitzung für den aktuellen Store zu beenden.

Timeout für StoreFront-Sitzungen

Wenn Sie mit einem StoreFront-Store verbunden sind, wendet die Citrix Workspace-App keinen Inaktivitäts-Timeout an. Wenn Sie ein Citrix Gateway verwenden, können Sie das Sitzungs-Timeout des Gateways konfigurieren. Weitere Informationen finden Sie in der StoreFront-Dokumentation.

Sicherheit
April 16, 2026
Beitrag von: 
C
April 16, 2026
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.