Produktdokumentation
Citrix Workspace app for Windows
Current Release 2402 LTSR 2203.1 LTSR 1912 LTSR
PDF anzeigen

Sicherheit

March 17, 2025
Beitrag von: 
C

App Protection

App Protection (App Protection) ist ein Zusatzfeature, das erweiterte Sicherheit bei der Verwendung von Citrix Virtual Apps and Desktops und Citrix DaaS (ehemals Citrix Virtual Apps and Desktops Service) bietet. Verwenden Sie diese Funktion für Folgendes:

  • Beschränken Sie die Fähigkeit der Clients, mithilfe von Keylogging- und Screen-Capture-Malware Kompromisse einzugehen.
  • Schützen Sie die Exfiltration vertraulicher Informationen wie Benutzeranmeldeinformationen und sensibler Informationen auf dem Bildschirm.
  • Verhindern Sie, dass Benutzer und Angreifer Screenshots machen und Keylogger verwenden, um vertrauliche Informationen zu sammeln und auszunutzen. Weitere Informationen finden Sie unter App-Schutz.

Haftungsausschluss

Richtlinien von App Protection filtern den Zugriff auf erforderliche Funktionen des zugrunde liegenden Betriebssystems (spezifische API-Aufrufe für die Bildschirmerfassung oder das Aufzeichnen von Tastenanschlägen). Damit schützen sie auch vor benutzerdefinierten und speziell entwickelten Hackertools. Die Weiterentwicklung von Betriebssystemen kann jedoch immer wieder zu neuen Einfallstoren für das Keylogging oder die Bildschirmerfassung führen. Darum ist kein hundertprozentiger Schutz möglich, auch wenn wir diese Schwachstellen kontinuierlich identifizieren und korrigieren.

Informationen zur Konfiguration von App Protection in der Citrix Workspace-App für Windows finden Sie in dem Abschnitt zur Citrix Workspace-App für Windows im Artikel Konfiguration.

Hinweis:

App-Schutz wird nur beim Upgrade ab Version 1912 unterstützt.

ICA-Sicherheit

Wenn ein Benutzer eine App oder einen Desktop startet, generiert StoreFront ICA-Informationen, die Anweisungen für den Client zum Herstellen einer Verbindung mit dem VDA enthalten.

Markteinführung von In-Memory-Hybriden

Wenn der Benutzer eine Ressource startet, generiert StoreFront eine ICA-Datei mit Anweisungen zum Herstellen einer Verbindung mit der Ressource. Wenn die ICA-Datei in der Citrix Workspace-App für Windows gestartet wird, wird sie im Arbeitsspeicher verarbeitet und niemals auf dem Datenträger gespeichert.

Wenn der Benutzer seinen Store in einem Webbrowser öffnet und die Citrix Workspace-App für Windows verwendet, um eine Verbindung mit der Ressource herzustellen, spricht man von einem Hybridstart. Je nach Konfiguration kann der Start auf verschiedene Arten erfolgen, siehe StoreFront-Benutzerzugriffsoptionen.

Die Citrix Workspace-App für Windows unterstützt den Citrix Workspace Launcher und Citrix Workspace-Web-Erweiterungen für In-Memory-ICA-Starts aus dem Browser des Benutzers. Es wird empfohlen, die Benutzeroption zum Herunterladen von ICA-Dateien zu deaktivieren. Dadurch werden Oberflächenangriffe und jegliche Schadsoftware eliminiert, die die ICA-Datei bei lokaler Speicherung missbrauchen könnte. Informationen zum Deaktivieren der Benutzeroption zum Herunterladen von ICA-Dateien in StoreFront 2402 und höher finden Sie in der StoreFront-Dokumentation. Informationen zum Deaktivieren der Benutzeroption zum Herunterladen von ICA-Dateien in Workspace finden Sie in der Workspace PowerShell-Dokumentation.

Starten von ICA-Dateien vom Datenträger verhindern

Nachdem Sie sichergestellt haben, dass Ihr eigenes System immer In-Memory-Starts verwendet, empfiehlt Citrix, das Starten von ICA-Dateien von der Festplatte zu deaktivieren. Daher können die Benutzer keine ICA-Dateien öffnen, die sie aus böswilligen Quellen beispielsweise per E-Mail erhalten haben. Sie können das Starten von ICA-Dateien von der Festplatte mit einer der folgenden Methoden deaktivieren:

  • Globaler App-Konfigurationsdienst
  • Administrative Gruppenrichtlinienobjektvorlage auf dem Client

Globaler App-Konfigurationsdienst

Sie können den Global App Configuration-Dienst aus der Citrix Workspace-App 2106 verwenden. Aktivieren Sie unter Sicherheit und Authentifizierung > Sicherheitseinstellungendie Richtlinie Direkte ICA-Dateistarts blockieren .

Gruppenrichtlinie

Gehen Sie wie folgt vor, um mit der Gruppenrichtlinie Sitzungsstarts von ICA-Dateien zu blockieren, die auf dem lokalen Datenträger gespeichert sind:

  1. Öffnen Sie die administrative GPO-Vorlage der Citrix Workspace-App, indem Sie gpedit.msc ausführen.
  2. Gehen Sie unter dem Knoten Computerkonfiguration zu Administrative Vorlagen > Citrix-Komponenten > Citrix Workspace > Client Engine.
  3. Wählen Sie die Richtlinie Sitzungsstart mit ICA-Datei sichern und legen Sie sie auf Aktiviert fest.
  4. Klicken Sie auf Anwenden und auf OK.

ICA-Dateisignierung

Die ICA-Dateisignatur schützt Sie vor einem unbefugten Start von Apps oder Desktops. Die Citrix Workspace-App überprüft, ob der Start der App oder des Desktops von einer vertrauenswürdigen Quelle basierend auf einer Verwaltungsrichtlinie generiert wurde, und schützt vor Starts von nicht vertrauenswürdigen Servern. Sie können die ICA-Dateisignierung mithilfe der GPO-Verwaltungsvorlage oder von StoreFront konfigurieren. Das Feature der ICA-Dateisignierung ist in der Standardeinstellung nicht aktiviert.

Informationen zum Aktivieren der ICA-Dateisignierung für StoreFront finden Sie unter ICA-Dateisignierung in der StoreFront-Dokumentation.

Konfigurieren der ICA-Dateisignatur

Hinweis:

Wenn CitrixBase.admx\adml nicht zum lokalen Gruppenrichtlinienobjekt hinzugefügt wird, ist die Richtlinie ICA-Dateisignierung aktivieren möglicherweise nicht vorhanden.

  1. Öffnen Sie die administrative GPO-Vorlage von Citrix Workspace-App, indem Sie gpedit.msc ausführen.
  2. Gehen Sie unter dem Knoten Computerkonfiguration zu Administrative Vorlagen > Citrix-Komponenten.
  3. Wählen Sie die Richtlinie ICA-Dateisignierung aktivieren und wählen Sie nach Bedarf eine der Optionen aus:
    1. Aktiviert: gibt an, dass Sie den Fingerabdruck des Signaturzertifikats der Positivliste der vertrauenswürdigen Zertifikatfingerabdrücke hinzufügen können.
    2. Vertrauenswürdige Zertifikate: Klicken Sie auf Anzeigen, um den Fingerabdruck des Signaturzertifikats aus der Positivliste zu entfernen. Sie können die Fingerabdrücke von Signaturzertifikaten von den Eigenschaften des Signaturzertifikats kopieren und einfügen.
    3. Sicherheitsrichtlinie: Folgende Optionen sind im Menü verfügbar.
      1. Nur signierte Starts zulassen (sicherer): Lässt nur signierte App- und Desktop-Starts von einem vertrauenswürdigen Server zu. Im Falle einer ungültigen Signatur wird eine Sicherheitswarnung angezeigt. Die Sitzung wird dann wegen fehlender Autorisierung nicht gestartet.
      2. Benutzer bei nicht signierten Starts auffordern (weniger sicher): Eine Nachricht wird angezeigt, wenn eine nicht signierte oder ungültig signierte Sitzung gestartet wird. Sie können den Start fortsetzen oder abbrechen (Standard).
  4. Klicken Sie auf Übernehmen und dann auf OK , um die Richtlinie zu speichern.
  5. Starten Sie die Citrix Workspace-App-Sitzung neu, um die Änderungen zu übernehmen.

Bei der Auswahl eines digitalen Signaturzertifikats empfehlen wir eine Auswahl aus der folgenden Prioritätsliste:

  1. Erwerben Sie ein codesigniertes Zertifikat oder ein SSL-Signaturzertifikat einer öffentlichen Zertifizierungsstelle.
  2. Wenn Ihr Unternehmen eine private Zertifizierungsstelle hat, erstellen Sie ein codesigniertes oder SSL-Signaturzertifikat mit der privaten Zertifizierungsstelle.
  3. Verwenden Sie ein vorhandenes SSL-Zertifikat.
  4. Erstellen Sie ein Stammzertifikat der Zertifizierungsstelle und verteilen es mit einem Gruppenrichtlinienobjekt oder einer manuellen Installation auf die Benutzergeräte.

Timeouts bei Inaktivität

Timeout für Workspace-Sitzungen

Mit dem Inaktivitätstimeout können Administratoren festlegen, nach wie viel Zeit inaktive Benutzer automatisch von der Citrix Workspace-Sitzung abgemeldet werden. Sie werden automatisch von Workspace abgemeldet, wenn Maus, Tastatur oder Toucheingabe im angegebenen Zeitintervall inaktiv sind. Das Inaktivitätstimeout hat keine Auswirkungen auf aktive Sitzungen mit virtuellen Apps oder Desktops oder auf Citrix StoreFront-Stores.

Informationen zum Konfigurieren des Inaktivitäts-Timeouts finden Sie in der Workspace-Dokumentation.

Für die Endbenutzererfahrung gilt Folgendes:

  • Drei Minuten vor Ihrer Abmeldung wird in Ihrem Sitzungsfenster eine Benachrichtigung mit der Option angezeigt, angemeldet zu bleiben oder sich abzumelden.
  • Die Benachrichtigung wird nur angezeigt, wenn der konfigurierte Wert für das Inaktivitätstimeout größer oder gleich fünf Minuten ist.
  • Benutzer können auf Angemeldet bleiben klicken, um die Benachrichtigung zu schließen und die App weiter zu verwenden. In diesem Fall wird der Inaktivitätstimer auf den konfigurierten Wert zurückgesetzt. Sie können auch auf Abmelden klicken, um die Sitzung für den aktuellen Store zu beenden.

Timeout für StoreFront-Sitzungen

Wenn die Citrix Workspace-App mit einem StoreFront-Store verbunden ist, wendet sie kein Inaktivitätstimeout an. Wenn Sie ein Citrix Gateway verwenden, können Sie das Sitzungstimeout des Gateways konfigurieren. Weitere Informationen finden Sie in der StoreFront-Dokumentation.

Sicherheit
March 17, 2025
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999-2025 Cloud Software Group, Inc. All rights reserved.