Sicherheit
App Protection
App Protection ist ein Zusatzfeature, das erweiterte Sicherheit bei der Verwendung von Citrix Virtual Apps and Desktops und Citrix DaaS (ehemals Citrix Virtual Apps and Desktops Service) bietet. Sie verringert das Risiko, dass Clients Keylogging und Screenshot-Malware zulassen. App Protection verhindert das Exfiltrieren von Benutzeranmeldeinformationen und anderen vertraulichen Informationen auf dem Bildschirm. Die Funktion verhindert, dass Benutzer und Angreifer Screenshots erstellen und Keylogger verwenden, um vertrauliche Informationen zu lesen und zu nutzen. Weitere Informationen finden Sie unter App Protection.
Haftungsausschluss
Richtlinien von App Protection filtern den Zugriff auf erforderliche Funktionen des zugrunde liegenden Betriebssystems (spezifische API-Aufrufe für die Bildschirmerfassung oder das Aufzeichnen von Tastenanschlägen). Damit schützen sie auch vor benutzerdefinierten und speziell entwickelten Hackertools. Die Weiterentwicklung von Betriebssystemen kann jedoch immer wieder zu neuen Einfallstoren für das Keylogging oder die Bildschirmerfassung führen. Darum ist kein hundertprozentiger Schutz möglich, auch wenn wir diese Schwachstellen kontinuierlich identifizieren und korrigieren.
Informationen zur Konfiguration von App Protection in der Citrix Workspace-App für Windows finden Sie in dem Abschnitt zur Citrix Workspace-App für Windows im Artikel Konfiguration.
Hinweis:
App Protection wird nur bei einem Upgrade auf Version 1912 und höher unterstützt.
Verbesserte ICA-Dateisicherheit
Dieses Feature bietet erhöhte Sicherheit für die Handhabung von ICA-Dateien beim Starten von Sitzungen mit virtuellen Apps und Desktops.
Mit der Citrix Workspace-App können Sie die ICA-Datei beim Starten einer Sitzung mit virtuellen Apps und Desktops im Systemspeicher speichern statt auf dem lokalen Datenträger.
Diese Funktion zielt darauf ab, Oberflächenangriffe und Malware auszuschließen, die die ICA-Datei missbrauchen könnten, wenn sie lokal gespeichert wird. Das Feature ist auch in Sitzungen mit virtuellen Apps und Desktops verfügbar, die im Workspace für Web gestartet werden.
Konfiguration
Die ICA-Dateisicherheit wird auch unterstützt, wenn über das Internet auf Citrix Workspace oder StoreFront zugegriffen wird. Die Clienterkennung ist eine Voraussetzung für das Funktionieren des Features, wenn darauf über das Internet zugegriffen wird. Wenn Sie über einen Browser auf StoreFront zugreifen, aktivieren Sie die folgenden Attribute in der Datei web.config in StoreFront-Bereitstellungen:
| StoreFront-Version | Attribut |
|---|---|
| 2.x | pluginassistant |
| 3.x | protocolHandler |
Klicken Sie bei der Anmeldung am Store über den Browser auf Workspace-App ermitteln. Wenn die Aufforderung nicht angezeigt wird, löschen Sie die Browsercookies und versuchen Sie es erneut.
Wenn es sich um eine Workspace-Bereitstellung handelt, finden Sie die Einstellungen für die Clienterkennung unter Kontoeinstellungen > Erweitert > Startpräferenz für Apps und Desktops.
Sie können zusätzliche Maßnahmen ergreifen, damit Sitzungen nur mit der ICA-Datei gestartet werden, die im Systemspeicher gespeichert ist. Verwenden Sie eine der folgenden Methoden:
- Administrative Gruppenrichtlinienobjektvorlage auf dem Client
- Global App Config Service
- Workspace für Web.
Verwenden des Gruppenrichtlinienobjekts:
Gehen Sie wie folgt vor, um Sitzungsstarts von ICA-Dateien zu blockieren, die auf dem lokalen Datenträger gespeichert sind:
- Öffnen Sie die administrative Gruppenrichtlinienobjektvorlage der Citrix Workspace-App, indem Sie
gpedit.mscausführen. - Navigieren Sie unter dem Knoten Computerkonfiguration zu Administrative Vorlagen > Citrix Komponenten > Citrix Workspace > Clientengine.
- Wählen Sie die Richtlinie Sitzungsstart mit ICA-Datei sichern und legen Sie sie auf Aktiviert fest.
- Klicken Sie auf Anwenden und auf OK.
Verwenden des Global App Config Service:
Sie können den globalen App Config Service über die Citrix Workspace-App 2106 verwenden.
Gehen Sie wie folgt vor, um Sitzungsstarts von ICA-Dateien zu blockieren, die auf dem lokalen Datenträger gespeichert sind:
Setzen Sie das Attribut Block Direct ICA File Launches auf True.
Weitere Informationen zum Global App Config Service finden Sie in der Dokumentation zum Global App Config Service.
Workspace für Web verwenden:
Gehen Sie wie folgt vor, um den Download der ICA-Datei auf den lokalen Datenträger zu unterbinden, wenn Sie Workspace für Web verwenden:
Führen Sie das PowerShell-Modul aus. Siehe Configure DisallowICADownload.
Hinweis:
Die Richtlinie DisallowICADownload ist für StoreFront-Bereitstellungen nicht verfügbar.
Inaktivitätstimeout für Workspace-Sitzungen
Mit dem Inaktivitätstimeout können Administratoren festlegen, nach wie viel Zeit inaktive Benutzer automatisch von der Citrix Workspace-Sitzung abgemeldet werden. Sie werden automatisch von Workspace abgemeldet, wenn Maus, Tastatur oder Toucheingabe im angegebenen Zeitintervall inaktiv sind. Das Inaktivitätstimeout hat keine Auswirkungen auf aktive Sitzungen mit virtuellen Apps oder Desktops oder auf Citrix StoreFront-Stores.
Der Wert für das Inaktivitätstimeout kann zwischen einer Minute und 1440 Minuten liegen. Standardmäßig ist das Inaktivitätstimeout nicht konfiguriert. Administratoren können die Eigenschaft “inactivityTimeoutInMinutes” mit einem PowerShell-Modul konfigurieren. Klicken Sie hier, um die PowerShell-Module für die Citrix Workspace-Konfiguration herunterzuladen.
Für die Endbenutzererfahrung gilt Folgendes:
- Drei Minuten vor der Abmeldung wird eine Benachrichtigung in Ihrem Sitzungsfenster angezeigt. Sie können angemeldet bleiben oder sich abmelden.
- Die Benachrichtigung wird nur angezeigt, wenn der konfigurierte Wert für das Inaktivitätstimeout größer oder gleich fünf Minuten ist.
- Benutzer können auf Angemeldet bleiben klicken, um die Benachrichtigung zu schließen und die App weiter zu verwenden. In diesem Fall wird der Inaktivitätstimer auf den konfigurierten Wert zurückgesetzt. Sie können auch auf Abmelden klicken, um die Sitzung für den aktuellen Store zu beenden.
Hinweis:
Administratoren können das Inaktivitätstimeout nur für Workspace-Sitzungen (Cloud) konfigurieren.