Citrix Workspace-App

App Protection-Ereignisse an Director und Monitor

Einführung

Die Citrix Workspace-App (CWA) für Windows führt integrierte Sicherheitsprüfungen ein, die risikoreiche Bedingungen auf Endpunkten – wie z. B. Microsoft Recall – automatisch und ohne manuelle Konfiguration erkennen. Diese Erkennungen bieten Echtzeit-Transparenz, indem sie Ereignisse an Citrix Director und Monitor melden, wodurch Administratoren Risiken schnell bewerten und Schutzmaßnahmen wie App Protection-Richtlinien anwenden können.

Während die Erkennung für ausgewählte Ereignisse (z. B. Microsoft Recall) automatisch erfolgt, erfordert der Schutz vor diesen Ereignissen eine manuelle Konfiguration der App Protection-Richtlinien durch den Administrator.

Durch den Einsatz von proaktivem Risikomanagement und Richtlinienneukonfiguration können Administratoren die Endpunktsicherheit in ihrer Umgebung stärken und die Anfälligkeit für neue Bedrohungen verringern. Dieser proaktive Ansatz untermauert das Engagement von Citrix® für eine sichere Anwendungsbereitstellung, indem er Unternehmen hilft, Bedrohungen in Echtzeit zu erkennen und darauf zu reagieren.

Voraussetzungen

  • Citrix Virtual Delivery Agent: VDA-Version 2507 oder höher.
  • Citrix Director: Citrix Virtual Apps and Desktops 2603 oder höher.
  • Citrix Monitor: DDC-Version 128 oder höher.
  • Citrix Workspace-App (CWA) für Windows: Version 2603 oder höher ist auf dem Endpunkt erforderlich.
    • Für Schutzereignisse muss der Administrator die entsprechenden App Protection-Richtlinien (z. B. Anti-Bildschirmaufnahme, Anti-DLL-Injection) über die Citrix-Richtlinie konfigurieren.

Ereignistypen

Microsoft Recall-Erkennung

Windows Recall ist ein KI-Agent, der auf dem Endpunkt ausgeführt wird und kontinuierlich Schnappschüsse des Bildschirminhalts des Benutzers lokal zur Analyse erfasst und speichert. Diese Schnappschüsse können vertrauliche Informationen enthalten, wie zum Beispiel:

  • Unternehmensanmeldeinformationen, die während der Anmeldung eingegeben wurden.
  • Vertrauliche Anwendungsdaten, die in virtuellen Desktops oder veröffentlichten Apps angezeigt werden.
  • Proprietäre Dokumente und geistiges Eigentum, die während einer Sitzung sichtbar sind.

Director-Ansicht – Recall-Ereignis

Bei Ausnutzung könnte diese Funktion Angreifern oder unbefugten Benutzern ermöglichen, sensible Daten vom Gerät abzurufen, selbst nachdem die Sitzung beendet wurde.

Wann wird dieses Ereignis gesendet?

Beim Start der Sitzung erkennt CWA automatisch, ob Windows Recall auf dem Endpunkt aktiv ist.

  • Erkennungsereignis: Wird gesendet, wenn Recall erkannt wird und die Sitzung die Richtlinie zur Anti-Bildschirmaufnahme nicht aktiviert hat.
  • Schutzereignis: Wird gesendet, wenn Recall erkannt wird und die Sitzung die Richtlinie zur Anti-Bildschirmaufnahme aktiviert hat.

Director-Ansicht – Recall-Ereignis

Ereignisspezifische Daten Dieses Ereignis verwendet nur die allgemeinen Felder; es enthält keine zusätzlichen Felder außer resourceType und resourceName.

Erkennung von Bildschirmaufnahmen

Ein Bildschirmaufnahmeereignis wird ausgelöst, wenn ein Benutzer oder ein Tool versucht, einen Screenshot des Endpunkt-Desktops zu erstellen. Wenn die Richtlinie App Protection Anti-Bildschirmaufnahme aktiviert ist, wird der Inhalt der Sitzung für das Aufnahmetool geschwärzt. Das Tool kann weiterhin den Desktopbereich außerhalb der Sitzung erfassen, aber der Sitzungsinhalt selbst ist verdeckt.

Wann wird dieses Ereignis gesendet?

Ein screenCaptureEvent wird gesendet, wenn CWA ein Bildschirmaufnahmetool erkennt, das aktiv versucht, den Bildschirm zu erfassen, während eine Sitzung mit aktivierter und ausgeführter Anti-Bildschirmaufnahme-Richtlinie läuft. Das Ereignis enthält den Namen und Pfad des Tools sowie dessen Signaturstatus.

Director-Ansicht – Bildschirmaufnahme

DLL-Injection-Erkennung

Eine DLL (Dynamic Link Library) ist eine ausführbare Bibliothek. Eine DLL-Injection tritt auf, wenn ein Prozess DLLs in Citrix-Prozesse einschleust. Diese DLLs können aus verschiedenen Gründen eingeschleust werden – sowohl aus legitimen (z. B. Grafikkartentreiber, Antivirensoftware) als auch aus bösartigen (z. B. Abfangen des Netzwerkverkehrs, Abfangen von Anmeldeinformationen).

Der App Protection Anti-DLL-Injection-Schutz verhindert, dass nicht signierte DLLs in bestimmte Citrix-Prozesse eingeschleust werden. Eine nicht signierte DLL, die in einen Citrix-Prozess eingeschleust wird, gilt als DLL-Injection-Ereignis.

Wann wird dieses Ereignis gesendet?

Ein DLL-Injection-Ereignis wird gesendet, wenn CWA eine nicht signierte DLL erkennt, die in einen geschützten Citrix-Prozess eingeschleust wird, während die Anti-DLL-Injection-Richtlinie aktiviert ist.

Director-Ansicht – DLL-Injection

Details zu Daten und Ereignissen

Gemeinsames Ereignisschema

Alle Endpunktsicherheitsereignisse teilen sich ein gemeinsames Format, das an Director und Monitor gemeldet wird:

Feld Beschreibung Beispiel
deviceName Name des Endpunktcomputers. WORKSTATION-01
username Angemeldeter Benutzer (UPN-Format). john@example.com
timestamp Unix-Epoch-Zeitstempel in Millisekunden. 1733805466000
osVersion Betriebssystemversion des Endpunkts. Windows 11 Pro
cwaVersion Version der Citrix Workspace-App auf dem Endpunkt. 25.3.2.196
ipAddress IP-Adresse des Endpunkts. 123.45.67.89
version Ereignisschemaversion. 1.0
eventType Bezeichner für den Sicherheitsereignistyp. recallEvent
payloadType 0 = Erkennung (Bedrohung identifiziert); 1 = Schutz (abgemildert). 0
component CWA-Komponente, die das Ereignis generiert hat. AppProtection

Jedes Ereignis enthält auch ein EndpointSecurityAdditionalData-Objekt, das Folgendes enthält:

Feld Beschreibung Beispiel
resourceType Typ der mit dem Ereignis verknüpften Ressource. ICA session
resourceName Anzeigename der veröffentlichten Ressource. Prod_Win11_Session

Ereignisspezifische Daten zur Bildschirmaufnahme

Zusätzlich zu den allgemeinen Feldern enthält EndpointSecurityAdditionalData:

Feld Beschreibung Beispiel
screenCaptureToolName Ausführbarer Name des erkannten Tools. obs64.exe
screenCaptureToolPath Vollständiger Dateisystempfad zur ausführbaren Datei des Tools. C:\Program Files\obs-studio\bin\64bit
signed Gibt an, ob die erkannte ausführbare Datei digital signiert ist. true

DLL-Injection: Ereignisspezifische Daten

Zusätzlich zu den allgemeinen Feldern können Administratoren den Pfad der DLL sehen:

Feld Beschreibung Beispiel
dllPath Vollständiger Dateisystempfad zur injizierten unsignierten DLL. C:\Program Files\abc.dll
App Protection-Ereignisse an Director und Monitor