App Protection-Ereignisse an Director und Monitor
Einführung
Die Citrix Workspace-App (CWA) für Windows führt integrierte Sicherheitsprüfungen ein, die risikoreiche Bedingungen auf Endpunkten – wie z. B. Microsoft Recall – automatisch und ohne manuelle Konfiguration erkennen. Diese Erkennungen bieten Echtzeit-Transparenz, indem sie Ereignisse an Citrix Director und Monitor melden, wodurch Administratoren Risiken schnell bewerten und Schutzmaßnahmen wie App Protection-Richtlinien anwenden können.
Während die Erkennung für ausgewählte Ereignisse (z. B. Microsoft Recall) automatisch erfolgt, erfordert der Schutz vor diesen Ereignissen eine manuelle Konfiguration der App Protection-Richtlinien durch den Administrator.
Durch den Einsatz von proaktivem Risikomanagement und Richtlinienneukonfiguration können Administratoren die Endpunktsicherheit in ihrer Umgebung stärken und die Anfälligkeit für neue Bedrohungen verringern. Dieser proaktive Ansatz untermauert das Engagement von Citrix® für eine sichere Anwendungsbereitstellung, indem er Unternehmen hilft, Bedrohungen in Echtzeit zu erkennen und darauf zu reagieren.
Voraussetzungen
- Citrix Virtual Delivery Agent: VDA-Version 2507 oder höher.
- Citrix Director: Citrix Virtual Apps and Desktops 2603 oder höher.
- Citrix Monitor: DDC-Version 128 oder höher.
-
Citrix Workspace-App (CWA) für Windows: Version 2603 oder höher ist auf dem Endpunkt erforderlich.
- Für Schutzereignisse muss der Administrator die entsprechenden App Protection-Richtlinien (z. B. Anti-Bildschirmaufnahme, Anti-DLL-Injection) über die Citrix-Richtlinie konfigurieren.
Ereignistypen
Microsoft Recall-Erkennung
Windows Recall ist ein KI-Agent, der auf dem Endpunkt ausgeführt wird und kontinuierlich Schnappschüsse des Bildschirminhalts des Benutzers lokal zur Analyse erfasst und speichert. Diese Schnappschüsse können vertrauliche Informationen enthalten, wie zum Beispiel:
- Unternehmensanmeldeinformationen, die während der Anmeldung eingegeben wurden.
- Vertrauliche Anwendungsdaten, die in virtuellen Desktops oder veröffentlichten Apps angezeigt werden.
- Proprietäre Dokumente und geistiges Eigentum, die während einer Sitzung sichtbar sind.

Bei Ausnutzung könnte diese Funktion Angreifern oder unbefugten Benutzern ermöglichen, sensible Daten vom Gerät abzurufen, selbst nachdem die Sitzung beendet wurde.
Wann wird dieses Ereignis gesendet?
Beim Start der Sitzung erkennt CWA automatisch, ob Windows Recall auf dem Endpunkt aktiv ist.
- Erkennungsereignis: Wird gesendet, wenn Recall erkannt wird und die Sitzung die Richtlinie zur Anti-Bildschirmaufnahme nicht aktiviert hat.
- Schutzereignis: Wird gesendet, wenn Recall erkannt wird und die Sitzung die Richtlinie zur Anti-Bildschirmaufnahme aktiviert hat.

Ereignisspezifische Daten
Dieses Ereignis verwendet nur die allgemeinen Felder; es enthält keine zusätzlichen Felder außer resourceType und resourceName.
Erkennung von Bildschirmaufnahmen
Ein Bildschirmaufnahmeereignis wird ausgelöst, wenn ein Benutzer oder ein Tool versucht, einen Screenshot des Endpunkt-Desktops zu erstellen. Wenn die Richtlinie App Protection Anti-Bildschirmaufnahme aktiviert ist, wird der Inhalt der Sitzung für das Aufnahmetool geschwärzt. Das Tool kann weiterhin den Desktopbereich außerhalb der Sitzung erfassen, aber der Sitzungsinhalt selbst ist verdeckt.
Wann wird dieses Ereignis gesendet?
Ein screenCaptureEvent wird gesendet, wenn CWA ein Bildschirmaufnahmetool erkennt, das aktiv versucht, den Bildschirm zu erfassen, während eine Sitzung mit aktivierter und ausgeführter Anti-Bildschirmaufnahme-Richtlinie läuft. Das Ereignis enthält den Namen und Pfad des Tools sowie dessen Signaturstatus.

DLL-Injection-Erkennung
Eine DLL (Dynamic Link Library) ist eine ausführbare Bibliothek. Eine DLL-Injection tritt auf, wenn ein Prozess DLLs in Citrix-Prozesse einschleust. Diese DLLs können aus verschiedenen Gründen eingeschleust werden – sowohl aus legitimen (z. B. Grafikkartentreiber, Antivirensoftware) als auch aus bösartigen (z. B. Abfangen des Netzwerkverkehrs, Abfangen von Anmeldeinformationen).
Der App Protection Anti-DLL-Injection-Schutz verhindert, dass nicht signierte DLLs in bestimmte Citrix-Prozesse eingeschleust werden. Eine nicht signierte DLL, die in einen Citrix-Prozess eingeschleust wird, gilt als DLL-Injection-Ereignis.
Wann wird dieses Ereignis gesendet?
Ein DLL-Injection-Ereignis wird gesendet, wenn CWA eine nicht signierte DLL erkennt, die in einen geschützten Citrix-Prozess eingeschleust wird, während die Anti-DLL-Injection-Richtlinie aktiviert ist.

Details zu Daten und Ereignissen
Gemeinsames Ereignisschema
Alle Endpunktsicherheitsereignisse teilen sich ein gemeinsames Format, das an Director und Monitor gemeldet wird:
| Feld | Beschreibung | Beispiel |
|---|---|---|
deviceName |
Name des Endpunktcomputers. | WORKSTATION-01 |
username |
Angemeldeter Benutzer (UPN-Format). | john@example.com |
timestamp |
Unix-Epoch-Zeitstempel in Millisekunden. | 1733805466000 |
osVersion |
Betriebssystemversion des Endpunkts. | Windows 11 Pro |
cwaVersion |
Version der Citrix Workspace-App auf dem Endpunkt. | 25.3.2.196 |
ipAddress |
IP-Adresse des Endpunkts. | 123.45.67.89 |
version |
Ereignisschemaversion. | 1.0 |
eventType |
Bezeichner für den Sicherheitsereignistyp. | recallEvent |
payloadType |
0 = Erkennung (Bedrohung identifiziert); 1 = Schutz (abgemildert). | 0 |
component |
CWA-Komponente, die das Ereignis generiert hat. | AppProtection |
Jedes Ereignis enthält auch ein EndpointSecurityAdditionalData-Objekt, das Folgendes enthält:
| Feld | Beschreibung | Beispiel |
|---|---|---|
resourceType |
Typ der mit dem Ereignis verknüpften Ressource. | ICA session |
resourceName |
Anzeigename der veröffentlichten Ressource. | Prod_Win11_Session |
Ereignisspezifische Daten zur Bildschirmaufnahme
Zusätzlich zu den allgemeinen Feldern enthält EndpointSecurityAdditionalData:
| Feld | Beschreibung | Beispiel |
|---|---|---|
screenCaptureToolName |
Ausführbarer Name des erkannten Tools. | obs64.exe |
screenCaptureToolPath |
Vollständiger Dateisystempfad zur ausführbaren Datei des Tools. | C:\Program Files\obs-studio\bin\64bit |
signed |
Gibt an, ob die erkannte ausführbare Datei digital signiert ist. | true |
DLL-Injection: Ereignisspezifische Daten
Zusätzlich zu den allgemeinen Feldern können Administratoren den Pfad der DLL sehen:
| Feld | Beschreibung | Beispiel |
|---|---|---|
dllPath |
Vollständiger Dateisystempfad zur injizierten unsignierten DLL. | C:\Program Files\abc.dll |