App Protection konfigurieren

App Protection erhöht die Sicherheit bei der Verwendung der Citrix Workspace-App. Es verringert das Risiko, dass Clients durch Keylogging und Screenshot-Malware kompromittiert werden. App Protection verhindert das Exfiltrieren vertraulicher Informationen wie Benutzeranmeldeinformationen und sensible Informationen, die auf dem Bildschirm angezeigt werden. Die Funktion verhindert, dass Benutzer und Angreifer Screenshots erstellen und Keylogger verwenden, um vertrauliche Informationen zu lesen und zu nutzen.

In diesem Artikel wird erläutert, wie Sie App Protection in der Citrix Workspace-App auf verschiedenen Plattformen konfigurieren.

App Protection ist in der Citrix Workspace-App für folgende Plattformen verfügbar:

Haftungsausschluss

App Protection-Richtlinien filtern den Zugriff auf erforderliche Funktionen des zugrunde liegenden Betriebssystems. Spezifische API-Aufrufe sind für Screenshots oder das Aufzeichnen von Tastenanschlägen erforderlich. Damit schützen sie auch vor benutzerdefinierten und speziell entwickelten Hackertools. Die Weiterentwicklung von Betriebssystemen kann jedoch immer wieder zu neuen Einfallstoren für das Keylogging oder die Bildschirmerfassung führen. Darum ist kein hundertprozentiger Schutz möglich, auch wenn wir diese Schwachstellen kontinuierlich identifizieren und korrigieren.

Citrix Workspace-App für Windows

Voraussetzungen

  • Citrix Virtual Apps and Desktops Version 1912 LTSR oder höher.
  • StoreFront Version 1912 LTSR oder Workspace.
  • Citrix Workspace-App Version 2203.1 LTSR oder höher.
  • Eine gültige App Protection-Lizenz
  • Ab Citrix Workspace-App 2212 wird App Protection bei der Installation der Citrix Workspace-App standardmäßig installiert.

    Das bei der Installation angezeigte Kontrollkästchen App Protection aktivieren wurde durch App Protection nach der Installation starten ersetzt.

    • Für Citrix Workspace-App-Versionen vor 2311:

      App Protection nach der Installation starten — Citrix Workspace-App-Versionen vor 2311

    • Ab Version 2311 der Citrix Workspace-App:

      App Protection nach der Installation starten − Citrix Workspace-App ab Version 2311

    Wenn Sie dieses Kontrollkästchen aktivieren, wird App Protection sofort nach der Installation gestartet.

    Hinweis:

    Wenn Sie dieses Kontrollkästchen nicht aktivieren, wird App Protection automatisch beim ersten Start einer geschützten Ressource oder Komponente für Kunden gestartet, die Anspruch auf App Protection haben.

Konfigurieren

Konfigurieren Sie die folgenden App Protection-Features für die Citrix Workspace-App für Windows:

Einschränkungen

  • Dieses Feature wird nur unter Desktop-Betriebssystemen wie Windows 11 und Windows 10 unterstützt.
  • Die Citrix Workspace-App wird ab Version 2006.1 unter Windows 7 nicht unterstützt. Daher funktioniert auch App Protection unter Windows 7 nicht. Weitere Informationen finden Sie unter Einstellung von Features und Plattformen.
  • Das Feature wird nicht über RDP (Remote Desktop Protocol) unterstützt.

Befehlszeilenoberfläche

Sie können App Protection mit dem Befehlszeilenparameter /startappprotection starten. Der ältere Switch /includeappprotection ist veraltet.

Die folgende Tabelle enthält Informationen zu Bildschirmen, die je nach Bereitstellung geschützt sind:

App Protection bereitstellen Geschützte Bildschirme Nicht geschützte Bildschirme
In der Citrix Workspace-App enthalten Self-Service-Plug-In und Authentifizierungsmanager / Dialogfeld “Benutzeranmeldeinformationen” Connection Center, Geräte, Fehlermeldungen der Citrix Workspace-App, Automatische Wiederverbindung von Clients, Konto hinzufügen
Auf dem Controller konfiguriert ICA-Sitzungsbildschirm (für Apps und Desktops) Connection Center, Geräte, Fehlermeldungen der Citrix Workspace-App, Automatische Wiederverbindung von Clients, Konto hinzufügen

Wenn Sie einen Screenshot erstellen, wird nur das geschützte Fenster abgedunkelt. Sie können einen Screenshot des Bereichs außerhalb des geschützten Fensters erstellen. Wenn Sie jedoch die Taste Druck S-Abf verwenden, um einen Screenshot auf einem Windows 10-Gerät zu erfassen, müssen Sie das geschützte Fenster minimieren.

Bisher wurden der Screenshotschutz und der Keyloggingschutz für Citrix Authentifizierung und Citrix Workspace-App-Bildschirme standardmäßig erzwungen. Ab Release 2212 sind diese Funktionen standardmäßig deaktiviert und müssen über das Gruppenrichtlinienobjekt konfiguriert werden.

Hinweis:

Diese GPO-Richtlinie gilt nicht für ICA- und SaaS-Sitzungen. Die ICA- und SaaS-Sitzungen werden weiterhin mit dem Delivery Controller und dem Citrix Secure Private Access gesteuert.

Verbesserung App Protection:

Ab Citrix Workspace-App für Windows 2305 und höher ist Keyloggingschutz auf den Authentifizierungs- und Self-Service-Plug-In-Bildschirmen aktiviert, wenn eines der folgenden Kriterien erfüllt ist:

  • Sie haben App Protection mit einer der folgenden Methoden aktiviert:
    • Aktivieren Sie das Kontrollkästchen App Protection starten während der Installation.
    • Starten von App Protection mit dem Befehlszeilenparameter /startappprotection.
  • Wenn Sie das Kontrollkästchen App Protection starten nicht aktiviert oder während der Installation den Befehlszeilenparameter /startappprotection verwendet haben, wird der Keyloggingschutz nach dem Start der ersten geschützten Ressource aktiviert.

Hinweis:

Der Global App Configuration Service und die Einstellungen für Gruppenrichtlinienobjekte haben Vorrang vor dem vorherigen Verhalten. Wenn Sie beispielsweise die GACS- oder Gruppenrichtlinienobjekt-Richtlinie für diese Bildschirme deaktiviert haben, ist der Keyloggingschutz auf den Authentifizierungs- und SSP-Bildschirmen nicht aktiviert.

Citrix Workspace-App für Linux

Ab Version 2108 ist das App Protection-Feature voll funktionsfähig. Dieses Feature unterstützt Virtual Apps and Desktops und ist standardmäßig aktiviert. Sie müssen das App Protection-Feature jedoch in der Datei AuthManConfig.xml konfigurieren, um es für den Authentifizierungsmanager und das Self-Service-Plug-In zu aktivieren.

Voraussetzung

Das App Protection-Feature funktioniert am besten mit folgenden Betriebssystemen und dem Gnome-Anzeigemanager:

  • 64-Bit Ubuntu 22.04, Ubuntu 20.04 und Ubuntu 18.04
  • 64-Bit Debian 10 und Debian 9
  • 64-Bit CentOS 7
  • 64-Bit RHEL 7
  • ARMHF 32-Bit-Raspberry Pi-OS (basierend auf Debian 10 (Buster))
  • ARM64 Raspberry Pi OS (basierend auf Debian 11 (Bullseye))

Hinweis:

Bei Verwendung einer früheren Version der Citrix Workspace-App als 2204 werden Betriebssysteme, die glibc 2.34 oder höher verwenden, nicht von App Protection unterstützt.

Wenn Sie die Citrix Workspace-App mit aktiviertem App Protection-Feature auf einem Betriebssystem mit glibc 2.34 oder höher installieren, kann der Betriebssystemstart beim Neustart des Systems fehlschlagen. Führen Sie einen der folgenden Schritte aus, um den Fehler beim Betriebssystemstart zu beheben:

  • Installieren Sie das Betriebssystem neu.
  • Aktivieren Sie den Wiederherstellungsmodus des Betriebssystems und deinstallieren Sie die Citrix Workspace-App am Terminal.
  • Starten Sie das Live-Betriebssystem und entfernen Sie die Datei rm -rf /etc/ld.so.preload aus dem vorhandenen Betriebssystem.

App Protection installieren

  1. Wenn Sie die Citrix Workspace-App mit dem Tarball-Paket installieren, wird die folgende Meldung angezeigtMöchten Sie App Protection installieren? Warnung: Sie können dieses Feature nicht deaktivieren. Zum Deaktivieren müssen Sie die Citrix Workspace-App deinstallieren. Weitere Informationen erhalten Sie von Ihrem Systemadministrator. [default $INSTALLER_N]:

  2. Geben Sie Y ein, um App Protection zu installieren. App Protection ist standardmäßig nicht installiert.

  3. Starten Sie Ihre Maschine neu, damit die Änderungen übernommen werden. Damit App Protection wie erwartet funktioniert, müssen Sie Ihre Maschine neu starten.

Installieren von App Protection auf RPM-Paketen

Ab Version 2104 wird App Protection von der RPM-Version der Citrix Workspace-App unterstützt.

Mit den folgenden Schritten installieren Sie App Protection:

  1. Installieren Sie die Citrix Workspace-App.
  2. Paket für App Protection ctxappprotection<version>.rpm aus dem Installer der Citrix Workspace-App.
  3. Starten Sie das System neu, damit die Änderungen übernommen werden.

Installieren von App Protection auf Debian-Paketen

Ab Version 2101 wird App Protection von der Debian-Version der Citrix Workspace-App unterstützt.

Führen Sie zur Installation von App Protection den folgenden Befehl vom Terminal aus, bevor Sie die Citrix Workspace-App installieren:

export DEBIAN_FRONTEND="noninteractive"
sudo debconf-set-selections <<< "icaclient app_protection/install_app_protection select yes"

sudo debconf-show icaclient
* app_protection/install_app_protection: yes

sudo apt install -f ./icaclient_<version>._amd64.deb
<!--NeedCopy-->

Die Citrix Workspace-App bietet ab Version 2106 eine Option, mit der Sie die Funktionen zum Keylogging- und Screenshotschutz für den Authentifizierungsmanager und das Self-Service-Plug-In separat konfigurieren können.

Konfigurieren

Konfigurieren Sie die folgenden App Protection-Features für die Citrix Workspace-App für Linux:

Citrix Workspace-App für Mac

Konfigurieren Sie die folgenden App Protection-Features für die Citrix Workspace-App für Mac:

Empfehlung

App Protection-Richtlinien konzentrieren sich in erster Linie auf die Verbesserung der Sicherheit und des Schutzes von Endpunkten. Überprüfen Sie alle anderen Sicherheitsempfehlungen und Richtlinien für Ihre Umgebung. Sie können eine Sicherheit und Steuerung-Richtlinienvorlage für eine empfohlene Konfiguration in Umgebungen mit geringer Risikotoleranz verwenden. Weitere Informationen finden Sie unter Richtlinienvorlagen.

App Protection konfigurieren