App Protection-Funktionen

In diesem Artikel werden die App Protection-Funktionen beschrieben, die von der Citrix Workspace-App für Windows, der Citrix Workspace-App für Linux und der Citrix Workspace-App für Mac unterstützt werden.

Keyloggingschutz

Bei Verschlüsselung verschlüsseln die App Protection-Funktionen zum Keyloggingschutz den Text, den Benutzer auf der physischen bzw. Bildschirmtastatur eingeben. Der Keyloggingschutz verschlüsselt den Text, bevor ein Keylogging-Tool von der Kernel- oder Betriebssystemebene aus darauf zugreifen kann. Ein auf dem Client-Endpunkt installierter Keylogger, der die Daten vom Betriebssystem oder Treiber liest, erfasst Hash-Text anstelle der vom Benutzer eingegebenen Tastatureingaben. App Protection-Richtlinien sind nicht nur für veröffentlichte Anwendungen und Desktops aktiv, sondern auch für Dialogfelder zur Citrix Workspace-Authentifizierung. Ihre Citrix Workspace-App ist geschützt, sobald Ihre Benutzer das erste Dialogfeld zur Authentifizierung öffnen. App Protection verschlüsselt Tastatureingaben und gibt nicht entschlüsselbaren Text an Keylogger zurück.

Administratoren können den Keyloggingschutz für folgende Ressourcentypen aktivieren:

• Virtual Apps and Desktops
• Interne Web- und SaaS-Apps
• Authentifizierungsbildschirme
• Bildschirme des Self-Service-Plug-Ins (SSP)

Screenshotschutz

Der Screenshotschutz verhindert, dass Apps in einer Sitzung mit virtueller App oder virtuellem Desktop den Bildschirm aufnehmen oder aufzeichnen können. Die Software zur Screenshotaufnahme kann keine Inhalte innerhalb des Aufnahmebereichs erkennen. Der von der App ausgewählte Bereich ist ausgegraut, oder die App erfasst nichts anstelle des Bildschirmausschnitts, der kopiert werden soll. Der Screenshotschutz gilt für Snip & Sketch, das Snipping-Tool und den Tastaturbefehl Umschalt+Strg+Druck unter Windows.

Ein weiterer Anwendungsfall für den Screenshotschutz ist die verhinderte Weitergabe vertraulicher Daten in virtuellen Besprechungs- oder Webkonferenzanwendungen wie GoToMeeting, Microsoft Teams oder Zoom. App Protection verhindert eine unbeabsichtigte Freigabe, indem in Webkonferenzen bei geschützten Apps ein leerer Bildschirm angezeigt wird. Dieses Feature sorgt dafür, dass vertrauliche Daten nicht versehentlich aus dem Unternehmen gelangen. Es kann in regulierten Branchen zur Einhaltung der Vorschriften beitragen, da die Absicht bei der Offenlegung einer Datenschutzverletzung nicht berücksichtigt wird.

Administratoren können wählen, ob der Screenshotschutz für die folgenden Ressourcentypen aktiviert werden soll:

• Virtual Apps and Desktops
• Interne Web- und SaaS-Apps
• Authentifizierungsbildschirme
• Bildschirme des Self-Service-Plug-Ins (SSP)

Hinweis:

Wenn Sie zwei virtuelle Desktops gestartet haben und auf einem der virtuellen Desktops die Screenshotschutzfunktion aktiviert ist und auf dem anderen virtuellen Desktop nicht, dann gilt die Screenshotschutzfunktion für beide virtuellen Desktops. Sie können von keinem der virtuellen Desktops Screenshots erstellen.

Falls Sie den virtuellen Desktop, für den der Screenshotschutz aktiviert ist, minimiert haben, gilt die Screenshotschutzfunktion weiterhin für den virtuellen Desktop, bei dem die Screenshotschutzfunktion nicht aktiviert ist.

Erkennung und Benachrichtigung bei Screenshot

In der Citrix Workspace-App können Sie eine Benachrichtigung anzeigen, wenn versucht wird, einen Screenshot einer geschützten Ressource zu erstellen. Weitere Informationen zu den von App Protection geschützten Ressourcen finden Sie unter [Was wird durch App Protection geschützt?].(/en-us/citrix-workspace-app/app-protection.html#what-does-app-protection-protect)

Die Benachrichtigung wird in folgenden Fällen angezeigt:

• Versuch der Erstellung eines Screenshots oder Videos über ein Screenshot-Tool
• Versuch der Erstellung eines Screenshots über die Taste “Druck/S-Abf”

Hinweis:

• Die Benachrichtigung wird nur einmal pro ausgeführter Instanz des Screenshot-Tools angezeigt. Die Benachrichtigung wird erneut angezeigt, wenn Sie das Tool neu starten und versuchen, den Bildschirm aufzuzeichnen.
• In der Citrix Workspace-App für Windows 2212 und höher sind Anmeldefenster und Fenster des Self-Service-Store standardmäßig nicht geschützt.

DLL-Einschleusungsschutz

Der DLL-Einschleusungsschutz schützt die Citrix Workspace-App vor bestimmten nicht autorisierten Dynamic-Link-Bibliotheken (DLL) und nicht vertrauenswürdigen Modulen. Wenn ein solches nicht vertrauenswürdiges Modul eingeschleust wird, erkennt die Citrix Workspace-App den Eingriff und stoppt das Laden des Moduls. Wenn vor dem Start der Sitzung eine nicht vertrauenswürdige oder bösartige DLL erkannt wird, blockiert App Protection den Sitzungsstart und zeigt eine Fehlermeldung an. Beim Schließen der Fehlermeldung wird die virtuelle App- und Desktop-Sitzung beendet.

Dieses Feature gilt für alle geschützten virtuellen Apps und Desktops sowie für den Authentifizierungsbildschirm der Citrix Workspace-App (On-Premises-Bereitstellung/StoreFront).

Mit dieser Verbesserung wird die Sitzung sofort beendet, wenn bestimmte nicht vertrauenswürdige oder schädliche DLLs in der geschützten Komponente vorhanden sind.

Es wird jetzt eine Benachrichtigung angezeigt, wenn eine nicht vertrauenswürdige oder schädliche DLL blockiert wird. Beim Schließen der Meldung wird die virtuelle App- und Desktop-Sitzung beendet.

Hinweis:Diese Funktion filtert den Zugriff auf erforderliche Funktionen des zugrunde liegenden Betriebssystems (spezifische API-Aufrufe zum Laden von DLLs). Damit schützt es sogar vor bestimmten benutzerdefinierten und speziell entwickelten Hackertools. Die Weiterentwicklung von Betriebssystemen öffnet jedoch immer wieder neue Einfallstore für das Laden von DLLs. Darum ist kein hundertprozentiger Schutz möglich, auch wenn wir diese Schwachstellen kontinuierlich identifizieren und korrigieren.

Dieses Feature unterstützt die Citrix Workspace-App für Windows ab Version 2206.

Hinweis:

Bisher wurden der Screenshotschutz und der Keyloggingschutz für Citrix Authentifizierung und Citrix Workspace-App-Bildschirme standardmäßig erzwungen. Ab Release 2212 sind diese Funktionen standardmäßig deaktiviert und müssen über das Gruppenrichtlinienobjekt konfiguriert werden. Informationen über die GPO-Konfiguration finden Sie unter Verbesserung der Konfiguration von App Protection.

Kompatibilität mit HDX-Optimierung für Microsoft Teams

Optimiertes Microsoft Teams unterstützt die Bildschirmfreigabe nur, wenn die Citrix Workspace-App mit aktiviertem App Protection im Desktop Viewer-Modus ist. Wenn Sie in Microsoft Teams auf Inhalt freigeben zeigt die Bildschirmauswahl folgende Optionen an:

• Option Fenster zum Freigeben geöffneter Apps: Diese Option wird nur angezeigt, wenn die VDA-Version 2109 oder höher ist.
• Desktop-Option zum Freigeben der Inhalte auf Ihrem VDA-Desktop: Diese Option wird nur für die folgenden Versionen der Citrix Workspace-App angezeigt:
  • Citrix Workspace-App für Linux, Version 2311 oder später
  • Citrix Workspace-App für Mac Version 2308 oder später
  • Citrix Workspace-App für Windows Version 2309 oder später

Hinweis:

Für die Citrix Workspace-App für Linux ist die Option zur Desktopfreigabe standardmäßig deaktiviert. Um sie zu aktivieren, fügen Sie Ihrer config.json-Datei den Parameter UseGbufferScreenSharing wie folgt hinzu:

mkdir -p /var/.config/citrix/hdx_rtc_engine
vim /var/.config/citrix/hdx_rtc_engine/config.json
{
      "UseGbufferScreenSharing":1
}
<!--NeedCopy-->

Optimiertes Microsoft Teams mit aktivierter App Protection unterstützt auch das virtuelle Citrix Anzeigelayout zur separaten Freigabe jedes virtuellen Bildschirms.

Einschränkung:

• Optimiertes Microsoft Teams mit App Protection unterstützt keine Bildschirmfreigabe auf veröffentlichten Desktops mit lokalem App-Zugriff (LAA).
• Am Client (z. B. per Browserinhaltsumleitung) angezeigte Inhalte können nicht erfasst oder freigegeben werden. Wenn Sie versuchen, einen Screenshot zu erstellen, wird dieser schwarz angezeigt.

Hinweis:

Dieses Feature ist für die Citrix Workspace-App für Linux als Technical Preview verfügbar.

Lokales App Protection (Preview)

App Protection bietet erhöhte Sicherheit zum Schutz der Kunden vor Keyloggern und versehentlicher oder böswilliger Screenshoterstellung auf Endpunkten. Derzeit wird App Protection nur für Workspace-Ressourcen angeboten. Mit diesem Feature werden die App Protection-Funktionen auf lokale Apps auf Endpunkten erweitert. Ab Citrix Workspace-App 2210 für Windows kann App Protection auf lokale Apps auf Windows-Geräten angewendet werden.

Registrieren Sie sich mit dem Podio-Formular für die Vorschau dieses Features.

Erkennung von Richtlinienmanipulationen

Das Feature zur Erkennung von Richtlinienmanipulationen verhindert den Benutzerzugriff auf eine virtuelle App- oder Desktopsitzung, wenn die Richtlinien zu Screenshotschutz und Keyloggingschutz in App Protection manipuliert wurden. Wenn eine Richtlinienmanipulation festgestellt wurde, wird die virtuelle App- oder Desktopsitzung beendet.

Hinweis:

Das Feature zur Erkennung von Richtlinienmanipulationen wird ab einer zukünftigen Version standardmäßig aktiviert sein.

Informationen zum Konfigurieren der Erkennung von Richtlinienmanipulationen finden Sie unter Erkennung von Richtlinienmanipulationen konfigurieren.

Posture Check

Aktivieren Sie App Protection Posture Check, um den Start virtueller Apps und Desktops zu erkennen und zu blockieren, wenn die verwendeten App Protection-Richtlinien aus einer Citrix Workspace-Appversion stammen, die die Erkennung von Richtlinienmanipulationen nicht unterstützt.

Hinweis:

Wenn Posture Check aktiviert ist und Sie die Version der Citrix Workspace-App verwenden, die Posture Check nicht unterstützt, werden Sitzungen mit App Protection-Richtlinien beendet.

Informationen zur Konfiguration von Posture Check finden Sie unter Posture Check konfigurieren.

Einschränkung:

Posture Check funktioniert sporadisch nicht, wenn Sie Windows Workstation-VDAs verwenden, die auf Microsoft Azure gehostet werden.

App Protection und Double-Hop-Szenario

App Protection-Features werden in Double-Hop-Szenarien nicht unterstützt. Double Hop bezieht sich auf eine Citrix Virtual Apps- oder Virtual Desktops-Sitzung, die innerhalb einer Citrix Virtual Desktops-Sitzung ausgeführt wird. Sie konnten virtuelle Apps und Desktops mit aktivierten App Protection-Richtlinien in einem Double-Hop-Szenario starten, die App Protection-Funktionen wurden jedoch nicht angewendet.

Ab Citrix Workspace-App für Windows Version 2309 gestattet eine neue Windows-Gruppenrichtlinie das Unterbinden des Startens virtueller Apps und Desktops mit aktivierten App Protection-Richtlinien in einem Double-Hop-Szenario. Weitere Informationen zur Aktivierung der Einstellung DoubleHop-Start blockieren finden Sie unter Einstellung “DoubleHop-Start blockieren” aktivieren.

Citrix Analytics Service für App Protection

Wenn Sie Citrix Virtual Apps and Desktops verwenden, werden Benutzerereignisse generiert, die den Aktivitäten und Aktionen der Benutzer entsprechen. Citrix Analytics für Sicherheit verfügt über ein Feature namens Self-Service-Suche, die diese Benutzerereignisse aufzeichnet und Ihnen Einblicke in sie bietet. Mithilfe der Self-Service-Suche können Sie diese Benutzerereignisse finden, filtern und untersuchen, sodass Sie nachvollziehen können, welches Benutzerereignis stattgefunden hat, und je nach Schweregrad des Ereignisses Maßnahmen ergreifen. Weitere Informationen zur Self-Service-Suche finden Sie unter Self-Service-Suche.

Die Self-Service-Suche für Virtual Apps and Desktops hat den Ereignistyp AppProtection.ScreenCapture, mit dem Sie feststellen können, ob versucht wird, Screenshots der virtuellen Apps oder Desktops zu erstellen, für die App Protection-Richtlinien aktiviert sind. Weitere Informationen zur Suche nach einem Benutzerereignis finden Sie unter Suchabfrage zum Filtern von Ereignissen angeben.

Dieser Service bietet die folgenden Informationen:

• Geräte-ID
• Geschützte App-Titel
• Zusätzliche Informationen zum Betriebssystem
• Name des Screenshot-Tools
• Pfad zum Screenshot-Tool

Positivliste für Screenshots

Wenn für die Citrix Workspace-App, Virtual Apps and Desktops oder SaaS-Apps die Screenshotschutz-Richtlinie von App Protection aktiviert ist, können für sie keine Screenshots mit beliebigen Screenshot-Tools aufgenommen werden.

Ab der Version 2402 der Citrix Workspace-App für Windows können Sie jedoch mit dem Feature „Positivliste für Screenshots“ eine App zur Positivliste für Screenshots hinzufügen. Dieses Feature ermöglicht die Verwendung der App auf der Positivliste zum Aufnehmen von Screenshots für die Ressource, für die die Screenshotschutz-Richtlinie von App Protection aktiviert ist. Informationen zum Hinzufügen einer App zur Positivliste für Screenshots finden Sie unter Positivliste für Screenshots konfigurieren.

Wichtig:

Es wird nicht empfohlen, eine App, die auf der Positivliste steht, über einen längeren Zeitraum auf Ihrem Gerät auszuführen, da dies die Sicherheit beeinträchtigt. Sie können die Apps auf der Positivliste verwenden, um Ihren Bildschirm vorübergehend in Szenarien wie der Fehlerbehebung zu teilen. Es wird empfohlen, die folgenden Bedingungen einzuhalten:

• Führen Sie die App auf der Positivliste für einen kurzen Zeitraum zusammen mit der Ressource aus, für die das Screenshotschutz-Feature von App Protection aktiviert ist.
• Beenden Sie die App auf der Positivliste sofort, nachdem die erforderliche Aufgabe abgeschlossen ist.
• Fügen Sie ein Wasserzeichen hinzu, wenn Sie den Bildschirm teilen und gleichzeitig die Ressource verwenden, für die das Screenshotschutz-Feature von App Protection aktiviert ist, um mehr Sicherheit zu gewährleisten.

Ausschlussliste für Prozesse

Wenn Sie einen Prozess oder eine Anwendung auf Ihrem Gerät starten, werden App Protection-DLLs in jeden Prozess eingefügt, sofern App Protection aktiviert ist. Manchmal kann dies dazu führen, dass der Prozess oder die Anwendung aufgrund von Kompatibilitätsproblemen mit der DLL nicht funktioniert.

Ab der Version 2402 der Citrix Workspace-App für Windows können Sie jeden Prozess zur Prozessausschlussliste hinzufügen, um zu verhindern, dass die App Protection-DLL in diesen bestimmten Prozess eingeschleust wird, und um alle Kompatibilitätsprobleme zu beheben, die durch das Vorhandensein von App Protection-DLLs verursacht wurden. Informationen zum Konfigurieren der Prozessausschlussliste finden Sie unter Prozessausschlussliste konfigurieren.

Wichtig:

Es wird nicht empfohlen, Prozesse auszuschließen, da dies die Sicherheit beeinträchtigt. Sie können dieses Feature verwenden, um die Nutzung der Anwendung vorübergehend zu entsperren und ein Support-Ticket für weitere Untersuchungen zu erstellen.

Ausschlussliste für USB-Filtertreiber

Wenn Sie spezielle externe Tastaturen wie Gaming-Tastaturen mit der Citrix Workspace-App verwenden, kann der USB-Filtertreiber von App Protection manchmal Kompatibilitätsprobleme verursachen und Sie daran hindern, die Tastatur zu verwenden.

Ab der Version 2402 der Citrix Workspace-App für Windows können Sie mit dem Feature „Ausschlussliste für USB-Filtertreiber“ jedes USB-Gerät ausschließen, das Kompatibilitätsprobleme mit der Citrix Workspace-App hat, indem Sie die Anbieter-ID und die Produkt-ID verwenden. Informationen zum Hinzufügen eines Geräts zur Ausschlussliste für USB-Filtertreiber finden Sie unter Ausschlussliste für USB-Filtertreiber konfigurieren.

Hinweis:

Es wird nicht empfohlen, Geräte dauerhaft auszuschließen. Verwenden Sie dieses Feature, um den Benutzer vorübergehend zu entsperren, damit er das Gerät nutzen und ein Support-Ticket erstellen kann, um das Kompatibilitätsproblem weiter zu untersuchen.