App Protection-Funktionen

Dieser Artikel hebt die von Citrix Workspace-App für Windows, Citrix Workspace-App für Linux und Citrix Workspace-App für Mac unterstützten App Protection-Funktionen hervor.

Anti-Keylogging

Für Citrix Workspace™-App für Windows, Linux und Mac

Durch Verschlüsselung verschlüsseln die Anti-Keylogging-Funktionen von App Protection den Text, den der Benutzer eingibt, sowohl für physische als auch für Bildschirmtastaturen. Die Anti-Keylogging-Funktion verschlüsselt den Text, bevor ein Keylogging-Tool darauf vom Kernel- oder Betriebssystemebene aus zugreifen kann. Ein auf dem Client-Endpunkt installierter Keylogger, der die Daten vom Betriebssystem oder Treiber liest, erfasst den gehashten Text anstelle der Tastenanschläge, die der Benutzer eingibt. App Protection-Richtlinien sind nicht nur für veröffentlichte Anwendungen und Desktops aktiv, sondern auch für Citrix Workspace-Authentifizierungsdialoge. Ihr Citrix Workspace ist ab dem Moment geschützt, in dem Ihre Benutzer den ersten Authentifizierungsdialog öffnen. App Protection verschlüsselt Tastenanschläge und liefert unleserlichen Text an Keylogger zurück.

Administratoren können Anti-Keylogging für die folgenden Ressourcentypen aktivieren:

• Virtuelle Apps und Desktops
• Interne Web- und SaaS-Apps
• Authentifizierungsbildschirme
• Self-Service-Plug-in (SSP)-Bildschirme

Für Citrix Workspace-App für iOS

Diese Funktion schützt vor Keylogging-Versuchen auf Anwendungsebene und stellt sicher, dass sensible Informationen, die in geschützte Anwendungen eingegeben werden, sicher bleiben. Diese Funktion ermöglicht die Verwendung nur der von Apple bereitgestellten Standardtastaturen, wodurch sichergestellt wird, dass Tastenanschläge, die in geschützte Anwendungen eingegeben werden, nicht erfasst werden können. App Protection verhindert die Verwendung benutzerdefinierter Tastaturen als Teil der Anti-Keylogging-Funktion. Wenn Sie benutzerdefinierte Tastaturen aktiviert haben, können Sie diese deaktivieren und dann die Ressourcen weiterhin verwenden, die mit der Anti-Keylogging-Funktion von App Protection aktiviert sind.

Administratoren können Anti-Keylogging für Folgendes aktivieren:

• Virtuelle Apps und Desktops
• Web- und SaaS-Apps, die über WebView geöffnet werden
• Authentifizierungsbildschirme

Weitere Informationen zum Konfigurieren der App-Schutzfunktion finden Sie unter App-Schutz konfigurieren.

Citrix Workspace-App für Android

Ab Version 25.7.0 unterstützt die Citrix Workspace-App für Android die App-Schutz-Anti-Keylogging-Funktion.

Nachdem Anti-Keylogging aktiviert wurde, gelten die folgenden Einschränkungen:

• Ein Benutzer kann keine Nicht-OEM-Tastatur für Anti-Keylogging-fähige Ressourcen verwenden. Beispielsweise muss ein Benutzer auf einem Samsung-Gerät die Samsung-Tastatur verwenden. Wenn ein Benutzer eine Nicht-OEM-Softwaretastatur verwendet, wird die Tastatur beim Start der Ressource blockiert. Der Benutzer kann dann den Start fortsetzen und eine physische Tastatur verwenden oder muss zu den Einstellungen gehen und die Tastatur auf die OEM-Tastatur umstellen.

  

• Der Eingabehilfedienst muss deaktiviert sein. Wenn der Eingabehilfedienst aktiviert ist, wird der Ressourcenstart mit folgendem Fehler blockiert:

  

• Der Entwicklermodus muss deaktiviert sein. Wenn der Entwicklermodus aktiviert ist, wird der Start mit folgendem Fehler blockiert:

  

Empfehlungen

Aktivieren Sie die Root-Erkennung. Ein gerootetes Gerät reduziert die Sicherheit des Endbenutzers erheblich. Wir empfehlen Ihnen, die Root-Erkennungsfunktion zu aktivieren. Klicken Sie hier für Anweisungen.

Funktionseinschränkungen

Wir unterstützen Anti-Keylogging nicht auf der Registerkarte Benutzerdefinierter Chrome und im Benutzerdefinierten Portal. Wenn Sie die Citrix Workspace-App auf einem verwalteten Gerät installieren, wird dessen Sicherheit hauptsächlich von der Administrator-App gesteuert. In dieser Konfiguration behält die Administrator-App die umfassende Kontrolle über das Gerät und kann Tastatureingaben erfassen, selbst wenn Anti-Keylogging aktiviert ist.

Frühere Versionen (vor 25.7.0)

Für Citrix Workspace-App für Android-Versionen vor 25.7.0 wird die Anti-Keylogging-Funktion nicht unterstützt. Wenn Sie versuchen, eine App mit aktiviertem Anti-Keylogging zu öffnen, startet die App nicht und zeigt die folgende Fehlermeldung an:

“Der Start dieser Ressource wurde von Ihrem Administrator aus Sicherheitsgründen deaktiviert”

Anti-Bildschirmaufnahme

Für Citrix Workspace-App für Windows, Linux und Mac

Die Anti-Bildschirmaufnahme verhindert, dass eine App versucht, einen Screenshot zu erstellen oder den Bildschirm innerhalb einer virtuellen App- oder Desktopsitzung aufzuzeichnen. Die Bildschirmaufnahme-Software kann Inhalte innerhalb des Aufnahmebereichs nicht erkennen. Der von der App ausgewählte Bereich wird ausgegraut, oder die App erfasst nichts anstelle des Bildschirmabschnitts, den sie kopieren möchte. Die Anti-Bildschirmaufnahme-Funktion gilt für Snip & Sketch, das Snipping Tool und Umschalt+Strg+Druck unter Windows.

Ein weiterer Anwendungsfall für die Anti-Bildschirmaufnahme ist die Verhinderung der Weitergabe sensibler Daten in virtuellen Besprechungen oder Webkonferenzanwendungen wie GoToMeeting, Microsoft Teams oder Zoom. Der App-Schutz verhindert unbeabsichtigtes Teilen, indem er in Webkonferenzen einen leeren Bildschirm zurückgibt, wenn Apps geschützt sind. Diese Funktion stellt sicher, dass sensible Daten nicht versehentlich aus der Organisation gelangen. Diese Funktion kann bei der Einhaltung von Vorschriften in regulierten Branchen helfen, da die Absicht bei der Offenlegung einer Datenschutzverletzung nicht berücksichtigt wird.

Die Administratoren können die Anti-Bildschirmaufnahme für die folgenden Ressourcentypen aktivieren:

• Virtuelle Apps und Desktops
• Interne Web- und SaaS-Apps
• Authentifizierungsbildschirme
• Self-Service-Plug-in (SSP)-Bildschirme

Hinweis:

Wenn Sie zwei virtuelle Desktops gestartet haben, wobei ein virtueller Desktop mit der Anti-Screenshot-Funktion und der andere virtuelle Desktop nicht mit der Anti-Screenshot-Funktion aktiviert ist, dann gilt die Anti-Screenshot-Funktion für beide virtuellen Desktops. Sie können von keinem der virtuellen Desktops einen Screenshot erstellen.

Falls Sie den virtuellen Desktop, der mit Anti-Screenshot aktiviert ist, minimiert haben, gilt die Anti-Screenshot-Funktion weiterhin für den virtuellen Desktop ohne die Anti-Screenshot-Funktion.

Erkennung und Benachrichtigung bei Bildschirmaufnahmen

Für die Citrix Workspace-App für Windows können Sie eine Benachrichtigung anzeigen, wenn ein möglicher Versuch einer Bildschirmaufnahme auf geschützten Ressourcen erfolgt. Informationen zu den durch App Protection geschützten Ressourcen finden Sie unter Was schützt App Protection?

Die Benachrichtigung wird angezeigt, wenn Folgendes vorliegt:

• Versuch, einen Screenshot zu erstellen oder ein Video mit einem Bildschirmaufzeichnungstool aufzunehmen.

• Versuch, einen Screenshot über die Druck-Taste zu erstellen.

  

Schritte zum Deaktivieren von Bildschirmaufnahmebenachrichtigungen finden Sie in der Dokumentation Bildschirmaufnahmebenachrichtigungen deaktivieren.

Hinweis:

Die Benachrichtigung wird nur einmal pro laufender Instanz des Bildschirmaufzeichnungstools angezeigt. Die Benachrichtigung wird erneut angezeigt, wenn Sie das Tool neu starten und versuchen, den Bildschirm aufzunehmen.

Für die Citrix Workspace-App für iOS

Ab Version 24.9.0 unterstützt die Citrix Workspace-App für iOS die Anti-Screenshot-Funktion. App Protection verhindert die Exfiltration vertraulicher Informationen wie Benutzeranmeldeinformationen und sensibler Informationen, die auf dem Bildschirm angezeigt werden. Die Funktion verhindert, dass Benutzer und Angreifer Screenshots erstellen und Keylogger verwenden, um sensible Informationen zu sammeln und auszunutzen.

Die Anti-Screenshot-Funktion wird sowohl in Einzel- als auch in Multi-Monitor-Szenarien unterstützt. Um die Funktion zu aktivieren, führen Sie die Konfigurationsschritte aus, die im Abschnitt Konfiguration beschrieben sind.

Administratoren können die Anti-Screenshot-Funktion für Folgendes aktivieren:

• Virtuelle Apps und Desktops
• Web- und SaaS-Apps, die über WebView geöffnet werden
• Authentifizierungsbildschirme

Unterstützung für Anti-Bildschirmaufnahme

Diese Funktion verhindert unbefugte Bildschirmaufnahmen, -aufzeichnungen, QuickTime-Bildschirmspiegelung, Bildschirmfreigabe und App-Wechsel. Die Anti-Bildschirmaufnahme-Funktion ist für Authentifizierungsbildschirme, Web- oder SaaS-Apps sowie Citrix Virtual Apps and Desktops verfügbar. Wenn Sie einen Bildschirm aufnehmen, wird in den Aufnahmemedien anstelle des tatsächlich auf dem Bildschirm angezeigten Inhalts eine benutzerdefinierte Meldung Bildschirmaufnahme wurde von Ihrem Administrator aus Sicherheitsgründen deaktiviert angezeigt. Die Anti-Bildschirmaufnahme schützt vor verschiedenen Formen des unbefugten Bildschirmzugriffs, wie zum Beispiel:

• Screenshot: Verhindert die Aufnahme von Screenshots.
• Bildschirmaufnahme: Blockiert Software zur Bildschirmaufnahme.
• Bildschirmspiegelung: Deaktiviert die Spiegelung des Bildschirms auf andere Geräte.
• Bildschirmfreigabe: Schränkt die Bildschirmfreigabefunktion ein.

• App-Umschalter: Verhindert, dass sensible Informationen in den Vorschauen des App-Umschalters sichtbar sind.

  

Verhalten von Ressourcen mit aktivierter Anti-Bildschirmaufnahme in Multi-Monitor-Setups

Der Multi-Monitor-Modus bezieht sich auf die Konfiguration, bei der ein iOS- oder iPadOS-Gerät an ein externes Display angeschlossen ist, sodass das Gerät mehrere Bildschirme gleichzeitig verwenden kann.

Es werden drei Modi unterstützt:

• Spiegeln: Dupliziert die iPad-Anzeige auf dem angeschlossenen externen Monitor.
• Präsentation: Projiziert die Desktop-Oberfläche auf den externen Monitor, während der iPad-Bildschirm als Trackpad fungiert.
• Erweitern: Ermöglicht die Anzeige unterschiedlicher Inhalte auf jedem Display, wodurch unabhängige Ansichten auf dem iPad und dem externen Monitor möglich sind.

Virtual Apps and Desktops: Der Benutzer sieht die virtuelle App oder den virtuellen Desktop auf dem externen Monitor, abhängig vom ausgewählten Anzeigemodus. Wenn der Benutzer versucht, einen Screenshot zu erstellen, ist der Inhalt auf allen Bildschirmen geschützt.

Authentifizierungsbildschirme, Web- oder SaaS-Apps: Auf dem externen Monitor sieht der Benutzer den folgenden Bildschirm anstelle des tatsächlichen Authentifizierungsbildschirms, der Web- oder SaaS-Apps.

In allen Szenarien wird der Versuch des Benutzers, einen Screenshot einer Anti-Screen-Capture-fähigen Ressource zu erstellen, blockiert.

Für Citrix Workspace-App für Android

Diese Funktion schränkt die Möglichkeit ein, dass Clients durch Malware zur Bildschirmaufnahme kompromittiert werden. Außerdem verhindert sie unbefugte Bildschirmaufnahmen, Aufzeichnungen, Spiegelungen, Bildschirmfreigaben und App-Wechsel.

Die Anti-Screen-Capture-Funktion ist für Authentifizierungsprozesse, Web- oder SaaS-Apps und Citrix Virtual Apps and Desktops verfügbar. Die Citrix Workspace-App für Android erlaubt Ihnen keine Screenshots. Wenn Sie versuchen, einen Bildschirm aufzunehmen, erhalten Sie eine Meldung, dass Sie keine Screenshots erstellen dürfen.

Die Administratoren können die Anti-Screen-Capture-Funktion für Folgendes aktivieren:

• Virtuelle Apps und Desktops
• Web- und SaaS-Apps
• Authentifizierungsbildschirme

Ab Version 24.7.0 der Citrix Workspace-App für Android ist die Anti-Screen-Capture-Funktion standardmäßig verfügbar. Um die Funktion jedoch zu aktivieren, führen Sie die unter Konfiguration genannten Konfigurationsschritte aus.

Einschränkungen:

• Die App Protection-Richtlinien werden für jeden Store heruntergeladen. Wenn ein Store die Richtlinien heruntergeladen hat und Sie zu einem anderen Store wechseln, für den die Richtlinien nicht heruntergeladen wurden, ist die Bildschirmaufnahme-Schutzfunktion im neuen Store nicht geschützt.

• Die Bildschirmaufnahme-Schutzfunktion wird auf den Authentifizierungsbildschirmen nicht unterstützt, wenn ChromeCustomTab verwendet wird. Diese Funktion wird jedoch bei Verwendung nativer Authentifizierung oder WebView unterstützt. Die ChromeCustomTab ist in den Cloud-Stores standardmäßig aktiviert, und Sie können sie auf WebView ändern, indem Sie den AndroidWebViewType mithilfe des PowerShell-Moduls auf webview ändern. Weitere Informationen finden Sie unter Set-WorkspaceCustomConfigurations.

Anti-DLL-Injektion

Die Sicherheitsverbesserung Anti-DLL-Injektion schützt die Citrix Workspace-App vor bestimmten nicht autorisierten Dynamic Link Libraries (DLLs) oder nicht vertrauenswürdigen Modulen. Werden solche nicht vertrauenswürdigen Module injiziert, erkennt die Citrix Workspace-App diese Eingriffe und verhindert das Laden der Module. Wird außerdem eine nicht vertrauenswürdige oder bösartige DLL erkannt, bevor die Sitzung gestartet wird, blockiert App Protection den Sitzungsstart und zeigt eine Fehlermeldung an. Das Schließen der Fehlermeldung beendet die virtuelle App- und Desktopsitzung.

Diese Funktion gilt für alle geschützten virtuellen Apps und Desktops sowie für das Authentifizierungsfenster der Citrix Workspace-App (lokale Bereitstellung/StoreFront).

Diese Verbesserung beendet die Sitzung sofort, wenn bestimmte nicht vertrauenswürdige oder bösartige DLLs auf der geschützten Komponente vorhanden sind.

Die Verbesserung zeigt eine Benachrichtigung an, wenn eine nicht vertrauenswürdige oder bösartige DLL blockiert wird. Das Schließen der Meldung beendet die virtuelle App- und Desktopsitzung.

Haftungsausschluss: Diese Funktion filtert den Zugriff auf erforderliche Funktionen des zugrunde liegenden Betriebssystems (spezifische API-Aufrufe zum Laden von DLLs). Dadurch kann sie Schutz selbst gegen bestimmte benutzerdefinierte und speziell entwickelte Hacker-Tools bieten. Da sich Betriebssysteme jedoch weiterentwickeln, können neue Methoden zum Laden von DLLs entstehen. Wir identifizieren und beheben diese zwar weiterhin, können jedoch keinen vollständigen Schutz in spezifischen Konfigurationen und Bereitstellungen garantieren.

Diese Funktion unterstützt die Citrix Workspace-App für Windows Version 2206 und höher.

Kompatibilität mit HDX™-Optimierung für Microsoft Teams

Optimiertes Microsoft Teams unterstützt die Bildschirmfreigabe, wenn die Citrix Workspace-App mit App Protection nur im Desktop Viewer-Modus aktiviert ist. Wenn Sie in Microsoft Teams auf Inhalt teilen klicken, bietet die Bildschirmauswahl die folgenden Optionen:

• Option Fenster, um eine beliebige geöffnete App freizugeben – Diese Option wird nur angezeigt, wenn die VDA-Version 2109 oder höher ist.
• Desktop-Option zum Teilen der Inhalte auf Ihrem VDA-Desktop – Diese Option wird nur für die folgenden Versionen der Citrix Workspace-App angezeigt:
  • Citrix Workspace-App für Linux Version 2311 oder höher
  • Citrix Workspace-App für Mac Version 2308 oder höher
  • Citrix Workspace-App für Windows Version 2309 oder höher

Hinweis:

Für die Citrix Workspace-App für Linux ist die Desktop-Freigabeoption standardmäßig deaktiviert. Um sie zu aktivieren, fügen Sie den UseGbufferScreenSharing Parameter in Ihrer Datei config.json wie folgt hinzu:

mkdir -p /var/.config/citrix/hdx_rtc_engine
vim /var/.config/citrix/hdx_rtc_engine/config.json
{
      "UseGbufferScreenSharing":1
}
<!--NeedCopy-->

Optimiertes Microsoft Teams mit App Protection unterstützt auch das virtuelle Monitorlayout von Citrix, mit dem Sie jeden virtuellen Monitor einzeln freigeben können.

Einschränkung:

• Optimiertes Microsoft Teams mit App Protection unterstützt keine Bildschirmfreigabe auf veröffentlichten Desktops, die mit Local App Access (LAA) aktiviert sind.
• Clientseitig gerenderte Inhalte, wie z. B. Browserinhalte, die BCR verwenden, können nicht erfasst oder freigegeben werden. Wenn Sie versuchen, einen Screenshot zu erstellen, wird dieser als schwarzer Bildschirm angezeigt.

Hinweis:

Für die Citrix Workspace-App für Linux befindet sich diese Funktion in der Technical Preview.

Lokaler App Protection (Vorschau)

App Protection bietet erweiterte Sicherheit, um Kunden vor Keyloggern sowie versehentlichen und böswilligen Bildschirmaufnahmen an Endpunkten zu schützen. Derzeit werden die App Protection-Funktionen nur für Workspace-Ressourcen angeboten. Mit dieser Funktion werden die App Protection-Funktionen auf lokale Apps auf Endpunkten erweitert. Ab Citrix Workspace-App 2210 für Windows kann App Protection auf lokale Apps auf Windows-Geräten angewendet werden.

Registrieren Sie sich für die Vorschau dieser Funktion über das Podio-Formular.

Erkennung von Richtlinienmanipulation

Die Funktion zur Erkennung von Richtlinienmanipulation verhindert, dass der Benutzer auf die virtuelle App- oder Desktopsitzung zugreifen kann, wenn die App Protection-Richtlinien für Anti-Screenshot und Anti-Keylogging manipuliert werden. Wird eine Richtlinienmanipulation erkannt, wird die virtuelle App- oder Desktopsitzung beendet.

Hinweis:

Die Funktion zur Erkennung von Richtlinienmanipulation ist ab Citrix Virtual Apps and Desktops (CVAD) Version 2511 standardmäßig aktiviert.

Ab CVAD 2511 schlagen Sitzungsstarts fehl, wenn Sie App Protection über die Default.ica-Datei aktivieren. Aktivieren Sie stattdessen die Richtlinien für die Bereitstellungsgruppe über den Desktop Delivery Controller (DDC) mit Web Studio oder PowerShell. Weitere Informationen finden Sie unter Anti-Keylogging und Anti-Screenshot konfigurieren.

Informationen zum Konfigurieren der Richtlinienmanipulationserkennung finden Sie unter Richtlinienmanipulationserkennung konfigurieren.

Posture Check

Um das Starten virtueller Apps und Desktops, die mit App Protection-Richtlinien aktiviert sind, von Citrix Workspace-App-Versionen zu erkennen und zu blockieren, die die Funktion zur Erkennung von Richtlinienmanipulation nicht unterstützen, aktivieren Sie App Protection Posture Check.

Hinweis:

Wenn Posture Check aktiviert ist und Sie eine Citrix Workspace-App-Version verwenden, die Posture Check nicht unterstützt, werden die mit App Protection-Richtlinien aktivierten Sitzungen beendet.

Wenn die Posture Check-Richtlinie auf dem VDA konfiguriert ist und ein Administrator oder Benutzer versucht, sich über RDP mit der VDA-Maschine zu verbinden, wird die Sitzung getrennt, da der RDP-Client die App Protection-Richtlinien nicht unterstützen kann.

Informationen zum Konfigurieren von Posture Check finden Sie unter Posture Check konfigurieren.

Einschränkung:

Posture Check funktioniert zeitweise nicht mehr, wenn Sie Windows Workstation VDAs verwenden, die auf Microsoft Azure mit VDA 2308 gehostet werden. Diese Einschränkung ist in VDA Version 2311 und höher behoben.

App Protection-Unterstützung für Double-Hop-Szenarien

Ab der Version Citrix Workspace-App für Windows 2405 wird App Protection für das Double-Hop-Szenario unterstützt, wenn es auf einem Workstation-VDA (wie Windows 10 oder Windows 11) für einen Single-Session-VDA installiert ist.

Double-Hop bezeichnet ein Szenario, bei dem eine Citrix Virtual App- oder Virtual Desktop-Sitzung innerhalb einer Citrix Virtual Desktop-Sitzung ausgeführt wird. Weitere Informationen finden Sie unter Double-Hop in Citrix Virtual Apps and Desktops.

Die folgende Abbildung beschreibt das Double-Hop-Szenario:

App Protection mit Double-Hop bedeutet, dass die App Protection-Richtlinien für die virtuellen Apps und Desktops aktiviert sind, die vom ersten Hop aus geöffnet werden.

Der erste Hop, bei dem die App Protection-Funktion aktiviert ist und von dem aus Sie die geschützten virtuellen Apps oder Desktops öffnen, kann nur ein Single-Session-OS-VDA sein.

Im Folgenden sind die erwarteten Verhaltensweisen für App Protection mit Double-Hop in Multi-Session-OS-VDA und Single-Session-VDA aufgeführt:

App Protection in Multi-Session-OS-VDA

App Protection wird in einem Multi-Session-OS-VDA (wie Windows Server 2k19 oder Windows Server 2k22) nicht unterstützt. Daher wird App Protection auf solchen Maschinen nicht installiert.

Sie können die Citrix Workspace-App ohne App Protection auf einem Multi-Session-OS installieren. Ressourcen, die mit App Protection-Richtlinien aktiviert sind, werden jedoch in einem Multi-Session-OS-VDA nicht aufgelistet und können nicht geöffnet werden.

App Protection in Single-Session-OS-VDA

Mit der Version Citrix Workspace-App für Windows 2405 werden die App Protection-Funktionen unterstützt, wenn sie auf einem Workstation-VDA (wie Windows 10 oder Windows 11) installiert sind.

Die folgenden Funktionen werden derzeit unterstützt:

• Anti-Keylogging
• Anti-Screen-Capture

Einschränkungen:

1. App Protection in einem gepoolten VDA mit Einzelsitzung

   • Da App Protection Treiber hat, muss der Administrator Vorgänge wie das Upgrade und die Deinstallation der Citrix Workspace-App, die einen Neustart erfordern, auf dem Basis-Image durchführen.

   • Wenn die Vorgänge vom Endbenutzer mit Administratorrechten innerhalb der gepoolten Sitzung ausgeführt werden, werden sie nicht auf dem Basis-Image gespeichert, und die Maschine kann in einen inkonsistenten Zustand geraten.

2. Das Starten von AntiScreencapture-fähigen Ressourcen im Double Hop wird nicht unterstützt, wenn die Anzeigenerfassung für die Verwendung von DDAPI (Display Device API) konfiguriert ist.

Welches Szenario wird unterstützt?

Wenn die mit Anti-Screen-Capture und Anti-Keylogging aktivierte virtuelle App oder der virtuelle Desktop des zweiten Hops innerhalb der virtuellen Desktopsitzung des ersten Hops geöffnet wird, ist sie vor Screen-Capture- und Keylogging-Tools geschützt, die innerhalb der virtuellen Desktopsitzung des ersten Hops ausgeführt werden.

Welches Szenario wird nicht unterstützt?

• Wenn der virtuelle Desktop des ersten Hops keine App Protection-Richtlinien aktiviert hat, können auf dem Client-Endpunkt installierte Screen-Capture- und Keylogging-Tools Bildschirme oder Tastenanschläge erfassen, selbst wenn der zweite Hop App Protection-Richtlinien aktiviert hat.

• Wenn der Endbenutzer über eine RDP-Sitzung auf den ersten Hop-Computer zugreift, wird App Protection für den zweiten Hop nicht unterstützt.

Diese Funktion ist standardmäßig aktiviert. Daher ist keine separate Konfiguration erforderlich. Der Administrator muss die App Protection-Richtlinien für die Ressourcen konfigurieren.

Empfehlung für End-to-End-Schutz

Um einen End-to-End-Schutz zu gewährleisten, wird empfohlen, App Protection-Richtlinien auf jedem Hop (sowohl dem ersten als auch dem zweiten) zu aktivieren. Auf diese Weise können Keylogging- und Screen-Capture-Tools, die entweder auf dem Client oder dem ersten Hop ausgeführt werden, den sensiblen Inhalt der zweiten Hop-Sitzung nicht erfassen.

Double-Hop-Start blockieren

App Protection-Funktionen werden in einem Double-Hop-Szenario nicht unterstützt, wenn die Citrix Workspace-App für Windows-Versionen älter als 2405 verwendet wird. Sie dürfen virtuelle Apps, Desktops, Web-Apps oder SaaS-Apps, die mit App Protection-Richtlinien aktiviert sind, in einem Double-Hop-Szenario öffnen. Die App Protection-Funktionen werden jedoch nicht angewendet.

Sie können das Öffnen von virtuellen Apps, Desktops, Web-Apps oder SaaS-Apps, die mit der App Protection-Funktion aktiviert sind, in einem Double-Hop-Szenario blockieren.

Weitere Informationen zum Aktivieren der Einstellung „Block Double-hop Launch“ finden Sie unter Einstellung „Block Double-Hop Launch“ aktivieren.

Citrix Analytics Service für App Protection

Wenn Sie Citrix Virtual Apps and Desktops verwenden, werden Benutzerereignisse generiert, die ihren Aktivitäten und Aktionen entsprechen. Citrix Analytics for Security verfügt über eine Funktion namens Self-Service-Suche, die diese Benutzerereignisse aufzeichnet und Ihnen Einblicke dazu bietet. Die Self-Service-Suche ermöglicht es Ihnen, diese Benutzerereignisse zu finden, zu filtern und zu untersuchen, damit Sie verstehen, welche Benutzerereignisse ausgeführt wurden, und je nach Schweregrad des Ereignisses handeln können. Weitere Informationen zur Self-Service-Suche finden Sie unter Self-Service-Suche.

Self-Service-Suche für Apps und Desktops verfügt über einen Ereignistyp AppProtection.ScreenCapture, mit dem Sie feststellen können, ob Versuche unternommen werden, Screenshots von virtuellen Apps oder Desktops zu erstellen, die mit App Protection-Richtlinien aktiviert sind. Weitere Informationen zum Suchen nach einem Benutzerereignis finden Sie unter Suchabfrage zum Filtern von Ereignissen angeben.

Dieser Dienst bietet die folgenden Informationen:

• Geräte-ID
• Titel geschützter Apps
• Zusätzliche OS-Informationen
• Name des Screenshot-Tools
• Pfad des Screenshot-Tools

Zulassungsliste für Screenshots

Wenn die Citrix Workspace-App, virtuelle Apps und Desktops oder SaaS-Apps mit der App Protection Anti-Screenshot-Richtlinie aktiviert sind, können Sie deren Bildschirme mit keinem Screenshot-Tool erfassen.

Ab der Version Citrix Workspace-App für Windows 2402 ermöglicht die Funktion „Zulassungsliste für Screenshots“ jedoch, eine App zur Zulassungsliste für Screenshots hinzuzufügen. Diese Funktion ermöglicht es Ihnen, die zugelassene App zu verwenden und den Bildschirm der Ressource zu erfassen, die mit der App Protection Anti-Screenshot-Richtlinie aktiviert ist. Informationen zum Hinzufügen einer App zur Zulassungsliste für Screenshots finden Sie unter Zulassungsliste für Screenshots konfigurieren.

Wichtig:

Es wird nicht empfohlen, eine zugelassene App über einen längeren Zeitraum auf Ihrem Gerät auszuführen, da dies die Sicherheitslage beeinträchtigt. Sie können die zugelassenen Apps vorübergehend zur Bildschirmfreigabe in Szenarien wie der Fehlerbehebung verwenden. Es wird empfohlen, die folgenden Bedingungen einzuhalten:

• Führen Sie die zugelassene App für kurze Zeit zusammen mit der Ressource aus, die mit der App Protection Anti-Screen-Capture-Funktion aktiviert ist.
• Beenden Sie die zugelassene App sofort nach Abschluss der erforderlichen Aufgabe.
• Fügen Sie ein Wasserzeichen hinzu, wenn Sie den Bildschirm freigeben, während Sie die Ressource verwenden, die mit der App Protection Anti-Screen-Capture-Funktion für mehr Sicherheit aktiviert ist.

Die Zulassungsliste für die Bildschirmaufnahme muss in GACS konfiguriert werden. Die Funktion ist sowohl mit lokalen als auch mit Cloud-Umgebungen kompatibel, sofern GACS konfiguriert ist.

Prozess-Ausschlussliste

Wenn Sie einen Prozess oder eine Anwendung auf Ihrem Gerät starten, werden App Protection-DLLs in jeden Prozess injiziert, wenn App Protection aktiviert ist. Manchmal kann dies dazu führen, dass der Prozess oder die Anwendung aufgrund von Kompatibilitätsproblemen mit der DLL nicht funktioniert.

Ab der Citrix Workspace-App für Windows 2402 können Sie jeden Prozess zur Prozess-Ausschlussliste hinzufügen, um die Injektion der App Protection-DLL in diesen bestimmten Prozess zu vermeiden und Kompatibilitätsprobleme zu beheben, die durch das Vorhandensein von App Protection-DLLs verursacht werden. Informationen zum Konfigurieren der Prozess-Ausschlussliste finden Sie unter Prozess-Ausschlussliste konfigurieren.

Wichtig:

Es wird nicht empfohlen, Prozesse auszuschließen, da dies die Sicherheitslage beeinträchtigt. Sie können dies verwenden, um die Nutzung der Anwendung vorübergehend freizugeben und ein Support-Ticket zur weiteren Untersuchung zu erstellen.

Die Prozess-Ausschlussliste muss in GACS konfiguriert werden. Die Funktion ist sowohl mit lokalen als auch mit Cloud-Umgebungen kompatibel, sofern GACS konfiguriert ist.

USB-Filtertreiber-Ausschlussliste

Wichtig:

Die USB-Filtertreiber-Ausschlussliste muss in GACS konfiguriert werden. Die Funktion ist sowohl mit lokalen als auch mit Cloud-Umgebungen kompatibel, sofern GACS konfiguriert ist.

Manchmal, wenn Sie spezialisierte externe Tastaturen wie Gaming-Tastaturen mit der Citrix Workspace-App verwenden, kann der App Protection USB-Filtertreiber Kompatibilitätsprobleme verursachen und Sie an der Verwendung der Tastatur hindern.

Ab der Version 2402 der Citrix Workspace-App für Windows können Sie mit der Funktion USB-Filtertreiber-Ausschlussliste jedes USB-Gerät, das Kompatibilitätsprobleme mit der Citrix Workspace-App aufweist, anhand der Hersteller-ID und Produkt-ID des Geräts ausschließen. Um ein Gerät zur USB-Filtertreiber-Ausschlussliste hinzuzufügen, siehe USB-Filtertreiber-Ausschlussliste konfigurieren.

Hinweis:

Es wird nicht empfohlen, Geräte dauerhaft auszuschließen. Verwenden Sie diese Funktion, um den Benutzer vorübergehend von der Gerätenutzung zu entsperren und ein Support-Ticket zu erstellen, um das Kompatibilitätsproblem genauer zu untersuchen.

Zulassungsliste für Apps, die LD_PRELOAD-Funktionalitäten für die Citrix Workspace-App für Linux verwenden

Der App-Schutz blockiert den Start einer geschützten Sitzung, wenn andere Apps, die LD_PRELOAD verwenden, ausgeführt werden. Um legitime Apps zuzulassen, können Sie die Zulassungslistenfunktion mit Administratorgenehmigung konfigurieren. Diese Funktion ist nur für die Citrix Workspace-App für Linux verfügbar.

Um die Funktion zu aktivieren, führen Sie die Konfigurationsschritte im Abschnitt Zulassungsliste LD_PRELOAD konfigurieren aus.

Benutzerdefinierter Web Store

Benutzerdefinierte Web Stores ermöglichen Benutzern ein browserähnliches Erlebnis in der Citrix Workspace-App. Administratoren können die Funktion über den Global App Configuration Service konfigurieren: Erste Schritte mit den REST-APIs des Global App Configuration Service.

Voraussetzungen

• Citrix Workspace-App für Windows: Version 2203 oder höher
• Citrix Workspace-App für Mac: Version 2204 oder höher (Details finden Sie unter Informationen zu dieser Version, Citrix Workspace-App für Mac)
• Citrix Workspace-App für iOS: Version 2511 oder höher
• Citrix Workspace-App für Android: Version 2603 oder höher (wird in Zukunft hinzugefügt)