Richtlinien zum App-Schutz

Übersicht

Dieser Leitfaden soll Sie durch die technischen Voraussetzungen, Anwendungsfälle und die Konfiguration von App-Schutzrichtlinien für Ihre on-premises Bereitstellung von Citrix Virtual Apps and Desktops führen. App-Schutz ist eine Zusatzfunktion für die Citrix Workspace-App (CWA), die erhöhte Sicherheit bei der Verwendung von veröffentlichten Ressourcen von Citrix Virtual Apps and Desktops bietet. Zwei Richtlinien bieten Funktionen für Anti-Keylogging und Anti-Screen-Erfassung in einer Citrix HDX-Sitzung.

Systemanforderungen

Die Funktion für App-Schutzrichtlinien erfordert eine bestimmte Version der Citrix Workspace-App und unterstützt Windows- und macOS-Endpunkte. Eine spezielle Add-On-Lizenz ist zusammen mit Konfigurationsänderungen auf StoreFront- und Delivery Controller-Servern erforderlich. Weitere Informationen zu den Systemanforderungen finden Sie unter Produktdokumentation.

Citrix Workspace-App

Minimale Versionen:

  • Citrix Workspace App für Windows 1912 LTSR
  • Citrix Workspace-App für Mac 2001+
  • Citrix Workspace-App für Windows 2002+

Unterstützte Betriebssysteme:

  • Windows 7, 8.1 und 10
  • macOS 10.13 (High Sierra) und neuer

Serverbetriebssysteme (zum Beispiel Windows Server 2019) werden nicht unterstützt.

Hinweis:

Diese Betriebssysteme werden dort unterstützt, wo die Citrix Workspace-App installiert ist (normalerweise Endpunkt). Der VDA unterstützt alle Betriebssysteme, einschließlich Serverbetriebssysteme.

Lizenzen

Gültige Citrix Lizenzen sind erforderlich:

  • Citrix Virtual Apps and Desktops
  • Add-On-Lizenz für App-Schutz

Infrastruktur

Folgende Serverkomponenten sind erforderlich:

  • StoreFront 1912 oder höher
  • Delivery Controller 1912 oder höher

Installation - Delivery Controller

Hinweis:

Die folgenden Schritte sind nur für die Versionen 1912, 2003 und 2006 von Citrix Virtual Apps and Desktops erforderlich. Die App-Schutzfunktion ist automatisch in neueren Versionen enthalten. Der einzige erforderliche Schritt für neuere Versionen besteht darin, den XML-Trust zu aktivieren (erster Schritt).

  1. Aktivieren Sie XML Trust, indem Sie den folgenden Befehl ausführen:

    Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true

    Stellen Sie XML-Vertrauen

  2. Nachdem Sie die App-Schutzfunktion erworben haben, laden Sie die FeatureTable.OnPrem.AppProtection.xml Datei von der Downloadseite für Citrix Virtual Apps and Desktops 1912 oder höher herunter.

    Hinweis:

    App-Schutzrichtlinien Die XML-Datei befindet sich unter Komponenten

    Download

  3. Klicken Sie auf Datei herunterladen und speichern Sie sie auf dem lokalen Datenträger

    Download

  4. Starten Sie auf jedem Delivery Controller PowerShell und laden Sie die Citrix PowerShell-Snap-Ins mit Cmdlet

    Add-PSSnapin Citrix*

    Snap-In importieren

  5. Navigieren Sie in PowerShell zu einem Ordner, in den die XML-Datei heruntergeladen wurde
  6. Aktivieren Sie die App-Schutzfunktion mit dem folgenden Befehl:

    Import-ConfigFeatureTable FeatureTable.OnPrem.AppProtection.xml

    Merkmaletabelle importieren

  7. Stellen Sie mit dem folgenden Befehl sicher, dass App Protection aktiviert ist:

    Get-ConfigEnabledFeature | Select-String –Pattern "AppProtection"

    Funktion abrufen

Installation - Lizenzierung

  1. Laden Sie die Lizenzdatei herunter und importieren Sie sie zusammen mit einer vorhandenen Citrix Virtual Desktops-Lizenz in den Citrix Lizenzserver
  2. Verwenden Sie den Citrix Licensing Manager, um die Lizenzdatei zu importieren. Weitere Informationen finden Sie unter Installieren von Lizenzen

Installation - Citrix Workspace-App

  1. Schließen Sie die App-Schutzkomponente mit einer der folgenden Methoden ein:

    Für Windows: Wählen Sie während der Installation der Citrix Workspace-App (für Windows) die Option App-Schutz aktivieren und klicken Sie dann auf Installieren, um mit der Installation fortzufahren oder den Befehlszeilenschalter zu verwenden CitrixWorkspaceApp.exe /includeappprotection. Weitere Informationen finden Sie unter Abschnitt App-Schutz der Citrix Workspace-App für die Windows-Produktionsdokumentation.

    Installiere Funktion

    Für macOS: App-Schutz erfordert keine spezifische Installation oder Konfiguration auf Citrix Workspace für Mac.

    Hinweis:

    Es ist nicht möglich, älteren Clients App-Protection-Unterstützung hinzuzufügen. Deinstallieren Sie die alte Version der Citrix Receiver Empfänger/ Citrix Workspace-App und installieren Sie eine neue Version mit App-Schutzkomponente.

  2. Klicken Sie auf Fer

    Fertig stellen

  3. Klicken Sie auf Ja, um Ihren Computer neu zu

    Neu starten

Konfiguration - Bereitstellungsgruppe

Anti-KeyLogging und Anti-Screen-Capture-Schutz wird auf Bereitstellungsgruppenebene mit PowerShell konfiguriert. In jeder Bereitstellungsgruppe gibt es zwei Eigenschaften, die das Verhalten von App-Schutzrichtlinien beeinflussen:

  • AppProtectionKeyLoggingRequired - kann $True (aktiviert) oder $False (deaktiviert) sein
  • AppProtectionScreenCaptureRequired - kann $True (aktiviert) oder $False (deaktiviert) sein
  1. Starten Sie auf jedem Delivery Controller PowerShell und laden Sie die Citrix PowerShell-Snap-Ins mit Cmdlet

    Add-PSSnapin Citrix*

  2. Um den App-Schutz für die Admin Desktop Bereitstellungsgruppe zu aktivieren, verwenden Sie den folgenden Befehl:

    Set-BrokerDesktopGroup -Name "Admin Desktop" -AppProtectionKeyLoggingRequired $True -AppProtectionScreenCaptureRequired $True

    Set-Eigenschaft

  3. Validieren Sie die Einstellungen, indem Sie den folgenden PowerShell-Befehl ausführen:

    Get-BrokerDesktopGroup -Property Name, AppProtectionKeyLoggingRequired, AppProtectionScreenCaptureRequired | Format-Table -AutoSize

    Immobilien abrufen

Testen - Citrix Workspace App für Windows

Die folgenden Schritte enthalten nur Anleitungen für Tests zur Bildschirmfreigabe. Um den Schutz vor Keylogging zu testen, empfehlen wir Ihnen, sich mit Ihrem eigenen Sicherheitsteam zu beraten.

  1. Starten Sie Citrix Workspace App und melden Sie sich

    Workspace starten

  2. Klicken Sie auf eine geschützte virtuelle App oder einen virtuellen Desktop (zum Beispiel Admin Desktop) und starten Sie die HDX-Sitzung. Wenn Sie keine geschützten Ressourcen sehen, verwenden Sie wahrscheinlich einen Webstore oder eine nicht unterstützte Citrix Receiver/ Citrix Workspace-App.

    Launch-Ressource

  3. (Optional) Wenn der App-Schutz nicht installiert ist, wird das folgende Popup angezeigt, wenn Sie versuchen, eine geschützte virtuelle App oder einen geschützten Desktop zu starten. Klicken Sie auf Ja

    Optionaler Download

    Hinweis:

    Diese Option ist bei älteren Versionen der Citrix Receiver/ Citrix Workspace-App nicht verfügbar

  4. Versuchen Sie, eine Bildschirmaufnahme durchzuführen

    Machen Sie einen Bildschirmfoto

  5. Bestätigen Sie, dass Sie einen leeren Bildschirm sehen (erwartetes Verhalten)

    Leerer Screenshot

Achten Sie beim Testen von Anti-Keylogging- und Anti-Screening-Schutz auf das erwartete Verhalten:

  • Anti-KeyLogging - Diese Funktion ist nur aktiv, wenn ein geschütztes Fenster im Fokus ist
  • Anti-Screen Capture - Diese Funktion ist aktiv, wenn ein geschütztes Fenster sichtbar ist (nicht minimiert)

Eine weitere einfache Methode zum Testen des Anti-Screen-Erfassungsschutzes ist die Verwendung eines der beliebtesten Konferenz-Tools (GoToMeeting, Microsoft Teams, Zoom oder Slack). Bildschirmfreigabe sollte nicht möglich sein, wenn der Schutz aktiviert ist.

Informationsquellen

Produktdokumentation - Citrix Workspace-App

Produktdokumentation - App-Schutz

Richtlinien zum App-Schutz