Citrix Virtual Apps and Desktops

Protección de aplicaciones

La protección de aplicaciones es una función adicional de la aplicación Citrix Workspace que proporciona una seguridad mejorada cuando se utilizan recursos publicados de Citrix Virtual Apps and Desktops.

Dos directivas proporcionan funciones contra el registro de tecleo y las capturas de pantalla en una sesión de Citrix HDX. Las directivas, junto con la aplicación Citrix Workspace 1912 o versiones posteriores para Windows o Citrix Workspace 2001 o versiones posteriores para Mac, pueden ayudar a proteger los datos de registradores de pulsaciones de teclas y capturadores de pantalla.

Cuando la función contra el registro de tecleo está habilitada:

  • Un registrador ve pulsaciones de teclas sin sentido.
  • Esta función solo está activa cuando hay una ventana protegida enfocada.

Cuando la función contra las capturas de pantalla está activada:

  • La captura de pantalla es una pantalla en blanco.
  • Esta función está activa cuando hay una ventana protegida visible (sin minimizar).

Las directivas solo se configuran a través de PowerShell. No hay capacidad de administración de GUI.

Después de adquirir esta función, habilite la licencia y las directivas de protección de aplicaciones e importe la tabla de características de FeatureTable.OnPrem.AppProtection.xml.

Renuncia de responsabilidades:

Las directivas de protección de aplicaciones funcionan filtrando el acceso a las funciones requeridas del sistema operativo subyacente (llamadas a API específicas necesarias para capturar pantallas o pulsaciones de teclas). Esto significa que las directivas de protección de aplicaciones pueden proporcionar protección incluso contra herramientas de piratas informáticos personalizadas y diseñadas específicamente. Sin embargo, a medida que los sistemas operativos evolucionan, pueden surgir nuevas formas de capturar pantallas y registrar pulsaciones de teclas. Si bien seguimos identificándolas y abordándolas, no podemos garantizar una protección completa en configuraciones e implementaciones específicas.

Limitaciones

Estas limitaciones existen por diseño:

  • No hay compatibilidad de funcionalidades en escenarios de doble salto. Por ejemplo, iniciar una aplicación publicada desde un escritorio publicado.
  • No hay compatibilidad de funcionalidades para la protección de aplicaciones en una conexión RDP (protocolo de escritorio remoto).
  • No hay compatibilidad de funcionalidades cuando se utiliza una versión no compatible de la aplicación Citrix Workspace o Citrix Receiver.
  • Para capturar la pantalla de cualquier ventana de aplicación que no sea Citrix Workspace, los usuarios deben minimizar primero la ventana protegida.
  • Para que la protección de aplicaciones funcione correctamente, inhabilite la directiva de redirección del portapapeles de Citrix en el VDA.

Comportamiento previsto

Los comportamientos previstos dependen de cómo se acceda al almacén de StoreFront que contiene los recursos protegidos. Puede acceder a los recursos a través de un cliente de la aplicación Citrix Workspace nativo compatible.

  • Comportamiento en StoreWeb: Las aplicaciones con directivas de protección de aplicaciones no se enumeran en los almacenes web de StoreFront.
  • Comportamiento en aplicaciones de Citrix Receiver o Citrix Workspace no compatibles: No se enumeran las aplicaciones con directivas de protección de aplicaciones.
  • Comportamiento en las versiones compatibles de la aplicación Citrix Workspace: Los recursos protegidos se enumeran y se inician correctamente.

¿Qué protege la protección de aplicaciones?

Para capturar la pantalla de cualquier ventana de aplicación que no sea Citrix Workspace, los usuarios deben minimizar primero la ventana protegida.

De forma predeterminada, la protección de aplicaciones protege las siguientes ventanas de Citrix:

  • Ventanas de inicio de sesión de Citrix

Ventana de inicio de sesión de Citrix: Protegida

  • Ventanas de sesión HDX de la aplicación Citrix Workspace (ejemplo, escritorio administrado)

Ventana de escritorio administrado de Citrix: Protegida

  • Ventanas de autoservicio (almacén)

Ventana de autoservicio de Citrix (almacén): Protegida

¿Qué no protege la protección de aplicaciones?

Los elementos que se encuentran bajo el icono de aplicaciones de Citrix Workspace en la barra de navegación:

  • Central de conexiones
  • Todos los enlaces en Preferencias avanzadas
  • Personalizar
  • Comprobar actualizaciones
  • Cerrar sesión

Requisitos del sistema

Versiones mínimas de los componentes de Citrix:

  • Aplicación Citrix Workspace 1912 para Windows Long Term Service Release
  • Aplicación Citrix Workspace para Windows 2002
  • Aplicación Citrix Workspace 2001 para Mac
  • StoreFront 1912
  • Delivery Controller 1912
  • Licencias de Citrix válidas
    • Licencia adicional de protección de aplicaciones
    • Citrix Virtual Apps and Desktops 1912

Plataformas de sistemas operativos:

En el dispositivo de punto final, se admiten estos sistemas operativos. El agente VDA es compatible con todos los sistemas operativos.

  • Windows 10
  • Windows 8.1
  • Windows 7
  • macOS High Sierra (10.13) y versiones posteriores

Configuración

Después de adquirir la protección de aplicaciones, siga estos pasos para configurar y habilitar completamente la función:

  1. Importe la licencia de protección de aplicaciones.
  2. Configure la aplicación Workspace.
  3. Importe la tabla de características FeatureTable.OnPrem.AppProtection.xml.
  4. Habilite la funcionalidad en el servidor StoreFront.
  5. Habilite las directivas de protección de aplicaciones en los Delivery Controllers.
  6. Inhabilite la redirección del portapapeles en agentes VDA con protección de aplicaciones.

1. Licencias

La protección de aplicaciones requiere la instalación de una licencia adicional en Citrix License Server. Debe haber presente una licencia de Citrix Virtual Desktops 1912 como mínimo. Póngase en contacto con un representante de ventas de Citrix para adquirir la licencia adicional de protección de aplicaciones.

  1. Descargue el archivo de licencia e impórtelo en el servidor de licencias Citrix, junto con una licencia existente de Citrix Virtual Desktops.
  2. Utilice Citrix Licensing Manager para importar el archivo de licencia (método preferido) o copie el archivo de licencia en C:\Program Files (x86)\Citrix\Licensing\MyFiles, en el servidor de licencias y reinicie el servicio Citrix Licensing. Para obtener más información, consulte Instalar licencias.

2. Aplicación Citrix Workspace

Configure la protección de aplicaciones en la aplicación Citrix Workspace.

Aplicación Citrix Workspace para Windows:

Puede incluir el componente de protección de aplicaciones con la aplicación Citrix Workspace con los siguientes métodos:

  • Durante la instalación de la aplicación Citrix Workspace.
  • Mediante la interfaz de línea de comandos después de instalar la aplicación Citrix Workspace.

Asegúrese de que la aplicación Citrix Workspace se ha instalado con el modificador /includeappprotection habilitado.

Para obtener más información, consulte Protección de aplicaciones.

Aplicación Citrix Workspace para Mac:

La protección de aplicaciones no requiere una configuración específica en la aplicación Citrix Workspace para Mac.

3. Archivo de tabla de características

Después de adquirir la función de protección de aplicaciones, habilite la licencia de protección de aplicaciones y las directivas de protección de aplicaciones e importe la tabla de características FeatureTable.OnPrem.AppProtection.xml.

La sección Componentes de la página de descargas de Citrix Virtual Apps and Desktops 1912 o versiones posteriores contiene el archivo XML necesario. Debe tener una cuenta de Citrix para poder descargar el archivo.

De forma predeterminada, la protección de aplicaciones está inhabilitada. Para habilitar la funcionalidad, utilice el cmdlet Import-ConfigFeatureTable para importar la tabla de características de FeatureTable.OnPrem.AppProtection.xml, que tiene habilitada la protección de aplicaciones. Ejecute el cmdlet una vez para todo el sitio. Para obtener más información, consulte Import-Configfeaturetable.

Import-ConfigFeatureTable –Path .\FeatureTable.OnPrem.AppProtection.xml

Puede ejecutar el cmdlet en cualquier máquina con un Delivery Controller instalado o en una máquina con una versión autónoma de Studio que tenga instalados los complementos FMA de PowerShell.

Para comprobar que la protección de aplicaciones está habilitada, ejecute Get-ConfigEnabledFeature | Select-String–Pattern ‘AppProtection’.

4. Servidor StoreFront

Para habilitar la enumeración y el inicio de recursos protegidos, ejecute el siguiente comando de PowerShell en el servidor StoreFront: Add-STFFeatureState -Name "Citrix.StoreFront.AppProtectionPolicy.Control" -IsEnabled $True

En una implementación de StoreFront de varios servidores, debe propagar manualmente estos cambios a todos los demás servidores del grupo. Para obtener más información, consulte Propagar cambios locales en un grupo de servidores.

Para comprobar que la funcionalidad está habilitada en un servidor StoreFront, utilice el siguiente comando de PowerShell:.

Get-STFFeatureState -Name "Citrix.StoreFront.AppProtectionPolicy.Control"

5. Grupos de entrega

Habilite las siguientes propiedades para el grupo de entrega con protección de aplicaciones mediante el SDK de PowerShell en cualquier máquina con un Delivery Controller instalado o en una máquina con una versión autónoma de Studio que tenga instalados los complementos FMA de PowerShell.

  • AppProtectionKeyLoggingRequired: True
  • AppProtectionScreenCaptureRequired: True

Puede habilitar cada una de estas directivas individualmente por grupo de entrega. Por ejemplo, puede configurar la protección contra el registro de tecleo solo para DG1 y la protección contra capturas de pantalla solo para DG2. Puede habilitar ambas directivas para DG3.

Ejemplo:

Para habilitar ambas directivas para un grupo de entrega denominado DG3, ejecute el siguiente comando en cualquier Delivery Controller del sitio:

Set-BrokerDesktopGroup -Name DG3 -AppProtectionKeyLoggingRequired $true -AppProtectionScreenCaptureRequired $true

Para validar la configuración, ejecute este cmdlet:

Get-BrokerDesktopGroup -Property Name, AppProtectionKeyLoggingRequired, AppProtectionScreenCaptureRequired | Format-Table -AutoSize

Habilite también la confianza en XML:

Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true

Debe proteger la red entre StoreFront y el Broker. Para obtener más información, consulte los artículos CTX236929 y Protección del servicio XML de XenApp y XenDesktop de Knowledge Center.

6. Directiva de VDA

Inhabilite la directiva de redirección del portapapeles del cliente en los agentes VDA que entregarán aplicaciones protegidas. Para obtener más información, consulte Redirección del portapapeles del cliente.

Puede inhabilitar la directiva de redirección del portapapeles del cliente modificándola en Citrix Studio, en el objeto de directiva de grupo, o modificando el Registro. Para obtener más información, consulte Trabajar con directivas.

Solución de problemas

Las aplicaciones no se enumeran o no se inician:

  • Confirme que el usuario afectado utiliza una versión compatible de la aplicación Citrix Workspace.
  • Compruebe que la función está habilitada en el servidor StoreFront.
  • Asegúrese de que el grupo de entrega tiene habilitadas las funciones correspondientes.

Las directivas de protección de aplicaciones no se aplican correctamente:

  • Compruebe que la función está habilitada en StoreFront.
  • Asegúrese de que el grupo de entrega tiene habilitadas las funciones correspondientes.
  • Compruebe que la función está instalada en el dispositivo de punto final.
  • Confirme que el usuario afectado utiliza una versión compatible de la aplicación Citrix Workspace.
  • Asegúrese de que la aplicación Citrix Workspace se ha instalado con el modificador /includeappprotection habilitado.
  • Verifique que el VDA tiene inhabilitada la directiva de redirección del portapapeles.

Las capturas de pantalla no funcionan en ventanas que no son Citrix:

  • Minimice o cierre las ventanas protegidas de Citrix.
Protección de aplicaciones