Citrix Virtual Apps and Desktops

Protección de aplicaciones

La protección de aplicaciones es una función adicional de la aplicación Citrix Workspace que proporciona una seguridad mejorada cuando se utilizan recursos publicados de Citrix Virtual Apps and Desktops.

Dos directivas proporcionan funciones contra el registro de tecleo y las capturas de pantalla en una sesión de Citrix HDX. Las directivas, junto con la aplicación Citrix Workspace 1912 o versiones posteriores para Windows o Citrix Workspace 2001 o versiones posteriores para Mac, pueden ayudar a proteger los datos de registradores de pulsaciones de teclas y capturadores de pantalla.

Cuando la función contra el registro de tecleo está habilitada:

  • Un registrador ve pulsaciones de teclas cifradas.
  • Esta función solo está activa cuando hay una ventana protegida enfocada.

Cuando la función contra las capturas de pantalla está activada:

  • La captura de pantalla es una pantalla en blanco en el sistema operativo Windows. En macOS, solo el contenido de la ventana protegida está en blanco.
  • Esta función está activa cuando hay una ventana protegida visible (sin minimizar).

Las directivas solo se configuran a través de PowerShell. No hay capacidad de administración de GUI. Esta configuración solo es necesaria para habilitar o inhabilitar la funcionalidad para un grupo de entrega específico.

Después de adquirir esta función, habilite la licencia de protección de aplicaciones.

Renuncia de responsabilidades:

Las directivas de protección de aplicaciones funcionan filtrando el acceso a las funciones requeridas del sistema operativo subyacente (llamadas a API específicas necesarias para capturar pantallas o pulsaciones de teclas). De este modo, las directivas de protección de aplicaciones pueden proporcionar protección incluso contra herramientas de piratas informáticos personalizadas y diseñadas específicamente. Sin embargo, a medida que los sistemas operativos evolucionan, pueden surgir nuevas formas de capturar pantallas y registrar pulsaciones de teclas. Si bien seguimos identificándolas y abordándolas, no podemos garantizar una protección completa en configuraciones e implementaciones específicas.

Limitaciones

Estas limitaciones existen por diseño:

  • La función contra el registro de tecleo no se admite dentro de sesiones HDX o RDP. La protección de dispositivos de punto final sigue activa. Esta limitación solo se aplica a los casos de doble salto.
  • No hay compatibilidad de funcionalidades cuando se utiliza una versión no compatible de la aplicación Citrix Workspace o Citrix Receiver. En ese caso, los recursos están ocultos.
  • No se admiten las funciones de los servicios de Citrix Cloud. La protección de aplicaciones solo se admite para implementaciones locales de Citrix Virtual Apps and Desktops.
  • No se admiten almacenes web de StoreFront.

Comportamiento previsto

Los comportamientos previstos dependen de cómo se acceda al almacén de StoreFront que contiene los recursos protegidos. Puede acceder a los recursos a través de un cliente de la aplicación Citrix Workspace nativo compatible.

  • Comportamiento en StoreWeb: Las aplicaciones con directivas de protección de aplicaciones no se enumeran en los almacenes web de StoreFront.
  • Comportamiento en aplicaciones de Citrix Receiver o Citrix Workspace no compatibles: No se enumeran las aplicaciones con directivas de protección de aplicaciones.
  • Comportamiento en las versiones compatibles de la aplicación Citrix Workspace: Los recursos protegidos se enumeran y se inician correctamente.

La protección se aplica en las siguientes condiciones:

  • Anticapturas de pantalla: Habilitada si cualquier ventana protegida es visible en la pantalla. Para inhabilitar la protección, minimice todas las ventanas protegidas.
  • Contra registro de tecleo: Habilitada si hay una ventana protegida enfocada. Para inhabilitar la protección, cambie el foco a otra ventana.

¿Qué protege la protección de aplicaciones?

Para capturar la pantalla de cualquier ventana de aplicación que no sea Citrix Workspace, los usuarios deben minimizar primero la ventana protegida.

De forma predeterminada, la protección de aplicaciones protege las siguientes ventanas de Citrix:

  • Ventanas de inicio de sesión de Citrix: Los diálogos de autenticación de Citrix Workspace están protegidos solo en sistemas operativos Windows.

Ventana de inicio de sesión de Citrix: Protegida

  • Ventanas de sesión HDX de la aplicación Citrix Workspace (ejemplo, escritorio administrado)

Ventana de escritorio administrado de Citrix: Protegida

  • Ventanas de autoservicio (almacén)

Ventana de autoservicio de Citrix (almacén): Protegida

¿Qué no protege la protección de aplicaciones?

Los elementos que se encuentran bajo el icono de aplicaciones de Citrix Workspace en la barra de navegación:

  • Central de conexiones
  • Todos los enlaces en Preferencias avanzadas
  • Personalizar
  • Comprobar actualizaciones
  • Cerrar sesión

Requisitos del sistema

Versiones mínimas de los componentes de Citrix:

  • Aplicación Citrix Workspace 1912 para Windows Long Term Service Release
  • Aplicación Citrix Workspace para Windows 2002
  • Aplicación Citrix Workspace 2001 para Mac
  • StoreFront 1912
  • Delivery Controller 1912
  • Licencias de Citrix válidas
    • Licencia adicional de protección de aplicaciones
    • Citrix Virtual Apps and Desktops 1912

Plataformas de sistemas operativos:

En el dispositivo de punto final, se admiten estos sistemas operativos. El agente VDA es compatible con todos los sistemas operativos.

  • Windows 10
  • Windows 8.1
  • Windows 7
  • macOS High Sierra (10.13) y versiones posteriores

Configuración

Después de adquirir la protección de aplicaciones, siga estos pasos para configurar y habilitar completamente la función:

  1. Importe la licencia de protección de aplicaciones.
  2. Configure la aplicación Workspace.
  3. Habilite las directivas de protección de aplicaciones en los Delivery Controllers.

1. Licencias

La protección de aplicaciones requiere la instalación de una licencia adicional en Citrix License Server. Debe haber presente una licencia de Citrix Virtual Desktops 1912 como mínimo. Póngase en contacto con un representante de ventas de Citrix para adquirir la licencia adicional de protección de aplicaciones.

  1. Descargue el archivo de licencia e impórtelo en el servidor de licencias Citrix, junto con una licencia existente de Citrix Virtual Desktops.
  2. Utilice Citrix Licensing Manager para importar el archivo de licencia (método preferido) o copie el archivo de licencia en C:\Program Files (x86)\Citrix\Licensing\MyFiles, en el servidor de licencias y reinicie el servicio Citrix Licensing. Para obtener más información, consulte Instalar licencias.

2. Aplicación Citrix Workspace

Configure la protección de aplicaciones en la aplicación Citrix Workspace.

Aplicación Citrix Workspace para Windows:

Puede incluir el componente de protección de aplicaciones con la aplicación Citrix Workspace con los siguientes métodos:

  • Durante la instalación de la aplicación Citrix Workspace.
  • Mediante la interfaz de línea de comandos después de instalar la aplicación Citrix Workspace.

Asegúrese de que la aplicación Citrix Workspace se ha instalado con el modificador /includeappprotection habilitado.

Para obtener más información, consulte Protección de aplicaciones.

Aplicación Citrix Workspace para Mac:

La protección de aplicaciones no requiere una configuración específica en la aplicación Citrix Workspace para Mac.

3. Grupos de entrega

Habilite las siguientes propiedades para el grupo de entrega con protección de aplicaciones mediante el SDK de PowerShell en cualquier máquina con un Delivery Controller instalado o en una máquina con una versión autónoma de Studio que tenga instalados los complementos FMA de PowerShell.

  • AppProtectionKeyLoggingRequired: True
  • AppProtectionScreenCaptureRequired: True

Puede habilitar cada una de estas directivas individualmente por grupo de entrega. Por ejemplo, puede configurar la protección contra el registro de tecleo solo para DG1 y la protección contra capturas de pantalla solo para DG2. Puede habilitar ambas directivas para DG3.

Ejemplo:

Para habilitar ambas directivas para un grupo de entrega denominado DG3, ejecute el siguiente comando en cualquier Delivery Controller del sitio:

Set-BrokerDesktopGroup -Name DG3 -AppProtectionKeyLoggingRequired $true -AppProtectionScreenCaptureRequired $true

Para validar la configuración, ejecute este cmdlet:

Get-BrokerDesktopGroup -Property Name, AppProtectionKeyLoggingRequired, AppProtectionScreenCaptureRequired | Format-Table -AutoSize

Habilite también la confianza en XML:

Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true

Debe proteger la red entre StoreFront y el Broker. Para obtener más información, consulte los artículos CTX236929 y Protección del servicio XML de XenApp y XenDesktop de Knowledge Center.

Recomendación

Las directivas de protección de aplicaciones se centran principalmente en mejorar la seguridad y la protección de los dispositivos de punto final. Revise todas las demás recomendaciones y directivas de seguridad de su entorno. Puede utilizar una plantilla de directiva de Seguridad y control para la configuración recomendada en entornos con baja tolerancia al riesgo. Para obtener más información, consulte Plantillas de directiva.

Solución de problemas

Las aplicaciones no se enumeran o no se inician:

  • Confirme que el usuario afectado utiliza una versión compatible de la aplicación Citrix Workspace.
  • Compruebe que la función está habilitada en el servidor StoreFront.
  • Asegúrese de que el grupo de entrega tiene habilitadas las funciones correspondientes.

Las directivas de protección de aplicaciones no se aplican correctamente:

  • Compruebe que la función está habilitada en StoreFront.
  • Asegúrese de que el grupo de entrega tiene habilitadas las funciones correspondientes.
  • Compruebe que la función está instalada en el dispositivo de punto final.
  • Confirme que el usuario afectado utiliza una versión compatible de la aplicación Citrix Workspace.
  • Asegúrese de que la aplicación Citrix Workspace se ha instalado con el modificador /includeappprotection habilitado.

Las capturas de pantalla no funcionan en ventanas que no son Citrix:

  • Minimice o cierre las ventanas protegidas de Citrix.