Citrix Virtual Apps and Desktops

Protección de aplicaciones

La protección de aplicaciones es una función adicional de la aplicación Citrix Workspace que proporciona una seguridad mejorada cuando se utilizan recursos publicados de Citrix Virtual Apps and Desktops.

Dos directivas proporcionan funciones contra el registro de tecleo y las capturas de pantalla en una sesión de Citrix HDX. Las directivas, junto con la aplicación Citrix Workspace 1912 o versiones posteriores para Windows, Citrix Workspace 2001 o versiones posteriores para Mac o Citrix Workspace 2108 o versiones posteriores para Linux pueden ayudar a proteger los datos de registradores de pulsaciones de teclas y capturadores de pantalla.

Al habilitar la protección contra la captura de tecleo:

  • Un registrador ve pulsaciones de teclas cifradas.
  • Esta función solo está activa cuando hay una ventana protegida enfocada.

Cuando la función contra las capturas de pantalla está activada:

  • En el SO Windows y macOS, al capturar una pantalla, solo queda vacío el contenido de la ventana protegida. Esta función está activa cuando una ventana protegida no está minimizada. En Linux OS, toda la captura aparece vacía. Esta función está activa tanto si una ventana protegida está minimizada como si no.
  • Para el SO Windows y macOS, esta función está activa cuando hay una ventana protegida visible (sin minimizar). En el sistema operativo Linux, la función está activa tanto cuando se minimiza como cuando se maximiza una ventana protegida.
  • Cuando se utiliza el botón de impresión de pantalla en el sistema operativo Windows para tomar capturas de pantalla, los datos no se copian en el portapapeles. Para tomar capturas de pantalla con el botón de impresión de pantalla, minimice las aplicaciones protegidas.

Las directivas solo se configuran a través de PowerShell. No hay capacidad de administración de GUI. Esta configuración solo es necesaria para habilitar o inhabilitar la funcionalidad para un grupo de entrega específico.

Después de adquirir esta función, habilite la licencia de protección de aplicaciones.

Renuncia de responsabilidades:

Las directivas de protección de aplicaciones funcionan mediante el filtrado del acceso a las funciones requeridas del sistema operativo subyacente (llamadas a API específicas necesarias para capturar pantallas o pulsaciones de teclas). De este modo, las directivas de protección de aplicaciones pueden proporcionar protección incluso contra herramientas de piratas informáticos personalizadas y diseñadas específicamente. Sin embargo, a medida que los sistemas operativos evolucionan, pueden surgir nuevas formas de capturar pantallas y registrar pulsaciones de teclas. Si bien seguimos identificándolas y abordándolas, no podemos garantizar una protección completa en configuraciones e implementaciones específicas.

Las directivas de protección de aplicaciones que ofrece Citrix funcionan con componentes subyacentes del sistema operativo, incluidos los archivos ICA. Citrix no podría ofrecer asistencia si se detectan alteraciones o modificaciones intencionadas de los componentes subyacentes, con lo que se recomienda proporcionar la integridad de las directivas aplicadas.

Requisito previo

Ha instalado la aplicación Citrix Workspace con derechos de administrador.

Limitaciones

Estas limitaciones existen por diseño:

  • La función contra el registro de tecleo no se admite dentro de sesiones HDX o RDP. La protección de dispositivos de punto final sigue activa. Esta limitación solo se aplica a los casos de doble salto.
  • No hay compatibilidad de funcionalidades cuando se utiliza una versión no compatible de la aplicación Citrix Workspace o Citrix Receiver. En ese caso, los recursos están ocultos.
  • La protección de aplicaciones está disponible en las implementaciones locales de Citrix Virtual Apps and Desktops y Citrix DaaS (antes denominado Citrix Virtual Apps and Desktops Service) con StoreFront y Workspace. Esto significa que la protección de aplicaciones se admite en todos los entornos de nube, locales e híbridos.
  • No se admiten almacenes web de StoreFront.
  • El complemento de la función de protección de aplicaciones que ofrece la aplicación Citrix Workspace impide compartir pantalla saliente.
  • La protección de aplicaciones puede impedir el uso compartido saliente y entrante de la pantalla con aplicaciones o funciones de colaboración que tienen habilitada la optimización.
  • Las aplicaciones con directivas de protección de aplicaciones no se indican en las concesiones de conexión, por lo que la continuidad del servicio no muestra los iconos de aplicación/escritorio en la aplicación Citrix Workspace cuando se encuentra en modo sin conexión o en una interrupción de servicio.

Comportamiento esperado

Los comportamientos previstos dependen de cómo se acceda al almacén de StoreFront que contiene los recursos protegidos. Puede acceder a los recursos a través de un cliente de la aplicación Citrix Workspace nativo compatible.

  • Comportamiento en StoreWeb: Las aplicaciones con directivas de protección de aplicaciones no se enumeran en los almacenes web de StoreFront.
  • Comportamiento en aplicaciones de Citrix Receiver o Citrix Workspace no compatibles: No se enumeran las aplicaciones con directivas de protección de aplicaciones.
  • Comportamiento en las versiones compatibles de la aplicación Citrix Workspace: Los recursos protegidos se enumeran y se inician correctamente.

La protección se aplica en las siguientes condiciones:

  • Protección contra capturas de pantalla: Para Windows y Mac, está habilitada si cualquier ventana protegida es visible en la pantalla. Para inhabilitar la protección, minimice todas las ventanas protegidas. Para Linux, está habilitada si hay alguna ventana protegida activa. Para inhabilitar la protección, cierre todas las ventanas protegidas.
  • Contra registro de tecleo: Habilitada si hay una ventana protegida enfocada. Para inhabilitar la protección, cambie el foco a otra ventana.

¿Qué protege la protección de aplicaciones?

Para capturar la pantalla de cualquier ventana de aplicación que no sea Citrix Workspace, los usuarios deben minimizar primero la ventana protegida. Para Linux, los usuarios deben cerrar todas las ventanas protegidas.

La protección de aplicaciones protege estas ventanas de Citrix:

  • Ventanas de inicio de sesión de Citrix: Los diálogos de autenticación de Citrix Workspace están protegidos solo en sistemas operativos Windows. Para Linux, debe configurar la función de protección de aplicaciones en el archivo AuthManConfig.xml para habilitarla en el administrador de autenticación.

Ventana de inicio de sesión de Citrix: Protegida

  • Ventanas de sesión HDX de la aplicación Citrix Workspace (ejemplo, escritorio administrado)

Ventana de Citrix Virtual Apps and Desktops Standard para Azure: Protegida

  • Ventanas de autoservicio (almacén): Las ventanas de autoservicio de Citrix Workspace están protegidas solo en los sistemas operativos Windows. Para Linux, debe configurar la función de protección de aplicaciones en el archivo AuthManConfig.xml para habilitarla en las ventanas de autoservicio.

Ventana de autoservicio (almacén) de Citrix: Protegida

  • Aplicaciones web y SaaS: Las aplicaciones web y SaaS de Citrix Workspace en Windows y Mac se abren en Citrix Enterprise Browser. Si las aplicaciones están configuradas para considerar las directivas de protección de aplicaciones a través de Secure Private Access, la protección de aplicaciones se aplica ficha por ficha.

    Protección de aplicaciones para aplicaciones web y SaaS

¿Qué no protege la protección de aplicaciones?

Los elementos que se encuentran bajo el icono de aplicaciones de Citrix Workspace en la barra de navegación:

  • Central de conexiones
  • Todos los enlaces en Preferencias avanzadas
  • Personalizar
  • Comprobar actualizaciones
  • Cerrar sesión

Requisitos del sistema

Versiones mínimas de los componentes de Citrix

  • Aplicación Citrix Workspace 2108 para Linux
  • Aplicación Citrix Workspace 1912 para Windows Long Term Service Release
  • Aplicación Citrix Workspace 2002 para Windows
  • Aplicación Citrix Workspace 2001 para Mac
  • StoreFront 1912
  • Delivery Controller 1912
  • Licencias de Citrix válidas
    • Licencia adicional de protección de aplicaciones
    • Una licencia válida para Citrix Virtual Apps and Desktops 1912 o una versión posterior

Plataformas de sistemas operativos

El runtime de directivas de protección de aplicaciones se instala en el dispositivo de punto final de origen y no en el VDA de destino. Por lo tanto, solo la versión del sistema operativo del dispositivo de punto final es importante (la protección de aplicaciones se puede conectar a agentes VDA alojados en cualquier sistema operativo compatible descrito en Requisitos del sistema de Citrix Virtual Apps and Desktops).

La función de protección de aplicaciones es compatible con dispositivos de punto final que tienen estos sistemas operativos:

  • Windows 11
  • Windows 10
  • Windows 8.1
  • macOS High Sierra (10.13) y versiones posteriores
  • Ubuntu 18.04 y Ubuntu 20.04 de 64 bits
  • Debian 9 y Debian 10 de 64 bits
  • CentOS 7 de 64 bits
  • RHEL 7 de 64 bits
  • Sistema operativo Raspberry Pi (Buster) con armhf de 32 bits (basado en Debian 10)

Nota:

Para la protección de aplicaciones, la aplicación Citrix Workspace para Linux requiere Gnome Display Manager junto con los sistemas operativos compatibles.

Configuración

Siga estos pasos para configurar y habilitar completamente la función de protección de aplicaciones:

  1. Importe la licencia de protección de aplicaciones†.
  2. Configure la aplicación Workspace.
  3. Habilite las directivas de protección de aplicaciones en los Delivery Controllers†.

† En un entorno de Citrix DaaS, estos pasos de configuración son ligeramente distintos. Consulte las notas de estas secciones.

1. Licencias

Nota:

En un entorno de Citrix DaaS, omita este paso porque no hay licencias que instalar. La función de protección de aplicaciones se incluye como parte de ciertos paquetes de Citrix Cloud Services, y las licencias se proporcionan directamente en Citrix Cloud.

La protección de aplicaciones requiere la instalación de una licencia adicional en Citrix License Server. También debe haber presente una licencia válida para Citrix Virtual Apps and Desktops 1912 o una versión posterior. Contacte con un representante de ventas de Citrix para adquirir la licencia adicional de protección de aplicaciones.

  1. Descargue el archivo de licencia e impórtelo en el servidor de licencias Citrix, junto con una licencia existente de Citrix Virtual Desktops.
  2. Utilice Citrix Licensing Manager para importar el archivo de licencia (método preferido) o copie el archivo de licencia en C:\Program Files (x86)\Citrix\Licensing\MyFiles, en el servidor de licencias y reinicie el servicio Citrix Licensing. Para obtener más información, consulte Instalar licencias.

2. Aplicación Citrix Workspace

Configure la protección de aplicaciones en la aplicación Citrix Workspace.

Aplicación Citrix Workspace para Windows

Puede incluir el componente de protección de aplicaciones con la aplicación Citrix Workspace con estos métodos:

  • Durante la instalación de la aplicación Citrix Workspace.
  • Mediante la interfaz de línea de comandos después de instalar la aplicación Citrix Workspace.

Asegúrese de que la aplicación Citrix Workspace se ha instalado con el modificador /includeappprotection habilitado.

Para obtener más información, consulte Protección de aplicaciones.

Aplicación Citrix Workspace para Mac

La protección de aplicaciones no requiere una configuración específica en la aplicación Citrix Workspace para Mac.

Aplicación Citrix Workspace para Linux

La protección de aplicaciones está disponible cuando la aplicación Citrix Workspace se instala mediante los paquetes tarball, Debian y Red Hat Package Manager (RPM). Las arquitecturas compatibles son x64 y armhf.

Para obtener más información, consulte Protección de aplicaciones.

3. Grupos de entrega

Nota:

En un entorno de Citrix DaaS, utilice los cmdlets del SDK de PowerShell remoto de Citrix Virtual Apps and Desktops en cualquier máquina (aparte de las máquinas con Citrix Cloud Connectors) para ejecutar los comandos de esta sección.

Habilite estas propiedades para el grupo de entrega con protección de aplicaciones mediante el SDK de Citrix Virtual Apps and Desktops en cualquier máquina con un Delivery Controller instalado o en una máquina con una versión autónoma de Studio que tenga instalados los complementos FMA de PowerShell.

  • AppProtectionKeyLoggingRequired: True
  • AppProtectionScreenCaptureRequired: True

Puede habilitar cada una de estas directivas individualmente por grupo de entrega. Por ejemplo, puede configurar la protección contra el registro de tecleo solo para DG1 y la protección contra capturas de pantalla solo para DG2. Puede habilitar ambas directivas para DG3.

Ejemplo

Para habilitar ambas directivas para un grupo de entrega denominado DG3, ejecute el siguiente comando en cualquier Delivery Controller del sitio:

Set-BrokerDesktopGroup -Name DG3 -AppProtectionKeyLoggingRequired $true -AppProtectionScreenCaptureRequired $true

Para validar la configuración, ejecute este cmdlet:

Get-BrokerDesktopGroup -Property Name, AppProtectionKeyLoggingRequired, AppProtectionScreenCaptureRequired | Format-Table -AutoSize

Habilite también la confianza en XML:

Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true

Debe proteger la red entre StoreFront y el intermediario. Para obtener más información, consulte los artículos CTX236929 y Securing the XenApp and XenDesktop XML Service de Knowledge Center.

Recomendación

Las directivas de protección de aplicaciones se centran en mejorar la seguridad y la protección de los dispositivos de punto final. Revise todas las demás recomendaciones y directivas de seguridad de su entorno. Puede utilizar una plantilla de directiva de Seguridad y control para la configuración recomendada en entornos con baja tolerancia al riesgo. Para obtener más información, consulte Plantillas de directiva.

Protección contextual de aplicaciones

La protección contextual de aplicaciones ofrece la posibilidad de aplicar directivas de protección de aplicaciones de forma condicional a un subconjunto de usuarios, en función de sus características, sus dispositivos y la estrategia de red. Para obtener más información, consulte estos artículos:

Protección de aplicaciones para el inicio híbrido en Workspace

El inicio híbrido de Workspace tiene lugar al iniciar sesión en la aplicación Citrix Workspace a través del explorador (Citrix Workspace para Web) y utilizar las aplicaciones a través de la aplicación Citrix Workspace nativa. El término híbrido hace referencia al uso combinado de la aplicación Citrix Workspace para Web y la aplicación Citrix Workspace nativa para conectar y usar los recursos. Protección de aplicaciones admite el inicio híbrido en Workspace. Para obtener más información, consulte Protección de aplicaciones para el inicio híbrido en Workspace.

Solución de problemas

Las aplicaciones no se enumeran o no se inician:

  • Confirme que el usuario afectado utiliza una versión compatible de la aplicación Citrix Workspace.
  • Asegúrese de que el grupo de entrega tiene habilitadas las funciones correspondientes.

Las directivas de protección de aplicaciones no se aplican correctamente:

  • Asegúrese de que el grupo de entrega tiene habilitadas las funciones correspondientes.
  • Compruebe que la función está instalada en el dispositivo de punto final.
  • Confirme que el usuario afectado utiliza una versión compatible de la aplicación Citrix Workspace.
  • Asegúrese de que la aplicación Citrix Workspace se ha instalado con el modificador /includeappprotection habilitado.

Las capturas de pantalla no funcionan en ventanas que no son Citrix:

  • Minimice o cierre las ventanas protegidas de Citrix, incluida la aplicación Citrix Workspace.