Seguridad

App Protection

RENUNCIA DE RESPONSABILIDADES

Las directivas de App Protection funcionan filtrando el acceso a las funciones requeridas del sistema operativo subyacente. Se necesitan llamadas a API específicas para capturar pantallas o pulsaciones de teclas. Esta función significa que las directivas de App Protection pueden proporcionar protección incluso contra herramientas de piratas informáticos personalizadas y diseñadas específicamente. Sin embargo, a medida que los sistemas operativos evolucionan, pueden surgir nuevas formas de capturar pantallas y registrar pulsaciones de teclas. Si bien seguimos identificándolas y abordándolas, no podemos garantizar una protección completa en configuraciones e implementaciones específicas.

App Protection es una función adicional que proporciona una mayor seguridad al usar Citrix Virtual Apps and Desktops. La función restringe la posibilidad de que los clientes puedan verse amenazados por malware de registro de pulsaciones de teclas y malware de capturas de pantalla. App Protection evita la exfiltración de información confidencial, como credenciales de usuario e información confidencial que se muestran en la pantalla. La función evita que los usuarios y los atacantes hagan capturas de pantalla y usen registradores de pulsaciones de teclas para obtener y explotar información confidencial.

Notas:

  • Esta función está disponible cuando la aplicación Citrix Workspace se instala mediante los paquetes tarball, Debian y Red Hat Package Manager (RPM). Además, x64 y armhf son las únicas arquitecturas compatibles.
  • Esta función está disponible en implementaciones locales de Citrix Virtual Apps and Desktops. También en implementaciones que usa n Citrix Virtual Apps and Desktops Service con StoreFront.

App Protection requiere instalar una licencia adicional en el servidor de licencias. También debe haber presente una licencia de Citrix Virtual Desktops. Para obtener información sobre las licencias, consulte la sección Configuración de Citrix Virtual Apps and Desktops.

A partir de la versión 2108, la función App Protection es completamente funcional. La función App Protection está disponible en sesiones de escritorios y aplicaciones, y está habilitada de forma predeterminada. Sin embargo, debe configurar la función App Protection en el archivo AuthManConfig.xml para habilitarla en las interfaces del administrador de autenticación y de Self-Service Plug-in.

A partir de esta versión, puede iniciar recursos protegidos desde la aplicación Citrix Workspace mientras se ejecuta Mozilla Firefox.

Requisito previo:

App Protection funciona mejor con estos sistemas operativos y GNOME Display Manager:

  • Ubuntu 18.04, Ubuntu 20.04 y Ubuntu 22.04 de 64 bits
  • Debian 9 y Debian 10 de 64 bits
  • CentOS 7 de 64 bits
  • RHEL 7 de 64 bits
  • Sistema operativo Raspberry Pi (Buster) con armhf de 32 bits (basado en Debian 10)
  • Sistema operativo ARM64 Raspberry Pi (basado en Debian 11 (bullseye))

Nota:

Si usa una versión de la aplicación Citrix Workspace anterior a 2204, la función App Protection no es compatible con los sistemas operativos que usa n glibc 2.34 o una versión posterior.

Si instala la aplicación Citrix Workspace con la función App Protection habilitada en un SO que usa glibc2.34 o una versión posterior, es posible que, al reiniciar el sistema, el SO no arranque. Para recuperarse de un error de arranque del SO, realice una de estas acciones:

  • Instale de nuevo el sistema operativo. Sin embargo, no admitimos la función App Protection en el sistema operativo que usa glibc2.34 o una versión posterior.
  • Vaya al modo de recuperación del sistema operativo y desinstale la aplicación Citrix Workspace desde un terminal.
  • Arranque el sistema desde el SO en directo y quite el archivo rm -rf /etc/ld.so.preload del SO existente.

Instalación del componente de App Protection:

Al instalar la aplicación Citrix Workspace con el paquete tarball, aparece el mensaje siguiente.

“¿Quiere instalar el componente de App Protection? Advertencia: No puede inhabilitar esta función. Para inhabilitarla, debe desinstalar la aplicación Citrix Workspace. Para obtener más información, contacte con el administrador de sistemas. [default $INSTALLER_N]:”

Presione Y para instalar el componente de App Protection.

De forma predeterminada, el componente de App Protection no está instalado.

Reinicie la máquina para que los cambios surtan efecto. App Protection funciona como es debido solamente tras reiniciar la máquina.

Instalación del componente de App Protection en paquetes RPM:

A partir de la versión 2104, App Protection se ofrece en la versión RPM de la aplicación Citrix Workspace.

Para instalar App Protection, haga esto:

  1. Al instalar la aplicación Citrix Workspace.
  2. Instale el paquete ctxappprotection<version>.rpm de App Protection desde el instalador de la aplicación Citrix Workspace.
  3. Reinicie el sistema para que los cambios surtan efecto.

Instalación del componente de App Protection en paquetes Debian:

A partir de la versión 2101, App Protection se ofrece en la versión Debian de la aplicación Citrix Workspace.

Para una instalación silenciosa del componente de App Protection, ejecute el siguiente comando desde el terminal antes de instalar la aplicación Citrix Workspace:

export DEBIAN_FRONTEND="noninteractive"
sudo debconf-set-selections <<< "icaclient app_protection/install_app_protection select yes"

sudo debconf-show icaclient
* app_protection/install_app_protection: yes

sudo apt install -f ./icaclient_<version>._amd64.deb
<!--NeedCopy-->

A partir de la versión 2106, la aplicación Citrix Workspace presenta una opción para configurar las funciones de protección contra el registro de tecleo y protección contra capturas de pantalla por separado para las interfaces del administrador de autenticación y del Self-Service Plug-in.

Configuración de App Protection para el administrador de autenticación:

Vaya a $ICAROOT/config/AuthManConfig.xml y modifique el archivo de esta manera:


/opt/Citrix/ICAClient/config$ cat AuthManConfig.xml | grep -i authmananti -A 1
    <key>AuthManAntiScreenCaptureEnabled</key>
    <value>true</value>
    <key>AuthManAntiKeyLoggingEnabled</key>
    <value>true</value>

<!--NeedCopy-->

Configuración de App Protection para la interfaz del Self-Service Plug-in:

Vaya a $ICAROOT/config/AuthManConfig.xml y modifique el archivo de esta manera:


/opt/Citrix/ICAClient/config$ cat AuthManConfig.xml | grep -i protection -A 4
<!-- Selfservice App Protection configuration -->
    <Selfservice>
      <AntiScreenCaptureEnabled>true</AntiScreenCaptureEnabled>
      <AntiKeyLoggingEnabled>true</AntiKeyLoggingEnabled>
    </Selfservice>

<!--NeedCopy-->

Problemas conocidos:

  • Al minimizar una pantalla protegida, App Protection continúa ejecutándose en segundo plano.

Limitación:

  • A veces, no se pueden iniciar recursos protegidos cuando se está ejecutando una aplicación instalada desde Snap Store. Como solución temporal, identifique la aplicación que causa el problema en el archivo de registros de la aplicación Citrix Workspace. Luego, cierre la aplicación.
  • Al intentar hacer una captura de pantalla de una ventana protegida, toda la pantalla, incluidas las aplicaciones no protegidas en segundo plano, se atenuaba.

Tiempo de espera por inactividad para la aplicación Citrix Workspace

La función de tiempo de espera por inactividad cierra su sesión de la aplicación Citrix Workspace en función de un valor que establece el administrador. Desde la versión 2303 y posteriores, los administradores pueden especificar el tiempo de inactividad que se permite antes de que se cierre la sesión de usuario automáticamente en la aplicación Citrix Workspace. Se cierra la sesión automáticamente cuando no hay actividad del mouse, del teclado ni táctil durante el intervalo de tiempo especificado dentro de la ventana de la aplicación Citrix Workspace. El tiempo de espera por inactividad no afecta a las sesiones de Citrix Virtual Apps and Desktops y Citrix DaaS ni a almacenes de StoreFront.

El valor del tiempo de espera por inactividad se puede establecer desde 10 minutos a 1440 minutos. El intervalo para cambiar este valor de tiempo de espera debe estar en un múltiplo de 5. Por ejemplo: 10, 15, 20 o 25 minutos. De forma predeterminada, el tiempo de espera por inactividad no está configurado.

Nota:

Esta función solo es aplicable en implementaciones en la nube.

Como requisito previo, debe habilitar esta función en el archivo AuthManConfig.xml. Vaya a $ICAROOT/config/AuthManConfig.xml y agregue estas entradas:

<key>ITOEnabled</key>
<value>true</value>
<!--NeedCopy-->

Los administradores pueden configurar la propiedad inactivityTimeoutInMinutes mediante un módulo de PowerShell.

Pasos para configurar InactivityTimeoutInMinutes en la máquina cliente:

  1. Descargue el módulo Configuring Citrix Workspace using PowerShell.
  2. Para usar el módulo, debe generar un secreto y un ID de cliente de la API. Para obtener más información sobre cómo obtener credenciales y empezar a usar las API de Citrix Cloud, consulte Introducción a las API de Citrix Cloud.
  3. Para importar este módulo, pase la ruta del directorio Citrix.Workspace.StoreConfigs al cmdlet Import-Module; es decir, desde el directorio que contiene este archivo, ejecute Import-Module ./Citrix.Workspace.StoreConfigs.
  4. Una vez importado el módulo, ejecute Get-Help -Full para obtener ayuda sobre un cmdlet específico. Por ejemplo: Get-Help Set-WorkspaceCustomConfigurations -Full
  5. Ejecute este comando para establecer inactivityTimeoutInMinutes en 1 hora. Por ejemplo:

    Set-WorkspaceCustomConfigurations -WorkspaceUrl -ClientId -ClientSecret -InactivityTimeoutInMinutes "60"
    <!--NeedCopy-->
    

    No necesita ejecutar el comando anterior en todos los clientes; solo debe ejecutarlo una vez y probarlo.

La experiencia del usuario final es la siguiente:

  • Aparecerá una notificación tres minutos antes de que se le cierre la sesión, con la opción de mantener la sesión abierta o cerrar la sesión.
  • Los usuarios pueden hacer clic en Mantener sesión abierta para descartar la notificación y seguir utilizando la aplicación. En ese caso, el temporizador de inactividad se restablece a su valor configurado. También puede hacer clic en Cerrar sesión para finalizar la sesión del almacén actual.

Nota:

La función de tiempo de espera por inactividad no admite distribuciones que tengan Wayland como el protocolo gráfico predeterminado. En el caso de distribuciones que tengan Wayland, quite la marca de comentario de una de estas opciones: WaylandEnable=false en /etc/gdm/custom.conf o en /etc/gdm3/custom.conf.

Inicio de sesión persistente

Desde la versión 2303 de la aplicación Citrix Workspace y versiones posteriores, la función de inicio de sesión persistente le permite permanecer conectado durante un período máximo (de 2 a 365 días) configurado por su administrador. Cuando esta función está habilitada, no necesita proporcionar las credenciales de inicio de sesión para la aplicación Citrix Workspace durante el período configurado.

Con esta funcionalidad, las sesiones de SSO en Citrix DaaS se prolongan hasta 365 días. Esta ampliación se basa en el tiempo de vida de los tokens de larga duración. Sus credenciales se almacenan en la caché de forma predeterminada durante 4 días o la duración definida, lo que sea inferior. Y, luego, se prolonga cuando hay actividad de nuevo dentro de estos 4 días al conectarse a la aplicación Citrix Workspace.

Configurar la función de inicio de sesión persistente

Un administrador debe configurar el inicio de sesión persistente en el entorno de Workspace con este procedimiento:

  1. Inicie sesión en Citrix Cloud.
  2. En la consola de Citrix Cloud, haga clic en el menú de la esquina superior izquierda de la pantalla.
  3. Seleccione la opción Configuración del Workspace > Personalizar > Preferencias.
  4. Desplácese hacia abajo hasta Período de reautenticación de la aplicación Workspace.
  5. Haga clic en Modificar junto al campo Período de reautenticación actual.
  6. Introduzca los días necesarios en el campo Período de reautenticación actual.
  7. Debe introducir dos días o más en el campo Período de reautenticación actual.

Para obtener más información, consulte las instrucciones de la sección Período de reautenticación para la aplicación Workspace en esta imagen:

Período de reautenticación de la aplicación Workspace

Experiencia con la autenticación mejorada

La ventana de inicio de sesión persistente está integrada en la ventana de autoservicio.

  1. Acceda a la aplicación Citrix Workspace. Aparece la ventana de autenticación.

    Ventana de autenticación

  2. Inicie sesión con sus credenciales. Se le redirigirá a la solicitud de permiso para aceptar.

    Ventana de permisos

  3. Haga clic en Permitir.

Nota:

Si selecciona Denegar y rechaza el consentimiento, verá una segunda solicitud de inicio de sesión, y tendrá que iniciar sesión en la aplicación Citrix Workspace cada 24 horas.

Inhabilitar la función de inicio de sesión

Un administrador puede inhabilitar la función de inicio de sesión persistente en la interfaz de usuario de Citrix Cloud o en el archivo AuthManConfig.xml . Sin embargo, el valor establecido en el archivo AuthManConfig.xml supedita el valor establecido en la interfaz de usuario de Citrix Cloud.

Usar la interfaz de usuario Citrix Cloud

  1. Inicie sesión en Citrix Cloud.
  2. En la consola de Citrix Cloud, haga clic en el menú de la esquina superior izquierda de la pantalla.
  3. Seleccione la opción Configuración del Workspace > Personalizar > Preferencias.
  4. Desplácese hacia abajo hasta Período de reautenticación de la aplicación Workspace.
  5. Haga clic en Modificar junto al campo Período de reautenticación actual.
  6. Introduzca un día en el campo Período de reautenticación actual.

Usar el archivo AuthManConfig.xml

Para inhabilitar la función de inicio de sesión persistente, haga lo siguiente:

  1. Vaya al archivo <ICAROOT>/config/AuthManConfig.xml.
  2. Defina los valores de esta manera:

    <AuthManLite>
        <primaryTokenLifeTime>1.00:00:00</primaryTokenLifeTime>
        <secondaryTokenLifeTime>0.01:00:00</secondaryTokenLifeTime>
        <longLivedTokenSupport>true</longLivedTokenSupport>
        <nativeLoggingEnabled>true</nativeLoggingEnabled>
        <platform>linux</platform>
        <saveTokens>true</saveTokens>
        <compressedGroupsEnabled>true</compressedGroupsEnabled>
    </AuthManLite>
    <!--NeedCopy-->
    
Seguridad