Documentation produit
Citrix Virtual Apps and Desktops
Service Current Release 2209 2206 2203 LTSR 2112 2109 2106 2103 1912 LTSR
Voir PDF

Protection des applications

September 7, 2022
Contributeur: 
C

La protection des applications est une fonctionnalité complémentaire pour l’application Citrix Workspace qui offre une sécurité renforcée lors de l’utilisation des ressources publiées Citrix Virtual Apps and Desktops.

Deux stratégies offrent des fonctionnalités de protection contre les programmes d’enregistrement de frappe et de capture d’écran dans une session Citrix HDX. Les stratégies ainsi que l’application Citrix Workspace 1912 pour Windows, Citrix Workspace 2001 pour Mac ou Citrix Workspace 2108 pour Linux (versions minimales) peuvent aider à protéger les données contre les programmes d’enregistrement de frappe et de capture d’écran.

Lorsque la protection contre les programmes d’enregistrement de frappe est activée :

  • L’enregistreur de frappe voit s’afficher des combinaisons de frappes chiffrées.
  • Cette fonction n’est active que lorsqu’une fenêtre protégée a le focus.

Lorsque la protection contre les programmes d’enregistrement de capture d’écran est activée :

  • La capture d’écran apparaît comme un écran vide sous Windows et Linux. Sur macOS, seul le contenu de la fenêtre protégée est vide.
  • Pour Windows OS et macOS, cette fonctionnalité est active lorsqu’une fenêtre protégée est visible (non réduite). Pour Linux, la fonctionnalité est active lorsqu’une fenêtre protégée est réduite ou agrandie.

Vous configurez les stratégies via PowerShell uniquement. Il n’y a pas de capacité d’administration via l’interface utilisateur graphique. Cette configuration est requise uniquement pour activer ou désactiver la fonctionnalité pour un groupe de mise à disposition spécifique.

Après avoir acheté cette fonctionnalité, assurez-vous d’activer la licence de protection d’application.

Clause d’exclusion de responsabilité :

Les stratégies de protection des applications fonctionnent en filtrant l’accès aux fonctions requises du système d’exploitation sous-jacent (appels d’API spécifiques nécessaires pour capturer des écrans ou des frappes de clavier). Cela signifie que les stratégies de protection des applications peuvent fournir une protection même contre les outils de piratage personnalisés et spécifiques. Cependant, à mesure que les systèmes d’exploitation évoluent, de nouveaux programmes d’enregistrement de frappe et de capture d’écran peuvent émerger. Bien que nous continuions à les identifier et à les traiter, nous ne pouvons pas garantir une protection complète dans des configurations et des déploiements spécifiques.

Les stratégies de protection Citrix App fonctionnent efficacement avec les composants sous-jacents du système d’exploitation, y compris les fichiers ICA. Citrix ne serait pas en mesure de fournir son assistance si une altération ou une modification intentionnelle des composants sous-jacents était détectée, afin de préserver l’intégrité des stratégies appliquées.

Limitations

Ces limitations sont délibérées :

  • La protection contre les programmes d’enregistrement de frappe n’est pas prise en charge dans les sessions HDX ou RDP. La protection des points de terminaison est toujours active. Cette limitation s’applique uniquement aux scénarios double-hop.
  • Aucune fonctionnalité ne prend en charge l’utilisation d’une version non prise en charge de l’application Citrix Workspace ou de Citrix Receiver. Dans ce cas, les ressources sont masquées.
  • La protection des applications est prise en charge pour les déploiements locaux de Citrix Virtual Apps and Desktops et Citrix Virtual Apps and Desktops Service avec StoreFront et Workspace.
  • La fonctionnalité n’est pas prise en charge avec les magasins en ligne StoreFront.
  • La fonctionnalité complémentaire de protection des applications pour l’application Citrix Workspace empêche le partage d’écran sortant.
  • La protection des applications peut empêcher le partage d’écran sortant et entrant avec des applications de collaboration ou des fonctionnalités pour lesquelles l’optimisation est activée.
  • Les applications avec des stratégies de protection des applications ne sont pas énumérées dans les baux de connexion. Par conséquent, la continuité des services n’affiche pas les icônes de l’application/du bureau dans l’application Citrix Workspace en mode panne ou hors connexion.

Comportement attendu

Les comportements attendus dépendent de la façon dont vous accédez au magasin StoreFront qui contient des ressources protégées. Vous pouvez accéder aux ressources à l’aide d’un client d’application Citrix Workspace natif pris en charge.

  • Comportement sur StoreWeb : les applications dotées de stratégies de protection des applications ne sont pas énumérées dans les magasins Web StoreFront.
  • Comportement sur les applications Citrix Receiver ou Citrix Workspace non prises en charge : les applications dotées de stratégies de protection des applications ne sont pas énumérées.
  • Comportement sur les versions d’application Citrix Workspace prises en charge : les ressources protégées sont énumérées et démarrent correctement.

La protection est appliquée dans les conditions suivantes :

  • Prévention de capture d’écran : pour Windows et Mac, activée si une fenêtre protégée est visible sur l’écran. Pour désactiver la protection, réduisez toutes les fenêtres protégées. Pour Linux, elle est activée si une fenêtre protégée est active. Pour désactiver la protection, fermez toutes les fenêtres protégées.
  • Protection contre les programmes d’enregistrement de frappe : activée si le focus est sur une fenêtre protégée. Pour désactiver la protection, déplacez le focus sur une autre fenêtre.

Éléments inclus dans la protection des applications

Pour effectuer une capture d’écran d’une fenêtre d’application d’espace de travail autre que Citrix, les utilisateurs doivent d’abord minimiser la fenêtre protégée. Pour Linux, les utilisateurs doivent fermer toutes les fenêtres protégées.

Par défaut, la protection des applications protège les fenêtres Citrix suivantes :

  • Fenêtres d’ouverture de session Citrix : les boîtes de dialogue d’authentification Citrix Workspace sont protégées uniquement sur les systèmes d’exploitation Windows. Pour Linux, vous devez configurer la fonctionnalité de protection de l’application dans le fichier AuthManConfig.xml pour l’activer pour Authentication Manager.

Fenêtre d'ouverture de session Citrix (protégée)

  • Fenêtres de session HDX de l’application Citrix Workspace (exemple, bureau géré)

Fenêtre de bureau géré par Citrix (protégée)

  • Fenêtres du magasin en libre-service : les fenêtres libre-service Citrix Workspace sont protégées uniquement sur les systèmes d’exploitation Windows. Pour Linux, vous devez configurer la fonctionnalité de protection de l’application dans le fichier AuthManConfig.xml pour l’activer pour les fenêtres libre-service.

Fenêtre du magasin en libre-service (protégée)

Éléments non inclus dans la protection des applications

Les éléments sous l’icône des applications Citrix Workspace dans la barre de navigation :

  • Centre de connexion
  • Tous les liens sous Préférences avancées
  • Personnaliser
  • Rechercher les mises à jour
  • Déconnexion

Configuration système requise

Versions minimales des composants Citrix

  • Application Citrix Workspace 2108 pour Linux
  • Version LTSR (Long Term Service Release) de l’application Citrix Workspace 1912 pour Windows
  • Application Citrix Workspace 2002 pour Windows
  • Application Citrix Workspace 2001 pour Mac
  • StoreFront 1912
  • Delivery Controller 1912
  • Licences Citrix valides
    • Licence complémentaire pour la protection des applications
    • Une licence valide pour Citrix Virtual Apps and Desktops 1912 ou version ultérieure

Plates-formes du système d’exploitation

L’exécution des stratégies de protection des applications est installée sur le point de terminaison à partir duquel vous vous connectez et non sur le VDA auquel vous vous connectez. Par conséquent, seule la version du système d’exploitation du point de terminaison a une importance. (La protection des applications peut se connecter aux VDA hébergés sur tous les systèmes d’exploitation pris en charge décrits dans Configuration requise pour Citrix Virtual Apps and Desktops.)

La fonctionnalité de protection des applications est prise en charge sur les points de terminaison exécutant les systèmes d’exploitation suivants :

  • Windows 10
  • Windows 8.1
  • Windows 7
  • macOS High Sierra (10.13) et versions ultérieures
  • Ubuntu 18.04 (64 bits) et versions ultérieures
  • Debian 9 (64 bits) et versions ultérieures
  • CentOS 7.5 (64 bits) et versions ultérieures
  • RHEL 7.5 (64 bits) et versions ultérieures
  • ARMHF Raspbian 10 (Buster) (32 bits) et versions ultérieures

Remarque :

Pour la protection des applications, l’application Citrix Workspace pour Linux nécessite Gnome Display Manager avec les systèmes d’exploitation pris en charge.

Configurer

Procédez comme suit pour configurer et activer complètement la fonctionnalité de protection des applications :

  1. Importez la licence de protection des applications.†
  2. Configurez l’application Workspace.
  3. Activez les stratégies de protection des applications sur les Delivery Controller.†

† Dans un environnement Citrix Virtual Apps and Desktops Service, ces étapes de configuration diffèrent légèrement. Consultez les notes de ces sections.

1. Gestion des licences

Remarque :

Dans un environnement Citrix Virtual Apps and Desktops Service, ignorez cette étape car il n’y a aucune licence à installer. La fonctionnalité de protection des applications est incluse dans certains packages de services Citrix Cloud et les licences sont fournies directement sur Citrix Cloud.

La protection des applications nécessite l’installation d’une licence complémentaire sur le serveur de licences Citrix. Une licence valide pour Citrix Virtual Apps and Desktops 1912 ou version ultérieure doit également être présente. Contactez un représentant commercial Citrix pour acheter la licence complémentaire de protection des applications.

  1. Téléchargez le fichier de licence et importez-le dans le serveur de licences Citrix à côté d’une licence Citrix Virtual Desktops existante.
  2. Utilisez Citrix Licensing Manager pour importer le fichier de licence (méthode préférée) ou copiez le fichier de licence dans C:\Program Files (x86)\Citrix\Licensing\MyFiles sur le serveur de licences et redémarrez Citrix Licensing Service. Pour de plus amples informations, consultez la section Installer des licences.

2. Application Citrix Workspace

Configurez la protection des applications sur l’application Citrix Workspace.

Application Citrix Workspace pour Windows

Vous pouvez inclure le composant de protection des applications avec l’application Citrix Workspace à l’aide des méthodes suivantes :

  • Lors de l’installation de l’application Citrix Workspace
  • À l’aide de l’interface de ligne de commande après l’installation de l’application Citrix Workspace

Vérifiez que l’application Citrix Workspace a été installée avec le commutateur /includeappprotection activé.

Pour plus d’informations, consultez Protection des applications.

Application Citrix Workspace pour Mac

La protection des applications ne nécessite aucune configuration spécifique sur l’application Citrix Workspace pour Mac.

Application Citrix Workspace pour Linux

La protection des applications est prise en charge lorsque l’application Citrix Workspace pour Linux est installée à l’aide des paquets Tarball, Debian et Red Hat Package Manager (RPM). Les architectures prises en charge sont x64 et ARMHF.

Pour plus d’informations, consultez Protection des applications.

3. Groupes de mise à disposition

Remarque :

Dans un environnement Citrix Virtual Apps and Desktops Service, utilisez les applets de commande dans le Kit de développement logiciel distant SDK Citrix Virtual Apps and Desktops Remote PowerShell sur n’importe quelle machine (à l’exception des machines Citrix Cloud Connector) pour émettre les commandes de cette section.

Activez les propriétés suivantes pour le groupe de mise à disposition de protection des applications à l’aide du SDK Citrix Virtual Apps and Desktops sur n’importe quelle machine Delivery Controller ou sur une machine avec un composant Studio autonome sur laquelle les composants logiciels enfichables FMA PowerShell sont installés.

  • AppProtectionKeyLoggingRequired : True
  • AppProtectionScreenCaptureRequired : True

Vous pouvez activer chacune de ces stratégies individuellement par groupe de mise à disposition. Par exemple, vous pouvez configurer la protection contre l’enregistrement de frappe uniquement pour le groupe de mise à disposition DG1, et la protection contre l’enregistrement de capture d’écran uniquement pour le groupe de mise à disposition DG2. Vous pouvez activer les deux stratégies pour le groupe de mise à disposition DG3.

Exemple

Pour activer les deux stratégies pour un groupe de mise à disposition nommé DG3, exécutez la commande suivante sur n’importe quel Delivery Controller du site :

Set-BrokerDesktopGroup -Name DG3 -AppProtectionKeyLoggingRequired $true -AppProtectionScreenCaptureRequired $true

Pour valider les paramètres, exécutez cette applet de commande :

Get-BrokerDesktopGroup -Property Name, AppProtectionKeyLoggingRequired, AppProtectionScreenCaptureRequired | Format-Table -AutoSize

Activez aussi l’approbation XML :

Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true

Assurez-vous de sécuriser le réseau entre StoreFront et le broker. Pour plus d’informations, consultez les articles CTX236929 et Sécurisation du service XML XenApp et XenDesktop du centre de connaissances.

Conseil

Les stratégies de protection des applications sont principalement axées sur l’amélioration de la sécurité et de la protection d’un point de terminaison. Passez en revue toutes les autres recommandations et stratégies de sécurité pour votre environnement. Vous pouvez utiliser un modèle de stratégie Sécurité et contrôle pour une configuration recommandée dans des environnements à faible tolérance au risque. Pour plus d’informations, veuillez consulter la section Modèles de stratégie.

Protection contextuelle des applications

La protection contextuelle des applications offre la flexibilité d’appliquer les stratégies de protection des applications de manière conditionnelle à un sous-ensemble d’utilisateurs, en fonction des utilisateurs, de leur appareil et de la position du réseau. Pour plus d’informations, consultez Protection contextuelle des applications.

Résolution des problèmes

Les applications ne sont pas énumérées ou ne démarrent pas :

  • Vérifiez que l’utilisateur affecté utilise une version prise en charge de l’application Citrix Workspace.
  • Assurez-vous que les fonctions appropriées sont activées dans le groupe de mise à disposition.

Les stratégies de protection des applications ne s’appliquent pas correctement:

  • Assurez-vous que les fonctions appropriées sont activées dans le groupe de mise à disposition.
  • Assurez-vous que la fonctionnalité est installée sur le point de terminaison.
  • Assurez-vous que l’utilisateur affecté utilise une version prise en charge de l’application Citrix Workspace.
  • Vérifiez que l’application Citrix Workspace a été installée avec le commutateur /includeappprotection activé.

Les captures d’écran ne fonctionnent pas sur les fenêtres non Citrix :

  • Réduisez ou fermez les fenêtres Citrix protégées, y compris l’application Citrix Workspace.
Protection des applications
September 7, 2022
Contributeur: 
C
September 7, 2022
Contributeur: 
C

Dans cet article

Commentaires sur le site | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement
© 1999- Cloud Software Group, Inc. All rights reserved.