Citrix Virtual Apps and Desktops

Protection des applications

La protection des applications est une fonctionnalité complémentaire pour l’application Citrix Workspace qui offre une sécurité renforcée lors de l’utilisation des ressources publiées Citrix Virtual Apps and Desktops.

Deux stratégies offrent des fonctionnalités de protection contre les programmes d’enregistrement de frappe et de capture d’écran dans une session Citrix HDX. Les stratégies ainsi que l’application Citrix Workspace 1912 pour Windows ou l’application Citrix Workspace 2001 pour Mac (versions minimales) peuvent aider à protéger les données contre les programmes d’enregistrement de frappe et de capture d’écran.

Lorsque la protection contre les programmes d’enregistrement de frappe est activée :

  • L’enregistreur de frappe voit s’afficher des combinaisons de frappes chiffrées.
  • Cette fonction n’est active que lorsqu’une fenêtre protégée a le focus.

Lorsque la protection contre les programmes d’enregistrement de capture d’écran est activée :

  • La capture d’écran apparaît comme un écran vide sous Windows. Sur macOS, seul le contenu de la fenêtre protégée est vide.
  • Cette fonction est active lorsqu’une fenêtre protégée est visible (non réduite).

Vous configurez les stratégies via PowerShell uniquement. Il n’y a pas de capacité d’administration via l’interface utilisateur graphique. Cette configuration est requise uniquement pour activer ou désactiver la fonctionnalité pour un groupe de mise à disposition spécifique.

Après avoir acheté cette fonctionnalité, assurez-vous d’activer la licence de protection d’application et les stratégies de protection d’application et d’importer la table de fonctionnalités FeatureTable.OnPrem.AppProtection.xml.

Clause d’exclusion de responsabilité :

Les stratégies de protection des applications fonctionnent en filtrant l’accès aux fonctions requises du système d’exploitation sous-jacent (appels d’API spécifiques nécessaires pour capturer des écrans ou des frappes de clavier). Cela signifie que les stratégies de protection des applications peuvent fournir une protection même contre les outils de piratage personnalisés et spécifiques. Cependant, à mesure que les systèmes d’exploitation évoluent, de nouveaux programmes d’enregistrement de frappe et de capture d’écran peuvent émerger. Bien que nous continuions à les identifier et à les traiter, nous ne pouvons pas garantir une protection complète dans des configurations et des déploiements spécifiques.

Limitations

Ces limitations sont délibérées :

  • La protection contre les programmes d’enregistrement de frappe n’est pas prise en charge dans les sessions HDX ou RDP. La protection des points de terminaison est toujours active. Cette limitation s’applique uniquement aux scénarios double-hop.
  • Aucune fonctionnalité ne prend en charge l’utilisation d’une version non prise en charge de l’application Citrix Workspace ou de Citrix Receiver. Dans ce cas, les ressources sont masquées.
  • Aucune fonctionnalité ne prend en charge les services Citrix Cloud. La protection des applications est prise en charge uniquement pour les déploiements Citrix Virtual Apps and Desktops locaux.
  • La fonctionnalité n’est pas prise en charge avec les magasins en ligne StoreFront.

Comportement attendu

Les comportements attendus dépendent de la façon dont vous accédez au magasin StoreFront qui contient des ressources protégées. Vous pouvez accéder aux ressources à l’aide d’un client d’application Citrix Workspace natif pris en charge.

  • Comportement sur StoreWeb : les applications dotées de stratégies de protection des applications ne sont pas énumérées dans les magasins Web StoreFront.
  • Comportement sur les applications Citrix Receiver ou Citrix Workspace non prises en charge : les applications dotées de stratégies de protection des applications ne sont pas énumérées.
  • Comportement sur les versions d’application Citrix Workspace prises en charge : les ressources protégées sont énumérées et démarrent correctement.

La protection est appliquée dans les conditions suivantes :

  • Prévention de capture d’écran : activée si une fenêtre protégée est visible sur l’écran. Pour désactiver la protection, réduisez toutes les fenêtres protégées.
  • Protection contre les programmes d’enregistrement de frappe : activée si le focus est sur une fenêtre protégée. Pour désactiver la protection, déplacez le focus sur une autre fenêtre.

Éléments inclus dans la protection des applications

Pour effectuer une capture d’écran d’une fenêtre d’application d’espace de travail autre que Citrix, les utilisateurs doivent d’abord minimiser la fenêtre protégée.

Par défaut, la protection des applications protège les fenêtres Citrix suivantes :

  • Fenêtres d’ouverture de session Citrix : les boîtes de dialogue d’authentification Citrix Workspace sont protégées uniquement sur les systèmes d’exploitation Windows.

Fenêtre d'ouverture de session Citrix (protégée)

  • Fenêtres de session HDX de l’application Citrix Workspace (exemple, bureau géré)

Fenêtre de bureau géré Citrix (protégé)

  • Fenêtres du magasin en libre-service

Fenêtres du magasin Citrix en libre-service (protégé)

Éléments non inclus dans la protection des applications

Les éléments sous l’icône des applications Citrix Workspace dans la barre de navigation :

  • Centre de connexion
  • Tous les liens sous Préférences avancées
  • Personnaliser
  • Rechercher les mises à jour
  • Déconnexion

Configuration système requise

Versions minimales des composants Citrix :

  • Version LTSR (Long Term Service Release) de l’application Citrix Workspace 1912 pour Windows
  • Application Citrix Workspace 2002 pour Windows
  • Application Citrix Workspace 2001 pour Mac
  • StoreFront 1912
  • Delivery Controller 1912
  • Licences Citrix valides
    • Licence complémentaire pour la protection des applications
    • Citrix Virtual Apps and Desktops 1912

Plates-formes du système d’exploitation :

Ces systèmes d’exploitation sont pris en charge sur le point de terminaison. Le VDA prend en charge tous les systèmes d’exploitation.

  • Windows 10
  • Windows 8.1
  • Windows 7
  • macOS High Sierra (10.13) et versions ultérieures

Configurer

Après avoir acheté la protection des applications, procédez comme suit pour configurer et activer complètement la fonctionnalité :

  1. Importez la licence de protection des applications.
  2. Configurez l’application Workspace.
  3. Importer la table des fonctionnalités FeatureTable.OnPrem.AppProtection.xml.
  4. Activez les stratégies de protection des applications sur les Delivery Controller.

1. Système de licences

La protection des applications nécessite l’installation d’une licence complémentaire sur le serveur de licences Citrix. Une licence minimale Citrix Virtual Desktops 1912 doit être présente. Contactez un représentant commercial Citrix pour acheter la licence complémentaire de protection des applications.

  1. Téléchargez le fichier de licence et importez-le dans le serveur de licences Citrix à côté d’une licence Citrix Virtual Desktops existante.
  2. Utilisez Citrix Licensing Manager pour importer le fichier de licence (méthode préférée) ou copiez le fichier de licence dans C:\Program Files (x86)\Citrix\Licensing\MyFiles sur le serveur de licences et redémarrez Citrix Licensing Service. Pour de plus amples informations, consultez Installer des licences.

2. Application Citrix Workspace

Configurez la protection des applications sur l’application Citrix Workspace.

Application Citrix Workspace pour Windows :

Vous pouvez inclure le composant de protection des applications avec l’application Citrix Workspace à l’aide des méthodes suivantes :

  • Lors de l’installation de l’application Citrix Workspace
  • À l’aide de l’interface de ligne de commande après l’installation de l’application Citrix Workspace

Vérifiez que l’application Citrix Workspace a été installée avec le commutateur /includeappprotection activé.

Pour de plus amples informations, consultez Protection des applications.

Application Citrix Workspace pour Mac :

La protection des applications ne nécessite aucune configuration spécifique sur l’application Citrix Workspace pour Mac.

3. Fichier de table de fonctionnalités

Après avoir acheté la fonctionnalité de protection des applications, assurez-vous d’activer la licence et les stratégies de protection des applications, et d’importer la table de fonctionnalités FeatureTable.OnPrem.AppProtection.xml.

La section Composants de la page de téléchargement Citrix Virtual Apps and Desktops 1912 (ou version ultérieure) contient le fichier XML requis. Vous devez disposer d’un compte Citrix pour télécharger le fichier.

Par défaut, la protection des applications est désactivée. Pour activer la fonctionnalité, utilisez l’applet de commande Import-ConfigFeatureTable pour importer la table de fonctionnalités FeatureTable.OnPrem.AppProtection.xml, sur laquelle la protection des applications est activée. Exécutez l’applet de commande une fois pour l’ensemble du site. Pour de plus amples informations, consultez Import-Configfeaturetable.

Import-ConfigFeatureTable –Path .\FeatureTable.OnPrem.AppProtection.xml

Vous pouvez exécuter l’applet de commande sur n’importe quelle machine Delivery Controller ou sur une machine avec un composant Studio autonome sur laquelle les composants logiciels enfichables FMA PowerShell sont installés.

Pour vérifier que la protection des applications est activée, exécutez Get-ConfigEnabledFeature | Select-String –Pattern ‘AppProtection’.

4. Groupes de mise à disposition

Activez les propriétés suivantes pour le groupe de mise à disposition de protection des applications à l’aide du SDK PowerShell sur n’importe quelle machine Delivery Controller ou sur une machine avec un composant Studio autonome sur laquelle les composants logiciels enfichables FMA PowerShell sont installés.

  • AppProtectionKeyLoggingRequired : True
  • AppProtectionScreenCaptureRequired : True

Vous pouvez activer chacune de ces stratégies individuellement par groupe de mise à disposition. Par exemple, vous pouvez configurer la protection contre l’enregistrement de frappe uniquement pour le groupe de mise à disposition DG1, et la protection contre l’enregistrement de capture d’écran uniquement pour le groupe de mise à disposition DG2. Vous pouvez activer les deux stratégies pour le groupe de mise à disposition DG3.

Exemple :

Pour activer les deux stratégies pour un groupe de mise à disposition nommé DG3, exécutez la commande suivante sur n’importe quel Delivery Controller du site :

Set-BrokerDesktopGroup -Name DG3 -AppProtectionKeyLoggingRequired $true -AppProtectionScreenCaptureRequired $true

Pour valider les paramètres, exécutez cette applet de commande :

Get-BrokerDesktopGroup -Property Name, AppProtectionKeyLoggingRequired, AppProtectionScreenCaptureRequired | Format-Table -AutoSize

Activez aussi l’approbation XML :

Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true

Assurez-vous de sécuriser le réseau entre StoreFront et le broker. Pour plus d’informations, consultez les articles CTX236929 et Sécurisation du service XML XenApp et XenDesktop du centre de connaissances.

Conseil

Les stratégies de protection des applications sont principalement axées sur l’amélioration de la sécurité et de la protection d’un point de terminaison. Passez en revue toutes les autres recommandations et stratégies de sécurité pour votre environnement. Vous pouvez utiliser un modèle de stratégie Sécurité et contrôle pour une configuration recommandée dans des environnements à faible tolérance au risque. Pour de plus amples informations, consultez Modèles de stratégie.

Dépannage

Les applications ne sont pas énumérées ou ne démarrent pas :

  • Vérifiez que l’utilisateur affecté utilise une version prise en charge de l’application Citrix Workspace.
  • Assurez-vous que la fonctionnalité est activée sur le serveur StoreFront.
  • Assurez-vous que les fonctions appropriées sont activées dans le groupe de mise à disposition.

Les stratégies de protection des applications ne s’appliquent pas correctement:

  • Assurez-vous que la fonctionnalité est activée sur StoreFront.
  • Assurez-vous que les fonctions appropriées sont activées dans le groupe de mise à disposition.
  • Assurez-vous que la fonctionnalité est installée sur le point de terminaison.
  • Assurez-vous que l’utilisateur affecté utilise une version prise en charge de l’application Citrix Workspace.
  • Vérifiez que l’application Citrix Workspace a été installée avec le commutateur /includeappprotection activé.

Les captures d’écran ne fonctionnent pas sur les fenêtres non Citrix :

  • Réduisez ou fermez les fenêtres Citrix protégées.