Sécurité

App Protection

Clause d’exclusion de responsabilité

Les stratégies App Protection fonctionnent en filtrant l’accès aux fonctions requises du système d’exploitation sous-jacent. Les appels d’API spécifiques sont nécessaires pour capturer des écrans ou des frappes de clavier. L’utilisation de cette fonctionnalité signifie que les stratégies App Protection peuvent fournir une protection même contre les outils de piratage personnalisés et spécifiques. Cependant, à mesure que les systèmes d’exploitation évoluent, de nouveaux programmes d’enregistrement de frappe et de capture d’écran peuvent émerger. Bien que nous continuions à les identifier et à les traiter, nous ne pouvons pas garantir une protection complète dans des configurations et des déploiements spécifiques.

Le composant App Protection est une fonctionnalité complémentaire qui offre une sécurité renforcée lors de l’utilisation de Citrix Virtual Apps and Desktops. Cette fonctionnalité limite le risque d’être infecté par des programmes malveillants d’enregistrement de frappe et de capture d’écran. La fonction App Protection empêche l’exfiltration d’informations confidentielles telles que les informations d’identification de l’utilisateur et les informations sensibles affichées à l’écran. Cette fonctionnalité empêche les utilisateurs et les attaquants de prendre des captures d’écran et d’utiliser des enregistreurs de frappe pour récupérer et exploiter des informations sensibles.

Remarques :

• Cette fonctionnalité est prise en charge lorsque l’application Citrix Workspace est installée à l’aide des paquets Tarball, Debian et Red Hat Package Manager (RPM). De plus, x64 et ARMHF sont les seules architectures prises en charge.
• Cette fonctionnalité est prise en charge sur les déploiements locaux de Citrix Virtual Apps and Desktops, ainsi que dans les déploiements utilisant Citrix Virtual Apps and Desktops Service avec StoreFront.

La fonction App Protection nécessite l’installation d’une licence complémentaire sur votre serveur de licences. Une licence Citrix Virtual Desktops doit être également présente. Pour de plus amples informations sur les licences, consultez la section Configurer dans la documentation de Citrix Virtual Apps and Desktops.

Depuis la version 2108, la fonction App Protection est entièrement fonctionnelle. La fonction App Protection prend en charge les applications et les sessions de bureau et est activée par défaut. Toutefois, vous devez configurer la fonctionnalité App Protection dans le fichier AuthManConfig.xml pour l’activer dans les interfaces Authentication Manager et Self-Service Plug-in.

Avec cette version, vous pouvez lancer des ressources protégées à partir de l’application Citrix Workspace pendant que Mozilla Firefox est en cours d’exécution.

Conditions préalables :

La fonctionnalité App Protection fonctionne mieux avec les systèmes d’exploitation suivants, ainsi qu’avec Gnome Display Manager :

• Ubuntu 18.04, Ubuntu 20.04 et Ubuntu 22.04 64 bits
• Debian 9 et Debian 10 64 bits
• CentOS 7 64 bits
• RHEL 7 64 bits
• Système d’exploitation Raspberry Pi 32 bits ARMHF (basé sur Debian 10 (Buster))
• Système d’exploitation ARM64 Raspberry Pi (basé sur Debian 11 (bullseye))

Remarque :

Si vous utilisez l’application Citrix Workspace antérieure à la version 2204, la fonctionnalité App Protection ne prend pas en charge les systèmes d’exploitation utilisant la version glibc 2.34 ou ultérieure.

Si vous installez l’application Citrix Workspace avec la fonctionnalité App Protection activée sur le système d’exploitation utilisant la bibliothèque glibc 2.34 ou une version ultérieure, le démarrage du système d’exploitation peut échouer lors du redémarrage du système. Pour activer la récupération après l’échec de démarrage du système d’exploitation, effectuez l’une des opérations suivantes :

• Réinstallez le système d’exploitation. Toutefois, nous ne prenons pas en charge la fonctionnalité App Protection sur le système d’exploitation utilisant glibc 2.34 ou version ultérieure.
• Accédez au mode Récupération du système d’exploitation et désinstallez l’application Citrix Workspace à l’aide du terminal.
• Démarrez via le système d’exploitation actif et supprimez le fichier rm -rf /etc/ld.so.preload du système d’exploitation existant.

Installer le composant App Protection :

Lorsque vous installez l’application Citrix Workspace à l’aide du package Tarball, le message suivant s’affiche.

« Souhaitez-vous installer le composant App Protection ? Avertissement : vous ne pouvez pas désactiver cette fonctionnalité. Pour désactiver cette fonctionnalité, vous devez désinstaller l’application Citrix Workspace. Pour plus d’informations, contactez votre administrateur système. [default $INSTALLER_N]:”

Entrez Y pour installer le composant App Protection.

Par défaut, le composant App Protection n’est pas installé.

Redémarrez votre machine pour que les modifications prennent effet. Le composant App Protection fonctionne comme prévu uniquement après le redémarrage de votre machine.

Installation du composant App Protection sur les packages RPM :

À partir de la version 2104, le composant App Protection est pris en charge sur la version RPM de l’application Citrix Workspace.

Pour installer le composant App Protection, procédez comme suit :

1. Installez l’application Citrix Workspace.
2. Installez le package App Protection ctxappprotection<version>.rpm à partir du programme d’installation de l’application Citrix Workspace.
3. Redémarrez le système pour que les modifications prennent effet.

Installation du composant App Protection sur les packages Debian :

À partir de la version 2101, le composant App Protection est pris en charge sur la version Debian de l’application Citrix Workspace.

Pour installer de façon silencieuse le composant App Protection, exécutez la commande suivante à partir du terminal avant d’installer l’application Citrix Workspace :

export DEBIAN_FRONTEND="noninteractive"
sudo debconf-set-selections <<< "icaclient app_protection/install_app_protection select yes"

sudo debconf-show icaclient
* app_protection/install_app_protection: yes

sudo apt install -f ./icaclient_<version>._amd64.deb
<!--NeedCopy-->

À compter de la version 2106, l’application Citrix Workspace introduit une option qui permet de configurer séparément les fonctionnalités de protection contre les programmes d’enregistrement de frappe et de capture d’écran pour les interfaces Authentication Manager et Self-Service Plug-in.

Configuration de la fonction App Protection pour Authentication Manager :

Accédez au fichier $ICAROOT/config/AuthManConfig.xml et modifiez-le comme suit :

/opt/Citrix/ICAClient/config$ cat AuthManConfig.xml | grep -i authmananti -A 1
    <key>AuthManAntiScreenCaptureEnabled</key>
    <value>true</value>
    <key>AuthManAntiKeyLoggingEnabled</key>
    <value>true</value>

<!--NeedCopy-->

Configuration de la fonction App Protection pour l’interface de Self-Service Plug-in :

Accédez au fichier $ICAROOT/config/AuthManConfig.xml et modifiez-le comme suit :

/opt/Citrix/ICAClient/config$ cat AuthManConfig.xml | grep -i protection -A 4
<!-- Selfservice App Protection configuration -->
    <Selfservice>
      <AntiScreenCaptureEnabled>true</AntiScreenCaptureEnabled>
      <AntiKeyLoggingEnabled>true</AntiKeyLoggingEnabled>
    </Selfservice>

<!--NeedCopy-->

Problèmes connus :

• Lorsque vous réduisez un écran protégé, le composant App Protection continue de s’exécuter en arrière-plan.

Limitation :

• Il se peut que vous ne parveniez pas à lancer de ressources protégées lorsqu’une application installée à partir du Snap Store est en cours d’exécution. Pour contourner le problème, identifiez l’application à l’origine du problème à partir du fichier journal de l’application Citrix Workspace. Fermez également l’application.
• Lorsque vous essayez de prendre une capture d’écran d’une fenêtre protégée, l’écran entier, y compris les applications non protégées en arrière-plan, est grisé.

Délai d’inactivité pour l’application Citrix Workspace

La fonctionnalité de délai d’inactivité vous déconnecte de l’application Citrix Workspace en fonction d’une valeur définie par l’administrateur. À partir de la version 2303, les administrateurs peuvent spécifier la durée d’inactivité autorisée avant qu’un utilisateur ne soit automatiquement déconnecté de l’application Citrix Workspace. Vous êtes automatiquement déconnecté lorsqu’aucune activité de la souris, du clavier ou d’interaction sur l’écran ne se produit pendant l’intervalle de temps spécifié, dans la fenêtre de l’application Citrix Workspace. Le délai d’inactivité n’affecte pas les sessions Citrix Virtual Apps and Desktops et Citrix DaaS déjà en cours d’exécution ni les magasins StoreFront.

La valeur de délai d’inactivité définie doit être comprise entre 10 et 1 440 minutes. L’intervalle pour modifier cette valeur de délai d’expiration doit être exprimé en multiples de 5. Par exemple : 10, 15, 20 ou 25 minutes. Par défaut, le délai d’inactivité n’est pas configuré.

Remarque :

Cette fonctionnalité est applicable uniquement sur les déploiements cloud.

En tant que condition préalable, vous devez activer cette fonctionnalité dans le fichier AuthManConfig.xml. Accédez à $ICAROOT/config/AuthManConfig.xml et ajoutez les entrées suivantes :

<key>ITOEnabled</key>
<value>true</value>
<!--NeedCopy-->

Les administrateurs peuvent configurer la propriété inactivityTimeoutInMinutes à l’aide d’un module PowerShell.

Étapes pour configurer la propriété InactivityTimeoutInMinutes sur la machine cliente :

1. Téléchargez le module de configuration de Citrix Workspace à l’aide de PowerShell.
2. Pour utiliser le module, vous devez générer un ID client API et un code secret. Pour plus d’informations sur l’obtention des informations d’identification et la prise en main des API Citrix Cloud, consultez l’article Get started with Citrix Cloud APIs.
3. Pour importer ce module, transmettez le chemin du répertoire Citrix.Workspace.StoreConfigs à l’applet de commande Import-Module, c’est-à-dire depuis le répertoire contenant ce fichier, exécutez Import-Module ./Citrix.Workspace.StoreConfigs.
4. Une fois le module importé, exécutez Get-Help -Full pour obtenir de l’aide pour une applet de commande spécifique. Par exemple : Get-Help Set-WorkspaceCustomConfigurations -Full

5. Exécutez la commande suivante pour définir inactivityTimeoutInMinutes sur une heure, par exemple :

   Set-WorkspaceCustomConfigurations -WorkspaceUrl -ClientId -ClientSecret -InactivityTimeoutInMinutes "60"
   <!--NeedCopy-->
   

   Il n’est pas nécessaire d’exécuter la commande précédente sur tous les clients ; vous n’avez besoin de l’exécuter qu’une seule fois et de la tester.

L’expérience utilisateur est la suivante :

• Une notification apparaît trois minutes avant votre déconnexion, avec la possibilité de rester connecté ou de vous déconnecter.
• Les utilisateurs peuvent cliquer sur Rester connecté pour ignorer la notification et continuer à utiliser l’application, auquel cas le minuteur d’inactivité est réinitialisé à sa valeur configurée. Vous pouvez également cliquer sur Déconnexion pour mettre fin à la session du magasin actuel.

Remarque :

La fonctionnalité de délai d’inactivité ne prend pas en charge les distributions dont le protocole graphique par défaut est Wayland. Pour les distributions utilisant Wayland, supprimez les marques de commentaires pour l’un des éléments suivants : WaylandEnable=false dans /etc/gdm/custom.conf ou dans /etc/gdm3/custom.conf.

Connexion permanente

À partir de la version 2303 de l’application Citrix Workspace, la fonction de connexion permanente vous permet de rester connecté pendant la durée (2 à 365 jours) configurée par votre administrateur. Lorsque cette fonctionnalité est activée, vous n’avez pas besoin de fournir les informations d’identification pour l’application Citrix Workspace pendant la période configurée.

Grâce à cette fonctionnalité, les sessions SSO vers Citrix DaaS sont étendues jusqu’à une période de 365 jours. Cette extension est basée sur la durée de vie des jetons de longue durée. Vos informations d’identification sont mises en cache par défaut pendant 4 jours ou pendant la durée de vie du jeton selon la valeur la plus faible, puis étendues lorsque vous devenez actif pendant ces 4 jours (en vous connectant à l’application Citrix Workspace).

Configuration de la fonctionnalité de connexion permanente

Un administrateur doit configurer la connexion permanente sur l’environnement Workspace à l’aide de la procédure suivante :

1. Connectez-vous à Citrix Cloud.
2. Dans la console Citrix Cloud, cliquez sur le menu dans le coin supérieur gauche de l’écran.
3. Sélectionnez l’option Configuration de l’espace de travail > Personnaliser > Préférences.
4. Faites défiler la page jusqu’à Période de réauthentification de l’application Workspace.
5. Cliquez sur Modifier en regard du champ Période de réauthentification actuelle.
6. Entrez les jours requis dans le champ Période de réauthentification actuelle.
7. Vous devez saisir deux jours ou plus dans le champ Période de réauthentification actuelle.

Pour plus d’informations, consultez les instructions de la section Période de réauthentification de l’application Workspace dans l’image suivante :

Expérience avec l’authentification améliorée

La fenêtre de connexion permanente est intégrée à la fenêtre libre-service.

1. Accédez à l’application Citrix Workspace. La fenêtre d’authentification apparaît.

   

2. Connectez-vous à l’aide de vos informations d’identification. Vous êtes redirigé vers l’invite d’autorisation pour accepter.

   

3. Cliquez sur Autoriser.

Remarque :

Si vous sélectionnez Refuser sur l’écran de consentement, une deuxième invite de connexion s’affiche et vous devez vous connecter à l’application Citrix Workspace toutes les 24 heures.

Désactiver la fonction de connexion permanente

Un administrateur peut désactiver la fonctionnalité de connexion persistante dans l’interface utilisateur Citrix Cloud ou dans le fichier AuthManConfig.xml . Toutefois, la valeur définie dans le fichier AuthManConfig.xml remplace la valeur définie dans l’interface utilisateur Citrix Cloud.

Utilisation de l’interface utilisateur Citrix Cloud

1. Connectez-vous à Citrix Cloud.
2. Dans la console Citrix Cloud, cliquez sur le menu dans le coin supérieur gauche de l’écran.
3. Sélectionnez l’option Configuration de l’espace de travail > Personnaliser > Préférences.
4. Faites défiler la page jusqu’à Période de réauthentification de l’application Workspace.
5. Cliquez sur Modifier en regard du champ Période de réauthentification actuelle.
6. Entrez un jour dans le champ Période de réauthentification actuelle.

Utilisation du fichier AuthManConfig.xml

Pour désactiver la fonctionnalité de connexion persistante, procédez comme suit :

1. Accédez au fichier <ICAROOT>/config/AuthManConfig.xml.

2. Définissez les valeurs comme suit :

   <AuthManLite>
       <primaryTokenLifeTime>1.00:00:00</primaryTokenLifeTime>
       <secondaryTokenLifeTime>0.01:00:00</secondaryTokenLifeTime>
       <longLivedTokenSupport>true</longLivedTokenSupport>
       <nativeLoggingEnabled>true</nativeLoggingEnabled>
       <platform>linux</platform>
       <saveTokens>true</saveTokens>
       <compressedGroupsEnabled>true</compressedGroupsEnabled>
   </AuthManLite>
   <!--NeedCopy-->