Documentation produit
Application Citrix Workspace™ pour Linux
Voir PDF

Sécurité

November 26, 2025
Contributeur: 
C C

App Protection

Clause d’exclusion de responsabilité

Les stratégies App Protection fonctionnent en filtrant l’accès aux fonctions requises du système d’exploitation sous-jacent. Les appels d’API spécifiques sont nécessaires pour capturer des écrans ou des frappes de clavier. L’utilisation de cette fonctionnalité signifie que les stratégies App Protection peuvent fournir une protection même contre les outils de piratage personnalisés et spécifiques. Cependant, à mesure que les systèmes d’exploitation évoluent, de nouveaux programmes d’enregistrement de frappe et de capture d’écran peuvent émerger. Bien que nous continuions à les identifier et à les traiter, nous ne pouvons pas garantir une protection complète dans des configurations et des déploiements spécifiques.

Le composant App Protection est une fonctionnalité complémentaire qui offre une sécurité renforcée lors de l’utilisation de Citrix Virtual Apps and Desktops. Cette fonctionnalité limite le risque d’être infecté par des programmes malveillants d’enregistrement de frappe et de capture d’écran. La fonction App Protection empêche l’exfiltration d’informations confidentielles telles que les informations d’identification de l’utilisateur et les informations sensibles affichées à l’écran. Cette fonctionnalité empêche les utilisateurs et les attaquants de prendre des captures d’écran et d’utiliser des enregistreurs de frappe pour récupérer et exploiter des informations sensibles.

Remarques :

  • Cette fonctionnalité est prise en charge lorsque l’application Citrix Workspace est installée à l’aide des paquets Tarball, Debian et Red Hat Package Manager (RPM). De plus, x64 et ARM64 sont les seules architectures prises en charge.

  • Cette fonctionnalité est prise en charge sur les déploiements locaux de Citrix Virtual Apps and Desktops, ainsi que dans les déploiements utilisant Citrix Virtual Apps and Desktops Service avec StoreFront.

La fonction App Protection nécessite l’installation d’une licence complémentaire sur votre serveur de licences. Une licence Citrix Virtual Desktops doit être également présente. Pour de plus amples informations sur les licences, consultez la section Configurer dans la documentation de Citrix Virtual Apps and Desktops.

Depuis la version 2108, la fonction App Protection est entièrement fonctionnelle. La fonction App Protection prend en charge les applications et les sessions de bureau et est activée par défaut. Cependant, vous devez configurer la fonctionnalité App Protection dans le fichier AuthManConfig.xml pour l’activer pour le gestionnaire d’authentification et les interfaces du plug-in libre-service.

Avec cette version, vous pouvez lancer des ressources protégées à partir de l’application Citrix Workspace pendant que Mozilla Firefox est en cours d’exécution.

Conditions préalables :

La fonctionnalité App Protection fonctionne mieux avec les systèmes d’exploitation suivants, ainsi qu’avec Gnome Display Manager :

  • Ubuntu 18.04, Ubuntu 20.04 et Ubuntu 22.04 64 bits
  • Debian 9, Debian 10 et Debian 11 64 bits
  • CentOS 7 64 bits
  • RHEL 7 64 bits
  • Système d’exploitation ARM64 Raspberry Pi (basé sur Debian 11 (bullseye))

Installer le composant App Protection :

Lorsque vous installez l’application Citrix Workspace à l’aide du package Tarball, le message suivant s’affiche.

« Souhaitez-vous installer le composant App Protection ? Avertissement : vous ne pouvez pas désactiver cette fonctionnalité. Pour la désactiver, vous devez désinstaller l’application Citrix Workspace. Pour plus d’informations, contactez votre administrateur système. [default $INSTALLER_N]:”

Entrez Y pour installer le composant App Protection.

Par défaut, le composant App Protection n’est pas installé.

Redémarrez votre machine pour que les modifications prennent effet. Le composant App Protection fonctionne comme prévu uniquement après le redémarrage de votre machine.

Installation du composant App Protection sur les packages RPM :

À partir de la version 2104, le composant App Protection est pris en charge sur la version RPM de l’application Citrix Workspace.

Pour installer le composant App Protection, procédez comme suit :

  1. Installez l’application Citrix Workspace.
  2. Installez le package App Protection ctxappprotection<version>.rpm à partir du programme d’installation de l’application Citrix Workspace.
  3. Redémarrez le système pour que les modifications prennent effet.

Installation du composant App Protection sur les packages Debian :

À partir de la version 2101, le composant App Protection est pris en charge sur la version Debian de l’application Citrix Workspace.

Pour installer de façon silencieuse le composant App Protection, exécutez la commande suivante à partir du terminal avant d’installer l’application Citrix Workspace :

  export DEBIAN_FRONTEND="noninteractive"
sudo debconf-set-selections <<< "icaclient app_protection/install_app_protection select yes"

sudo debconf-show icaclient
*  app_protection/install_app_protection: yes

sudo apt install -f ./icaclient_<version>._amd64.deb
<!--NeedCopy-->

À compter de la version 2106, l’application Citrix Workspace introduit une option qui permet de configurer séparément les fonctionnalités de protection contre les programmes d’enregistrement de frappe et de capture d’écran pour les interfaces Authentication Manager et Self-Service Plug-in.

Configuration de la fonction App Protection pour Authentication Manager :

Accédez à $ICAROOT/config/AuthManConfig.xml et modifiez le fichier comme suit :


  /opt/Citrix/ICAClient/config$ cat AuthManConfig.xml | grep -i authmananti -A 1
    <key>AuthManAntiScreenCaptureEnabled</key>
    <value>true</value>
    <key>AuthManAntiKeyLoggingEnabled</key>
    <value>true</value>

<!--NeedCopy-->

Configuration de la fonction App Protection pour l’interface de Self-Service Plug-in :

Accédez à $ICAROOT/config/AuthManConfig.xml et modifiez le fichier comme suit :


  /opt/Citrix/ICAClient/config$ cat AuthManConfig.xml | grep -i protection -A 4
<!-- Selfservice App Protection configuration -->
    <Selfservice>
      <AntiScreenCaptureEnabled>true</AntiScreenCaptureEnabled>
      <AntiKeyLoggingEnabled>true</AntiKeyLoggingEnabled>
    </Selfservice>

<!--NeedCopy-->

Problèmes connus :

  • Lorsque vous réduisez un écran protégé, le composant App Protection continue de s’exécuter en arrière-plan.

Limitation:

  • Il se peut que vous ne parveniez pas à lancer de ressources protégées lorsqu’une application installée à partir du Snap Store est en cours d’exécution. Pour contourner le problème, identifiez l’application à l’origine du problème à partir du fichier journal de l’application Citrix Workspace. Fermez également l’application. Pour plus d’informations, consultez Configurer la liste d’autorisation pour les applications à l’aide des fonctionnalités LD_Preload.
  • Lorsque vous essayez de prendre une capture d’écran d’une fenêtre protégée, l’écran entier, y compris les applications non protégées en arrière-plan, est grisé.

Prise en charge d’App Protection pour eLux® 7

À partir de cette version, l’application Citrix Workspace pour Linux prend en charge App Protection sur eLux 7. Cette intégration offre une sécurité renforcée en aidant à protéger contre les menaces d’enregistrement de frappe et de capture d’écran lors de l’accès aux applications et aux bureaux virtuels à partir d’appareils eLux 7. Avec App Protection activé, les organisations peuvent mieux protéger les informations sensibles et garantir la conformité avec les stratégies de sécurité, même sur les points de terminaison de clients fins exécutant eLux 7. Pour plus d’informations sur la fonctionnalité App Protection, consultez la documentation App Protection.

Délai d’inactivité pour l’application Citrix Workspace

La fonctionnalité de délai d’inactivité vous déconnecte de l’application Citrix Workspace en fonction d’une valeur définie par l’administrateur. À partir de la version 2303 et des versions ultérieures, les administrateurs peuvent spécifier la durée d’inactivité autorisée avant qu’un utilisateur ne soit automatiquement déconnecté de l’application Citrix Workspace. Vous êtes automatiquement déconnecté lorsqu’aucune activité tactile, de la souris ou du clavier ne se produit pendant la période spécifiée dans la fenêtre de l’application Citrix Workspace. Le délai d’inactivité n’affecte pas les sessions Citrix Virtual Apps and Desktops et Citrix DaaS déjà en cours d’exécution ni les magasins StoreFront.

Remarque:

Cette fonctionnalité est applicable uniquement sur les déploiements cloud.

En tant que condition préalable, vous devez activer cette fonctionnalité dans le fichier AuthManConfig.xml. Accédez à $ICAROOT/config/AuthManConfig.xml et ajoutez les entrées suivantes :

  <key>ITOEnabled</key>
<value>true</value>
<!--NeedCopy-->

Les administrateurs peuvent configurer le délai d’expiration dans la configuration de l’espace de travail. Pour plus d’informations, consultez Définir le délai d’inactivité pour l’application Workspace et Web sur les bureaux et appareils mobiles.

L’expérience utilisateur est la suivante :

  • Une notification apparaît trois minutes avant votre déconnexion, avec la possibilité de rester connecté ou de vous déconnecter.
  • Les utilisateurs peuvent cliquer sur Rester connecté pour ignorer la notification et continuer à utiliser l’application, auquel cas le minuteur d’inactivité est réinitialisé à sa valeur configurée. Vous pouvez également cliquer sur Déconnexion pour mettre fin à la session du magasin actuel.

Remarque:

La fonctionnalité de délai d’inactivité ne prend pas en charge les distributions dont le protocole graphique par défaut est Wayland. Pour les distributions disposant de Wayland, supprimez les marques de commentaire de l’un des éléments suivants : WaylandEnable=false dans /etc/gdm/custom.conf ou dans /etc/gdm3/custom.conf.

Connexion permanente

À partir de la version 2303 de l’application Citrix Workspace, la fonction de connexion permanente vous permet de rester connecté pendant la durée (2 à 365 jours) configurée par votre administrateur. Lorsque cette fonctionnalité est activée, vous n’avez pas besoin de fournir les informations d’identification pour l’application Citrix Workspace pendant la période configurée.

Grâce à cette fonctionnalité, les sessions SSO vers Citrix DaaS sont étendues jusqu’à une période de 365 jours. Cette extension est basée sur la durée de vie des jetons de longue durée. Vos informations d’identification sont mises en cache par défaut pendant 4 jours ou pendant la durée de vie du jeton selon la valeur la plus faible, puis étendues lorsque vous devenez actif pendant ces 4 jours (en vous connectant à l’application Citrix Workspace).

Configuration de la fonctionnalité de connexion permanente

Un administrateur doit configurer la connexion permanente sur l’environnement Workspace à l’aide de la procédure suivante :

  1. Connectez-vous à Citrix Cloud.
  2. Dans la console Citrix Cloud, cliquez sur le menu dans le coin supérieur gauche de l’écran.
  3. Sélectionnez l’option Configuration de l’espace de travail > Personnaliser > Préférences.
  4. Faites défiler la page jusqu’à Période de réauthentification de l’application Workspace.
  5. Cliquez sur Modifier en regard du champ Période de réauthentification actuelle.
  6. Entrez les jours requis dans le champ Période de réauthentification actuelle.
  7. Vous devez saisir deux jours ou plus dans le champ Période de réauthentification actuelle.

Pour plus d’informations, consultez les instructions de la section Période de réauthentification de l’application Workspace dans l’image suivante :

Période de réauthentification de l'application Workspace

Expérience avec l’authentification améliorée

La fenêtre de connexion permanente est intégrée à la fenêtre libre-service.

  1. Accédez à l’application Citrix Workspace. La fenêtre d’authentification apparaît.

    Fenêtre d'authentification

  2. Connectez-vous à l’aide de vos informations d’identification. Vous êtes redirigé vers l’invite d’autorisation pour accepter.

    Fenêtre Autorisation

  3. Cliquez sur Autoriser.

Remarque:

Si vous sélectionnez Refuser sur l’écran de consentement, une deuxième invite de connexion s’affiche et vous devez vous connecter à l’application Citrix Workspace toutes les 24 heures.

Désactiver la fonction de connexion permanente

Un administrateur peut désactiver la fonctionnalité de connexion permanente dans l’interface utilisateur Citrix Cloud ou dans le fichier AuthManConfig.xml. Cependant, la valeur définie dans le fichier AuthManConfig.xml remplace la valeur définie dans l’interface utilisateur Citrix Cloud.

Utilisation de l’interface utilisateur Citrix Cloud

  1. Connectez-vous à Citrix Cloud.
  2. Dans la console Citrix Cloud, cliquez sur le menu dans le coin supérieur gauche de l’écran.
  3. Sélectionnez l’option Configuration de l’espace de travail > Personnaliser > Préférences.
  4. Faites défiler la page jusqu’à Période de réauthentification de l’application Workspace.
  5. Cliquez sur Modifier en regard du champ Période de réauthentification actuelle.
  6. Entrez un jour dans le champ Période de réauthentification actuelle.

Utilisation du fichier AuthManConfig.xml

Pour désactiver la fonctionnalité de connexion persistante, procédez comme suit :

  1. Accédez au fichier &lt;ICAROOT&gt;/config/AuthManConfig.xml.

  2. Définissez les valeurs comme suit :

      <AuthManLite>
    <primaryTokenLifeTime>1.00:00:00</primaryTokenLifeTime>
    <secondaryTokenLifeTime>0.01:00:00</secondaryTokenLifeTime>
    <longLivedTokenSupport>true</longLivedTokenSupport>
    <nativeLoggingEnabled>true</nativeLoggingEnabled>
    <platform>linux</platform>
    <saveTokens>true</saveTokens>
    <compressedGroupsEnabled>true</compressedGroupsEnabled>
</AuthManLite>
<!--NeedCopy-->

Intégration transparente de deviceTRUST®

À partir de la version 2503, deviceTRUST est inclus avec l’application Citrix Workspace pour un déploiement unifié, garantissant une intégration et une gestion transparentes.

Remarque:

Cette fonctionnalité est actuellement prise en charge uniquement sur le système d’exploitation Ubuntu. Vérifiez les versions d’Ubuntu comme indiqué dans Distributions Linux prises en charge.

Le comportement et les spécifications de l’intégration deviceTRUST sont les suivants :

  • Par défaut, l’application Citrix Workspace pour Linux installe deviceTRUST à l’aide de la version packagée incluse dans le programme d’installation.
  • L’échec de l’installation de deviceTRUST n’a pas d’impact sur l’installation de l’application Citrix Workspace.
  • Si vous avez déjà installé l’extension client deviceTRUST version 23.1 ou antérieure, elle n’est pas mise à jour ni supprimée automatiquement. Cependant, deviceTRUST Agent version 23.1 ou antérieure continue de fonctionner avec l’installation existante.

Pour plus d’informations sur l’installation du composant deviceTRUST sur les packages Debian, consultez Installer à l’aide d’un package Debian.

Sécurité
November 26, 2025
Contributeur: 
C C
November 26, 2025
Contributeur: 
C C

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.