Application Citrix Workspace

Événements App Protection dans Director et Monitor

Introduction

Citrix Workspace app (CWA) pour Windows introduit des contrôles de sécurité intégrés qui détectent automatiquement les conditions à haut risque sur les points de terminaison — telles que Microsoft Recall — sans nécessiter de configuration manuelle. Ces détections offrent une visibilité en temps réel en signalant les événements à Citrix Director et Monitor, permettant aux administrateurs d’évaluer rapidement les risques et d’appliquer des mesures de protection telles que les stratégies App Protection.

Bien que la détection de certains événements (par exemple, Microsoft Recall) soit automatique, la protection contre ces événements nécessite une configuration manuelle des stratégies App Protection par l’administrateur.

En utilisant une gestion proactive des risques et une reconfiguration des stratégies, les administrateurs peuvent renforcer la sécurité des points de terminaison dans leur environnement et réduire l’exposition aux menaces émergentes. Cette approche proactive renforce l’engagement de Citrix® en faveur de la livraison sécurisée d’applications en aidant les organisations à identifier et à réagir aux menaces en temps réel.

Prérequis

  • Citrix Virtual Delivery Agent : VDA version 2507 ou ultérieure.
  • Citrix Director : Citrix Virtual Apps and Desktops 2603 ou ultérieure.
  • Citrix Monitor : DDC version 128 ou ultérieure.
  • Citrix Workspace app (CWA) pour Windows : La version 2603 ou ultérieure est requise sur le point de terminaison.
    • Pour les événements de protection, l’administrateur doit configurer les stratégies App Protection pertinentes (par exemple, Anti-capture d’écran, Anti-injection de DLL) via la stratégie Citrix.

Types d’événements

Détection de Microsoft Recall

Windows Recall est un agent d’IA exécuté sur le point de terminaison qui capture et stocke en continu des instantanés du contenu de l’écran de l’utilisateur localement pour analyse. Ces instantanés peuvent inclure des informations sensibles telles que :

  • Identifiants d’entreprise saisis lors de la connexion.
  • Données d’application confidentielles affichées dans les bureaux virtuels ou les applications publiées.
  • Documents propriétaires et propriété intellectuelle visibles pendant une session.

Vue Director - Événement de rappel

Si elle est exploitée, cette fonctionnalité pourrait permettre à des attaquants ou à des utilisateurs non autorisés de récupérer des données sensibles de l’appareil, même après la fin de la session.

Quand cet événement est-il envoyé ?

Lors du lancement de la session, CWA détecte automatiquement si Windows Recall est actif sur le point de terminaison.

  • Événement de détection : Envoyé si Recall est détecté et que la session n’a pas la stratégie Anti-capture d’écran activée.
  • Événement de protection : Envoyé si Recall est détecté et que la session a la stratégie Anti-capture d’écran activée.

Vue Director - Événement de rappel

Données spécifiques à l’événement Cet événement utilise uniquement les champs communs ; il n’inclut aucun champ supplémentaire au-delà de resourceType et resourceName.

Détection de capture d’écran

Un événement de capture d’écran est déclenché lorsqu’un utilisateur ou un outil tente de prendre une capture d’écran du bureau du point de terminaison. Si la stratégie Protection d’application Anti-capture d’écran est activée, le contenu de la session est masqué pour l’outil de capture. L’outil peut toujours capturer la région du bureau en dehors de la session, mais le contenu de la session lui-même est obscurci.

Quand cet événement est-il envoyé ?

Un screenCaptureEvent est envoyé lorsque CWA détecte qu’un outil de capture d’écran tente activement de capturer l’écran alors qu’une session avec la stratégie Anti-capture d’écran est activée et en cours d’exécution. L’événement inclut le nom et le chemin de l’outil, ainsi que son statut de signature.

Vue Director - Capture d'écran

Détection d’injection de DLL

Une DLL (Dynamic Link Library) est une bibliothèque exécutable. L’injection de DLL se produit lorsqu’un processus injecte des DLL dans les processus Citrix. Ces DLL peuvent être injectées pour diverses raisons, à la fois légitimes (par exemple, pilotes graphiques, logiciels antivirus) et malveillantes (par exemple, interception du trafic réseau, interception des informations d’identification).

La protection des applications Anti-injection de DLL empêche l’injection de DLL non signées dans des processus Citrix spécifiques. L’injection d’une DLL non signée dans un processus Citrix est considérée comme un événement d’injection de DLL.

Quand cet événement est-il envoyé ?

Un événement d’injection de DLL est envoyé lorsque CWA détecte l’injection d’une DLL non signée dans un processus Citrix protégé alors que la stratégie d’anti-injection de DLL est activée.

Vue Director - Injection de DLL

Détails des données et des événements

Schéma d’événement commun

Tous les événements de sécurité des points de terminaison partagent une enveloppe commune signalée à Director et Monitor :

Champ Description Exemple
deviceName Nom de l’ordinateur du point de terminaison. WORKSTATION-01
username Utilisateur connecté (format UPN). john@example.com
timestamp Horodatage Unix epoch en millisecondes. 1733805466000
osVersion Version du système d’exploitation du point de terminaison. Windows 11 Pro
cwaVersion Version de l’application Citrix Workspace sur le point de terminaison. 25.3.2.196
ipAddress Adresse IP du point de terminaison. 123.45.67.89
version Version du schéma d’événement. 1.0
eventType Identifiant du type d’événement de sécurité. recallEvent
payloadType 0 = Détection (menace identifiée) ; 1 = Protection (atténuée). 0
component Composant CWA qui a généré l’événement. AppProtection

Chaque événement inclut également un objet EndpointSecurityAdditionalData contenant :

Champ Description Exemple
resourceType Type de ressource associé à l’événement. ICA session
resourceName Nom convivial de la ressource publiée. Prod_Win11_Session

Données spécifiques à l’événement de capture d’écran

En plus des champs communs, EndpointSecurityAdditionalData comprend :

Champ Description Exemple
screenCaptureToolName Nom exécutable de l’outil détecté. obs64.exe
screenCaptureToolPath Chemin d’accès complet au système de fichiers de l’exécutable de l’outil. C:\Program Files\obs-studio\bin\64bit
signed Indique si l’exécutable détecté est signé numériquement. true

Données spécifiques à l’événement d’injection de DLL

En plus des champs communs, les administrateurs peuvent voir le chemin d’accès de la DLL :

Champ Description Exemple
dllPath Chemin d’accès complet au système de fichiers de la DLL non signée injectée. C:\Program Files\abc.dll
Événements App Protection dans Director et Monitor