Documentation produit
Application Citrix Workspace
Voir PDF

Configurer la protection des applications

November 13, 2024
Contributeur: 
C C

App Protection offre une sécurité renforcée lorsque vous utilisez l’application Citrix Workspace. Cette fonctionnalité limite le risque d’être infecté par des programmes malveillants d’enregistrement de frappe et de capture d’écran. La protection des applications empêche l’exfiltration d’informations confidentielles telles que les informations d’identification de l’utilisateur et les informations sensibles affichées à l’écran. Cette fonctionnalité empêche les utilisateurs et les attaquants de prendre des captures d’écran et d’utiliser des enregistreurs de frappe pour récupérer et exploiter des informations sensibles.

Cet article explique comment configurer la protection des applications sur l’application Citrix Workspace sur différentes plateformes.

La protection des applications est disponible sur l’application Citrix Workspace pour les plateformes suivantes :

Avertissement

Les stratégies App Protection filtrent l’accès aux fonctions requises du système d’exploitation sous-jacent. Les appels d’API spécifiques sont nécessaires pour capturer des écrans ou des frappes de clavier. Les stratégies App Protection fournissent une protection même contre les outils de piratage personnalisés et spécifiques. Cependant, à mesure que les systèmes d’exploitation évoluent, de nouveaux programmes d’enregistrement de frappe et de capture d’écran peuvent émerger. Bien que nous continuions à les identifier et à les traiter, nous ne pouvons pas garantir une protection complète dans des configurations et des déploiements spécifiques.

Application Citrix Workspace pour Windows

Conditions préalables

  • Citrix Virtual Apps and Desktops 1912 LTSR ou versions ultérieures.
  • StoreFront version 1912 LTSR ou Workspace.
  • Application Citrix Workspace version 2203.1 LTSR ou versions ultérieures.
  • Une licence App Protection valide

  • À partir de la version 2212 de l’application Citrix Workspace, le composant App Protection est installé par défaut lors de l’installation de l’application Citrix Workspace.

    La case à cocher Activer App Protection qui apparaît lors de l’installation est remplacée par Démarrer App Protection après l’installation.

    • Pour les versions de l’application Citrix Workspace antérieures à la version 2311 :

      Démarrer App Protection après l'installation – Versions de l'application Citrix Workspace antérieures à la version 2311

    • À partir de la version 2311 de l’application Citrix Workspace :

      Démarrer App Protection après l'installation – Application Citrix Workspace version 2311 et ultérieure

    Lorsque vous cochez cette case, la fonctionnalité App Protection démarre immédiatement après l’installation.

    Remarque :

    Si vous ne cochez pas cette case, la fonctionnalité App Protection démarre automatiquement dès le premier démarrage d’une ressource ou d’un composant protégé pour les clients ayant droit à la protection des applications.

Configurer

Configurez les fonctionnalités App Protection suivantes pour l’application Citrix Workspace pour Windows :

Limitations

  • Cette fonctionnalité est prise en charge uniquement sur les systèmes d’exploitation de bureau tels que Windows 11 et Windows 10.
  • À partir de la version 2006.1, l’application Citrix Workspace n’est plus prise en charge sous Windows 7. La protection des applications ne fonctionne donc pas sous Windows 7. Pour plus d’informations, consultez Fin de prise en charge.
  • Cette fonctionnalité n’est pas prise en charge par le protocole RDP (Remote Desktop Protocol).

Interface de ligne de commande

Vous pouvez démarrer le composant App Protection à l’aide du paramètre de ligne de commandes /startappprotection. Cependant, l’ancien commutateur /includeappprotection est obsolète.

Le tableau suivant fournit des informations sur les écrans protégés en fonction du déploiement :

Déploiement d’App Protection Écrans protégés Écrans non protégés
Inclus dans l’application Citrix Workspace Boîte de dialogue Self-Service Plug-in et Authentication Manager/Informations d’identification utilisateur Centre de connexion, Appareils, messages d’erreur liés à l’application Citrix Workspace, Reconnexion automatique des clients, Ajouter un compte
Configuré sur le Controller Écran de session ICA (applications et bureaux) Centre de connexion, Appareils, messages d’erreur liés à l’application Citrix Workspace, Reconnexion automatique des clients, Ajouter un compte

Lorsque vous prenez une capture d’écran, seule la fenêtre protégée est occultée. Vous pouvez prendre une capture d’écran de la zone à l’extérieur de la fenêtre protégée. Toutefois, si vous utilisez la touche Impr écran pour réaliser une capture d’écran sur une machine Windows 10, vous devez réduire la fenêtre protégée.

Auparavant, les fonctionnalités anti-capture d’écran et de protection contre l’enregistrement de frappe étaient appliquées par défaut pour l’authentification Citrix et les écrans de l’application Citrix Workspace. Toutefois, à partir de la version 2212, ces fonctionnalités sont désactivées par défaut et doivent être configurées à l’aide de l’objet de stratégie de groupe.

Remarque :

Cette stratégie d’objet de stratégie de groupe ne s’applique pas aux sessions ICA et SaaS. Les sessions ICA et SaaS continuent d’être contrôlées à l’aide du Delivery Controller et de Citrix Secure Private Access.

Amélioration d’App Protection :

À compter de l’application Citrix Workspace pour Windows 2305 et versions ultérieures, la protection contre l’enregistrement de frappe est activée sur les écrans d’authentification et du Self-Service Plug-in si l’un des critères suivants est rempli :

  • Vous avez activé la App Protection à l’aide de l’une des méthodes suivantes :
    • En sélectionnant la case Démarrer la App Protection lors de l’installation.
    • En démarrant le composant App Protection à l’aide du paramètre de ligne de commande /startappprotection.
  • Si vous n’avez pas sélectionné la case Démarrer App Protection ou si vous n’avez pas utilisé le paramètre de ligne de commande /startappprotection lors de l’installation, la protection contre l’enregistrement de frappe est activée après le lancement de la première ressource protégée.

Remarque :

Les paramètres Global App Configuration Service et des objets de stratégie de groupe remplacent le comportement précédent. Par exemple, si vous avez désactivé la stratégie GACS ou GPO pour ces écrans, la protection contre l’enregistrement de frappe n’est pas activée sur les écrans d’authentification et du SSP.

Application Citrix Workspace pour Linux

Depuis la version 2108, la fonction App Protection est entièrement fonctionnelle. Cette fonctionnalité prend en charge Virtual Apps and Desktops et elle est activée par défaut. Vous devez toutefois configurer la fonctionnalité App Protection dans le fichier AuthManConfig.xml pour l’activer pour Authentication Manager et les interfaces des plug-ins en libre-service.

Conditions préalables

La fonctionnalité App Protection fonctionne mieux avec les systèmes d’exploitation suivants, ainsi qu’avec Gnome Display Manager :

  • Ubuntu 22.04, Ubuntu 20.04 et Ubuntu 18.04 64 bits
  • Debian 10 et Debian 9 64 bits
  • CentOS 7 64 bits
  • RHEL 7 64 bits
  • Système d’exploitation Raspberry Pi 32 bits ARMHF (basé sur Debian 10 (Buster))
  • Système d’exploitation ARM64 Raspberry Pi (basé sur Debian 11 (bullseye))

Remarque :

Si vous utilisez une application Citrix Workspace antérieure à la version 2204, la fonctionnalité App Protection n’est pas compatible avec les systèmes d’exploitation qui utilisent glibc 2.34 ou version ultérieure.

Si vous installez l’application Citrix Workspace avec la fonctionnalité App Protection activée sur le système d’exploitation qui utilise glibc 2.34 ou version ultérieure, le démarrage du système d’exploitation peut échouer lors du redémarrage du système. Pour activer la récupération après l’échec de démarrage du système d’exploitation, effectuez l’une des opérations suivantes :

  • Réinstallez le système d’exploitation.
  • Accédez au mode Récupération du système d’exploitation et désinstallez l’application Citrix Workspace à l’aide du terminal.
  • Démarrez via le système d’exploitation actif et supprimez le fichier rm -rf /etc/ld.so.preload du système d’exploitation existant.

Installer le composant Protection des applications

  1. Lorsque vous installez l’application Citrix Workspace à l’aide du package tarball, le message suivant s’affiche : Voulez-vous installer le composant Protection des applications ? Avertissement : vous ne pouvez pas désactiver cette fonctionnalité. Pour le désactiver, vous devez désinstaller l’application Citrix Workspace. Pour plus d’informations, contactez votre administrateur système. [$INSTALLER_N par défaut] :

  2. Entrez Y pour installer le composant App Protection. La protection des applications n’est pas installée par défaut.

  3. Redémarrez votre ordinateur pour que les modifications soient prises en compte. La protection des applications fonctionne comme prévu uniquement après le redémarrage de votre machine.

Installation du composant Protection des applications sur les packages RPM

À partir de la version 2104, le composant App Protection est pris en charge sur la version RPM de l’application Citrix Workspace.

Pour installer le composant App Protection, procédez comme suit :

  1. Installez l’application Citrix Workspace.
  2. Installez le package App Protection ctxappprotection<version>.rpm à partir du programme d’installation de l’application Citrix Workspace.
  3. Redémarrez le système pour que les modifications soient prises en compte.

Installation du composant Protection des applications sur les packages Debian

À partir de la version 2101, le composant App Protection est pris en charge sur la version Debian de l’application Citrix Workspace.

Pour installer le composant Protection des applications, exécutez la commande suivante à partir du terminal avant d’installer l’application Citrix Workspace :

  export DEBIAN_FRONTEND="noninteractive"
  sudo debconf-set-selections <<< "icaclient app_protection/install_app_protection select yes"

  sudo debconf-show icaclient
  *  app_protection/install_app_protection: yes

  sudo apt install -f ./icaclient_<version>._amd64.deb
<!--NeedCopy-->

À compter de la version 2106, l’application Citrix Workspace introduit une option qui permet de configurer séparément les fonctionnalités de protection contre les programmes d’enregistrement de frappe et de capture d’écran pour les interfaces Authentication Manager et Self-Service Plug-in.

Configurer

Configurez les fonctionnalités App Protection suivantes pour l’application Citrix Workspace pour Linux :

Application Citrix Workspace pour Mac

Configurez les fonctionnalités App Protection suivantes pour l’application Citrix Workspace pour Mac :

Application Citrix Workspace pour iOS

À partir de la version 24.9.0, la fonctionnalité App Protection est entièrement fonctionnelle. Cette fonctionnalité est activée par défaut et prend en charge les éléments suivants.

  • Applications et bureaux virtuels
  • Applications Web et SaaS internes
  • Écrans d’authentification

Protection contre l’enregistrement de frappe

Conditions préalables

  • Citrix Virtual Apps and Desktops 1912 LTSR ou versions ultérieures.
  • StoreFront version 1912 LTSR ou Workspace.
  • Application Citrix Workspace pour iOS version 24.7.0 ou ultérieure.
  • Une licence App Protection valide

Protection contre l'enregistrement de frappe activée

Clause d’exclusion de responsabilité :

Les stratégies de protection des applications fonctionnent en filtrant l’accès aux fonctions requises du système d’exploitation sous-jacent (appels d’API spécifiques nécessaires pour capturer des écrans ou des frappes de clavier). Cela signifie que les stratégies App Protection fournissent une protection même contre les outils de piratage personnalisés et spécifiques. Cependant, à mesure que les systèmes d’exploitation évoluent, de nouveaux programmes d’enregistrement de frappe et de capture d’écran émergent. Bien que nous continuions à les identifier et à les traiter, nous ne pouvons pas garantir une protection complète dans des configurations et des déploiements spécifiques.

Configuration

Vous pouvez configurer les fonctionnalités de protection contre l’enregistrement de frappe et de prévention de capture d’écran pour les éléments suivants pour l’application Citrix Workspace pour iOS :

Utilisation de Global App Configuration Service

Vous pouvez configurer la fonctionnalité Prévention de capture d’écran pour l’écran d’authentification par le biais des utilisations suivantes :

  • Utilisation de l’interface utilisateur
  • Utilisation de l’API

Utilisation de l’interface utilisateur :

À partir de la version 24.7.0 de l’application Citrix Workspace pour iOS, l’application Citrix Workspace vous permet de configurer App Protection pour les écrans d’authentification à l’aide de GACS (Global App Configuration Service).

Si vous activez la fonctionnalité de prévention de capture d’écran à l’aide de GACS, elle s’applique à l’écran d’authentification.

Les administrateurs peuvent configurer la App Protection à l’aide de l’interface utilisateur de configuration de Workspace :

  1. Connectez-vous à votre compte Citrix Cloud et sélectionnez Configuration de l’espace de travail.

    Configuration de Workspace

  2. Sélectionnez Configuration d’applications > Sécurité et authentification > App Protection.

    Sécurité et authentification

  3. Cliquez sur Protection contre l’enregistrement de frappe, puis sélectionnez le système d’exploitation iOS.

  4. Cliquez sur Prévention de capture d’écran, puis sélectionnez le système d’exploitation iOS.

  5. Cliquez sur le bouton Activé, puis sur Publier les brouillons.

  6. Dans la boîte de dialogue Paramètres de publication, cliquez sur Oui.

    Paramètres de publication

Utilisation de l’API :

Les administrateurs peuvent utiliser l’API pour configurer les fonctionnalités App Protection. Les paramètres sont les suivants pour l’application Citrix Workspace pour iOS :

Paramètre permettant d’activer ou de désactiver la protection contre la capture d’écran :

  “name”: “enable anti screen capture for auth ” “value”: “true” or “false”
<!--NeedCopy-->

Paramètre permettant d’activer ou de désactiver la protection contre l’enregistrement de frappe :

  “name”: “enable anti key-logging for auth ” “value”: “true” or “false”
<!--NeedCopy-->

Exemple:

Vous trouverez ci-dessous un exemple de fichier JSON illustrant comment activer les fonctionnalités de prévention de capture d’écran et de protection contre l’enregistrement de frappe pour l’application Citrix Workspace dans GACS :

  {
            "category": "App Protection",
            "userOverride": false,
            "assignedTo": [
              "AllUsersNoAuthentication"
            ],
            "settings": [{
              "name": "Enable Anti Screen Capture For Auth",
              "value": "true"
            },
            {
              "name": "Enable Anti Key Logging For Auth",
              "value": "true"
            }]
          }

<!--NeedCopy-->
Utilisation de solutions Unified Endpoint Management

À partir de la version 24.7.0 de l’application Citrix Workspace pour iOS, les administrateurs peuvent activer la fonctionnalité App Protection pour l’écran d’authentification. Les administrateurs peuvent configurer cette fonctionnalité à l’aide d’une paire clé-valeur basée sur AppConfig.

  • Pour activer la prévention de capture d’écran :
    • Clé : enableAntiScreenCaptureForAuth
    • Type de valeur : booléen
    • valeur :
      • Si ce paramètre est défini sur true, la fonctionnalité de prévention de capture d’écran est activée.
      • Si ce paramètre est défini sur false, la fonctionnalité de prévention de capture d’écran est activée.
  • Pour activer la protection contre l’enregistrement de frappe :
    • Clé : enableAntiKeyLoggingForAuth
    • Type de valeur : booléen
    • valeur :
      • Si ce paramètre est défini sur true, la fonctionnalité de protection contre l’enregistrement de frappe est activée.
      • S’il est défini sur false, la fonctionnalité de protection contre l’enregistrement de frappe est activée.

Procédure de désactivation des claviers personnalisés

Lorsque la fonctionnalité de protection contre l’enregistrement de frappe est activée et que le commutateur Utiliser des claviers personnalisés est activé, vous ne pouvez pas ouvrir d’applications virtuelles, de bureaux virtuels, d’applications Web ou d’applications SaaS, et le message d’alerte suivant s’affiche :

Protection contre l'enregistrement de frappe activée

Pour désactiver le clavier personnalisé, procédez comme suit :

  1. Cliquez sur Options du clavier dans la boîte de dialogue d’alerte précédente.

  2. Désactivez Utiliser des claviers personnalisés dans les paramètres du magasin. La boîte de dialogue Désactiver les claviers personnalisés apparaît.

  3. Cliquez sur Quitter dans la boîte de dialogue Désactiver les claviers personnalisés. La boîte de dialogue Fermeture apparaît.

  4. Cliquez sur OK. L’application Citrix Workspace se ferme puis redémarre automatiquement pour refléter les modifications.

Limitations

  • Prévention d’enregistrement de frappe :

    La prévention d’enregistrement de frappe n’est efficace que par le biais de claviers logiciels. Les claviers matériels ne sont pas protégés par la fonctionnalité de protection contre l’enregistrement de frappe.

  • Protection contre l’enregistrement de frappe pour écran d’authentification :

    La protection contre l’enregistrement de frappe n’est pas prise en charge pour l’écran d’authentification lors de l’ajout de plusieurs magasins ou de la suppression d’un magasin.

  • Navigateurs système :

    La fonctionnalité de protection contre l’enregistrement de frappe de l’écran d’authentification n’est pas prise en charge lors de l’utilisation de navigateurs système.

  • Écran d’authentification de l’interface Web :

    Les fonctionnalités de protection contre l’enregistrement de frappe et de prévention de capture d’écran ne sont pas prises en charge sur l’écran d’authentification de l’interface Web.

Prévention de capture d’écran

À partir de la version 24.7.0 de l’application Citrix Workspace pour iOS, les fonctionnalités suivantes sont activées :

  • Prévention de capture d’écran : cette fonctionnalité empêche les captures d’écran, les enregistrements, la mise en miroir d’écran QuickTime, le partage d’écran et le changement d’application non autorisés. La fonctionnalité de prévention de capture d’écran est disponible pour les écrans d’authentification, les applications Web ou SaaS, et Citrix Virtual Apps and Desktops. Lorsque vous capturez un écran, un message personnalisé La capture d’écran est désactivée par votre administrateur pour des raisons de sécurité s’affiche sur le support de capture au lieu du contenu réel affiché à l’écran. La prévention de capture d’écran protège contre diverses formes d’accès non autorisé à l’écran, telles que les suivantes :

    • Capture d’écran : empêche la prise de captures d’écran.
    • Enregistrement d’écran : bloque le logiciel d’enregistrement d’écran.
    • Mise en miroir d’écran : désactive la mise en miroir de l’écran sur d’autres appareils.
    • Partage d’écran : limite la fonctionnalité de partage d’écran.
    • Sélecteur d’applications : empêche la visibilité des informations sensibles dans les aperçus du sélecteur d’applications.

    Capture d'écran désactivée

Pris en charge multi-moniteurs contre la capture d’écran

Grâce à cette fonctionnalité, App Protection étend sa protection à tous les écrans connectés, garantissant ainsi la protection contre la capture d’écran sur plusieurs moniteurs externes. Le contenu de l’iPad et du moniteur externe est protégé.

L’écran externe est protégé dans les trois modes suivants :

Sélection du mode

  • Miroir : permet de dupliquer l’affichage sur le moniteur externe connecté à l’iPad. Grâce à la protection contre la capture d’écran, les deux écrans sont protégés, empêchant ainsi les captures d’écran de contenu non autorisées.
  • Présentation : permet de présenter le bureau sur un moniteur externe tout en utilisant l’écran de l’iPad comme touchpad. La protection contre la capture d’écran garantit la protection du contenu du moniteur externe pendant les présentations et de l’écran de l’iPad.
  • Étendu : permet d’afficher différentes vues ou différents écrans sur chaque périphérique d’affichage. La protection contre la capture d’écran s’étend à la fois à l’iPad et au moniteur externe, garantissant ainsi leur protection.

Application Citrix Workspace pour Android

Conditions préalables

  • Citrix Virtual Apps and Desktops 1912 LTSR ou versions ultérieures.
  • StoreFront version 1912 LTSR ou Workspace.
  • Application Citrix Workspace pour Android version 24.7.0 ou ultérieure.
  • Une licence App Protection valide

Configuration

Vous pouvez configurer la fonctionnalité Prévention de capture d’écran pour :

Utilisation de Global App Configuration Service

Vous pouvez configurer la fonctionnalité Prévention de capture d’écran pour l’écran d’authentification par le biais des utilisations suivantes :

  • Utilisation de l’interface utilisateur
  • Utilisation de l’API

Utilisation de l’interface utilisateur :

L’application Citrix Workspace vous permet de configurer App Protection pour les écrans d’authentification à l’aide de GACS (Global App Configuration Service).

Si vous activez la fonctionnalité de prévention de capture d’écran à l’aide de GACS, elle s’applique à l’écran d’authentification.

Les administrateurs peuvent configurer la App Protection à l’aide de l’interface utilisateur de configuration de Workspace :

  1. Connectez-vous à votre compte Citrix Cloud et sélectionnez Configuration de l’espace de travail.

    Configuration des espaces de travail

  2. Sélectionnez Configuration d’applications > Sécurité et authentification > App Protection.

    Sécurité et authentification

  3. Cliquez sur Prévention de capture d’écran, puis sélectionnez le système d’exploitation Android.

  4. Cliquez sur le bouton Activé, puis sur Publier les brouillons.

  5. Dans la boîte de dialogue Paramètres de publication, cliquez sur Oui.

    Paramètres de publication

Utilisation de l’API :

Les administrateurs peuvent utiliser l’API pour configurer la fonctionnalité App Protection. Paramètre permettant d’activer ou de désactiver la prévention de capture d’écran pour l’application Citrix Workspace pour Android :

  “name”: “enable anti screen capture for auth ” “value”: “true” or “false”
<!--NeedCopy-->

Exemple : voici un exemple de fichier JSON permettant d’activer la fonctionnalité contre la capture d’écran pour l’application Citrix Workspace dans GACS :

  {
            "category": "App Protection",
            "userOverride": false,
            "assignedTo": [
              "AllUsersNoAuthentication"
            ],
            "settings": [{
              "name": "Enable Anti Screen Capture For Auth",
              "value": "true"
            },
           ]
          }

<!--NeedCopy-->

Utilisation de solutions Unified Endpoint Management

À partir de la version 24.7.0 de l’application Citrix Workspace pour Android, les administrateurs peuvent activer la fonctionnalité App Protection pour l’écran d’authentification. Les administrateurs peuvent configurer cette fonctionnalité à l’aide d’une paire clé-valeur basée sur AppConfig.

  • Pour activer la prévention de capture d’écran :

    • Clé : enableAntiScreenCaptureForAuth
    • Type de valeur : booléen
    • valeur :
      • Si ce paramètre est défini sur true, la fonctionnalité de prévention de capture d’écran est activée.
      • Si ce paramètre est défini sur false, la fonctionnalité de prévention de capture d’écran est désactivée.

Conseil

Les stratégies de protection des applications sont principalement axées sur l’amélioration de la sécurité et de la protection d’un point de terminaison. Passez en revue toutes les autres recommandations et stratégies de sécurité pour votre environnement. Vous pouvez utiliser un modèle de stratégie Sécurité et contrôle pour une configuration recommandée dans des environnements à faible tolérance au risque. Pour plus d’informations, veuillez consulter la section Modèles de stratégie.

Configurer la protection des applications
November 13, 2024
Contributeur: 
C C
November 13, 2024
Contributeur: 
C C

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.