Fonctionnalités de protection des applications

Cet article présente les fonctionnalités de protection des applications prises en charge par l’application Citrix Workspace pour Windows, l’application Citrix Workspace pour Linux et l’application Citrix Workspace pour Mac.

Protection contre l’enregistrement de frappe

Grâce au chiffrement, les fonctionnalités de protection contre l’enregistrement de frappe d’App Protection brouillent le texte que l’utilisateur saisit à la fois sur le clavier physique et à l’écran. La fonctionnalité de protection contre l’enregistrement de frappe chiffre le texte avant qu’un outil d’enregistrement de frappe ne puisse y accéder depuis le niveau du noyau ou du système d’exploitation. Un enregistreur de frappe installé sur le point de terminaison client lisant les données du système d’exploitation ou du pilote capture uniquement le texte haché au lieu des frappes que l’utilisateur effectue. Les stratégies App Protection sont actives non seulement pour les applications et les bureaux publiés, mais également pour les boîtes de dialogue d’authentification de Citrix Workspace. Votre Citrix Workspace est protégé dès que vos utilisateurs ouvrent la première boîte de dialogue d’authentification. La protection des applications brouille les frappes et renvoie du texte indéchiffrable aux enregistreurs de touches.

Les administrateurs peuvent choisir d’activer la protection contre l’enregistrement de frappe pour les types de ressources suivants :

• Applications et bureaux virtuels
• Applications Web et SaaS internes
• Écrans d’authentification
• Écrans Self-Service Plug-In (SSP)

Prévention de capture d’écran

La prévention de capture d’écran empêche une application de tenter de prendre une capture d’écran ou un enregistrement de l’écran dans le cadre d’une session d’application ou de bureau virtuel. Le logiciel de capture d’écran ne peut pas détecter le contenu dans la zone de capture. La zone sélectionnée par l’application est grisée ou l’application ne capture rien à la place de la section d’écran qu’elle visait. La fonction de prévention de capture d’écran s’applique à Snip & Sketch, à l’outil Capture d’écran et à la fonction Maj+Ctrl+Imprimer sous Windows.

Un autre cas d’utilisation de la prévention de capture d’écran consiste à empêcher le partage de données sensibles dans le cadre d’une réunion virtuelle ou d’applications de conférence Web telles que GoToMeeting, Microsoft Teams ou Zoom. App Protection empêche tout partage involontaire en renvoyant un écran vide lors des conférences Web lorsque les applications sont protégées. Cette fonctionnalité garantit que les données sensibles ne sont pas divulguées accidentellement en dehors de l’organisation. Elle peut contribuer à la conformité dans les secteurs réglementés, car l’intention n’est pas prise en compte lors de la divulgation d’une violation de données.

Les administrateurs peuvent choisir d’activer la prévention de capture d’écran pour les types de ressources suivants :

• Applications et bureaux virtuels
• Applications Web et SaaS internes
• Écrans d’authentification
• Écrans Self-Service Plug-In (SSP)

Remarque :

Si vous avez lancé deux bureaux virtuels et que la fonctionnalité de prévention de capture d’écran est activée sur l’un des bureaux virtuels, mais pas sur l’autre, la fonctionnalité de prévention de capture d’écran s’applique aux deux bureaux virtuels. Vous ne pouvez pas prendre de capture d’écran de l’un ou l’autre des bureaux virtuels.

Si vous avez réduit le bureau virtuel sur lequel la fonction anti-capture d’écran est activée, la fonction est toujours applicable sur l’autre bureau virtuel.

Détection et notification de capture d’écran

Pour l’application Citrix Workspace, vous pouvez afficher une notification lorsqu’une éventuelle tentative de capture d’écran est effectuée sur des ressources protégées. Pour plus d’informations sur les ressources protégées par App Protection, consultez la section [Éléments inclus dans App Protection].(/en-us/citrix-workspace-app/app-protection.html#what-does-app-protection-protect)

La notification apparaît lorsqu’il y a une :

• tentative de capture d’écran ou d’enregistrement de vidéo à l’aide d’un outil de capture d’écran
• tentative de capture d’écran à l’aide de la touche Impression écran

Remarque :

• La notification n’apparaît qu’une seule fois par instance en cours d’exécution de l’outil de capture d’écran. La notification apparaît à nouveau si vous relancez l’outil et que vous essayez de capturer l’écran.
• Dans l’application Citrix Workspace pour Windows 2212 et versions ultérieures, les fenêtres de connexion et de Self-Service (Store) ne sont pas protégées par défaut.

Protection contre les injections de DLL

La protection contre les injections de DLL est une amélioration de la sécurité qui permet de protéger l’application Citrix Workspace contre certaines bibliothèques DLL non autorisées ou certains modules non fiables. Si de tels modules non fiables sont injectés, l’application Citrix Workspace détecte ces interventions et arrête le chargement des modules. En outre, si une DLL malveillante ou non fiable est détectée avant le lancement de la session, la protection des applications bloque le lancement de la session et affiche un message d’erreur. La fermeture du message d’erreur entraîne la fermeture de la session d’application et de bureau virtuel.

Cette fonctionnalité s’applique à tous les bureaux et applications virtuels protégés ainsi qu’à la fenêtre d’authentification de l’application Citrix Workspace (déploiement sur site/StoreFront).

Cette amélioration permet de quitter la session immédiatement lorsque certaines DLL non fiables ou malveillantes existent sur le composant protégé.

Cette amélioration affiche une notification lorsqu’une DLL non fiable ou malveillante est bloquée. La fermeture du message entraîne la fermeture de la session d’application et de bureau virtuel.

Clause d’exclusion de responsabilité : cette fonctionnalité opère en filtrant l’accès aux fonctions requises du système d’exploitation sous-jacent (appels d’API spécifiques requis pour charger les DLL). Cela signifie qu’elle peut fournir une protection même contre certains outils de piratage personnalisés et spécifiques. Cependant, à mesure que les systèmes d’exploitation évoluent, de nouvelles méthodes de chargement des DLL peuvent apparaître. Bien que nous continuions à les identifier et à les traiter, nous ne pouvons pas garantir une protection complète dans des configurations et des déploiements spécifiques.

Cette fonctionnalité prend en charge l’application Citrix Workspace pour Windows version 2206 et versions ultérieures.

Remarque :

Auparavant, les fonctionnalités anti-capture d’écran et de protection contre l’enregistrement de frappe étaient appliquées par défaut pour l’authentification Citrix et les écrans de l’application Citrix Workspace. Toutefois, à partir de la version 2212, ces fonctionnalités sont désactivées par défaut et doivent être configurées à l’aide de l’objet de stratégie de groupe. Pour plus d’informations sur la configuration de l’objet de stratégie de groupe, consultez la section Amélioration de la configuration d’App Protection.

Compatibilité avec l’optimisation HDX pour Microsoft Teams

Microsoft Teams optimisé prend en charge le partage d’écran lorsque l’application Citrix Workspace est activée avec App Protection uniquement en mode Desktop Viewer. Lorsque vous cliquez sur Partager du contenu dans Microsoft Teams, le sélecteur d’écran propose les options suivantes :

• Option Fenêtre permettant de partager n’importe quelle application ouverte. Elle ne s’affiche qu’avec la version 2109 du VDA ou une version ultérieure.
• Option Bureau permettant de partager les contenus sur votre bureau VDA : cette option n’est affichée qu’avec les versions suivantes de l’application Citrix Workspace :
  • Application Citrix Workspace pour Linux version 2311 ou ultérieure
  • Application Citrix Workspace pour Mac version 2308 ou ultérieure
  • Application Citrix Workspace pour Windows version 2309 ou ultérieure

Remarque :

Pour l’application Citrix Workspace pour Linux, l’option de partage de bureau est désactivée par défaut. Pour l’activer, ajoutez le paramètre UseGbufferScreenSharing dans le fichier config.json comme suit :

mkdir -p /var/.config/citrix/hdx_rtc_engine
vim /var/.config/citrix/hdx_rtc_engine/config.json
{
      "UseGbufferScreenSharing":1
}
<!--NeedCopy-->

La version optimisée de Microsoft Teams activée avec App Protection prend également en charge la disposition des moniteurs virtuels Citrix, ce qui vous permet de partager chaque moniteur virtuel de manière individuelle.

Limitation :

• La version optimisée de Microsoft Teams activée avec App Protection ne prend pas en charge le partage d’écran sur les bureaux publiés activés avec Local App Access (LAA).
• Le contenu rendu par le client, tel que le contenu du navigateur utilisant le BCR, ne peut être capturé ou partagé. Si vous essayez de faire une capture d’écran, celle-ci s’affiche sous forme d’écran noir.

Remarque :

Avec l’application Citrix Workspace pour Linux et Mac, cette fonctionnalité est en version Technical Preview.

App Protection locale (version préliminaire)

La protection des applications offre une sécurité renforcée pour protéger les clients contre les enregistreurs de frappe et les captures d’écran accidentelles et malveillantes sur les terminaux. Actuellement, les fonctionnalités de protection des applications ne sont proposées que pour les ressources de Workspace. Grâce à cette fonctionnalité, les fonctionnalités de protection des applications sont étendues aux applications locales sur les terminaux. À partir de l’application Citrix Workspace 2210 pour Windows, la protection des applications peut être appliquée aux applications locales sur les appareils Windows.

Inscrivez-vous à la version préliminaire de cette fonctionnalité en utilisant le formulaire Podio.

Détection d’altération des stratégies

La fonction de détection d’altération des stratégies empêche l’utilisateur d’accéder à la session d’application ou de bureau virtuel si les stratégies de prévention de capture d’écran et de protection contre l’enregistrement de frappe d’App Protection sont altérées. Si une altération des stratégies est détectée, la session d’application ou de bureau virtuel est interrompue.

Remarque :

La fonctionnalité de détection d’altération des stratégies sera activée par défaut dans une prochaine version.

Pour configurer la détection d’altération des stratégies, consultez Configurer la détection d’altération des stratégies.

Vérification de l’état

Pour détecter et bloquer le lancement d’applications et de bureaux virtuels dotés de stratégies App Protection à partir de versions de l’application Citrix Workspace qui ne prennent pas en charge la fonctionnalité de détection d’altération des stratégies, activez le paramètre Vérification de l’état d’App Protection.

Remarque :

Si la vérification de l’état est activée et que vous utilisez la version de l’application Citrix Workspace qui ne prend pas en charge la vérification de l’état, les sessions dotées de stratégies d’App Protection sont interrompues.

Pour configurer la vérification de l’état, consultez Configurer la vérification de l’état.

Limitation :

La Posture de l’appareil cesse de fonctionner par intermittence lorsque vous utilisez des VDA Windows Workstation hébergés sur Microsoft Azure.

App Protection avec le scénario double saut (DoubleHop)

Les fonctionnalités de protection des applications ne sont pas prises en charge dans un scénario double saut (DoubleHop) Le double saut (ou « DoubleHop ») désigne une session Citrix Virtual Apps ou Virtual Desktops exécutée dans le cadre d’une session Citrix Virtual Desktops. Vous avez été autorisé à lancer des applications et des bureaux virtuels dotés de stratégies App Protection dans un scénario DoubleHop, mais les fonctionnalités d’App Protection n’ont pas été appliquées.

À partir de la version 2309 de l’application Citrix Workspace pour Windows, une stratégie de groupe Windows est introduite et vous permet de bloquer le lancement d’applications et de bureaux virtuels dotés de stratégies App Protection dans un scénario DoubleHop. Pour en savoir plus sur l’activation du paramètre Bloquer le lancement de DoubleHop, consultez la section Activer le paramètre Bloquer le lancement de DoubleHop.

Citrix Analytics Service pour App Protection

Lorsque vous utilisez Citrix Virtual Apps and Desktops, des événements utilisateur correspondant à leurs activités et actions sont générés. Citrix Analytics for Security dispose d’une fonctionnalité nommée Recherche en libre-service qui enregistre ces événements utilisateur et vous fournit des informations à leur sujet. La fonctionnalité de Recherche en libre-service vous permet de rechercher, de filtrer et de consulter ces événements utilisateur afin de comprendre lequel est effectué et de prendre des mesures en fonction de sa gravité. Pour en savoir plus sur la Recherche en libre-service, voir Recherche en libre-service.

La fonctionnalité Recherche en libre-service pour applications et bureaux comporte le type d’événement AppProtection.ScreenCapture, qui vous permet de déterminer si des tentatives ont été faites pour prendre des captures d’écran des applications et bureaux virtuels dotés de stratégies App Protection. Pour en savoir plus sur la façon de rechercher un événement utilisateur, voir Spécifier une recherche pour filtrer les événements.

Ce service propose les informations suivantes :

• ID de l’appareil
• Titres d’applications protégés
• Informations supplémentaires sur le système d’exploitation
• Nom de l’outil de capture d’écran
• Chemin d’accès de l’outil de capture d’écran

Liste verte des captures d’écran

Si l’application Citrix Workspace, Citrix Virtual Apps and Desktops ou les applications SaaS sont activés avec la stratégie de prévention des captures d’écran App Protection, vous ne pouvez pas capturer leurs écrans à l’aide d’un outil de capture d’écran.

Toutefois, à partir de la version 2402 de l’application Citrix Workspace pour Windows, la fonctionnalité Liste verte des captures d’écran vous permet d’ajouter une application à la liste verte de captures d’écran. Cette fonctionnalité vous permet d’utiliser l’application inscrite sur la liste verte et de capturer l’écran de la ressource activée avec la stratégie de prévention des captures d’écran App Protection. Pour ajouter une application à la liste verte de capture d’écran, consultez Configuration de la liste verte de capture d’écran.

Important :

Il n’est pas recommandé d’exécuter une application sur liste verte sur votre appareil pendant une période prolongée, car cela réduit le niveau de sécurité. Vous pouvez utiliser les applications sur liste verte pour partager temporairement votre écran lors de scénarios tels que la résolution de problèmes. Il est recommandé de respecter les conditions suivantes :

• Exécutez l’application sur liste verte pendant une courte période en activant la fonction anti-capture d’écran App Protection sur la ressource.
• Une fois la tâche requise terminée, fermez immédiatement l’application sur liste verte.
• Pour plus de sécurité lors du partage d’un écran tout en utilisant la ressource avec la fonction anti-capture d’écran App Protection activée, ajoutez un filigrane.

Liste d’exclusion des processus

Lorsque vous lancez un processus ou une application sur votre appareil, des DLL App Protection sont injectées dans chaque processus si l’App Protection est activée. Parfois, cela peut empêcher le processus ou l’application de fonctionner en raison de problèmes de compatibilité avec la DLL.

À partir de la version 2402 de l’application Citrix Workspace pour Windows, vous pouvez ajouter n’importe quel processus à la liste d’exclusion des processus afin d’éviter l’injection de la DLL App Protection dans ce processus particulier et de résoudre les problèmes de compatibilité causés par la présence de DLL App Protection. Pour configurer la liste d’exclusion des processus, consultez Configuration de la liste d’exclusion des processus.

Important :

l’exclusion de processus n’est pas recommandée, car cela réduit la posture de sécurité. Vous pouvez l’utiliser pour débloquer temporairement l’utilisation de l’application et créer un ticket d’assistance pour une étude plus approfondie.

Liste d’exclusion des pilotes de filtre USB

Parfois, lorsque vous utilisez des claviers externes spécialisés tels que des claviers de gaming avec l’application Citrix Workspace, le pilote de filtre USB App Protection peut entraîner des problèmes de compatibilité et vous empêcher d’utiliser le clavier.

À partir de la version 2402 de l’application Citrix Workspace pour Windows, la fonctionnalité Liste d’exclusion des pilotes de filtre USB vous permet d’exclure tout périphérique USB présentant des problèmes de compatibilité avec l’application Citrix Workspace à l’aide de l’ID fournisseur et de l’ID produit de l’appareil. Pour ajouter un périphérique à la liste d’exclusion des pilotes de filtre USB, consultez Configuration de la liste d’exclusion des pilotes de filtre USB.

Remarque :

l’exclusion définitive de périphériques n’est pas recommandée. Utilisez cette fonctionnalité pour empêcher temporairement l’utilisateur d’utiliser le périphérique et créez un ticket d’assistance afin d’étudier le problème de compatibilité de manière plus approfondie.