Guide PoC : Stratégies de protection des applications
Vue d’ensemble
Ce guide est conçu pour vous guider dans les conditions techniques préalables, les cas d’utilisation et la configuration des stratégies de protection des applications pour votre déploiement local Citrix Virtual Apps and Desktops. La protection des applications est une fonctionnalité complémentaire pour l’application Citrix Workspace (CWA) qui fournit une sécurité améliorée lors de l’utilisation des ressources publiées Citrix Virtual Apps and Desktops. Deux stratégies offrent des fonctionnalités d’anti-journalisation des touches et de capture d’écran dans une session Citrix HDX.
Configuration système requise
La fonctionnalité de stratégies de protection des applications nécessite une version spécifique de l’application Citrix Workspace et prend en charge divers points de terminaison Une licence complémentaire spéciale est requise ainsi que des modifications de configuration sur les serveurs StoreFront et Delivery Controller. Vous pouvez en savoir plus sur la configuration requise dans la documentation produit.
Pour obtenir la liste actuelle des applications et systèmes d’exploitation Citrix Workspace pris en charge, reportez-vous à la section Configuration système requise. En outre, Citrix Ready fournit des points de terminaison tiers pris en charge par nos partenaires.
Les systèmes d’exploitation serveur (par exemple Windows Server 2019) ne sont pas pris en charge.
Remarque :
Ces systèmes d’exploitation sont pris en charge lorsque l’application Citrix Workspace est installée (généralement point de terminaison). Le VDA prend en charge tous les systèmes d’exploitation, y compris le système d’exploitation du serveur.
Licences
Des licences Citrix valides sont requises :
- Citrix Virtual Apps and Desktops
- Licence complémentaire pour la protection des applications
L’infrastructure
Les composants serveur suivants sont requis :
- StoreFront 1912 ou supérieur
- Delivery Controller 1912 ou supérieur
Installation - Delivery Controller
Remarque :
les étapes suivantes sont uniquement requises pour Citrix Virtual Apps and Desktops versions 1912, 2003 et 2006, la fonctionnalité de protection des applications est automatiquement incluse dans les versions plus récentes. Seule l’étape requise sur les versions plus récentes consiste à activer l’approbation XML (première étape).
-
Activez l’approbation XML en exécutant la commande suivante :
Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true
-
Après avoir acheté la fonctionnalité de protection des applications, téléchargez le fichier
FeatureTable.OnPrem.AppProtection.xmlà partir de la page de téléchargement de Citrix Virtual Apps and Desktops 1912 ou version ultérieure.Remarque :
Le fichier XML des stratégies de protection des applications se trouve sous Composants
-
Cliquez sur Télécharger le fichier et enregistrez-le sur le disque local
-
Sur n’importe quel Delivery Controller, lancez PowerShell et chargez les composants logiciels enfichables Citrix PowerShell à l’aide de la cmdlet
Add-PSSnapin Citrix*
- Dans PowerShell, accédez au dossier où le fichier XML a été téléchargé
-
Activez la fonctionnalité de protection des applications à l’aide de la commande suivante :
Import-ConfigFeatureTable FeatureTable.OnPrem.AppProtection.xml
-
Vérifiez que la protection des applications est activée à l’aide de la commande suivante :
Get-ConfigEnabledFeature | Select-String –Pattern "AppProtection"
Installation - Licence
- Téléchargez le fichier de licence et importez-le dans Citrix License Server avec une licence Citrix Virtual Desktops existante
- Utilisez Citrix Licensing Manager pour importer le fichier de licence. Pour plus d’informations, voir Installer des licences
Installation - Application Citrix Workspace
-
Inclure le composant de protection de l’application en utilisant l’une des méthodes suivantes :
Pour Windows : pendant l’installation de l’application Citrix Workspace (pour Windows), sélectionnez Activer la protection des applications, puis cliquez sur Installer pour poursuivre l’installation ou utiliser le commutateur de ligne de commande
CitrixWorkspaceApp.exe /includeappprotection. Pour plus d’informations, consultez la section Protection des applications de la documentation de production de l’application Citrix Workspace pour Windows.
Pour macOS : la protection des applications ne nécessite aucune installation ou configuration spécifique sur Citrix Workspace pour Mac.
Remarque :
Il n’est pas possible d’ajouter la prise en charge de la protection des applications aux clients plus anciens. Désinstallez l’ancienne version de l’application Citrix Receiver/Citrix Workspace et installez une nouvelle version avec le composant de protection des applications.
-
Cliquez sur Terminer
-
Cliquez sur Oui pour redémarrer votre ordinateur
Configuration - Groupe de mise à disposition
La protection anti-journalisation des touches et anti-capture d’écran est configurée au niveau du groupe de mise à disposition à l’aide de PowerShell. Il existe deux propriétés sur chaque groupe de mise à disposition qui affectent le comportement des stratégies de protection des applications :
-
AppProtectionKeyLoggingRequired- peut être$True(activé) ou$False(désactivé) -
AppProtectionScreenCaptureRequired- peut être$True(activé) ou$False(désactivé)
-
Sur n’importe quel Delivery Controller, lancez PowerShell et chargez les composants logiciels enfichables Citrix PowerShell à l’aide de la cmdlet
Add-PSSnapin Citrix* -
Pour activer la protection des applications pour le groupe de mise à disposition
Admin Desktop, utilisez la commande suivante :Set-BrokerDesktopGroup -Name "Admin Desktop" -AppProtectionKeyLoggingRequired $True -AppProtectionScreenCaptureRequired $True
-
Valider les paramètres en exécutant la commande PowerShell suivante :
Get-BrokerDesktopGroup -Property Name, AppProtectionKeyLoggingRequired, AppProtectionScreenCaptureRequired | Format-Table -AutoSize
Test - Application Citrix Workspace pour Windows
Les étapes suivantes fournissent des conseils pour les tests anti-partage d’écran uniquement. Pour tester la protection anti-keylogging, nous vous recommandons de consulter votre propre équipe de sécurité.
-
Lancez l’application Citrix Workspace et connexion
-
Cliquez sur une application virtuelle protégée ou un bureau virtuel (par exemple Admin Desktop) et lancez la session HDX. Si vous ne voyez pas de ressources protégées, vous utilisez probablement le magasin Web ou l’application Citrix Receiver/Citrix Workspace non prise en charge.
-
(Facultatif) Si la protection des applications n’est pas installée, vous obtenez la fenêtre contextuelle suivante lorsque vous tentez de lancer une application virtuelle ou un bureau protégé. Cliquez sur Oui
Remarque :
cette option n’est pas disponible avec les anciennes versions de l’application Citrix Receiver/Citrix Workspace
-
Essayez d’effectuer une capture d’écran
-
Confirmez que vous voyez un écran vide (comportement attendu)
Lors du test de protection anti-enregistrement des touches et de capture d’écran, soyez conscient du comportement attendu :
- Anti-keylogging - Cette fonctionnalité n’est active que lorsqu’une fenêtre protégée est en focus
- Capture anti-écran : cette fonctionnalité est active lorsqu’une fenêtre protégée est visible (non minimisée).
Une autre méthode simple pour tester la protection anti-capture d’écran consiste à utiliser l’un des outils de conférence populaires (GoToMeeting, Microsoft Teams, Zoom ou Slack). Le partage d’écran ne doit pas être possible lorsque la protection est activée.