Stratégies de protection des applications

Aperçu

Ce guide est conçu pour vous guider dans les conditions techniques préalables, les cas d’utilisation et la configuration des stratégies de protection des applications pour votre déploiement local Citrix Virtual Apps and Desktops. La protection des applications est une fonctionnalité complémentaire pour l’application Citrix Workspace (CWA) qui fournit une sécurité améliorée lors de l’utilisation des ressources publiées Citrix Virtual Apps and Desktops. Deux stratégies offrent des fonctionnalités d’anti-journalisation des touches et de capture d’écran dans une session Citrix HDX.

Configuration système requise

La fonctionnalité de stratégies de protection des applications nécessite une version spécifique de l’application Citrix Workspace et prend en charge les terminaux Windows et macOS. Une licence complémentaire spéciale est requise ainsi que des modifications de configuration sur les serveurs StoreFront et Delivery Controller. Vous pouvez en savoir plus sur la configuration système requise dans documentation produit.

Application Citrix Workspace

Versions minimales :

  • Application Citrix Workspace pour Windows 1912 LTSR
  • Application Citrix Workspace pour Mac 2001+
  • Application Citrix Workspace pour Windows 2002+

Systèmes d’exploitation pris en charge :

  • Windows 7, 8.1 et 10
  • macOS 10.13 (High Sierra) et plus récents

Les systèmes d’exploitation serveur (par exemple Windows Server 2019) ne sont pas pris en charge.

Remarque :

Ces systèmes d’exploitation sont pris en charge lorsque l’application Citrix Workspace est installée (généralement point de terminaison). Le VDA prend en charge tous les systèmes d’exploitation, y compris le système d’exploitation du serveur.

Licences

Des licences Citrix valides sont requises :

  • Citrix Virtual Apps and Desktops
  • Licence complémentaire pour la protection des applications

L’infrastructure

Les composants serveur suivants sont requis :

  • StoreFront 1912 ou supérieur
  • Delivery Controller 1912 ou supérieur

Installation - Delivery Controller

Remarque :

les étapes suivantes sont uniquement requises pour Citrix Virtual Apps and Desktops versions 1912, 2003 et 2006, la fonctionnalité de protection des applications est automatiquement incluse dans les versions plus récentes. Seule l’étape requise sur les versions plus récentes consiste à activer l’approbation XML (première étape).

  1. Activez l’approbation XML en exécutant la commande suivante :

    Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true

    Définir l'approbation XML

  2. Après avoir acheté la fonctionnalité de protection des applications, téléchargez le fichier FeatureTable.OnPrem.AppProtection.xml à partir de la page de téléchargement de Citrix Virtual Apps and Desktops 1912 ou version ultérieure.

    Remarque :

    Le fichier XML des stratégies de protection des applications se trouve sous Composants

    Téléchargements

  3. Cliquez sur Télécharger le fichier et enregistrez-le sur le disque local

    Téléchargements

  4. Sur n’importe quel Delivery Controller, lancez PowerShell et chargez les composants logiciels enfichables Citrix PowerShell à l’aide de la cmdlet

    Add-PSSnapin Citrix*

    Importer un composant logiciel enfich

  5. Dans PowerShell, accédez au dossier où le fichier XML a été téléchargé
  6. Activez la fonctionnalité de protection des applications à l’aide de la commande suivante :

    Import-ConfigFeatureTable FeatureTable.OnPrem.AppProtection.xml

    Importer une table d'entités

  7. Vérifiez que la protection des applications est activée à l’aide de la commande suivante :

    Get-ConfigEnabledFeature | Select-String –Pattern "AppProtection"

    Obtenir la fonctionnalité

Installation - Licence

  1. Téléchargez le fichier de licence et importez-le dans Citrix License Server avec une licence Citrix Virtual Desktops existante
  2. Utilisez Citrix Licensing Manager pour importer le fichier de licence. Pour de plus amples informations, consultez Installer des licences

Installation - Application Citrix Workspace

  1. Inclure le composant de protection de l’application en utilisant l’une des méthodes suivantes :

    Pour Windows : pendant l’installation de l’application Citrix Workspace (pour Windows), sélectionnez Activer la protection des applications, puis cliquez sur Installer pour poursuivre l’installation ou utiliser le commutateur de ligne de commande CitrixWorkspaceApp.exe /includeappprotection. Pour plus d’informations, reportez-vous à la Section Protection des applications de la documentation de l’application Citrix Workspace pour Windows.

    Fonction d'installation

    Pour macOS : la protection des applications ne nécessite aucune installation ou configuration spécifique sur Citrix Workspace pour Mac.

    Remarque :

    Il n’est pas possible d’ajouter la prise en charge de la protection des applications aux clients plus anciens. Désinstallez l’ancienne version de l’application Citrix Receiver/Citrix Workspace et installez une nouvelle version avec le composant de protection des applications.

  2. Cliquez sur Terminer

    Terminer

  3. Cliquez sur Oui pour redémarrer votre ordinateur

    Redémarrer

Configuration - Groupe de mise à disposition

La protection anti-journalisation des touches et anti-capture d’écran est configurée au niveau du groupe de mise à disposition à l’aide de PowerShell. Il existe deux propriétés sur chaque groupe de mise à disposition qui affectent le comportement des stratégies de protection des applications :

  • AppProtectionKeyLoggingRequired - peut être $True (activé) ou $False (désactivé)
  • AppProtectionScreenCaptureRequired - peut être $True (activé) ou $False (désactivé)
  1. Sur n’importe quel Delivery Controller, lancez PowerShell et chargez les composants logiciels enfichables Citrix PowerShell à l’aide de la cmdlet

    Add-PSSnapin Citrix*

  2. Pour activer la protection des applications pour le groupe de mise à disposition Admin Desktop, utilisez la commande suivante :

    Set-BrokerDesktopGroup -Name "Admin Desktop" -AppProtectionKeyLoggingRequired $True -AppProtectionScreenCaptureRequired $True

    Set property

  3. Valider les paramètres en exécutant la commande PowerShell suivante :

    Get-BrokerDesktopGroup -Property Name, AppProtectionKeyLoggingRequired, AppProtectionScreenCaptureRequired | Format-Table -AutoSize

    Get properties

Test - Application Citrix Workspace pour Windows

Les étapes suivantes fournissent des conseils pour les tests anti-partage d’écran uniquement. Pour tester la protection anti-keylogging, nous vous recommandons de consulter votre propre équipe de sécurité.

  1. Lancez l’application Citrix Workspace et connexion

    Lancer l'espace de travail

  2. Cliquez sur une application virtuelle protégée ou un bureau virtuel (par exemple Admin Desktop) et lancez la session HDX. Si vous ne voyez pas de ressources protégées, vous utilisez probablement le magasin Web ou l’application Citrix Receiver/Citrix Workspace non prise en charge.

    Ressource de lancement

  3. (Facultatif) Si la protection des applications n’est pas installée, vous obtenez la fenêtre contextuelle suivante lorsque vous tentez de lancer une application virtuelle ou un bureau protégé. Cliquez sur Oui

    Téléchargement facultatif

    Remarque :

    cette option n’est pas disponible avec les anciennes versions de l’application Citrix Receiver/Citrix Workspace

  4. Essayez d’effectuer une capture d’écran

    Prendre une capture d'écran

  5. Confirmez que vous voyez un écran vide (comportement attendu)

    Capture d'écran vierge

Lors du test de protection anti-enregistrement des touches et de capture d’écran, soyez conscient du comportement attendu :

  • Anti-keylogging - Cette fonctionnalité n’est active que lorsqu’une fenêtre protégée est en focus
  • Capture anti-écran  : cette fonctionnalité est active lorsqu’une fenêtre protégée est visible (non minimisée).

Une autre méthode simple pour tester la protection anti-capture d’écran consiste à utiliser l’un des outils de conférence populaires (GoToMeeting, Microsoft Teams, Zoom ou Slack). Le partage d’écran ne doit pas être possible lorsque la protection est activée.

Références

Documentation produit - Application Citrix Workspace

Documentation produit - Protection des applications

Stratégies de protection des applications