Documentazione dei prodotti
Citrix Virtual Apps and Desktops
Service Current Release 2209 2206 2203 LTSR 2112 2109 2106 2103 1912 LTSR
Visualizza PDF

App Protection

November 17, 2022
Grazie al contributo di: 
C

La protezione delle app è una funzionalità aggiuntiva dell’app Citrix Workspace che fornisce una maggiore sicurezza quando si utilizzano le risorse pubblicate di Citrix Virtual Apps and Desktops.

Due criteri offrono funzionalità anti-keylogging e anti-screen-capture per una sessione Citrix HDX. I criteri e, come requisito minimo, l’app Citrix Workspace 1912 per Windows, l’app Citrix Workspace 2001 per Mac o l’app Citrix Workspace 2108 per Linux possono aiutare a proteggere i dati da keylogger e screen scraper.

Anti-keylogging quando abilitato:

  • Un keylogger vede le sequenze di tasti crittografate.
  • Questa funzione è attiva solo quando è attiva una finestra protetta.

Anti-screen-capturing quando abilitata:

  • L’acquisizione dello schermo è una schermata vuota sul sistema operativo Windows e Linux. Su macOS, è vuoto solo il contenuto della finestra protetta.
  • Per Windows OS e macOS, questa funzionalità è attiva quando è visibile una finestra protetta (non ridotta a icona). Per il sistema operativo Linux, la funzionalità è attiva sia quando una finestra protetta viene ridotta a icona sia quando viene ingrandita.

È possibile configurare i criteri solo tramite PowerShell. Non esiste alcuna funzionalità di amministrazione GUI. Questa configurazione è necessaria solo per abilitare o disabilitare la funzionalità per un gruppo di consegna specifico.

Dopo aver acquistato questa funzione, assicurarsi di abilitare la licenza di protezione dell’app.

Dichiarazione di non responsabilità:

I criteri di App Protection funzionano filtrando l’accesso alle funzioni richieste del sistema operativo sottostante (chiamate API specifiche necessarie per acquisire schermate o pressioni della tastiera). Ciò significa che i criteri di App Protection possono fornire protezione anche da strumenti hacker personalizzati e appositamente progettati. Tuttavia, con l’evoluzione dei sistemi operativi, possono emergere nuovi modi di catturare le schermate e di effettuare il keylogging. Sebbene continuiamo a identificare e a risolvere tali violazioni, non possiamo garantire una protezione completa in configurazioni e distribuzioni specifiche.

I criteri di App Protection Citrix funzionano in modo efficace insieme ai componenti del sistema operativo sottostanti, inclusi i file ICA. Citrix non sarebbe in grado di fornire supporto in caso fossero rilevati manomissioni o modifiche dei componenti sottostanti intenzionali, in modo da fornire l’integrità delle politiche applicate.

Limitazioni

Da progetto, esistono queste limitazioni:

  • Nessun supporto anti-keylogging all’interno di sessioni HDX o RDP. La protezione degli endpoint è ancora attiva. Questa limitazione si applica solo agli scenari a doppio hop.
  • Nessuna funzionalità di supporto quando si utilizza una versione non supportata dell’app Citrix Workspace o Citrix Receiver. In tal caso, le risorse sono nascoste.
  • La protezione delle app è supportata per le distribuzioni locali di Citrix Virtual Apps and Desktops e per il servizio Citrix Virtual Apps and Desktops con StoreFront e Workspace.
  • Nessun supporto delle funzionalità per gli store Web StoreFront.
  • La funzionalità aggiuntiva per App Protection per l’app Citrix Workspace impedisce la condivisione dello schermo in uscita.
  • La protezione dell’app potrebbe impedire la condivisione dello schermo in uscita e in entrata con app di collaborazione o funzionalità abilitate per l’ottimizzazione.
  • Le applicazioni con criteri di App Protection non sono elencate nei lease delle connessioni, pertanto la continuità del servizio non visualizza le icone delle app/dei desktop nell’app Citrix Workspace in modalità di interruzione/offline.

Comportamento previsto

I comportamenti previsti dipendono dalla modalità di accesso allo store StoreFront che contiene le risorse protette. È possibile accedere alle risorse utilizzando un client nativo dell’app Citrix Workspace supportato.

  • Comportamento su StoreWeb: le applicazioni con criteri di App Protection non vengono enumerate negli store Web StoreFront.
  • Comportamento delle app Citrix Receiver o Citrix Workspace non supportate: le applicazioni con criteri di App Protection non vengono enumerate.
  • Comportamento delle versioni delle app Citrix Workspace supportate: le risorse protette vengono enumerate e avviate correttamente.

La protezione viene applicata nelle seguenti condizioni:

  • Prevenzione dell’acquisizione dello schermo: per Windows e Mac, è abilitata se sullo schermo è visibile una finestra protetta. Per disabilitare la protezione, ridurre a icona tutte le finestre protette. Per Linux, è abilitata se è attiva una finestra protetta. Per disabilitare la protezione, chiudere tutte le finestre protette.
  • Anti-keylogging: abilitato se è attiva una finestra protetta. Per disattivare la protezione, rendere attiva un’altra finestra.

Che cosa protegge App Protection?

Per acquisire lo screenshot di qualsiasi finestra di un’app non Citrix Workspace, gli utenti devono innanzitutto ridurre a icona la finestra protetta. Per Linux, gli utenti devono chiudere tutte le finestre protette.

Per impostazione predefinita, App Protection protegge le seguenti finestre Citrix:

  • Finestre di accesso Citrix: le finestre di autenticazione di Citrix Workspace sono protette solo sui sistemi operativi Windows. Per Linux, è necessario configurare la funzionalità di App Protection nel file AuthManConfig.xml per abilitarla per il gestore di autenticazione.

Finestra di accesso Citrix - protetta

  • Finestre di sessione HDX dell’app Citrix Workspace (ad esempio, desktop gestito)

Finestra desktop gestita Citrix - protetta

  • Finestre Self-Service (Store): le finestre Self-Service di Citrix Workspace sono protette solo sui sistemi operativi Windows. Per Linux, è necessario configurare la funzionalità di App Protection nel file AuthManConfig.xml per abilitarla per le finestre Self-Service.

Finestra Citrix Self-Service (Store) - protetta

Cosa non protegge App Protection?

Gli elementi sotto l’icona delle app Citrix Workspace nella barra di navigazione:

  • Centro connessioni
  • Tutti i collegamenti presenti in Preferenze avanzate
  • Personalizza
  • Verifica la disponibilità di aggiornamenti
  • Scollega

Requisiti di sistema

Versioni minime dei componenti Citrix

  • App Citrix Workspace 2108 per Linux
  • App Citrix Workspace 1912 per Windows Long Term Service Release
  • App Citrix Workspace 2002 per Windows
  • App Citrix Workspace 2001 per Mac
  • StoreFront 1912
  • Delivery Controller 1912
  • Licenze Citrix valide
    • Licenza aggiuntiva per App Protection
    • Una licenza valida per Citrix Virtual Apps and Desktops 1912 o versioni successive

Piattaforme del sistema operativo

Il runtime dei criteri di App Protection viene installato sull’endpoint da cui ci si sta connettendo e non sul VDA a cui ci si sta connettendo. Pertanto, solo la versione del sistema operativo dell’endpoint è significativa App Protection può connettersi ai VDA ospitati su qualsiasi sistema operativo supportato descritto in Requisiti di sistema di Citrix Virtual Apps and Desktops.

La funzionalità di App Protection è supportata sugli endpoint che eseguono i seguenti sistemi operativi:

  • Windows 10
  • Windows 8.1
  • Windows 7
  • macOS High Sierra (10.13) e versioni successive
  • Ubuntu 18.04+ a 64 bit
  • Debian 9+ a 64 bit
  • CentOS 7.5+ a 64 bit
  • RHEL7.5+ a 64 bit
  • ARMHF Raspbian 10 a 32 bit (Buster)+

Nota:

Per App Protection, l’app Citrix Workspace per Linux richiede Gnome Display Manager oltre ai sistemi operativi supportati.

Configurare

Seguire questi passaggi per configurare e abilitare completamente la funzionalità di App Protection:

  1. Importare la licenza di App Protection†.
  2. Configurare l’app Workspace.
  3. Abilitare i criteri di App Protection nei Delivery Controller†.

† In un ambiente di servizio Citrix Virtual Apps and Desktops, questi passaggi di configurazione differiscono leggermente. Vedere le note in queste sezioni.

1. Licenze

Nota:

In un ambiente di servizio Citrix Virtual Apps and Desktops, ignorare questo passaggio perché non ci sono licenze da installare. La funzionalità di App Protection è inclusa come parte di alcuni pacchetti di servizi Citrix Cloud e le licenze sono fornite direttamente su Citrix Cloud.

App Protection richiede l’installazione di una licenza aggiuntiva su Citrix License Server. Deve essere presente anche una licenza valida per Citrix Virtual Apps and Desktops 1912 o versioni successive. Contattare un rappresentante commerciale Citrix per acquistare la licenza del componente aggiuntivo per App Protection.

  1. Scaricare il file di licenza e importarlo in Citrix License Server insieme a una licenza Citrix Virtual Desktops esistente.
  2. Utilizzare Citrix Licensing Manager per importare il file di licenza (metodo preferito) o copiare il file di licenza C:\Program Files (x86)\Citrix\Licensing\MyFiles su License Server e riavviare il servizio Citrix Licensing. Per ulteriori informazioni, vedere Installare licenze.

2. App Citrix Workspace

Configurare App Protection nell’app Citrix Workspace.

App Citrix Workspace per Windows

È possibile includere il componente di protezione delle app con l’app Citrix Workspace utilizzando i seguenti metodi:

  • Durante l’installazione dell’app Citrix Workspace.
  • Utilizzo dell’interfaccia della riga di comando dopo l’installazione dell’app Citrix Workspace.

Verificare che l’app Citrix Workspace sia stata installata con lo switch /includeappprotection abilitato

Per ulteriori informazioni, vedere App Protection.

App Citrix Workspace per Mac

La protezione delle app non richiede alcuna configurazione specifica sull’app Citrix Workspace per Mac.

App Citrix Workspace per Linux

La protezione delle app è supportata quando l’app Citrix Workspace per Linux è installata utilizzando i pacchetti tarball, Debian e Red Hat Package Manager (RPM). Le architetture supportate sono x64 e ARMHF.

Per ulteriori informazioni, vedere App Protection.

3. Gruppi di consegna

Nota:

In un ambiente di servizio Citrix Virtual Apps and Desktops, utilizzare i cmdlet nella Remote PowerShell SDK per Citrix Virtual Apps and Desktops su qualsiasi macchina (tranne le macchine Citrix Cloud Connector) per inviare i comandi di cui a questa sezione.

Abilitare le seguenti proprietà per il gruppo di consegna per la protezione delle app utilizzando Citrix Virtual Apps and Desktops SDK su qualsiasi macchina con un Delivery Controller installato o su una macchina in cui è installata una versione autonoma di Studio e sono installati gli snap-in PowerShell FMA.

  • AppProtectionKeyLoggingRequired: True
  • AppProtectionScreenCaptureRequired: True

È possibile abilitare ciascuno di questi criteri singolarmente per gruppo di consegna. Ad esempio, è possibile configurare la protezione keylogging solo per DG1 e la protezione dell’acquisizione dello schermo solo per DG2. È possibile abilitare entrambi i criteri per DG3.

Esempio

Per abilitare entrambi i criteri per un Delivery Controller denominato DG3, eseguire il comando seguente in qualsiasi Delivery Controller nel sito:

Set-BrokerDesktopGroup -Name DG3 -AppProtectionKeyLoggingRequired $true -AppProtectionScreenCaptureRequired $true

Per convalidare le impostazioni, eseguire questo cmdlet:

Get-BrokerDesktopGroup -Property Name, AppProtectionKeyLoggingRequired, AppProtectionScreenCaptureRequired | Format-Table -AutoSize

Inoltre, abilitare l’attendibilità XML:

Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true

Assicurarsi di proteggere la rete tra StoreFront e Broker. Per ulteriori informazioni, vedere gli articoli CTX236929 del Knowledge Center e Protezione del servizio XML XenApp e XenDesktop.

Suggerimento

I criteri di protezione delle app puntano principalmente al miglioramento della sicurezza e della protezione di un endpoint. Esaminare tutti gli altri consigli e criteri di sicurezza per l’ambiente in uso. È possibile utilizzare un modello di criteri di sicurezza e controllo per una configurazione consigliata in ambienti con bassa tolleranza al rischio. Per ulteriori informazioni, vedere Modelli di criteri.

App Protection contestuale

App Protection contestuale offre la flessibilità granulare necessaria per applicare i criteri di App Protection in modo condizionale per un sottoinsieme di utenti, in base agli utenti, al loro dispositivo e alla postura della rete. Per ulteriori informazioni, vedere App Protection contestuale.

Risoluzione dei problemi

Le applicazioni non vengono enumerate o non si avviano:

  • Verificare che l’utente interessato stia utilizzando una versione supportata dell’app Citrix Workspace.
  • Assicurarsi che il gruppo di consegna abbia le funzioni appropriate attivate.

I criteri di App Protection non si applicano correttamente:

  • Assicurarsi che il gruppo di consegna abbia le funzioni appropriate attivate.
  • Verificare che la funzionalità sia installata nell’endpoint.
  • Verificare che l’utente interessato utilizzi una versione dell’app Citrix Workspace supportata.
  • Verificare che l’app Citrix Workspace sia stata installata con lo switch /includeappprotection abilitato.

Screenshot non funzionanti su finestre non Citrix:

  • Ridurre al minimo o chiudere le finestre protette Citrix, inclusa l’app Citrix Workspace.
App Protection
November 17, 2022
Grazie al contributo di: 
C
November 17, 2022
Grazie al contributo di: 
C

In questo articolo

Feedback sito | Privacy e condizioni legali | Preferenze cookie | Impostazioni di consenso
© 1999- Cloud Software Group, Inc. All rights reserved.