Citrix Virtual Apps and Desktops

Protezione delle app

La protezione delle app è una funzionalità aggiuntiva dell’app Citrix Workspace che fornisce una maggiore sicurezza quando si utilizzano le risorse pubblicate di Citrix Virtual Apps and Desktops.

Due criteri offrono funzionalità anti-keylogging e anti-screen-capture per una sessione Citrix HDX. I criteri e, come requisito minimo, l’app Citrix Workspace 1912 per Windows, l’app Citrix Workspace 2001 per Mac o l’app Citrix Workspace 2108 per Linux possono aiutare a proteggere i dati da keylogger e screen scraper.

Anti-keylogging quando abilitato:

  • Un keylogger vede le sequenze di tasti crittografate.
  • Questa funzione è attiva solo quando è attiva una finestra protetta.

Anti-screen-capturing quando abilitata:

  • L’acquisizione dello schermo è una schermata vuota sul sistema operativo Windows e Linux. Su macOS, è vuoto solo il contenuto della finestra protetta.
  • Per Windows OS e macOS, questa funzionalità è attiva quando è visibile una finestra protetta (non ridotta a icona). Per il sistema operativo Linux, la funzionalità è attiva sia quando una finestra protetta viene ridotta a icona sia quando viene ingrandita.

È possibile configurare i criteri solo tramite PowerShell. Non esiste alcuna funzionalità di amministrazione GUI. Questa configurazione è necessaria solo per abilitare o disabilitare la funzionalità per un gruppo di consegna specifico.

Dopo aver acquistato questa funzione, assicurarsi di abilitare la licenza di protezione dell’app.

Dichiarazione di non responsabilità:

I criteri di protezione delle app funzionano filtrando l’accesso alle funzioni richieste del sistema operativo sottostante (chiamate API specifiche necessarie per acquisire schermate o pressioni della tastiera). Ciò significa che i criteri di protezione delle app possono fornire protezione anche da strumenti hacker personalizzati e appositamente progettati. Tuttavia, con l’evoluzione dei sistemi operativi, possono emergere nuovi modi di catturare le schermate e di effettuare il keylogging. Sebbene continuiamo a identificare e a risolvere tali violazioni, non possiamo garantire una protezione completa in configurazioni e distribuzioni specifiche.

Le policy di protezione delle app Citrix funzionano in modo efficace insieme ai componenti del sistema operativo sottostanti, inclusi i file ICA. Citrix non sarebbe in grado di fornire supporto in caso fossero rilevati manomissioni o modifiche dei componenti sottostanti intenzionali, in modo da fornire l’integrità delle politiche applicate.

Limitazioni

Da progetto, esistono queste limitazioni:

  • Nessun supporto anti-keylogging all’interno di sessioni HDX o RDP. La protezione degli endpoint è ancora attiva. Questa limitazione si applica solo agli scenari a doppio hop.
  • Nessuna funzionalità di supporto quando si utilizza una versione non supportata dell’app Citrix Workspace o Citrix Receiver. In tal caso, le risorse sono nascoste.
  • La protezione delle app è supportata per le distribuzioni locali di Citrix Virtual Apps and Desktops e per il servizio Citrix Virtual Apps and Desktops con StoreFront.
  • Nessun supporto delle funzionalità per gli store Web StoreFront.
  • La funzionalità aggiuntiva per la protezione delle app per l’app Citrix Workspace impedisce la condivisione dello schermo in uscita.
  • La protezione dell’app potrebbe impedire la condivisione dello schermo in uscita con app di collaborazione o funzionalità abilitate per l’ottimizzazione.
  • Le applicazioni con criteri di protezione delle app non sono elencate nei lease delle connessioni, pertanto la continuità del servizio non visualizza le icone delle app/dei desktop nell’app Citrix Workspace in modalità di interruzione/offline.

Comportamento previsto

I comportamenti previsti dipendono dalla modalità di accesso all’archivio StoreFront che contiene le risorse protette. È possibile accedere alle risorse utilizzando un client nativo dell’app Citrix Workspace supportato.

  • Comportamento su StoreWeb: le applicazioni con criteri di protezione delle app non vengono enumerate negli store Web StoreFront.
  • Comportamento delle app Citrix Receiver o Citrix Workspace non supportate: le applicazioni con criteri di protezione delle app non vengono enumerate.
  • Comportamento delle versioni delle app Citrix Workspace supportate: le risorse protette vengono enumerate e avviate correttamente.

La protezione viene applicata nelle seguenti condizioni:

  • Prevenzione dell’acquisizione dello schermo: per Windows e Mac, è abilitata se sullo schermo è visibile una finestra protetta. Per disabilitare la protezione, ridurre a icona tutte le finestre protette. Per Linux, è abilitata se è attiva una finestra protetta. Per disabilitare la protezione, chiudere tutte le finestre protette.
  • Anti-keylogging: abilitato se è attiva una finestra protetta. Per disattivare la protezione, rendere attiva un’altra finestra.

Che cosa protegge la protezione delle app?

Per acquisire lo screenshot di qualsiasi finestra di un’app non Citrix Workspace, gli utenti devono innanzitutto ridurre a icona la finestra protetta. Per Linux, gli utenti devono chiudere tutte le finestre protette.

Per impostazione predefinita, la protezione delle app protegge le seguenti finestre Citrix:

  • Finestre di accesso Citrix: le finestre di autenticazione di Citrix Workspace sono protette solo sui sistemi operativi Windows. Per Linux, è necessario configurare la funzionalità di protezione delle app nel file AuthManConfig.xml per abilitarla per il gestore di autenticazione.

Finestra di accesso Citrix - protetta

  • Finestre di sessione HDX dell’app Citrix Workspace (ad esempio, desktop gestito)

Finestra desktop gestita Citrix - protetta

  • Finestre Self-Service (Store): le finestre Self-Service di Citrix Workspace sono protette solo sui sistemi operativi Windows. Per Linux, è necessario configurare la funzionalità di protezione delle app nel file AuthManConfig.xml per abilitarla per le finestre Self-Service.

Finestra Citrix Self-Service (Store) - protetta

Cosa non protegge la protezione delle app?

Gli elementi sotto l’icona delle app Citrix Workspace nella barra di navigazione:

  • Centro connessioni
  • Tutti i collegamenti presenti in Preferenze avanzate
  • Personalizza
  • Verifica la disponibilità di aggiornamenti
  • Scollega

Requisiti di sistema

Versioni minime dei componenti Citrix

  • App Citrix Workspace 2108 per Linux
  • App Citrix Workspace 1912 per Windows Long Term Service Release
  • App Citrix Workspace 2002 per Windows
  • App Citrix Workspace 2001 per Mac
  • StoreFront 1912
  • Delivery Controller 1912
  • Licenze Citrix valide
    • Licenza aggiuntiva per la protezione delle app
    • Una licenza valida per Citrix Virtual Apps and Desktops 1912 o versioni successive

Piattaforme del sistema operativo

Il runtime dei criteri di protezione delle app viene installato sull’endpoint da cui ci si sta connettendo e non sul VDA a cui ci si sta connettendo. Pertanto, solo la versione del sistema operativo dell’endpoint è significativa (la protezione dell’app può connettersi a VDA ospitati su qualsiasi sistema operativo supportato descritto in Requisiti di sistema Citrix Virtual Apps and Desktops).

La funzionalità di protezione delle app è supportata sugli endpoint che eseguono i seguenti sistemi operativi:

  • Windows 10
  • Windows 8.1
  • Windows 7
  • macOS High Sierra (10.13) e versioni successive
  • Ubuntu 18.04+ a 64 bit
  • Debian 9+ a 64 bit
  • CentOS 7.5+ a 64 bit
  • RHEL7.5+ a 64 bit
  • ARMHF Raspbian 10 a 32 bit (Buster)+

Nota:

Per la protezione delle app, l’app Citrix Workspace per Linux richiede Gnome Display Manager oltre ai sistemi operativi supportati.

Configurare

Seguire questi passaggi per configurare e abilitare completamente la funzionalità di protezione delle app:

  1. Importare la licenza di protezione delle app†.
  2. Configurare l’app Workspace.
  3. Abilitare i criteri di protezione delle app nei Delivery Controller†.

† In un ambiente di servizio Citrix Virtual Apps and Desktops, questi passaggi di configurazione differiscono leggermente. Consultare le note in queste sezioni.

1. Licenze

Nota:

In un ambiente di servizio Citrix Virtual Apps and Desktops, ignorare questo passaggio perché non ci sono licenze da installare. La funzionalità di protezione delle app è inclusa come parte di alcuni pacchetti di servizi Citrix Cloud e le licenze sono fornite direttamente su Citrix Cloud.

La protezione delle app richiede l’installazione di una licenza aggiuntiva su Citrix License Server. Deve essere presente anche una licenza valida per Citrix Virtual Apps and Desktops 1912 o versioni successive. Contattare un rappresentante commerciale Citrix per acquistare la licenza del componente aggiuntivo per la protezione delle app.

  1. Scaricare il file di licenza e importarlo in Citrix License Server insieme a una licenza Citrix Virtual Desktops esistente.
  2. Utilizzare Citrix Licensing Manager per importare il file di licenza (metodo preferito) o copiare il file di licenza C:\Program Files (x86)\Citrix\Licensing\MyFiles su License Server e riavviare il servizio Citrix Licensing. Per ulteriori informazioni, vedere Installare le licenze.

2. App Citrix Workspace

Configurare la protezione delle app nell’app Citrix Workspace.

App Citrix Workspace per Windows

È possibile includere il componente di protezione delle app con l’app Citrix Workspace utilizzando i seguenti metodi:

  • Durante l’installazione dell’app Citrix Workspace.
  • Utilizzo dell’interfaccia della riga di comando dopo l’installazione dell’app Citrix Workspace.

Verificare che l’app Citrix Workspace sia stata installata con lo switch /includeappprotection abilitato

Per ulteriori informazioni, vedere Protezione delle app.

App Citrix Workspace per Mac

La protezione delle app non richiede alcuna configurazione specifica sull’app Citrix Workspace per Mac.

App Citrix Workspace per Linux

La protezione delle app è supportata quando l’app Citrix Workspace per Linux è installata utilizzando i pacchetti tarball, Debian e Red Hat Package Manager (RPM). Le architetture supportate sono x64 e ARMHF.

Per ulteriori informazioni, vedere Protezione delle app.

3. Gruppi di consegna

Nota:

In un ambiente di servizio Citrix Virtual Apps and Desktops, utilizzare i cmdlet nell’SDK Remote PowerShell di Citrix Virtual Apps and Desktops su qualsiasi macchina (tranne le macchine Citrix Cloud Connector) per inviare i comandi in questa sezione.

Abilitare le seguenti proprietà per il gruppo di consegna per la protezione delle app utilizzando l’Citrix Virtual Apps and Desktops SDK su qualsiasi macchina con un Delivery Controller installato o su una macchina in cui è installata una versione autonoma di Studio e sono installati gli snap-in PowerShell FMA.

  • AppProtectionKeyLoggingRequired: True
  • AppProtectionScreenCaptureRequired: True

È possibile abilitare ciascuno di questi criteri singolarmente per gruppo di consegna. Ad esempio, è possibile configurare la protezione keylogging solo per DG1 e la protezione dell’acquisizione dello schermo solo per DG2. È possibile abilitare entrambi i criteri per DG3.

Esempio

Per abilitare entrambi i criteri per un gruppo di consegna denominato DG3, eseguire il comando seguente in qualsiasi Delivery Controller nel sito:

Set-BrokerDesktopGroup -Name DG3 -AppProtectionKeyLoggingRequired $true -AppProtectionScreenCaptureRequired $true

Per convalidare le impostazioni, eseguire questo cmdlet:

Get-BrokerDesktopGroup -Property Name, AppProtectionKeyLoggingRequired, AppProtectionScreenCaptureRequired | Format-Table -AutoSize

Inoltre, abilitare l’attendibilità XML:

Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true

Assicurarsi di proteggere la rete tra StoreFront e Broker. Per ulteriori informazioni, vedere gli articoli CTX236929 e Protezione del servizio XML XenApp e XenDesktop del Knowledge Center.

Suggerimento

I criteri di protezione delle app puntano principalmente al miglioramento della sicurezza e della protezione di un endpoint. Esaminare tutti gli altri consigli e criteri di sicurezza per l’ambiente in uso. È possibile utilizzare un modello di criteri di sicurezza e controllo per una configurazione consigliata in ambienti con bassa tolleranza al rischio. Per ulteriori informazioni, vedere Modelli di criteri.

Risoluzione dei problemi

Le applicazioni non vengono enumerate o non si avviano:

  • Verificare che l’utente interessato stia utilizzando una versione supportata dell’app Citrix Workspace.
  • Assicurarsi che il gruppo di consegna abbia le funzioni appropriate attivate.

I criteri di protezione delle app non si applicano correttamente:

  • Assicurarsi che il gruppo di consegna abbia le funzioni appropriate attivate.
  • Verificare che la funzionalità sia installata nell’endpoint.
  • Verificare che l’utente interessato utilizzi una versione dell’app Citrix Workspace supportata.
  • Verificare che l’app Citrix Workspace sia stata installata con lo switch /includeappprotection abilitato.

Screenshot non funzionanti su finestre non Citrix:

  • Ridurre al minimo o chiudere le finestre protette Citrix, inclusa l’app Citrix Workspace.
Protezione delle app