Citrix Virtual Apps and Desktops

App Protection

App Protection è una funzionalità aggiuntiva dell’app Citrix Workspace che fornisce una maggiore sicurezza quando si utilizzano le risorse pubblicate di Citrix Virtual Apps and Desktops.

Due criteri offrono funzionalità anti-keylogging e anti-screen-capture per una sessione Citrix HDX. I criteri e, come requisito minimo, l’app Citrix Workspace 1912 per Windows, l’app Citrix Workspace 2001 per Mac o l’app Citrix Workspace 2108 per Linux possono aiutare a proteggere i dati da keylogger e screen scraper.

Quando si abilita l’anti-keylogging:

  • Un keylogger vede le sequenze di tasti crittografate.
  • Questa funzione è attiva solo quando è attiva una finestra protetta.

Anti-screen-capturing quando abilitata:

  • Su Windows OS e macOS, quando si acquisisce una schermata, solo il contenuto della finestra protetta è vuoto. Questa funzione è attiva quando una finestra protetta non è ridotta a icona. Nel sistema operativo Linux, l’intera acquisizione è vuota. Questa funzione è attiva indipendentemente dal fatto che una finestra protetta sia ridotta a icona o meno.
  • Per Windows OS e macOS, questa funzionalità è attiva quando è visibile una finestra protetta (non ridotta a icona). Per il sistema operativo Linux, la funzionalità è attiva sia quando una finestra protetta viene ridotta a icona sia quando viene ingrandita.
  • Quando si utilizza il pulsante Stamp nel sistema operativo Windows per acquisire schermate, i dati non vengono copiati negli Appunti. Per acquisire schermate utilizzando il pulsante Stamp, ridurre al minimo le app protette.

È possibile configurare i criteri solo tramite PowerShell. Non esiste alcuna funzionalità di amministrazione GUI. Questa configurazione è necessaria solo per abilitare o disabilitare la funzionalità per un gruppo di consegna specifico.

Dopo aver acquistato questa funzione, assicurarsi di abilitare la licenza di App Protection.

Dichiarazione di non responsabilità:

I criteri di App Protection funzionano filtrando l’accesso alle funzioni richieste del sistema operativo sottostante (chiamate API specifiche necessarie per acquisire schermate o pressioni della tastiera). Ciò significa che i criteri di App Protection possono fornire protezione anche da strumenti hacker personalizzati e appositamente progettati. Tuttavia, con l’evoluzione dei sistemi operativi, possono emergere nuovi modi di catturare le schermate e di effettuare il keylogging. Sebbene continuiamo a identificare e a risolvere tali violazioni, non possiamo garantire una protezione completa in configurazioni e distribuzioni specifiche.

I criteri di App Protection Citrix funzionano in modo efficace insieme ai componenti del sistema operativo sottostanti, inclusi i file ICA. Citrix non sarebbe in grado di fornire supporto in caso fossero rilevati manomissioni o modifiche dei componenti sottostanti intenzionali, in modo da fornire l’integrità delle politiche applicate.

Prerequisito

L’app Citrix Workspace è stata installata utilizzando i diritti di amministratore.

Limiti

Da progetto, esistono queste limitazioni:

  • Nessun supporto anti-keylogging all’interno di sessioni HDX o RDP. La protezione degli endpoint è ancora attiva. Questa limitazione si applica solo agli scenari a doppio hop.
  • Nessuna funzionalità di supporto quando si utilizza una versione non supportata dell’app Citrix Workspace o Citrix Receiver. In tal caso, le risorse sono nascoste.
  • App Protection è supportata per le distribuzioni locali di Citrix Virtual Apps and Desktops e per Citrix DaaS (in precedenza servizio Citrix Virtual Apps and Desktops) con StoreFront e Workspace. Ciò significa che App Protection è supportata in tutti gli ambienti cloud, locali e ibridi.
  • Nessun supporto delle funzionalità per gli store Web StoreFront.
  • La funzionalità aggiuntiva App Protection per l’app Citrix Workspace impedisce la condivisione dello schermo in uscita.
  • App Protection potrebbe impedire la condivisione dello schermo in uscita e in entrata con app di collaborazione o funzionalità abilitate per l’ottimizzazione.
  • Le applicazioni con criteri di App Protection non sono elencate nei lease delle connessioni, pertanto la continuità del servizio non visualizza le icone delle app/dei desktop nell’app Citrix Workspace in modalità di interruzione/offline.

Comportamento previsto

I comportamenti previsti dipendono dalla modalità di accesso allo store StoreFront che contiene le risorse protette. È possibile accedere alle risorse utilizzando un client nativo dell’app Citrix Workspace supportato.

  • Comportamento su StoreWeb: le applicazioni con criteri di App Protection non vengono enumerate negli store Web StoreFront.
  • Comportamento delle app Citrix Receiver o Citrix Workspace non supportate: le applicazioni con criteri di App Protection non vengono enumerate.
  • Comportamento delle versioni delle app Citrix Workspace supportate: le risorse protette vengono enumerate e avviate correttamente.

La protezione viene applicata nelle seguenti condizioni:

  • Prevenzione dell’acquisizione dello schermo: per Windows e Mac, è abilitata se sullo schermo è visibile una finestra protetta. Per disabilitare la protezione, ridurre a icona tutte le finestre protette. Per Linux, è abilitata se è attiva una finestra protetta. Per disabilitare la protezione, chiudere tutte le finestre protette.
  • Anti-keylogging: abilitato se è attiva una finestra protetta. Per disattivare la protezione, rendere attiva un’altra finestra.

Che cosa protegge App Protection?

Per acquisire lo screenshot di qualsiasi finestra di un’app non Citrix Workspace, gli utenti devono innanzitutto ridurre a icona la finestra protetta. Per Linux, gli utenti devono chiudere tutte le finestre protette.

App Protection protegge le seguenti finestre Citrix:

  • Finestre di accesso Citrix: le finestre di autenticazione di Citrix Workspace sono protette solo sui sistemi operativi Windows. Per Linux, è necessario configurare la funzionalità App Protection nel file AuthManConfig.xml per abilitarla per il gestore di autenticazione.

Finestra di accesso Citrix - protetta

  • Finestre di sessione HDX dell’app Citrix Workspace (ad esempio, desktop gestito)

Finestra Citrix Virtual Apps and Desktops Standard per Azure - protetta

  • Finestre Self-Service (Store): le finestre Self-Service di Citrix Workspace sono protette solo sui sistemi operativi Windows. Per Linux, è necessario configurare la funzionalità App Protection nel file AuthManConfig.xml per abilitarla per le finestre Self-Service.

Finestra Citrix Self-Service (Store) - protetta

  • App Web e SaaS: le app Web e SaaS si aprono in Citrix Enterprise Browser per l’app Citrix Workspace in Windows e Mac. Se le app sono configurate per avere i criteri di protezione delle app tramite Secure Private Access, App Protection viene applicato scheda per scheda.

    App Protection per app Web e SaaS

Cosa non protegge App Protection?

Gli elementi sotto l’icona delle app Citrix Workspace nella barra di navigazione:

  • Centro connessioni
  • Tutti i collegamenti presenti in Preferenze avanzate
  • Personalizza
  • Verifica la disponibilità di aggiornamenti
  • Scollega

Requisiti di sistema

Versioni minime dei componenti Citrix

  • App Citrix Workspace 2108 per Linux
  • App Citrix Workspace 1912 per Windows Long Term Service Release
  • App Citrix Workspace 2002 per Windows
  • App Citrix Workspace 2001 per Mac
  • StoreFront 1912
  • Delivery Controller 1912
  • Licenze Citrix valide
    • Licenza aggiuntiva per App Protection
    • Una licenza valida per Citrix Virtual Apps and Desktops 1912 o versioni successive

Piattaforme del sistema operativo

Il runtime dei criteri di App Protection viene installato sull’endpoint da cui ci si sta connettendo e non sul VDA a cui ci si sta connettendo. Pertanto, solo la versione del sistema operativo dell’endpoint è significativa. App Protection può connettersi ai VDA ospitati su qualsiasi sistema operativo supportato descritto in Requisiti di sistema di Citrix Virtual Apps and Desktops.

La funzionalità App Protection è supportata sugli endpoint che eseguono i seguenti sistemi operativi:

  • Windows 11
  • Windows 10
  • Windows 8.1
  • macOS High Sierra (10.13) e versioni successive
  • Ubuntu 18.04 e Ubuntu 20.04 a 64 bit
  • Debian 9 e Debian 10 a 64 bit
  • CentOS 7 a 64 bit
  • RHEL 7 a 64 bit
  • Sistema operativo Raspberry Pi ARMHF a 32 bit (basato su Debian 10 (buster))

Nota:

Per App Protection, l’app Citrix Workspace per Linux richiede Gnome Display Manager oltre ai sistemi operativi supportati.

Configurare

Seguire questi passaggi per configurare e abilitare completamente la funzionalità App Protection:

  1. Importare la licenza di App Protection†.
  2. Configurare l’app Workspace.
  3. Abilitare i criteri di App Protection nei Delivery Controller†.

† In un ambiente Citrix DaaS, questi passaggi di configurazione differiscono leggermente. Vedere le note in queste sezioni.

1. Licenze

Nota:

In un ambiente Citrix DaaS ignorare questo passaggio, perché non ci sono licenze da installare. La funzionalità App Protection è inclusa come parte di alcuni pacchetti di servizi Citrix Cloud e le licenze sono fornite direttamente su Citrix Cloud.

App Protection richiede l’installazione di una licenza aggiuntiva su Citrix License Server. Deve essere presente anche una licenza valida per Citrix Virtual Apps and Desktops 1912 o versioni successive. Contattare un rappresentante commerciale Citrix per acquistare la licenza del componente aggiuntivo App Protection.

  1. Scaricare il file di licenza e importarlo in Citrix License Server insieme a una licenza Citrix Virtual Desktops esistente.
  2. Utilizzare Citrix Licensing Manager per importare il file di licenza (metodo preferito) o copiare il file di licenza C:\Program Files (x86)\Citrix\Licensing\MyFiles su License Server e riavviare il servizio Citrix Licensing. Per ulteriori informazioni, vedere Installare licenze.

2. App Citrix Workspace

Configurare App Protection nell’app Citrix Workspace.

App Citrix Workspace per Windows

È possibile includere il componente App Protection con l’app Citrix Workspace utilizzando i seguenti metodi:

  • Durante l’installazione dell’app Citrix Workspace.
  • Utilizzo dell’interfaccia della riga di comando dopo l’installazione dell’app Citrix Workspace.

Verificare che l’app Citrix Workspace sia stata installata con lo switch /includeappprotection abilitato.

Per ulteriori informazioni, vedere App Protection.

App Citrix Workspace per Mac

App Protection non richiede alcuna configurazione specifica sull’app Citrix Workspace per Mac.

App Citrix Workspace per Linux

App Protection è supportata quando l’app Citrix Workspace per Linux è installata utilizzando i pacchetti tarball, Debian e Red Hat Package Manager (RPM). Le architetture supportate sono x64 e ARMHF.

Per ulteriori informazioni, vedere App Protection.

3. Gruppi di consegna

Nota:

In un ambiente Citrix DaaS, utilizzare i cmdlet nella Remote PowerShell SDK per Citrix Virtual Apps and Desktops su qualsiasi macchina (tranne le macchine Citrix Cloud Connector) per inviare i comandi di cui a questa sezione.

Abilitare le seguenti proprietà per il gruppo di consegna di App Protection utilizzando Citrix Virtual Apps and Desktops SDK su qualsiasi macchina con un Delivery Controller installato o su una macchina in cui è installata una versione autonoma di Studio e sono installati gli snap-in PowerShell FMA.

  • AppProtectionKeyLoggingRequired: True
  • AppProtectionScreenCaptureRequired: True

È possibile abilitare ciascuno di questi criteri singolarmente per gruppo di consegna. Ad esempio, è possibile configurare la protezione keylogging solo per DG1 e la protezione dell’acquisizione dello schermo solo per DG2. È possibile abilitare entrambi i criteri per DG3.

Esempio

Per abilitare entrambi i criteri per un Delivery Controller denominato DG3, eseguire il comando seguente in qualsiasi Delivery Controller nel sito:

Set-BrokerDesktopGroup -Name DG3 -AppProtectionKeyLoggingRequired $true -AppProtectionScreenCaptureRequired $true

Per convalidare le impostazioni, eseguire questo cmdlet:

Get-BrokerDesktopGroup -Property Name, AppProtectionKeyLoggingRequired, AppProtectionScreenCaptureRequired | Format-Table -AutoSize

Inoltre, abilitare l’attendibilità XML:

Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true

Assicurarsi di proteggere la rete tra StoreFront e Broker. Per ulteriori informazioni, vedere gli articoli CTX236929 del Knowledge Center e Protezione del servizio XML XenApp e XenDesktop.

Suggerimento

I criteri di App Protection puntano principalmente al miglioramento della sicurezza e della protezione di un endpoint. Esaminare tutti gli altri consigli e criteri di sicurezza per l’ambiente in uso. È possibile utilizzare un modello di criteri di sicurezza e controllo per una configurazione consigliata in ambienti con bassa tolleranza al rischio. Per ulteriori informazioni, vedere Modelli di criteri.

App Protection contestuale

L’App Protection contestuale offre la flessibilità granulare necessaria per applicare i criteri di App Protection in modo condizionale per un sottoinsieme di utenti, in base agli utenti, al loro dispositivo e alla postura della rete. Per ulteriori informazioni, vedere i seguenti articoli:

App Protection per l’avvio ibrido in Workspace

L’avvio ibrido in Workspace avviene quando si accede all’app Citrix Workspace tramite il browser (Citrix Workspace per Web) e si utilizzano le applicazioni tramite l’app Citrix Workspace nativa. Il termine ibrido deriva dall’uso della combinazione dell’app Citrix Workspace per il Web e dell’app Citrix Workspace nativa per connettere e utilizzare le risorse. App Protection supporta l’avvio ibrido in Workspace. Per ulteriori informazioni, vedere App Protection per l’avvio ibrido in Workspace.

Risoluzione dei problemi

Le applicazioni non vengono enumerate o non si avviano:

  • Verificare che l’utente interessato stia utilizzando una versione supportata dell’app Citrix Workspace.
  • Assicurarsi che il gruppo di consegna abbia le funzioni appropriate attivate.

I criteri di App Protection non si applicano correttamente:

  • Assicurarsi che il gruppo di consegna abbia le funzioni appropriate attivate.
  • Verificare che la funzionalità sia installata nell’endpoint.
  • Verificare che l’utente interessato utilizzi una versione dell’app Citrix Workspace supportata.
  • Verificare che l’app Citrix Workspace sia stata installata con lo switch /includeappprotection abilitato.

Screenshot non funzionanti su finestre non Citrix:

  • Ridurre al minimo o chiudere le finestre protette Citrix, inclusa l’app Citrix Workspace.
App Protection