アプリ保護
アプリ保護は、Citrix Workspaceアプリのアドオン機能で、Citrix Virtual Apps and Desktops公開リソースの使用時にセキュリティを強化する機能です。
2つのポリシーはCitrix HDXセッションでキーロガー対策および画面キャプチャ対策機能を提供します。Windows向けCitrix Workspaceアプリ1912以降、Mac向けCitrix Workspaceアプリ2001以降、またはLinux向けCitrix Workspaceアプリ2108のこれらのポリシーは、キーロガーやスクリーンスクレーパーからデータを保護するのに役立ちます。
キーロガー対策が有効な場合:
- キーロガーには暗号化されたキーストロークが表示されます。
- この機能は、保護ウィンドウにフォーカスがある場合にのみアクティブになります。
画面キャプチャ対策が有効な場合:
- キャプチャする画面は、Windows OSおよびLinux OSでは空白の画面になります。macOSでは、保護されたウィンドウのコンテンツのみが空白になります。
- Windows OSおよびmacOSの場合、保護されたウィンドウが表示されている(最小化されていない)ときに、この機能がアクティブになります。Linux OSの場合、保護されたウィンドウが最小化または最大化されたときに、この機能がアクティブになります。
- Windows OSのPrint Screenボタンを使用してスクリーンショットを撮る場合、データはクリップボードにコピーされません。Print Screenボタンを使用してスクリーンショットを撮るには、保護されているアプリを最小化します。
これらのポリシーはPowerShellのみで構成します。GUIの管理機能はありません。この設定が必要となるのは、特定のデリバリーグループの機能を有効または無効にする場合だけです。
この機能の購入後、アプリ保護ライセンスを有効にしてください。
免責:
アプリ保護ポリシーはオペレーティングシステムの必要な機能へのアクセスをフィルタリングすることで有効になります(画面のキャプチャまたはキーボードの操作が必要な特定のAPI呼び出し)。つまり、このアプリ保護ポリシーは、カスタムの目的別に構築されたハッカーツールに対しても保護を提供できます。ただし、オペレーティングシステムの進化によって、画面のキャプチャやキーのログ記録には新しい方法が出てきます。引き続きこうした方法に対応していきますが、特定の構成や展開では完全な保護を保証することはできません。
Citrix App保護ポリシーは、ICAファイルなど、基盤となるオペレーティングシステムのコンポーネントと効果的に連携します。ポリシーの整合性を保つため、基盤となるコンポーネントの意図的な改ざんまたは変更が検出された場合、Citrixはサポートを提供できません。
制限事項
これらの制限は設計段階で存在します:
- HDXまたはRDPセッションでは、キーロガー対策はサポートされていません。エンドポイント保護は引き続きアクティブです。この制限は、ダブルホップシナリオにのみ適用されます。
- Citrix WorkspaceアプリまたはCitrix Receiverのサポートされていないバージョンを使用する場合、この機能はサポートされません。この場合、リソースは非表示になります。
- アプリ保護は、オンプレミスのCitrix Virtual Apps and Desktops展開と、StoreFrontおよびWorkspaceを使用したCitrix DaaS(旧称Citrix Virtual Apps and Desktopsサービス)でサポートされています。これは、アプリ保護がすべてのクラウド環境、オンプレミス環境、およびハイブリッド環境でサポートされていることを意味します。
- StoreFront Webストアの機能サポートはありません。
- Citrix Workspaceアプリのアプリ保護アドオン機能は、発信画面共有を妨げます。
- アプリの保護により、最適化が有効になっているコラボレーションアプリや機能との発信および受信の画面共有が妨げられる場合があります。
- アプリ保護ポリシーを持つアプリケーションは接続リースに列挙されないため、サービス継続性は、停止状態モードまたはオフラインモードのときにCitrix Workspaceアプリでアプリアイコンまたはデスクトップアイコンを表示しません。
正常な動作
正常な動作は、保護されたリソースが含まれるStoreFrontストアにアクセスする方法によって異なります。リソースには、サポートされるネイティブのCitrix Workspaceアプリクライアントを使用してアクセスできます。
- StoreWebでの動作 - アプリ保護ポリシーが有効なアプリケーションはStoreFront Webストアで列挙されません。
- サポートされていないCitrix ReceiverまたはCitrix Workspaceアプリでの動作 - アプリ保護ポリシーが有効なアプリケーションは列挙されません。
- サポートされているバージョンのCitrix Workspaceアプリでの動作 - 保護されたリソースが列挙され正常に起動します。
以下の条件下で保護が適用されます:
- スクリーンキャプチャ対策 - WindowsおよびMacでは、保護されたウィンドウが画面に表示されている場合に有効になります。保護を無効にする場合は、すべての保護ウィンドウを最小化します。Linuxでは、保護されたウィンドウがアクティブな場合に有効になります。保護を無効にする場合は、すべての保護ウィンドウを閉じます。
- キーロガー対策 - 保護されたウィンドウにフォーカスがある場合に有効になります。保護を無効にする場合は、フォーカスを別のウィンドウに移動します。
アプリ保護によって保護される内容
Citrix Workspaceアプリ以外のウィンドウのスクリーンショットをキャプチャするには、最初に保護されたウィンドウを最小化する必要があります。Linuxの場合、ユーザーは保護されているすべてのウィンドウを閉じる必要があります。
デフォルトでは、アプリ保護は次のCitrixのウィンドウを保護します:
-
Citrixログオンウィンドウ - Citrix Workspaceの認証ダイアログボックスは、Windowsオペレーティングシステムでのみ保護されます。Linuxの場合、
AuthManConfig.xmlファイルでアプリ保護機能を構成して、認証マネージャーに対して有効にする必要があります。
- Citrix WorkspaceアプリのHDXセッションウィンドウ(管理されたデスクトップの例)
-
セルフサービス(ストア)ウィンドウ - Citrix Workspaceセルフサービスウィンドウは、Windowsオペレーティングシステムでのみ保護されます。Linuxの場合、
AuthManConfig.xmlファイルでアプリ保護機能を構成して、セルフサービスウィンドウに対して有効にする必要があります。
アプリ保護によって保護されていない内容
ナビゲーションバーのCitrix Workspaceアプリアイコンの項目:
- コネクションセンター
- 高度な設定のすべてのリンク
- 個人設定
- 更新プログラムのチェック
- サインアウト
システム要件
Citrixコンポーネントの最小バージョン
- Linux向けCitrix Workspaceアプリ2108
- Windows向けCitrix Workspaceアプリ1912長期サービスリリースのリリース
- Windows向けCitrix Workspaceアプリ2002
- Mac向けCitrix Workspaceアプリ2001
- StoreFront 1912
- Delivery Controller 1912
- 有効なCitrixライセンス
- アプリ保護のアドオンライセンス
- Citrix Virtual App and Desktops 1912以降で有効なライセンス
オペレーティングシステムプラットフォーム
アプリ保護ポリシーランタイムは、接続元のエンドポイントにインストールされ、接続先のVDAにはインストールされません。そのため、重要になるのはエンドポイントのオペレーティングシステムのバージョンだけです。(アプリ保護は、「Citrix Virtual Apps and Desktopsのシステム要件」記載のサポートされるオペレーティングシステム上にホストされているVDAに接続できます。)
アプリ保護機能は、次のオペレーティングシステムを実行しているエンドポイントでサポートされます:
- Windows 10
- Windows 8.1
- Windows 7
- macOS High Sierra(10.13)以降
- 64ビットUbuntu18.04以降
- 64ビットDebian 9以降
- 64ビットCentOS7.5以降
- 64ビットRHEL7.5以降
- ARMHF 32ビットRaspbian 10(Buster)以降
注:
アプリを保護するために、Linux向けCitrix Workspaceアプリには、サポートされているオペレーティングシステムのほかに、Gnome Display Managerが必要です。
構成
アプリ保護機能を完全に構成して有効にするには、次の手順を実行します:
- アプリ保護ライセンスをインポートします†。
- Workspaceアプリを構成します。
- Delivery Controllerでアプリ保護ポリシーを有効にします†。
† Citrix DaaS環境では、これらの構成手順はわずかに異なります。これらのセクションの注記を参照してください。
1. ライセンス
注:
Citrix DaaS環境では、インストールするライセンスがないため、この手順は無視してください。アプリ保護機能は、特定のCitrix Cloudサービスパッケージの一部として含まれており、ライセンスはCitrix Cloudで直接提供されます。
アプリ保護を利用するには、Citrixライセンスサーバーにアドオンライセンスをインストールする必要があります。Citrix Virtual App and Desktops 1912以降に有効なライセンスも必要です。アプリ保護アドオンライセンスを購入する場合は、シトリックスの営業担当者にお問い合わせください。
- ライセンスファイルをダウンロードして、既存のCitrix Virtual DesktopsライセンスとともにCitrixライセンスサーバーにインポートします。
- Citrix Licensing Managerを使用してライセンスファイルをインポートするか(優先される方法)、またはライセンスサーバーのライセンスファイルを
C:\Program Files (x86)\Citrix\Licensing\MyFilesにコピーして、Citrix Licensingサービスを再起動します。詳しくは、「ライセンスのインストール」を参照してください。
2. Citrix Workspaceアプリ
Citrix Workspaceアプリでアプリ保護を構成します。
Windows向けCitrix Workspaceアプリ
以下の方法で、Citrix Workspaceアプリにアプリ保護コンポーネントを追加できます:
- Citrix Workspaceアプリのインストール時。
- Citrix Workspaceアプリインストール後にコマンドラインインターフェイスを使用。
Citrix Workspaceアプリのインストール時に/includeappprotectionスイッチを有効にしたことを確認します。
詳しくは、「アプリ保護」を参照してください。
Mac向けCitrix Workspaceアプリ
Mac向けCitrix Workspaceアプリでは、別途アプリ保護を構成する必要はありません。
Linux向けCitrix Workspaceアプリ
アプリ保護機能は、tarball、Debian、Red Hat Package Manager(RPM)パッケージを使用してLinux向けCitrix Workspaceアプリがインストールされている場合にサポートされます。サポートされているアーキテクチャはx64とARMHFです。
詳しくは、「アプリ保護」を参照してください。
3. デリバリーグループ
注:
Citrix DaaS環境では、任意のマシン(Citrix Cloud Connectorマシンを除く)のCitrix Virtual Apps and Desktops Remote PowerShell SDKにあるコマンドレットを使用して、このセクションのコマンドを発行します。
インストール済みの任意のDelivery Controllerマシンで、またはFMA PowerShellスナップインとともにスタンドアロンのStudioがインストールされたマシンでCitrix Virtual Apps and Desktops SDKを使用して、アプリ保護デリバリーグループの次のプロパティを有効にします。
- AppProtectionKeyLoggingRequired:True
- AppProtectionScreenCaptureRequired:True
いずれかのポリシーを各デリバリーグループで個別に有効にできます。たとえば、DG1でのみキーロガーからの保護を構成でき、DG2でのみ画面キャプチャからの保護を構成できます。DG3で両方のポリシーを有効にできます。
例
DG3という名前のデリバリーグループで両方のポリシーを有効にするには、サイトのDelivery Controllerで次のコマンドを実行します:
Set-BrokerDesktopGroup -Name DG3 -AppProtectionKeyLoggingRequired $true -AppProtectionScreenCaptureRequired $true
この設定を検証するには、次のコマンドレットを実行します:
Get-BrokerDesktopGroup -Property Name, AppProtectionKeyLoggingRequired, AppProtectionScreenCaptureRequired | Format-Table -AutoSize
さらに、XML信頼を有効にします:
Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true
StoreFrontとBrokerの間のネットワークを確実に保護してください。詳しくは、Knowledge CenterのCTX236929および「XenAppおよびXenDesktop XML Serviceの保護」を参照してください。
推奨
アプリ保護ポリシーは、主にエンドポイントのセキュリティと保護を強化することに重点を置いています。環境に関するその他のセキュリティ推奨事項とポリシーをすべて確認します。セキュリティと制御のポリシーテンプレートは、許容率が低い環境での推奨構成に使用できます。詳しくは、「ポリシーテンプレート」を参照してください。
トラブルシューティング
アプリケーションが列挙されていないか起動していません:
- 影響を受けるユーザーがCitrix Workspaceアプリのサポートされているバージョンを使用していることを確認します。
- デリバリーグループの適切な機能が有効になっていることを確認します。
アプリ保護ポリシーが適切に適用されていません:
- デリバリーグループの適切な機能が有効になっていることを確認します。
- この機能がエンドポイントにインストールされていることを確認します。
- 影響を受けるユーザーがCitrix Workspaceアプリのサポートされているバージョンを使用していることを確認します。
- Citrix Workspaceアプリのインストール時に/includeappprotectionスイッチを有効にしたことを確認します。
Citrixウィンドウ以外でスクリーンショットが機能していません:
- 保護されているCitrixウィンドウ(Citrix Workspaceアプリを含む)を最小化するか閉じます。