アプリ保護

アプリ保護は、Citrix Workspaceアプリのアドオン機能で、Citrix Virtual Apps and Desktops公開リソースの使用時にセキュリティを強化する機能です。

2つのポリシーはCitrix HDXセッションでキーロガー対策および画面キャプチャ対策機能を提供します。Windows向けCitrix Workspaceアプリ1912以降またはMac向けCitrix Workspaceアプリ2001以降のこれらのポリシーは、キーロガーやスクリーンスクレーパーからデータを保護するのに役立ちます。

キーロガー対策が有効な場合:

  • キーロガーには暗号化されたキーストロークが表示されます。
  • この機能は、保護ウィンドウにフォーカスがある場合にのみアクティブになります。

画面キャプチャ対策が有効な場合:

  • キャプチャする画面は、Windows OSでは空白の画面になります。macOSでは、保護されたウィンドウのコンテンツのみが空白になります。
  • 保護されたウィンドウが表示されている(最小化されていない)場合、この機能がアクティブになります。

これらのポリシーはPowerShellのみで構成します。GUIの管理機能はありません。この設定が必要となるのは、特定のデリバリーグループの機能を有効または無効にする場合だけです。

この機能の購入後、アプリ保護ライセンスとアプリ保護ポリシーを有効にして、FeatureTable.OnPrem.AppProtection.xml機能テーブルをインポートしてください。

免責:

アプリ保護ポリシーはオペレーティングシステムの必要な機能へのアクセスをフィルタリングすることで有効になります(画面のキャプチャまたはキーボードの操作が必要な特定のAPI呼び出し)。つまり、このアプリ保護ポリシーは、カスタムの目的別に構築されたハッカーツールに対しても保護を提供できます。ただし、オペレーティングシステムの進化によって、画面のキャプチャやキーのログ記録には新しい方法が出てきます。引き続きこうした方法に対応していきますが、特定の構成や展開では完全な保護を保証することはできません。

制限事項

これらの制限は設計段階で存在します:

  • HDXまたはRDPセッションでは、キーロガー対策はサポートされていません。エンドポイント保護は引き続きアクティブです。この制限は、ダブルホップシナリオにのみ適用されます。
  • Citrix WorkspaceアプリまたはCitrix Receiverのサポートされていないバージョンを使用する場合、この機能はサポートされません。この場合、リソースは非表示になります。
  • Citrix Cloudサービスの機能サポートはありません。アプリ保護は、オンプレミスのCitrix Virtual Apps and Desktops環境でのみサポートされます。
  • StoreFront Webストアの機能サポートはありません。

正常な動作

正常な動作は、保護されたリソースが含まれるStoreFrontストアにアクセスする方法によって異なります。リソースには、サポートされるネイティブのCitrix Workspaceアプリクライアントを使用してアクセスできます。

  • StoreWebでの動作 - アプリ保護ポリシーが有効なアプリケーションはStoreFront Webストアで列挙されません。
  • サポートされていないCitrix ReceiverまたはCitrix Workspaceアプリでの動作 - アプリ保護ポリシーが有効なアプリケーションは列挙されません。
  • サポートされているバージョンのCitrix Workspaceアプリでの動作 - 保護されたリソースが列挙され正常に起動します。

以下の条件下で保護が適用されます:

  • スクリーンキャプチャ対策 - 保護されたウィンドウが画面に表示されている場合に有効になります。保護を無効にする場合は、すべての保護ウィンドウを最小化します。
  • キーロガー対策 - 保護されたウィンドウにフォーカスがある場合に有効になります。保護を無効にする場合は、フォーカスを別のウィンドウに移動します。

アプリ保護によって保護される内容

Citrix Workspaceアプリ以外のウィンドウのスクリーンショットをキャプチャするには、最初に保護されたウィンドウを最小化する必要があります。

デフォルトでは、アプリ保護は次のCitrixのウィンドウを保護します:

  • Citrixログオンウィンドウ - Citrix Workspaceの認証ダイアログボックスは、Windowsオペレーティングシステムでのみ保護されます。

Citrixログオンウィンドウ - 保護されています

  • Citrix WorkspaceアプリのHDXセッションウィンドウ(管理されたデスクトップの例)

Citrix Managed Desktopsウィンドウ - 保護されています

  • セルフサービスストアウィンドウ

Citrixセルフサービスストアウィンドウ - 保護されています

アプリ保護によって保護されていない内容

ナビゲーションバーのCitrix Workspaceアプリアイコンの項目:

  • コネクションセンター
  • 高度な設定のすべてのリンク
  • 個人設定
  • 更新プログラムのチェック
  • サインアウト

システム要件

Citrixコンポーネントの最小バージョン:

  • Windows向けCitrix Workspaceアプリ1912長期サービスリリースのリリース
  • Windows向けCitrix Workspaceアプリ2002
  • Mac向けCitrix Workspaceアプリ2001
  • StoreFront 1912
  • Delivery Controller 1912
  • 有効なCitrixライセンス
    • アプリ保護のアドオンライセンス
    • Citrix Virtual Apps and Desktops 1912

オペレーティングシステムプラットフォーム:

エンドポイントでサポートされるオペレーティングシステムです。VDAは、すべてのオペレーティングシステムをサポートしています。

  • Windows 10
  • Windows 8.1
  • Windows 7
  • macOS High Sierra(10.13)以降

構成

アプリ保護を購入後、完全に構成して機能を有効にするには、次の手順を実行します:

  1. アプリ保護ライセンスをインポートします。
  2. Workspaceアプリを構成します。
  3. FeatureTable.OnPrem.AppProtection.xml機能テーブルをインポートします。
  4. Delivery Controllerでアプリ保護ポリシーを有効にします。

1. ライセンス

アプリ保護を利用するには、Citrixライセンスサーバーにアドオンライセンスをインストールする必要があります。Citrix Virtual Desktops 1912以降のバージョンのライセンスが必要です。アプリ保護アドオンライセンスを購入する場合は、シトリックスの営業担当者にお問い合わせください。

  1. ライセンスファイルをダウンロードして、既存のCitrix Virtual DesktopsライセンスとともにCitrixライセンスサーバーにインポートします。
  2. Citrix Licensing Managerを使用してライセンスファイルをインポートするか(優先される方法)、またはライセンスサーバーのライセンスファイルをC:\Program Files (x86)\Citrix\Licensing\MyFilesにコピーして、Citrix Licensingサービスを再起動します。詳しくは、「ライセンスのインストール」を参照してください。

2. Citrix Workspaceアプリ

Citrix Workspaceアプリでアプリ保護を構成します。

Windows向けCitrix Workspaceアプリ:

以下の方法で、Citrix Workspaceアプリにアプリ保護コンポーネントを追加できます:

  • Citrix Workspaceアプリのインストール時。
  • Citrix Workspaceアプリインストール後にコマンドラインインターフェイスを使用。

Citrix Workspaceアプリのインストール時に/includeappprotectionスイッチを有効にしたことを確認します。

詳しくは、「アプリ保護」を参照してください。

Mac向けCitrix Workspaceアプリ:

Mac向けCitrix Workspaceアプリでは、別途アプリ保護を構成する必要はありません。

3. 機能テーブルファイル

この機能の購入後、アプリ保護ライセンスとアプリ保護ポリシーを有効にして、FeatureTable.OnPrem.AppProtection.xml機能テーブルをインポートしてください。

Citrix Virtual Apps and Desktops 1912以降のダウンロードページのComponentsセクションには必要なXMLファイルが含まれています。ファイルをダウンロードするにはCitrixアカウントが必要です。

デフォルトでは、アプリ保護は無効になっています。この機能を有効にするには、Import-ConfigFeatureTableコマンドレットを使用してアプリ保護が有効になっているFeatureTable.OnPrem.AppProtection.xml機能テーブルをインポートします。このコマンドレットをサイト全体で一度実行します。詳しくは、「Import-Configfeaturetable」を参照してください。

Import-ConfigFeatureTable –Path .\FeatureTable.OnPrem.AppProtection.xml

インストール済みの任意のDelivery Controllerマシンで、またはFMA PowerShellスナップインとともにスタンドアロンのStudioがインストールされたマシンでこのコマンドレットを実行できます。

アプリ保護が有効になっていることを確認するには、Get-ConfigEnabledFeature | Select-String –Pattern ‘AppProtection’を実行します。

4. デリバリーグループ

インストール済みの任意のDelivery Controllerマシンで、またはFMA PowerShellスナップインとともにスタンドアロンのStudioがインストールされたマシンでPowerShell SDKを使用して、アプリ保護デリバリーグループの次のプロパティを有効にします。

  • AppProtectionKeyLoggingRequired:True
  • AppProtectionScreenCaptureRequired:True

いずれかのポリシーを各デリバリーグループで個別に有効にできます。たとえば、DG1でのみキーロガーからの保護を構成でき、DG2でのみ画面キャプチャからの保護を構成できます。DG3で両方のポリシーを有効にできます。

例:

DG3という名前のデリバリーグループで両方のポリシーを有効にするには、サイトのDelivery Controllerで次のコマンドを実行します:

Set-BrokerDesktopGroup -Name DG3 -AppProtectionKeyLoggingRequired $true -AppProtectionScreenCaptureRequired $true

この設定を検証するには、次のコマンドレットを実行します:

Get-BrokerDesktopGroup -Property Name, AppProtectionKeyLoggingRequired, AppProtectionScreenCaptureRequired | Format-Table -AutoSize

さらに、XML信頼を有効にします:

Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true

StoreFrontとBrokerの間のネットワークを確実に保護してください。詳しくは、Knowledge CenterのCTX236929およびXenAppおよびXenDesktop XML Serviceの保護を参照してください。

推奨

アプリ保護ポリシーは、主にエンドポイントのセキュリティと保護を強化することに重点を置いています。環境に関するその他のセキュリティ推奨事項とポリシーをすべて確認します。セキュリティと制御のポリシーテンプレートは、許容率が低い環境での推奨構成に使用できます。詳しくは、「ポリシーテンプレート」を参照してください。

トラブルシューティング

アプリケーションが列挙されていないか起動していません:

  • 影響を受けるユーザーがCitrix Workspaceアプリのサポートされているバージョンを使用していることを確認します。
  • StoreFrontサーバーでこの機能が有効になっていることを確認します。
  • デリバリーグループの適切な機能が有効になっていることを確認します。

アプリ保護ポリシーが適切に適用されていません:

  • StoreFrontで機能が有効になっていることを確認します。
  • デリバリーグループの適切な機能が有効になっていることを確認します。
  • この機能がエンドポイントにインストールされていることを確認します。
  • 影響を受けるユーザーがCitrix Workspaceアプリのサポートされているバージョンを使用していることを確認します。
  • Citrix Workspaceアプリのインストール時に/includeappprotectionスイッチを有効にしたことを確認します。

Citrixウィンドウ以外でスクリーンショットが機能していません:

  • 保護されているCitrixウィンドウを最小化するか閉じます。