セキュリティ
アプリ保護
-
アプリ保護は、Citrix Virtual Apps and DesktopsおよびCitrix DaaS(旧称Citrix Virtual Apps and Desktopsサービス)を使用する際に強化されたセキュリティを提供するアドオン機能です。この機能を使用して、以下を行うことができます。
- クライアントがキーロギングや画面キャプチャマルウェアによって侵害される能力を制限します。
- ユーザー資格情報や画面上の機密情報などの機密情報の持ち出しを保護します。
- ユーザーや攻撃者がスクリーンショットを撮影したり、キーロガーを使用して機密情報を収集し悪用したりするのを防ぎます。詳細については、「アプリ保護」を参照してください。
免責事項
アプリ保護ポリシーは、基盤となるオペレーティングシステムの必須機能(画面キャプチャやキーボード入力に必要な特定のAPI呼び出し)へのアクセスをフィルタリングします。アプリ保護ポリシーは、カスタムおよび専用のハッカーツールに対しても保護を提供します。ただし、オペレーティングシステムが進化するにつれて、画面キャプチャやキーロギングの新しい方法が出現する可能性があります。Citrixはそれらを特定し対処し続けますが、特定の構成および展開における完全な保護を保証することはできません。
Windows向けCitrix Workspaceアプリでアプリ保護を構成するには、「構成」の記事の「Windows向けCitrix Workspaceアプリ」セクションを参照してください。
-
注:
-
-
アプリ保護は、バージョン1912以降からのアップグレードでのみサポートされています。
-
deviceTRUST®とWindows向けCitrix Workspace™アプリのシームレスな統合
- バージョン2503以降、Windows向けCitrix WorkspaceアプリにはdeviceTRUSTが含まれており、セッション内での継続的なデバイスポスチャチェックを通じてセキュリティを強化します。deviceTRUSTは、統合展開のためにCitrix Workspaceアプリにパッケージ化されており、シームレスな統合と管理を保証します。詳細については、「deviceTRUST」を参照してください。
インストール
- Windows向けCitrix Workspaceアプリは、Windows向けCitrix Workspaceアプリインストーラーに含まれるパッケージ版を使用してdeviceTRUSTを常にインストールまたは更新します。
- deviceTRUSTのインストールが失敗した場合、50024または50025のエラーコードが表示されますが、Windows向けCitrix Workspaceアプリのインストールには影響ありません。
- deviceTRUSTのインストールをスキップするには、コマンドラインから
InstallDeviceTrust=Nコマンドを使用します。アップグレードの場合にdeviceTRUSTをインストールするには、InstallDeviceTrust=Yを使用できます。
アンインストール
-
アンインストール中、Citrix Workspaceアプリは、自身がインストールした場合にのみdeviceTRUSTを削除します。
-
自動更新シナリオ
- 既存の自動更新ユーザーの場合、Citrix WorkspaceアプリはdeviceTRUSTをインストールします。
- エンドユーザーがサポートされているバージョンのCitrix WorkspaceアプリでdeviceTRUSTのインストールをスキップした場合、次回の自動更新サイクルでもdeviceTRUSTのインストールはスキップされます。
AppLockerによるセキュリティと互換性の強化
Windows向けCitrix Workspaceアプリは、セキュリティポスチャツールであるAppLockerと互換性があります。この機能は、セキュリティ上の懸念に対処し、ユーザーエクスペリエンスを向上させます。
ICA®セキュリティ
ユーザーがアプリまたはデスクトップを起動すると、StoreFront™はICA情報を生成します。これには、VDAへの接続方法に関するクライアントへの指示が含まれます。
インメモリハイブリッド起動
ユーザーがリソースを起動すると、StoreFrontはリソースへの接続方法に関する指示を含むICAファイルを生成します。Windows向けCitrix Workspaceアプリ内で起動される場合、ICAファイルはメモリ内で処理され、ディスクに保存されることはありません。
ユーザーがWebブラウザーでストアを開き、Windows向けCitrix Workspaceアプリを使用してリソースに接続する場合、これはハイブリッド起動として知られています。構成に応じて、起動が発生する方法はさまざまです。詳細については、「StoreFrontユーザーアクセスオプション」を参照してください。
Windows向けCitrix Workspaceアプリは、ユーザーのブラウザーからのインメモリICA起動のために、Citrix WorkspaceランチャーとCitrix Workspaceウェブ拡張機能をサポートしています。ユーザーのICAファイルダウンロードオプションを無効にすることをお勧めします。これにより、攻撃対象領域と、ローカルに保存されたICAファイルを悪用する可能性のあるマルウェアが排除されます。StoreFront 2402以降でユーザーのICAファイルダウンロードオプションを無効にするには、「StoreFrontドキュメント」を参照してください。WorkspaceでユーザーのICAファイルダウンロードオプションを無効にするには、「Workspace PowerShellドキュメント」を参照してください。
ディスクからのICAファイルの起動を防止
自身のシステムが常にインメモリ起動を使用することを確認したら、Citrix®はディスクからのICAファイルの起動を無効にすることを推奨します。これにより、ユーザーは悪意のあるソースから電子メールなどの方法で受け取ったICAファイルを開くことができなくなります。ディスクからのICAファイルの起動は、以下のいずれかの方法で無効にできます。
- Global App Configサービス
- クライアント上のグループポリシーオブジェクト (GPO) 管理用テンプレート
Global App Configサービス
Citrix Workspaceアプリ2106以降では、Global App Configurationサービスを使用できます。Security and Authentication > Security Preferencesで、ポリシーBlock Direct ICA File Launchesを有効に設定します。
グループポリシー
グループポリシーを使用してローカルディスクに保存されているICAファイルからのセッション起動をブロックするには、次の手順を実行します。
-
gpedit.mscを実行して、Citrix WorkspaceアプリGPO管理用テンプレートを開きます。
-
- Computer Configurationノードの下で、Administrative Templates > Citrix Components > Citrix Workspace > Client Engineに移動します。
-
- Secure ICA file session launchポリシーを選択し、Enabledに設定します。
-
- Applyをクリックし、次にOKをクリックします。
ICAファイル署名
ICAファイル署名は、不正なアプリまたはデスクトップの起動から保護するのに役立ちます。Citrix Workspaceアプリは、管理ポリシーに基づいて信頼できるソースがアプリまたはデスクトップの起動を生成したことを検証し、信頼できないサーバーからの起動から保護します。ICAファイル署名は、GPO管理用テンプレートまたはStoreFrontを使用して構成できます。ICAファイル署名機能は、デフォルトでは有効になっていません。
StoreFrontのICAファイル署名を有効にする方法については、StoreFrontドキュメントのICAファイル署名を参照してください。
ICAファイル署名の構成
注:
CitrixBase.admx\admlがローカルGPOに追加されていない場合、Enable ICA File Signingポリシーが存在しない可能性があります。
- gpedit.mscを実行して、Citrix WorkspaceアプリGPO管理用テンプレートを開きます。
- Computer Configurationノードの下で、Administrative Templates > Citrix Componentsに移動します。
-
Enable ICA File Signingポリシーを選択し、必要に応じていずれかのオプションを選択します。
- Enabled - 署名証明書のサムプリントを信頼された証明書のサムプリントの許可リストに追加できることを示します。
- Trust Certificates - Showをクリックして、既存の署名証明書のサムプリントを許可リストから削除します。署名証明書のプロパティから署名証明書のサムプリントをコピーして貼り付けることができます。
- Security policy - メニューから以下のいずれかのオプションを選択します。
- Only allow signed launches (より安全): 信頼されたサーバーからの署名付きアプリおよびデスクトップの起動のみを許可します。無効な署名がある場合、セキュリティ警告が表示されます。非認証のため、セッションの起動は失敗します。
- Prompt user on unsigned launches (より安全性が低い) - 署名されていない、または無効な署名付きセッションが起動されたときにメッセージプロンプトが表示されます。起動を続行するか、起動をキャンセルするかを選択できます (デフォルト)。
- Applyをクリックし、次にOKをクリックしてポリシーを保存します。
- 変更を有効にするには、Citrix Workspaceアプリセッションを再起動します。
デジタル署名証明書を選択する際は、以下の優先順位リストから選択することをお勧めします。
- 公開認証局 (CA) からコード署名証明書またはSSL署名証明書を購入します。
- 企業がプライベートCAを所有している場合は、プライベートCAを使用してコード署名証明書またはSSL署名証明書を作成します。
- 既存のSSL証明書を使用します。
- ルートCA証明書を作成し、GPOまたは手動インストールを使用してユーザーデバイスに配布します。
非アクティブタイムアウト
Workspaceセッションのタイムアウト
管理者は、ユーザーがCitrix Workspaceセッションから自動的にサインアウトされるまでのアイドル時間を指定するために、非アクティブタイムアウト値を構成できます。マウス、キーボード、またはタッチが指定された時間間隔でアイドル状態の場合、Workspaceから自動的にサインアウトされます。非アクティブタイムアウトは、アクティブな仮想アプリおよびデスクトップセッション、またはCitrix StoreFrontストアには影響しません。
非アクティブタイムアウトを構成するには、Workspaceドキュメントを参照してください。
エンドユーザーエクスペリエンスは次のとおりです。
- サインアウトの3分前にセッションウィンドウに通知が表示され、サインインを維持するかサインアウトするかのオプションが示されます。
- 通知は、構成された非アクティブタイムアウト値が5分以上の場合にのみ表示されます。
- ユーザーはStay signed inをクリックして通知を閉じ、アプリの使用を続行できます。この場合、非アクティブタイマーは構成された値にリセットされます。Sign outをクリックして、現在のストアのセッションを終了することもできます。
StoreFrontセッションのタイムアウト
StoreFrontストアに接続されている場合、Citrix Workspaceアプリは非アクティブタイムアウトを適用しません。Citrix Gatewayを使用している場合は、ゲートウェイのセッションタイムアウトを構成できます。詳細については、StoreFrontドキュメントを参照してください。