セキュリティ
App Protection
App Protection機能は、Citrix Virtual Apps and DesktopsおよびCitrix DaaS(Citrix Virtual Apps and Desktopsサービスの新名称)の使用時にセキュリティを強化する機能です。この機能により、キーロガーや画面キャプチャマルウェアによりクライアントが侵害される可能性が制限されます。App Protectionでは、画面に表示されるユーザーの資格情報や個人情報などの機密情報の流出を防ぎます。この機能を使うと、ユーザーおよび攻撃者がスクリーンショットを撮る、またはキーロガーを使用することにより機密情報を収集、悪用することを防ぐことができます。詳しくは、「App Protection」を参照してください。
免責事項
App Protectionポリシーは基礎となるオペレーティングシステムの必要な機能へのアクセスをフィルタリングします(画面のキャプチャまたはキーボードの操作が必要な特定のAPI呼び出し)。App Protectionポリシーは、カスタムの目的別に構築されたハッカーツールに対しても保護を提供します。ただし、オペレーティングシステムの進化によって、画面のキャプチャやキーのログ記録には新しい方法が出てくる場合があります。引き続きこうした方法に対応していきますが、特定の構成や展開では完全な保護を保証することはできません。
Windows向けCitrix WorkspaceアプリでApp Protectionを構成するには、 構成の記事の「Windows向けCitrix Workspaceアプリ」セクションを参照してください。
注:
App Protectionは、バージョン1912以降のアップグレードでのみサポートされます。
改善されたICAファイルのセキュリティ
この機能は、仮想アプリと仮想デスクトップのセッションの起動中にICAファイルを処理する際のセキュリティを強化します。
Citrix Workspaceアプリでは、仮想アプリと仮想デスクトップのセッションを起動する際、ICAファイルをローカルディスクではなくシステムメモリに保存することができます。
この機能は、ローカルに保存されたときにICAファイルを悪用する可能性のある攻撃やマルウェアを排除することを目的としています。この機能は、Web向けWorkspaceで起動される仮想アプリと仮想デスクトップのセッションにも適用できます
構成
ICAファイルのセキュリティは、Citrix WorkspaceまたはStoreFrontにWeb経由でアクセスする場合にもサポートされます。Web経由でアクセスした場合にこの機能が動作するためには、クライアントの検出が前提条件です。ブラウザーを使用してStoreFrontにアクセスしている場合は、StoreFront展開のweb.configファイルで次の属性を有効にします:
| StoreFrontのバージョン | 属性 |
|---|---|
| 2.x | pluginassistant |
| 3.x | protocolHandler |
ブラウザーからストアにサインインするときは、[Workspaceアプリを検出]をクリックしてください。プロンプトが表示されない場合は、ブラウザーのCookieをクリアして、再試行してください
Workspace展開の場合、[アカウント設定]>[詳細]>[アプリおよびデスクトップの起動設定]に移動してクライアント検出設定を見つけることができます。
システムメモリに保存されているICAファイルを使用してのみセッションが開始されるように、追加の対策を講じることができます。次のいずれかの方法を使用します:
- クライアント上のグループポリシーオブジェクト(GPO)管理用テンプレート。
- Global App Config Service。
- Web向けWorkspace。
GPOの使用:
ローカルディスクに保存されているICAファイルからのセッションの起動をブロックするには、次の手順を実行します:
-
gpedit.mscを実行して、Citrix Workspaceアプリグループポリシーオブジェクト管理用テンプレートを開きます。 - [コンピューターの構成]ノードで、[管理用テンプレート]>[Citrixコンポーネント]>[Citrix Workspace]>[クライアントエンジン]の順に移動します。
- [セキュアなICAファイルからのセッション起動]ポリシーを選択し、[有効]に設定します。
- [適用]、 [OK] の順にクリックします。
Global App Config Serviceの使用:
Global App Config Serviceは、Citrix Workspaceアプリ2106以降で使用できます。
ローカルディスクに保存されているICAファイルからのセッションの起動をブロックするには、次の手順を実行します:
Block Direct ICA File Launches属性をTrueに設定します。
Global App Config Serviceについて詳しくは、Global App Config Serviceのドキュメントを参照してください。
Web向けWorkspaceの使用:
Web向けWorkspaceを使用しているときにローカルディスクへのICAファイルのダウンロードを禁止するには、次の手順を実行します:
PowerShellモジュールを実行します。「DisallowICADownloadを構成する」を参照してください。
注:
DisallowICADownloadポリシーは、StoreFront展開では使用できません。
Workspaceセッションの無操作状態によるタイムアウト
管理者は、無操作状態によるタイムアウト値を構成して、ユーザーがCitrix Workspaceセッションから自動的にサインアウトするまでのアイドル時間を指定できます。指定された時間内に、マウス、キーボード、またはタッチによる操作がない場合は、自動的にWorkspaceからサインアウトされます。無操作状態によるタイムアウトは、アクティブな仮想アプリと仮想デスクトップのセッションやCitrix StoreFrontストアには影響しません。
無操作状態によるタイムアウト値は、1分から1,440分まで設定できます。デフォルトでは、無操作状態によるタイムアウトは構成されていません。管理者は、PowerShellモジュールを使用してinactivityTimeoutInMinutesプロパティを構成できます。Citrix Workspace構成のためのPowerShellモジュールをダウンロードするには、こちらをクリックしてください。
エンドユーザーエクスペリエンスは次のとおりです:
- サインアウトの3分前にセッションウィンドウに通知が表示され、サインインしたままにするか、サインアウトするかを選択できます。
- この通知は、設定された無操作状態によるタイムアウト値が5分以上の場合にのみ表示されます。
- ユーザーは [サインイン状態を維持] をクリックして通知を閉じ、アプリの使用を続行できます。その場合、無通信タイマーは構成された値にリセットされます。[サインアウト] をクリックして、現在のストアのセッションを終了することもできます。
注:
管理者は、Workspace(クラウド)セッションに対してのみ無操作状態によるタイムアウトを構成できます。