セキュリティ
App Protection
App Protectionは、Citrix Virtual Apps and DesktopsおよびCitrix DaaS(Citrix Virtual Apps and Desktopsサービスの新名称)の使用時にセキュリティを強化する機能です。 この機能を使用して次のことを行います:
- キーロガーや画面キャプチャマルウェアによりクライアントが侵害される可能性を制限します。
- 画面に表示されるユーザーの資格情報や個人情報などの機密情報の流出を防ぎます。
- ユーザーおよび攻撃者がスクリーンショットを撮る、またはキーロガーを使用することにより機密情報を収集、悪用することを防ぎます。 詳しくは、「App Protection」を参照してください。
免責事項
App Protectionポリシーは基礎となるオペレーティングシステムの必要な機能へのアクセスをフィルタリングします(画面のキャプチャまたはキーボードの操作が必要な特定のAPI呼び出し)。 App Protectionポリシーは、カスタムの目的別に構築されたハッカーツールに対しても保護を提供します。 ただし、オペレーティングシステムの進化によって、画面のキャプチャやキーのログ記録には新しい方法が出てくる場合があります。 引き続きこうした方法に対応していきますが、特定の構成や展開では完全な保護を保証することはできません。
Windows向けCitrix WorkspaceアプリでApp Protectionを構成するには、 構成の記事の「Windows向けCitrix Workspaceアプリ」セクションを参照してください。
注:
App Protectionは、バージョン1912以降のアップグレードでのみサポートされます。
deviceTRUSTとWindows向けCitrix Workspaceアプリのシームレスな統合
バージョン2503以降、Windows向けCitrix WorkspaceアプリにはdeviceTRUSTが含まれており、セッション内での継続的なDevice Postureチェックを通じてセキュリティが強化されます。 deviceTRUSTは、Citrix Workspaceアプリにパッケージ化されており、統合された展開が可能で、シームレスな統合と管理が保証されます。 詳しくは、「deviceTRUST」を参照してください。
インストール
- Windows向けCitrix Workspaceアプリは、常にWindows向けCitrix Workspaceアプリインストーラーに含まれるパッケージバージョンを使用してdeviceTRUSTをインストールまたは更新します。
- deviceTRUSTのインストールが失敗すると、50024または50025のエラーコードが表示されますが、Windows向けCitrix Workspaceアプリのインストールには影響はありません。
- deviceTRUSTのインストールをスキップするには、コマンドラインから
InstallDeviceTrust=Nコマンドを使用します。 アップグレードの場合にdeviceTRUSTをインストールするには、InstallDeviceTrust=Yを使用できます。
アンインストール
- アンインストール中に、Citrix Workspaceアプリは、deviceTRUST(インストールされている場合)を削除します。
自動更新シナリオ
- 自動更新の既存のお客様の場合、Citrix WorkspaceアプリによってdeviceTRUSTがインストールされます。
- エンドユーザーが、Citrix WorkspaceアプリのサポートされているバージョンでdeviceTRUSTのインストールをスキップした場合、次の自動更新サイクルでもdeviceTRUSTのインストールがスキップされます。
AppLockerによるセキュリティと互換性の強化
Windows向けCitrix Workspaceアプリは、セキュリティ態勢ツールであるAppLockerと互換性があります。 この機能はセキュリティ上の懸念に対処し、ユーザーエクスペリエンスを向上させます。
ICAのセキュリティ
ユーザーがアプリまたはデスクトップを起動すると、StoreFrontはICA情報を生成します。この情報には、VDAに接続する方法に関するクライアントへの指示が含まれています。
インメモリハイブリッド起動
ユーザーがリソースを起動すると、StoreFrontはリソースへの接続方法に関する指示を含むICAファイルを生成します。 Windows向けCitrix Workspaceアプリ内で起動すると、ICAファイルはメモリ内で処理され、ディスクに保存されることはありません。
ユーザーがWebブラウザーでストアを開き、Windows向けCitrix Workspaceアプリを使用してリソースに接続することをハイブリッド起動と呼びます。 構成に応じて、起動を実行する方法はいくつかあります。「StoreFrontのユーザーアクセスのオプション」を参照してください。
Windows向けCitrix Workspaceアプリは、ユーザーのブラウザーからのインメモリICA起動用のCitrix WorkspaceランチャーとCitrix Workspace Web拡張機能をサポートしています。 ICAファイルをダウンロードするユーザーのオプションを無効にすることをお勧めします。 これにより、ローカルに保存されたときにICAファイルを悪用する可能性のある攻撃やマルウェアを排除できます。 StoreFront 2402以降でICAファイルをダウンロードするユーザーのオプションを無効にするには、StoreFrontのドキュメントを参照してください。 WorkspaceでICAファイルをダウンロードするユーザーのオプションを無効にするには、Workspace PowerShellドキュメントを参照してください。
ディスクからのICAファイルの起動を禁止
使用しているシステムで常にインメモリ起動が使用されることを確認したら、CitrixではディスクからのICAファイルの起動を無効にすることをお勧めします。 これにより、ユーザーはメールなどの方法で悪意のあるソースから受信したICAファイルを開くことができなくなります。 次のいずれかの方法を使用して、ディスクからのICAファイルの起動を無効にすることができます:
- Global App Config Service
- クライアント上のグループポリシーオブジェクト(GPO)管理用テンプレート
Global App Config Service
Global App Config Serviceは、Citrix Workspaceアプリ2106以降で使用できます。 [セキュリティと認証] > [セキュリティ設定]で、ICAファイルからの直接起動を禁止するポリシーを有効に設定します。
グループポリシー
グループポリシーを使用して、ローカルディスクに保存されているICAファイルからのセッションの起動をブロックするには、次の手順を実行します:
-
gpedit.mscを実行して、Citrix WorkspaceアプリのGPO管理用テンプレートを開きます。 - [コンピューターの構成]ノードで、[管理用テンプレート] > [Citrixコンポーネント] > [Citrix Workspace] > [クライアントエンジン]に移動します。
- [セキュアなICAファイルからのセッション起動]ポリシーを選択し、[有効]に設定します。
- [Apply] をクリックし、[OK] をクリックします。
ICAファイルの署名
ICAファイル署名機能は、認証していないアプリやデスクトップの起動を回避するために役立ちます。 Citrix Workspaceアプリは、信頼できるソースからアプリまたはデスクトップが生成されたことを管理ポリシーに基づいて検証し、信頼されていないサーバーからの起動を防ぎます。 GPOの管理用テンプレートまたはStoreFrontを使用して、ICAファイルの署名を構成できます。 ICAファイルの署名機能はデフォルトで無効になっています。
StoreFrontに対するICAファイル署名については、StoreFrontのドキュメントの「ICAファイル署名」を参照してください。
ICAファイルの署名の構成
注:
CitrixBase.admx\admlがローカルGPOに追加されていない場合は、ICAファイル署名の有効化ポリシーが存在しない可能性があります。
- gpedit.mscを実行して、Citrix WorkspaceアプリGPO管理用テンプレートを開きます。
- [コンピューターの構成]ノードで、[管理用テンプレート] > [Citrixコンポーネント]に移動します。
-
[ICAファイルの署名を有効にします]を選択し、必要に応じて次のいずれかのオプションを選択します:
- 有効 - 署名証明書の拇印を信頼された機関からの証明書の拇印の許可リストに追加できます。
- 信頼証明書 - [表示] をクリックして、許可リストから既存の署名証明書の拇印を削除します。 署名証明書のサムプリントは署名証明書のプロパティからコピーして貼り付けることができます。
- セキュリティポリシー - メニューから次のいずれかのオプションを選択します。
- 署名による起動のみを許可します(安全性が高い):信頼できるサーバーからの署名されたアプリおよびデスクトップの起動のみを許可します。 無効な署名があると、セキュリティ警告が表示されます。 認証されていないため、セッションを開始できません。
- 署名されていない起動(安全性が低い)でユーザーにプロンプトを表示します:署名されていないセッション、または署名が無効なセッションが開始されると、メッセージが表示されます。 起動を続行するか、起動をキャンセルするか(デフォルト)を選択できます。
- [適用]および[OK]をクリックしてポリシーを保存します。
- Citrix Workspaceアプリのセッションを再起動して、この変更を適用します。
デジタル署名証明書を選択するときは、次の一覧の上位のオプションから順にお勧めします:
- 周知の証明機関からコード署名証明書またはSSL署名証明書を購入する。
- 社内に証明機関がある場合はその証明機関を使用して、コード署名証明書またはSSL署名証明書を作成する。
- 既存のSSL証明書を使用する。
- ルート証明書を作成して、GPOまたは手動インストールによりユーザーデバイスに配布する。
非アクティブタイムアウト
Workspaceセッションのタイムアウト
管理者は、非アクティブタイムアウト値を構成して、ユーザーがCitrix Workspaceセッションから自動的にサインアウトするまでのアイドル時間を指定できます。 指定された時間内に、マウス、キーボード、またはタッチによる操作がない場合は、自動的にWorkspaceからサインアウトされます。 非アクティブタイムアウトは、アクティブな仮想アプリと仮想デスクトップのセッションやCitrix StoreFrontストアには影響しません。
非アクティブタイムアウトを構成するには、Workspaceドキュメントを参照してください。
エンドユーザーエクスペリエンスは次のとおりです:
- サインアウトの3分前にセッションウィンドウに通知が表示され、サインインしたままにするか、サインアウトするかを選択できます。
- この通知は、設定された非アクティブタイムアウト値が5分以上の場合にのみ表示されます。
- ユーザーは [サインイン状態を維持] をクリックして通知を閉じ、アプリの使用を続行できます。その場合、無通信タイマーは構成された値にリセットされます。 [サインアウト] をクリックして、現在のストアのセッションを終了することもできます。
StoreFrontセッションのタイムアウト
StoreFrontストアに接続すると、Citrix Workspaceアプリは非アクティブタイムアウトを適用しません。 Citrix Gatewayを使用している場合は、ゲートウェイのセッションタイムアウトを構成できます。 詳しくは、StoreFrontのドキュメントを参照してください。