Citrix Workspaceアプリ

キーロガー対策および画面キャプチャ対策の構成

以下に関して、キーロガー対策および画面キャプチャ対策を構成できます:

認証およびSelf-service Plug-inのキーロガー対策および画面キャプチャ対策の構成

以下の方法で、認証およびSelf-service Plug-inのキーロガー対策および画面キャプチャ対策を構成できます:

構成方法 Linux向けCitrix Workspaceアプリ Mac向けCitrix Workspaceアプリ Windows向けCitrix Workspaceアプリ
グループポリシーオブジェクトの使用 いいえ いいえ はい
Global App Configuration Serviceの使用 いいえ はい はい
AuthManConfig.xmlの使用 はい いいえ いいえ

グループポリシーオブジェクトの使用

  1. gpedit.mscを実行して、Citrix Workspaceアプリグループポリシーオブジェクト管理用テンプレートを開きます。
  2. [コンピューターの構成]ノードで、[管理用テンプレート]>[Citrixコンポーネント]>[Citrix Workspace]の順に移動します。
  3. App ProtectionをAuthentication Manager用に構成しているか、Self-service Plug-in用に構成しているかに応じて、次のいずれかの手順を使用します:
    • Authentication Manager

      Authentication Managerのキーロガー対策と画面キャプチャ対策を構成するには、[ユーザー認証] > [App Protectionの管理]ポリシーを選択します。

    • Self-service Plug-inインターフェイス

      Self-service Plug-inインターフェイスのキーロガー対策および画面キャプチャ対策を構成するには、[Self Service]>[App Protectionの管理] ポリシーを選択します。

  4. 次のオプションのいずれか1つまたは両方を選択します:
    • キーロガー対策:キーロガーがキーストロークをキャプチャするのを防ぎます。
    • 画面キャプチャ対策:ユーザーがスクリーンショットを撮ったり、画面を共有したりできないようにします。
  5. [適用][OK] の順にクリックします。

想定される動作:

想定される動作は、保護されたリソースが含まれるStoreFrontストアにアクセスする方法によって異なります。

Global App Configuration ServiceのUIの使用

Windows向けCitrix Workspaceアプリ2302またはWindows向けCitrix Workspace 2301バージョン以降、Citrix Workspaceアプリで、Global App Configuration Service(GACS)を使用して認証画面およびSelf-service Plug-inのApp Protectionを構成できます。

GACSを使用してキーロガー対策および画面キャプチャ対策を有効にすると、それらの機能を認証とSelf-service Plug-inの両方に適用できます。

注:

  • GACSを使用して認証とSelf-service Plug-inのキーロガー対策および画面キャプチャ対策を構成すると、Windows向け Citrix WorkspaceアプリとMac向けCitrix Workspaceアプリに適用できます。Linux向けCitrix Workspaceアプリには適用できません。
  • GACSの構成は、仮想アプリおよびデスクトップ、Webアプリ、およびSaaSアプリには適用されません。これらのリソースは、引き続きDelivery ControllerおよびCitrix Secure Private Accessを使用して制御されます。
  • Mac向けCitrix Workspaceアプリ2311バージョン以降、クラウドストアとオンプレミスの両方で、Global App ConfigurationサービスUIを使用して認証およびSelf-service Plug-inのApp Protectionを構成できるようになりました。ただし、2311バージョンより前のMac向けCitrix Workspaceアプリを使用している場合は、クラウドストアに対してのみ構成できます。

管理者は、ワークスペース構成UIを使用してApp Protectionを構成できます:

  1. Citrix Cloudアカウントにサインインし、[ワークスペースの構成] を選択します。

    ワークスペース構成

  2. [アプリ構成] > [セキュリティと認証] > [App Protection] を選択します。

    アプリ構成

  3. [画面キャプチャ対策] をクリックし、関連するオペレーティングシステム(WindowsまたはMac)を選択します。

  4. [有効] トグルボタンをクリックし、[下書きの公開] をクリックします。

    画面キャプチャ対策機能とキーロガー対策機能の有効化

  5. [キーロガー対策] をクリックし、関連するオペレーティングシステム(WindowsまたはMac)を選択します。

  6. [有効] トグルボタンをクリックし、[下書きの公開] をクリックします。

    画面キャプチャ対策機能とキーロガー対策機能の有効化

  7. [設定の公開] ダイアログボックスで、[はい] をクリックします。

    設定の公開

Global App Configuration Service APIの使用

管理者は、APIを使用して、これらのApp Protection機能を構成できます。設定項目は次のとおりです:

  • 画面キャプチャ対策機能を有効または無効にする設定:

    “name”:”enable anti screen capture for auth and ssp” “value”: “true”または“false”

  • キーロガー対策機能を有効または無効にする設定:

    “name”:“enable anti key-logging for auth and ssp” “value”: “true”または“false”

例: GACSでCitrix Workspaceアプリの画面キャプチャ防止機能とキーロガー対策機能を有効にするためのJSONファイルの例を次に示します:

{

          "category": "App Protection",

          "userOverride": true,

          "assignedTo": [

            "AllUsersNoAuthentication"

          ],

          "settings": [

            {

              "name": "enable anti screen capture for auth and ssp",

              "value": true

            },

            {

              "name": "enable anti key-logging for auth and ssp",

              "value": true

            }

          ]}

Authentication ManagerでのAuthManConfig.xmlの使用

$ICAROOT/config/AuthManConfig.xmlに移動し、次のようにファイルを編集します:


/opt/Citrix/ICAClient/config$ cat AuthManConfig.xml | grep -i authmananti -A 1
    <key>AuthManAntiScreenCaptureEnabled</key>
    <value>true</value>
    <key>AuthManAntiKeyLoggingEnabled</key>
    <value>true </value>

<!--NeedCopy-->

Self-service Plug-inインターフェイスでのAuthManConfig.xmlの使用

$ICAROOT/config/AuthManConfig.xmlに移動し、次のようにファイルを編集します:


/opt/Citrix/ICAClient/config$ cat AuthManConfig.xml | grep -i protection -A 4
<!-- Selfservice App Protection configuration -->
    <Selfservice>
      <AntiScreenCaptureEnabled>true</AntiScreenCaptureEnabled>
      <AntiKeyLoggingEnabled>true</AntiKeyLoggingEnabled>
    </Selfservice>

<!--NeedCopy-->

Virtual Apps and Desktopsのキーロガー対策と画面キャプチャ対策の構成

2つのポリシーがセッションでのキーロガー対策および画面キャプチャ対策機能を提供します。Virtual Apps and Desktopsのキーロガー対策と画面キャプチャ対策を、次のように構成できます:

注:

バージョン2103以降、Citrix DaaSはStoreFrontおよびWorkspaceでApp Protectionをサポートします。

Web Studioの使用

Web Studioを使用してCitrix Virtual AppsまたはDesktopsのキーロガー対策と画面キャプチャ対策を構成するには、次の手順を実行します:

  1. App ProtectionにはXML信頼が必要です。XML信頼を有効にするには、次の手順を実行します:

    1. Citrix DaaSアカウントにサインインし、[管理]>[設定]>[XML信頼を有効にする] に移動します。

      XML信頼を有効にする

    2. [XML信頼を有効にする] トグルをオンにします。

  2. デリバリーグループのApp Protection方法を選択するには、次の手順を実行します:

    1. Citrix DaaSで、[管理]>[デリバリーグループ] に移動します。

    2. デリバリーグループを選択して、操作バーの [編集] をクリックします。

      デリバリーグループの編集

    3. [App Protection] をクリックしてから、[キーロガー対策] および [画面キャプチャ対策] チェックボックスを選択します。

      Web Studioを使用してキーロガー対策と画面キャプチャ対策を有効にする

    4. [保存] をクリックします。

PowerShellの使用

注:

Citrix DaaS環境では、任意のマシン(Citrix Cloud Connectorマシンを除く)のCitrix Virtual Apps and Desktops Remote PowerShell SDKにあるコマンドレットを使用して、このセクションのコマンドを発行します。

インストール済みの任意のDelivery Controllerマシンで、またはFMA PowerShellスナップインとともにスタンドアロンのStudioがインストールされたマシンで、Citrix Virtual Apps and Desktops SDKを使用して、App Protectionデリバリーグループの次のプロパティを有効にします。

  • AppProtectionKeyLoggingRequiredTrue
  • AppProtectionScreenCaptureRequiredTrue

いずれかのポリシーを各デリバリーグループで個別に有効にできます。たとえば、DG1でのみキーロガーからの保護を構成でき、DG2でのみ画面キャプチャからの保護を構成できます。DG3で両方のポリシーを有効にできます。

例:

DG3という名前のデリバリーグループで両方のポリシーを有効にするには、サイトのDelivery Controllerで次のコマンドを実行します:

Set-BrokerDesktopGroup -Name DG3 -AppProtectionKeyLoggingRequired $true -AppProtectionScreenCaptureRequired $true

この設定を検証するには、次のコマンドレットを実行します:

Get-BrokerDesktopGroup -Property Name, AppProtectionKeyLoggingRequired, AppProtectionScreenCaptureRequired | Format-Table -AutoSize

また、XML信頼を有効にします:

Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true

StoreFrontとブローカーの間のネットワークを確実に保護してください。詳しくは、Knowledge CenterのCTX236929および「XenAppおよびXenDesktop XML Serviceの保護」を参照してください。

WebアプリまたはSaaSアプリのキーロガー対策と画面キャプチャ対策の構成

Windows向けCitrix WorkspaceアプリおよびMac向けCitrix WorkspaceアプリのCitrix Enterprise Browserで、WebアプリとSaaSアプリを開きます。Citrix Secure Private AccessによりアプリにApp Protectionポリシーが構成されている場合、App Protectionはタブごとに適用されます。

以下の方法で、WebアプリとSaaSアプリのApp Protectionを構成します:

キーロガー対策および画面キャプチャ対策の構成