Proteção de aplicativo
A proteção de aplicativos é um recurso complementar para o aplicativo Citrix Workspace que fornece segurança aprimorada ao usar os recursos publicados do Citrix Virtual Apps and Desktops.
Duas políticas fornecem recursos de proteção contra registro de pressionamento de teclas e proteção contra captura de tela para uma sessão do Citrix HDX. As políticas, juntamente com, no mínimo, o aplicativo Citrix Workspace 1912 para Windows, Citrix Workspace 2001 para Mac ou Citrix Workspace 2108 para Linux podem ajudar a proteger dados contra registradores de pressionamento de teclas e transportadores de tela.
Registro de pressionamento de teclas quando ativado:
- Um registrador de pressionamento de teclas vê as teclas digitadas criptografadas.
- Esse recurso só está ativo quando uma janela protegida está em foco.
Proteção contra captura de tela quando ativada:
- Captura de tela é uma tela em branco no sistema operacional Windows. No macOS, apenas o conteúdo da janela protegida está em branco.
- No sistema operacional Windows e macOS, esse recurso está ativo quando uma janela protegida está visível (não minimizada). No sistema operacional Linux, o recurso está ativo quando uma janela protegida é minimizada ou maximizada.
Você configura as políticas somente por meio do PowerShell. Não há nenhum recurso de administração GUI. Essa configuração é necessária apenas para ativar ou desativar a funcionalidade para um grupo de entrega específico.
Depois de adquirir esse recurso, certifique-se de ativar a licença de proteção do aplicativo.
Aviso de isenção de responsabilidade:
As políticas de proteção de aplicativos funcionam filtrando o acesso às funções necessárias do sistema operacional subjacente (chamadas de API específicas necessárias para capturar telas ou pressionamentos de teclado). Isso significa que as políticas de proteção de aplicativos podem fornecer proteção mesmo contra ferramentas de hackers personalizadas e criadas para fins específicos. No entanto, à medida que os sistemas operacionais evoluem, novas formas de capturar telas e pressionamento de teclas podem surgir. Embora continuemos a identificá-los e abordá-los, não podemos garantir proteção total em configurações e implantações específicas.
As políticas de proteção de aplicativo Citrix funcionam de forma eficaz com os componentes subjacentes do sistema operacional, incluindo arquivos ICA. A Citrix não será capaz de fornecer suporte se a adulteração ou modificação intencional dos componentes subjacentes for detectada, de modo a fornecer a integridade das políticas aplicadas.
Limitações
Estas limitações existem por design:
- Não há suporte para proteção contra pressionamento de teclas dentro das sessões HDX ou RDP. A proteção do ponto de extremidade ainda está ativa. Esta limitação se aplica apenas a cenários de salto duplo.
- Não há suporte a recursos ao usar uma versão não suportada do aplicativo Citrix Workspace ou Citrix Receiver. Nesse caso, os recursos estão ocultos.
- A proteção de aplicativos é suportada para implantações locais do Citrix Virtual Apps and Desktops e do Citrix Virtual Apps and Desktops Service com StoreFront e Workspace.
- Não há suporte de recursos para lojas de aplicativos da Web StoreFront.
- O recurso de complemento de proteção de aplicativos para o aplicativo Citrix Workspace impede o compartilhamento de tela de saída.
- A proteção de aplicativos pode impedir o compartilhamento da tela de entrada e de saída com aplicativos de colaboração ou recursos que tenham a otimização ativada.
- Aplicativos com políticas de proteção de aplicativos não são enumerados em Connection Leases, portanto, Service Continuity não exibe os ícones de aplicativo/área de trabalho no aplicativo Citrix Workspace quando no modo de interrupção/offline.
Comportamento esperado
Os comportamentos esperados dependem de como você acessa a loja StoreFront que contém recursos protegidos. Você pode acessar os recursos usando um cliente do aplicativo Citrix Workspace nativo compatível.
- Comportamento no StoreWeb - os aplicativos com políticas de proteção de aplicativos não são enumerados em lojas da Web StoreFront.
- Comportamento em aplicativos Citrix Workspace e Citrix Receivers não compatíveis - os aplicativos com políticas de proteção de aplicativos não são enumerados.
- Comportamento em versões do aplicativo Citrix Workspace compatíveis - os recursos protegidos enumeram e são iniciados corretamente.
A proteção é aplicada nas seguintes condições:
- Captura anti-tela – No Windows e Mac, ela é ativada se alguma janela protegida estiver visível na tela. Para desativar a proteção, minimize todas as janelas protegidas. No Linux, ele será ativado se alguma janela protegida estiver ativa. Para desativar a proteção, feche todas as janelas protegidas.
- Proteção contra pressionamento de teclas — ativado se uma janela protegida estiver em foco. Para desativar a proteção, altere o foco para outra janela.
O que a proteção do aplicativo protege?
Para capturar a tela de qualquer janela de aplicativo que não seja do Citrix Workspace, os usuários devem primeiro minimizar a janela protegida. No Linux, os usuários devem fechar todas as janelas protegidas.
Por padrão, a proteção do aplicativo protege as seguintes janelas Citrix:
-
Janelas de login Citrix - as caixas de diálogo de autenticação do Citrix Workspace são protegidas apenas em sistemas operacionais Windows. No Linux, você deve configurar o recurso de proteção de aplicativo no arquivo
AuthManConfig.xmlpara habilitá-lo para o gerenciador de autenticação.
- Janelas de sessão HDX do aplicativo Citrix Workspace (exemplo, área de trabalho gerenciada)
-
Janelas de autoatendimento (loja) - As janelas de autoatendimento do Citrix Workspace são protegidas somente em sistemas operacionais Windows. No Linux, você deve configurar o recurso de proteção de aplicativo no arquivo
AuthManConfig.xmlpara habilitá-lo para janelas de autoatendimento.
O que a proteção do aplicativo não protege?
Os itens no ícone dos aplicativos Citrix Workspace na barra de navegação:
- Centro de Conexão
- Todos os links de preferências avançadas
- Personalizar
- Verificar se há atualizações
- Fazer logoff
Requisitos do sistema
Versões mínimas dos componentes Citrix
- Aplicativo Citrix Workspace 2108 para Linux
- Aplicativo Citrix Workspace 1912 para Windows Long Term Service Release
- Aplicativo Citrix Workspace 2002 para Windows
- Aplicativo Citrix Workspace 2001 para Mac
- StoreFront 1912
- Delivery Controller 1912
- Licenças válidas da Citrix
- Licença de complemento de proteção de aplicativos
- Uma licença válida do Citrix Virtual Apps and Desktops 1912 ou posterior
Plataformas do sistema operacional
O tempo de execução das políticas de proteção de aplicativos é instalado no ponto de extremidade do qual você está se conectando e não no VDA aoqual está se conectando. Portanto, somente a versão do sistema operacional do ponto de extremidade é significativa. (A proteção de aplicativos pode se conectar a VDAs hospedados em qualquer sistema operacional compatível descrito nos requisitos de sistema do Citrix Virtual Apps and Desktops.)
O recurso de proteção de aplicativos é suportado em pontos de extremidade que executam os seguintes sistemas operacionais:
- Windows 10
- Windows 8.1
- Windows 7
- macOS High Sierra (10.13) e superior
- Ubuntu 18.04+ de 64 bits
- Debian 9+ de 64 bits
- CentOS 7.5+ de 64 bits
- RHEL 7.5+ de 64 bits
- ARMHF Raspbian 10 (Buster)+ de 32 bits
Nota:
Para proteção de aplicativos, o aplicativo Citrix Workspace para Linux requer o Gnome Display Manager junto com os sistemas operacionais com suporte.
Configurar
Siga estas etapas para configurar e ativar totalmente o recurso de proteção do aplicativo:
- Importe a licença de proteção do aplicativo†.
- Configure o aplicativo Workspace.
- Ative as políticas de proteção do aplicativo nos Delivery Controllers†.
† No ambiente do Citrix Virtual Apps and Desktops Service, essas etapas de configuração diferem ligeiramente. Veja as notas nessas seções.
1. Licenciamento
Nota:
No ambiente do Citrix Virtual Apps and Desktops Service, ignore essa etapa porque não há licenças para instalar. O recurso de proteção de aplicativos está incluído como parte de determinados pacotes de serviços Citrix Cloud, e as licenças são fornecidas diretamente no Citrix Cloud.
A proteção do aplicativo requer que você instale uma licença complementar no Citrix License Server. Uma licença válida do Citrix Virtual Apps and Desktops 1912 ou posterior também deve estar presente. Entre em contato com um representante de vendas da Citrix para comprar a licença complementar de proteção do aplicativo.
- Baixe o arquivo de licença e importe-o para o Citrix License Server juntamente com uma licença existente do Citrix Virtual Desktops.
- Use o Citrix Licensing Manager para importar o arquivo de licença (método preferencial) ou copie o arquivo de licença no servidor de licenças para
C:\Program Files (x86)\Citrix\Licensing\MyFilese reinicie o serviço Citrix Licensing. Para obter mais informações, consulte Instalar licenças.
2. Aplicativo Citrix Workspace
Configure a proteção do aplicativo no aplicativo Citrix Workspace.
Aplicativo Citrix Workspace para Windows
Você pode incluir o componente de proteção do aplicativo com o aplicativo Citrix Workspace usando os seguintes métodos:
- Durante a instalação do aplicativo Citrix Workspace.
- Usando a interface de linha de comando após a instalação do aplicativo Citrix Workspace.
Verifique se o aplicativo Citrix Workspace foi instalado com o switch /includeappprotection ativado.
Para obter mais informações, consulte Proteção de aplicativos.
Aplicativo Citrix Workspace para Mac
A proteção de aplicativo não requer configuração específica no aplicativo Citrix Workspace para Mac.
Aplicativo Citrix Workspace para Linux
A proteção de aplicativos tem suporte quando o aplicativo Citrix Workspace para Linux é instalado usando os pacotes tarball, Debian e Red Hat Package Manager (RPM). As arquiteturas suportadas são x64 e ARMHF.
Para obter mais informações, consulte Proteção de aplicativos.
3. Grupos de entrega
Nota:
No ambiente do Citrix Virtual Apps and Desktops Service, use os cmdlets no Citrix Virtual Apps and Desktops Remote PowerShell SDK em qualquer máquina (exceto as máquinas Citrix Cloud Connector) para gerar os comandos nesta seção.
Ative as seguintes propriedades para o Grupo de Entrega de proteção do aplicativo usando o Citrix Virtual Apps and Desktops SDK em qualquer computador do Delivery Controller instalado ou em um computador com um Studio autônomo instalado que tenha snap-ins do FMA PowerShell instalados.
- AppProtectionKeyLoggingRequired: True
- AppProtectionScreenCaptureRequired: True
Você pode habilitar cada uma dessas políticas individualmente por grupo de entrega. Por exemplo, você pode configurar a proteção contra pressionamento de teclas somente para DG1 e a proteção contra captura de tela somente para DG2. Você pode habilitar ambas as políticas para DG3.
Exemplo
Para habilitar ambas as políticas para um grupo de entrega chamado DG3, execute o seguinte comando em qualquer Delivery Controller no site:
Set-BrokerDesktopGroup -Name DG3 -AppProtectionKeyLoggingRequired $true -AppProtectionScreenCaptureRequired $true
Para validar as configurações, execute este cmdlet:
Get-BrokerDesktopGroup -Property Name, AppProtectionKeyLoggingRequired, AppProtectionScreenCaptureRequired | Format-Table -AutoSize
Além disso, ative a confiança em XML:
Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true
Certifique-se de proteger a rede entre o StoreFront e o Broker. Para obter mais informações, consulte os artigos do Knowledge Center CTX236929 e Securing the XenApp and XenDesktop XML Service.
Recomendação
As políticas de proteção de aplicativos estão focadas principalmente em melhorar a segurança e a proteção de um ponto de extremidade. Analise todas as outras recomendações e políticas de segurança para o seu ambiente. Você pode usar um modelo de política de Segurança e controle para uma configuração recomendada em ambientes com baixa tolerância a risco. Para obter mais informações, consulte Modelos de políticas.
Proteção contextual de aplicativos
A Proteção contextual de aplicativos fornece a flexibilidade granular para aplicar as políticas de Proteção de aplicativos condicionalmente a um subconjunto de usuários, com base nos usuários, no dispositivo e na postura da rede. Para obter mais informações, consulte Proteção contextual de aplicativos.
Solução de problemas
Os aplicativos não são enumerados ou não iniciam:
- Confirme se o usuário afetado está usando uma versão compatível do aplicativo Citrix Workspace.
- Assegure-se de que o grupo de entrega tenha os recursos apropriados permitidos.
As políticas de proteção de aplicativos não estão sendo aplicadas corretamente:
- Assegure-se de que o grupo de entrega tenha os recursos apropriados permitidos.
- Assegure-se de que o recurso esteja instalado no ponto de extremidade.
- Verifique se o usuário afetado está usando uma versão do aplicativo Citrix Workspace compatível.
- Verifique se o aplicativo Citrix Workspace foi instalado com o switch /includeappprotection ativado.
Capturas de tela não funcionam nas janelas que não sejam Citrix:
- Minimize ou feche as janelas protegidas da Citrix, incluindo o Citrix Workspace App.