Citrix Virtual Apps and Desktops

Proteção de Aplicativos

A Proteção de aplicativos é um recurso complementar para o aplicativo Citrix Workspace que fornece segurança aprimorada ao usar os recursos publicados do Citrix Virtual Apps and Desktops.

Duas políticas fornecem recursos de proteção contra registro de pressionamento de teclas e proteção contra captura de tela para uma sessão do Citrix HDX. As políticas, juntamente com, no mínimo, o aplicativo Citrix Workspace 1912 para Windows, Citrix Workspace 2001 para Mac ou Citrix Workspace 2108 para Linux podem ajudar a proteger dados contra registradores de pressionamento de teclas e transportadores de tela.

Quando você ativa a proteção contra pressionamento de teclas:

  • Um registrador de pressionamento de teclas vê as teclas digitadas criptografadas.
  • Esse recurso só está ativo quando uma janela protegida está em foco.

Proteção contra captura de tela quando ativada:

  • No sistema operacional Windows e no macOS, quando você faz a captura de uma tela, somente o conteúdo da janela protegida fica em branco. Esse recurso está ativo quando uma janela protegida não está minimizada. No sistema operacional Linux, toda a captura fica em branco. Esse recurso está ativo independentemente de uma janela protegida estar minimizada ou não.
  • No sistema operacional Windows e macOS, esse recurso está ativo quando uma janela protegida está visível (não minimizada). No sistema operacional Linux, o recurso está ativo quando uma janela protegida é minimizada ou maximizada.
  • Ao usar o botão Print Screen no sistema operacional Windows para fazer capturas de tela, os dados não são copiados para a área de transferência. Para fazer capturas de tela usando o botão Print Screen, minimize todos os aplicativos protegidos.

Você configura as políticas somente por meio do PowerShell. Não há nenhum recurso de administração GUI. Essa configuração é necessária apenas para ativar ou desativar a funcionalidade para um grupo de entrega específico.

Depois de adquirir esse recurso, certifique-se de ativar a licença de Proteção de aplicativos.

Aviso de isenção de responsabilidade:

As políticas de Proteção de aplicativos funcionam filtrando o acesso às funções necessárias do sistema operacional subjacente (chamadas de API específicas necessárias para capturar telas ou pressionamentos de teclado). Isso significa que as políticas de Proteção de aplicativos podem fornecer proteção mesmo contra ferramentas de hackers personalizadas e criadas para fins específicos. No entanto, à medida que os sistemas operacionais evoluem, novas formas de capturar telas e pressionamento de teclas podem surgir. Embora continuemos a identificá-los e abordá-los, não podemos garantir proteção total em configurações e implantações específicas.

As políticas de Proteção de aplicativos Citrix funcionam de forma eficaz com os componentes subjacentes do sistema operacional, incluindo arquivos ICA. A Citrix não será capaz de fornecer suporte se a adulteração ou modificação intencional dos componentes subjacentes for detectada, para fornecer a integridade das políticas aplicadas.

Pré-requisito

Você instalou o aplicativo Citrix Workspace usando direitos de administrador.

Limitações

Estas limitações existem por design:

  • Não há suporte para proteção contra pressionamento de teclas dentro das sessões HDX ou RDP. A proteção do ponto de extremidade ainda está ativa. Esta limitação se aplica apenas a cenários de salto duplo.
  • Não há suporte a recursos ao usar uma versão não suportada do aplicativo Citrix Workspace ou Citrix Receiver. Nesse caso, os recursos estão ocultos.
  • A Proteção de aplicativos é suportada para implantações locais do Citrix Virtual Apps and Desktops e do Citrix DaaS (anteriormente Citrix Virtual Apps and Desktops Service) com StoreFront e Workspace. Isso significa que a Proteção de aplicativos é compatível com todos os ambientes de nuvem, ambientes locais e ambientes híbridos.
  • Não há suporte de recursos para lojas de aplicativos da Web StoreFront.
  • O recurso do complemento Proteção de aplicativos para o aplicativo Citrix Workspace impede o compartilhamento de tela de saída.
  • A Proteção de aplicativos pode impedir o compartilhamento da tela de entrada e de saída com aplicativos de colaboração ou recursos que tenham a otimização ativada.
  • Aplicativos com políticas de Proteção de aplicativos não são enumerados em Connection Leases, portanto, Service Continuity não exibe os ícones de aplicativo/área de trabalho no aplicativo Citrix Workspace quando no modo de interrupção/offline.

Comportamento esperado

Os comportamentos esperados dependem de como você acessa a loja StoreFront que contém recursos protegidos. Você pode acessar os recursos usando um cliente do aplicativo Citrix Workspace nativo compatível.

  • Comportamento no StoreWeb - os aplicativos com políticas de Proteção de aplicativos não são enumerados em lojas da Web StoreFront.
  • Comportamento em aplicativos Citrix Workspace e Citrix Receivers não compatíveis - os aplicativos com políticas de Proteção de aplicativos não são enumerados.
  • Comportamento em versões do aplicativo Citrix Workspace compatíveis - os recursos protegidos enumeram e são iniciados corretamente.

A proteção é aplicada nas seguintes condições:

  • Captura anti-tela – No Windows e Mac, ela é ativada se alguma janela protegida estiver visível na tela. Para desativar a proteção, minimize todas as janelas protegidas. No Linux, ele será ativado se alguma janela protegida estiver ativa. Para desativar a proteção, feche todas as janelas protegidas.
  • Proteção contra pressionamento de teclas — ativado se uma janela protegida estiver em foco. Para desativar a proteção, altere o foco para outra janela.

O que a Proteção de aplicativos protege?

Para capturar a tela de qualquer janela de aplicativo que não seja do Citrix Workspace, os usuários devem primeiro minimizar a janela protegida. No Linux, os usuários devem fechar todas as janelas protegidas.

A Proteção de aplicativos protege as seguintes janelas Citrix:

  • Janelas de login Citrix - as caixas de diálogo de autenticação do Citrix Workspace são protegidas apenas em sistemas operacionais Windows. No Linux, você deve configurar o recurso de Proteção de aplicativos no arquivo AuthManConfig.xml para habilitá-lo para o gerenciador de autenticação.

Janela de login Citrix - protegida

  • Janelas de sessão HDX do aplicativo Citrix Workspace (exemplo, área de trabalho gerenciada)

Janela do Citrix Virtual Apps and Desktops Standard para Azure - protegida

  • Janelas de autoatendimento (loja) - As janelas de autoatendimento do Citrix Workspace são protegidas somente em sistemas operacionais Windows. No Linux, você deve configurar o recurso de Proteção de aplicativos no arquivo AuthManConfig.xml para habilitá-lo para janelas de autoatendimento.

Janela Citrix Self-Service (Store) - protegida

  • Aplicativos Web e SaaS – Aplicativos Web e SaaS são abertos no Citrix Enterprise Browser para aplicativos Citrix Workspace no Windows e Mac. Se os aplicativos estiverem configurados para ter as políticas de proteção de aplicativos por meio do Secure Private Access, a Proteção de aplicativos será aplicada por guia.

    Proteção de aplicativos para aplicativos Web e SaaS

O que a Proteção de aplicativos não protege?

Os itens no ícone dos aplicativos Citrix Workspace na barra de navegação:

  • Centro de Conexão
  • Todos os links de preferências avançadas
  • Personalizar
  • Verificar se há atualizações
  • Fazer logoff

Requisitos do sistema

Versões mínimas dos componentes Citrix

  • Aplicativo Citrix Workspace 2108 para Linux
  • Aplicativo Citrix Workspace 1912 para Windows Long Term Service Release
  • Aplicativo Citrix Workspace 2002 para Windows
  • Aplicativo Citrix Workspace 2001 para Mac
  • StoreFront 1912
  • Delivery Controller 1912
  • Licenças válidas da Citrix
    • Licença do complemento Proteção de aplicativos
    • Uma licença válida do Citrix Virtual Apps and Desktops 1912 ou posterior

Plataformas do sistema operacional

O tempo de execução das políticas de Proteção de aplicativos é instalado no ponto de extremidade do qual você está se conectando e não no VDA ao qual está se conectando. Portanto, somente a versão do sistema operacional do ponto de extremidade é significativa. (A Proteção de aplicativos pode se conectar a VDAs hospedados em qualquer sistema operacional compatível descrito nos requisitos de sistema do Citrix Virtual Apps and Desktops.)

O recurso Proteção de aplicativos é compatível com pontos de extremidade com os seguintes sistemas operacionais:

  • Windows 11
  • Windows 10
  • Windows 8.1
  • macOS High Sierra (10.13) e superior
  • Ubuntu 18.04 e Ubuntu 20.04 de 64 bits
  • Debian 9 e Debian 10 de 64 bits
  • CentOS 7 de 64 bits
  • RHEL 7 de 64 bits
  • ARMHF Raspberry Pi OS de 32 bits (baseado no Debian 10 (buster))

Nota:

Para Proteção de aplicativos, o aplicativo Citrix Workspace para Linux requer o Gnome Display Manager junto com os sistemas operacionais com suporte.

Configurar

Siga estas etapas para configurar e ativar totalmente o recurso Proteção de aplicativos:

  1. Importe a licença da Proteção de aplicativos†.
  2. Configure o aplicativo Workspace.
  3. Ative as políticas de Proteção de aplicativos nos Delivery Controllers†.

† No ambiente Citrix DaaS, essas etapas de configuração diferem ligeiramente. Veja as notas nessas seções.

1. Licensing

Nota:

No ambiente Citrix DaaS, ignore esta etapa porque não há licenças para instalar. O recurso Proteção de aplicativos está incluído como parte de determinados pacotes de serviços Citrix Cloud, e as licenças são fornecidas diretamente no Citrix Cloud.

A Proteção de aplicativos requer que você instale uma licença complementar no Citrix License Server. Uma licença válida do Citrix Virtual Apps and Desktops 1912 ou posterior também deve estar presente. Entre em contato com um representante de vendas da Citrix para comprar a licença complementar de Proteção de aplicativos.

  1. Baixe o arquivo de licença e importe-o para o Citrix License Server juntamente com uma licença existente do Citrix Virtual Desktops.
  2. Use o Citrix Licensing Manager para importar o arquivo de licença (método preferencial) ou copie o arquivo de licença no servidor de licenças para C:\Program Files (x86)\Citrix\Licensing\MyFiles e reinicie o serviço Citrix Licensing. Para obter mais informações, consulte Instalar licenças.

2. Aplicativo Citrix Workspace

Configure a Proteção de aplicativos no aplicativo Citrix Workspace.

Aplicativo Citrix Workspace para Windows

Você pode incluir o componente de Proteção de aplicativos com o aplicativo Citrix Workspace usando os seguintes métodos:

  • Durante a instalação do aplicativo Citrix Workspace.
  • Usando a interface de linha de comando após a instalação do aplicativo Citrix Workspace.

Verifique se o aplicativo Citrix Workspace foi instalado com o switch /includeappprotection ativado.

Para obter mais informações, consulte Proteção de aplicativos.

Aplicativo Citrix Workspace para Mac

A Proteção de aplicativos não requer configuração específica no aplicativo Citrix Workspace para Mac.

Aplicativo Citrix Workspace para Linux

A Proteção de aplicativos tem suporte quando o aplicativo Citrix Workspace para Linux é instalado usando os pacotes tarball, Debian e Red Hat Package Manager (RPM). As arquiteturas suportadas são x64 e ARMHF.

Para obter mais informações, consulte Proteção de aplicativos.

3. Grupos de entrega

Nota:

No ambiente Citrix DaaS, use os cmdlets no Citrix Virtual Apps and Desktops Remote PowerShell SDK em qualquer máquina (exceto as máquinas Citrix Cloud Connector) para gerar os comandos nesta seção.

Ative as seguintes propriedades para o Grupo de Entrega de Proteção de aplicativos usando o Citrix Virtual Apps and Desktops SDK em qualquer computador do Delivery Controller instalado ou em um computador com um Studio autônomo instalado que tenha snap-ins do FMA PowerShell instalados.

  • AppProtectionKeyLoggingRequired: True
  • AppProtectionScreenCaptureRequired: True

Você pode habilitar cada uma dessas políticas individualmente por grupo de entrega. Por exemplo, você pode configurar a proteção contra pressionamento de teclas somente para DG1 e a proteção contra captura de tela somente para DG2. Você pode habilitar ambas as políticas para DG3.

Exemplo

Para habilitar ambas as políticas para um grupo de entrega chamado DG3, execute o seguinte comando em qualquer Delivery Controller no site:

Set-BrokerDesktopGroup -Name DG3 -AppProtectionKeyLoggingRequired $true -AppProtectionScreenCaptureRequired $true

Para validar as configurações, execute este cmdlet:

Get-BrokerDesktopGroup -Property Name, AppProtectionKeyLoggingRequired, AppProtectionScreenCaptureRequired | Format-Table -AutoSize

Além disso, ative a confiança em XML:

Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true

Certifique-se de proteger a rede entre o StoreFront e o Broker. Para obter mais informações, consulte os artigos do Knowledge Center CTX236929 e Securing the XenApp and XenDesktop XML Service.

Recomendação

As políticas de Proteção de aplicativos estão focadas principalmente em melhorar a segurança e a proteção de um ponto de extremidade. Analise todas as outras recomendações e políticas de segurança para o seu ambiente. Você pode usar um modelo de política de Segurança e controle para uma configuração recomendada em ambientes com baixa tolerância a risco. Para obter mais informações, consulte Modelos de políticas.

Proteção de aplicativos contextual

A Proteção de aplicativos contextual fornece a flexibilidade granular para aplicar as políticas de Proteção de aplicativos condicionalmente a um subconjunto de usuários, com base nos usuários, no dispositivo e na postura da rede. Para obter mais informações, consulte os seguintes artigos:

Proteção de aplicativos para início híbrido no Workspace

O início híbrido do Workspace ocorre quando você faz login no aplicativo Citrix Workspace por meio do navegador (Citrix Workspace para Web) e usa os aplicativos por meio do aplicativo Citrix Workspace nativo. O termo híbrido é o resultado de usuários aplicarem a combinação do aplicativo Citrix Workspace para Web e do aplicativo Citrix Workspace nativo para se conectar e usar os recursos. A Proteção de aplicativos oferece suporte para o início híbrido no Workspace. Para obter mais informações, consulte Proteção de aplicativos para início híbrido no Workspace.

Solução de problemas

Os aplicativos não são enumerados ou não iniciam:

  • Confirme se o usuário afetado está usando uma versão compatível do aplicativo Citrix Workspace.
  • Assegure-se de que o grupo de entrega tenha os recursos apropriados permitidos.

As políticas de Proteção de aplicativos não estão sendo aplicadas corretamente:

  • Assegure-se de que o grupo de entrega tenha os recursos apropriados permitidos.
  • Assegure-se de que o recurso esteja instalado no ponto de extremidade.
  • Assegure-se de que o usuário afetado esteja usando uma versão do aplicativo Citrix Workspace compatível.
  • Assegure-se de que o aplicativo Citrix Workspace tenha sido instalado com o switch /includeappprotection ativado.

Capturas de tela não funcionam nas janelas que não sejam Citrix:

  • Minimize ou feche as janelas protegidas da Citrix, incluindo o aplicativo Citrix Workspace.