适用于 StoreFront™ 的 Secure Private Access 浏览器限制

您现在可以使用 Secure Private Access 解决方案在 StoreFront 中配置 Web 和 SaaS 应用程序。配置应用程序后，最终用户可以使用 Citrix Enterprise Browser™ 打开 Web 和 SaaS 应用程序，从而增强安全性。

有关 Secure Private Access 对 StoreFront 的支持的更多信息，请参阅：

• Secure Private Access 概述（在 Citrix Secure Private Access 文档中）。

• 部署指南：Citrix Secure Private Access 本地部署。

限制最终用户在 Citrix Enterprise Browser 上的访问

管理员可以通过使用 Secure Private Access 解决方案，对 Citrix Enterprise Browser 上的最终用户应用以下访问限制。

限制剪贴板访问

禁用应用程序与端点剪贴板之间的剪切、复制和粘贴操作。

有关详细信息，请参阅 Citrix Secure Private Access 产品文档中的剪贴板。

限制打印

禁用从应用程序内部进行打印的功能。

有关详细信息，请参阅 Citrix Secure Private Access 产品文档中的打印。

限制下载

禁用从 Web 和 SaaS 应用程序内部下载或从浏览器复制文件的功能。

有关详细信息，请参阅 Citrix Secure Private Access 产品文档中的下载。

限制上传

禁用文件上传功能。

注意：

限制上传功能适用于：

• Windows 105.1.1.27 及更高版本
• Mac 105.1.1.36 及更高版本

有关详细信息，请参阅 Citrix Secure Private Access 产品文档中的上传。

显示水印

叠加屏幕水印，显示端点的用户名和公共 IP 地址。

注意：

不支持限制导航选项。

有关详细信息，请参阅 Citrix Secure Private Access 产品文档中的水印。

应用程序保护策略

限制键盘记录

保护用户免受键盘记录器侵害。

有关详细信息，请参阅 Citrix Secure Private Access 产品文档中的键盘记录保护。

限制屏幕捕获

禁用适用于应用此策略的应用程序的屏幕截图或屏幕录制。只要受保护的选项卡在浏览器窗口中可见（未最小化），此策略就会生效。

有关详细信息，请参阅 Citrix Secure Private Access 产品文档中的屏幕捕获。

个人数据屏蔽

管理员可以使用个人数据屏蔽限制来屏蔽各种类型的个人身份信息 (PII)，例如信用卡号、社会安全号码和日期。即使在复制或打印时，屏蔽的内容仍受保护，从而确保敏感信息的全面保护。

个人数据屏蔽限制可以选择完全或部分屏蔽信息。完全屏蔽选项会完全屏蔽信息。部分屏蔽选项可用于屏蔽信息的相关区域。

在部分屏蔽选项中，管理员可以选择要从信息中屏蔽的字符数，可以从开头或结尾。相应的文本框可用于输入字符数。

此外，作为管理员，您可以根据您的要求灵活地使用正则表达式定义自定义 PII 检测规则。此功能允许您检测和屏蔽网页中的特定信息。

注意：

此功能仅支持正则表达式 2 (RE2)。有关详细信息，请参阅 WhyRE2 和 RE2 语法。

启用此限制后，Citrix Enterprise Browser 会检测您选择屏蔽的 PII，然后将其屏蔽，并向最终用户显示通知。

配置

有关配置此限制的更多信息，请参阅 Citrix Secure Private Access 文档中的个人数据屏蔽。

注意：

• 定义 PII 检测规则时，建议您在部署前测试正则表达式。
• PII 屏蔽不适用于 PDF 文件、图像和可编辑内容的网页。

有关详细信息，请参阅 Citrix Secure Private Access 产品文档中的个人数据屏蔽。

安全组的剪贴板限制

管理员可以通过 Global App Configuration service (GACS) 或 Secure Private Access，或两者结合来管理剪贴板限制。这最大限度地降低了未经授权的数据传输和数据泄露的风险，使其成为具有严格安全要求的组织的一项基本功能。

注意：

有关通过 Global App Configuration service (GACS) 管理剪贴板限制的更多信息，请参阅剪贴板限制。

通过 Secure Private Access 限制剪贴板访问

当您通过 Secure Private Access 管理剪贴板限制时，该限制仅适用于已添加限制的应用程序 URL。

使用安全组的剪贴板限制

要限制在 Citrix Secure Private Access™ 中配置并在 Citrix Enterprise Browser 中打开的特定应用程序的剪贴板访问，管理员必须创建一个安全组并将这些特定应用程序添加到其中。这允许最终用户仅限于在该安全组内的应用程序之间复制和粘贴内容。例如，假设您创建一个安全组，并添加 Wikipedia、Pinterest 和 Dribble 应用程序。因此，当用户从 Citrix Workspace™ 打开这些应用程序时，他们只能在这三个应用程序之间复制和粘贴内容。

要创建安全组并添加任何指定的应用程序组，请参阅 Citrix Secure Private Access 产品文档中的创建安全组。

如果管理员需要在安全组的应用程序与其计算机上的其他本地应用程序或未发布的应用程序之间启用复制和粘贴内容，请参阅在安全组与其他未发布的应用程序之间启用复制和粘贴。

注意：

如果管理员希望对安全组中的特定应用程序施加更严格的限制，例如启用或禁用安全组中特定应用程序的复制和粘贴功能，您可以通过为该特定应用程序创建访问策略来管理它。访问策略规则安全设置中有两个访问设置选项：复制和粘贴。有关此功能的更多信息，请参阅 Citrix Secure Private Access 产品文档中的启用精细级别复制或粘贴。

在安全组与其他未发布的应用程序之间启用复制和粘贴

管理员甚至可以允许最终用户在安全组中的应用程序与在 Enterprise Browser 中打开的其他未发布的应用程序之间，或与系统中存在的其他本机应用程序之间执行复制和粘贴功能。要管理此功能，您可以使用安全组中的高级剪贴板设置选项。您可以选择以下任一选项来根据您的要求管理设置。

允许从安全组复制数据到未发布的域： 启用从安全组中的应用程序复制数据到未在 Secure Private Access 中发布的网站。

允许从安全组复制数据到本机应用程序： 启用从安全组中的应用程序复制数据到计算机上的本地应用程序。

允许从未发布的域复制数据到安全组： 启用从未通过 Secure Private Access 发布的应用程序复制数据到安全组中的网站。

允许从本机应用程序复制数据到安全组： 启用从计算机上的本地应用程序复制数据到安全组中的应用程序。

有关详细信息，请参阅 Citrix Secure Private Access 产品文档中的高级剪贴板设置。

注意：

• 当您同时通过 GACS 和 Secure Private Access 应用剪贴板限制时，通过 Secure Private Access 应用的限制优先于 GACS。
• 复制、粘贴和剪贴板等单独限制会取代安全组的剪贴板限制。

有关详细信息，请参阅 Citrix Secure Private Access 产品文档中的安全组的剪贴板限制。

最终用户体验

当在任何网页上启用剪贴板限制时，当用户尝试将任何内容粘贴到受限网页时，将显示以下通知。

启用剪贴板限制后，剪切、复制和粘贴功能将在右键单击菜单列表中显示为禁用。或者，用户必须使用键盘快捷键，或从更多 ( ⋮ ) > 查找和编辑访问剪切、复制和粘贴选项。

按文件类型限制上传

管理员可以基于 MIME（多用途 Internet 邮件扩展）类型限制文件上传。与允许您启用或禁用所有文件上传的上传策略不同，按文件类型限制上传策略允许您启用或禁用特定 MIME 类型的文件上传。

当最终用户尝试上传受限文件类型时，Citrix Enterprise Browser 会显示警告消息。

有关配置此限制的更多信息，请参阅 Citrix Secure Private Access 文档中的按文件类型限制上传。

按文件类型限制下载

管理员可以基于 MIME（多用途 Internet 邮件扩展）类型限制文件下载。与允许您启用或禁用所有文件下载的下载策略不同，按文件类型限制下载策略允许您启用或禁用特定 MIME 类型的文件下载。

有关配置此限制的更多信息，请参阅 Citrix Secure Private Access 文档中的按文件类型限制下载。

注意：

当策略中同时启用上传和按文件类型限制上传限制时，上传限制优先于后者。同样，当策略中同时启用下载和按文件类型限制下载限制时，下载限制优先于后者。

打印机管理

企业现在可以阻止机密文档的打印和未经授权的数据共享。管理员可以通过 Secure Private Access 配置此策略。管理员可以配置网络打印机、本地打印机以及使用另存为 PDF 选项进行打印的行为。

在 Windows 中：

在 Mac 中：

管理员可以使用以下选项来控制最终用户对打印机的访问：

• 网络打印机： 网络打印机是可以连接到网络并供多个用户使用的打印机。
  • 已禁用： 禁用从网络中的任何网络打印机进行打印。
  • 已启用： 启用从所有网络打印机进行打印。如果指定了打印机主机名，则除指定打印机之外的所有其他网络打印机都将被阻止。

注意：

打印机通过其主机名进行标识。

• 本地打印机： 本地打印机是直接连接到单个计算机的设备。此连接通常通过蓝牙、USB、并行端口或其他直接接口实现。
  • 已禁用： 禁用从所有本地打印机进行打印。
  • 已启用： 启用从所有本地打印机进行打印。
• 使用“另存为 PDF”打印
  • 已禁用： 禁用用于将内容保存为 PDF 格式的“另存为 PDF”选项。
  • 已启用： 启用用于将内容保存为 PDF 格式的“另存为 PDF”选项。

注意：

• 如果管理员禁用了某些打印选项，则这些选项将对最终用户显示为灰色。
• 如果网络打印机在其设备上被重命名，则最终用户无法使用该网络打印机。

有关详细信息，请参阅 Citrix Secure Private Access 产品文档中的打印机管理。