应用程序保护

应用程序保护是 Citrix Workspace 应用程序的附加功能,可在使用 Citrix Virtual Apps and Desktops 的已发布资源时提供增强的安全性。

两个策略在 Citrix HDX 会话中提供了反键盘记录和反屏幕截图功能。适用于 Windows 的 Citrix Workspace 应用程序 1912 或适用于 Mac 的 Citrix Workspace 应用程序 2001 的最低版本随附的策略可帮助保护数据免受键盘记录器和屏幕抓取工具的影响。

启用了反键盘记录时:

  • 键盘记录器看到无意义的击键。
  • 仅当受保护的窗口处于焦点时,此功能才处于活动状态。

启用了反屏幕截图时:

  • 屏幕截图是一个空白屏幕。
  • 当受保护的窗口可见(未最小化)时,此功能处于活动状态。

只能通过 PowerShell 配置策略。没有 GUI 管理功能。

只能通过 PowerShell 配置策略。没有 GUI 管理功能。

购买此功能后,请务必启用应用程序保护许可证和应用程序保护策略,并导入 FeatureTable.OnPrem.AppProtection.xml 功能表。

免责声明:

应用程序保护策略通过筛选对基础操作系统所需功能的访问(捕获屏幕或键盘按下所需的特定 API 调用)来运行。这意味着应用程序保护策略甚至可以针对自定义的专用黑客工具提供保护。但是,随着操作系统的发展,捕获屏幕和记录键盘的新方法可能会出现。虽然我们会继续识别和解决这些问题,但我们无法保证在特定配置和部署中提供充足的保护。

限制

存在这些限制是设计的原因:

  • 所有功能都不支持双跳场景。例如,从已发布的桌面内部启动已发布的应用程序。
  • 所有功能都不支持对远程桌面协议 (RDP) 连接执行应用程序保护。
  • 使用不受支持的 Citrix Workspace 应用程序或 Citrix Receiver 版本时不支持任何功能。
  • 要捕获任何非 Citrix Workspace 应用程序窗口的屏幕截图,用户必须首先将受保护的窗口最小化。
  • 要使应用程序保护正常运行,请在 VDA 上禁用 Citrix 剪贴板重定向策略。

预期行为

预期行为取决于您访问包含受保护的资源的 StoreFront 应用商店的方式。可以使用受支持的本机 Citrix Workspace 应用程序客户端访问资源。

  • StoreWeb 上的行为 - 设置了应用程序保护策略的应用程序在 StoreFront Web 应用商店中不枚举。
  • 不受支持的 Citrix Receiver 或 Citrix Workspace 应用程序的行为 - 不枚举设置了应用程序保护策略的应用程序。
  • 受支持的 Citrix Workspace 应用程序版本上的行为 - 受保护的资源将枚举并正常启动。

应用程序保护保护哪些项目?

要捕获任何非 Citrix Workspace 应用程序窗口的屏幕截图,用户必须首先将受保护的窗口最小化。

默认情况下,应用程序保护会保护以下 Citrix 窗口:

  • Citrix 登录窗口

Citrix 登录窗口 - 受保护

  • Citrix Workspace 应用程序 HDX 会话窗口(例如,托管桌面)

Citrix 托管桌面窗口 - 受保护

  • 自助服务(应用商店)窗口

Citrix 自助服务(应用商店)窗口 - 受保护

应用程序保护不保护哪些项目?

导航栏中的 Citrix Workspace 应用程序图标下的项目:

  • 连接中心
  • “高级首选项”下的所有链接
  • 个性化
  • 检查更新
  • 注销

系统要求

Citrix 组件的最低版本:

  • 适用于 Windows 的 Citrix Workspace 应用程序 1912 长期服务版本
  • 适用于 Windows 的 Citrix Workspace 应用程序 2002
  • 适用于 Mac 的 Citrix Workspace 应用程序 2001
  • StoreFront 1912
  • Delivery Controller 1912
  • 有效的 Citrix 许可证
    • 应用程序保护附加许可证
    • Citrix Virtual Apps and Desktops 1912

操作系统平台:

端点上支持这些操作系统。VDA 支持所有操作系统。

  • Windows 10
  • Windows 8.1
  • Windows 7
  • macOS High Sierra (10.13) 及更高版本

配置

购买应用程序保护后,请按照以下步骤完全配置并启用该功能:

  1. 导入应用程序保护许可证。
  2. 配置 Workspace 应用程序。
  3. 导入 FeatureTable.OnPrem.AppProtection.xml 功能表。
  4. 在 StoreFront 服务器上启用该功能。
  5. 在 Delivery Controller 上启用应用程序保护策略。
  6. 在应用程序受保护的 VDA 上禁用剪贴板重定向。

1. 许可

应用程序保护功能要求您在 Citrix 许可证服务器上安装附加许可证。必须具有最低 Citrix Virtual Desktops 1912 版本许可证。请联系 Citrix 销售代表以购买应用程序保护附加许可证。

  1. 下载许可证文件,然后将其与现有 Citrix Virtual Desktops 许可证一起导入 Citrix 许可证服务器。
  2. 使用 Citrix Licensing Manager 导入许可证文件(首选方法),或者将许可证文件复制到许可证服务器上的 C:\Program Files (x86)\Citrix\Licensing\MyFiles,然后重新启动 Citrix Licensing 服务。有关详细信息,请参阅导入许可证文件

2. Citrix Workspace 应用程序

在 Citrix Workspace 应用程序上配置应用程序保护。

适用于 Windows 的 Citrix Workspace 应用程序:

可以使用以下方法将应用程序保护组件包括在 Citrix Workspace 应用程序中:

  • 在 Citrix Workspace 应用程序安装期间。
  • 在安装 Citrix Workspace 应用程序后使用命令行界面。

确保安装了 Citrix Workspace 应用程序并启用了 /includeappprotection 开关。

有关详细信息,请参阅应用程序保护

适用于 Mac 的 Citrix Workspace 应用程序:

应用程序保护不需要在适用于 Mac 的 Citrix Workspace 应用程序上进行特定配置。

3. 功能表文件

购买应用程序保护功能后,请务必启用应用程序保护许可证和应用程序保护策略,并导入 FeatureTable.OnPrem.AppProtection.xml 功能表。

Citrix Virtual Apps and Desktops 1912 或更高版本的下载页面上的组件部分包含所需的 XML 文件。必须拥有 Citrix 帐户才能下载该文件。

默认情况下,应用程序保护处于禁用状态。要启用此功能,请使用 Import-ConfigFeatureTable cmdlet 导入启用了应用程序保护功能的 FeatureTable.OnPrem.AppProtection.xml 功能表。为整个站点运行 cmdlet 一次。有关详细信息,请参阅Import-Configfeaturetable

Import-ConfigFeatureTable –Path .\FeatureTable.OnPrem.AppProtection.xml

可以在任何已安装的 Delivery Controller 计算机上或安装了独立 Studio 以及 FMA PowerShell 管理单元的计算机上运行 cmdlet。

要验证是否启用了应用程序保护,请运行 Get-ConfigEnabledFeature | Select-String–Pattern ‘AppProtection’

4. StoreFront 服务器

要启用受保护的资源的枚举和启动,请在 StoreFront 服务器上运行以下 PowerShell 命令: Add-STFFeatureState -Name "Citrix.StoreFront.AppProtectionPolicy.Control" -IsEnabled $True

在多服务器 StoreFront 部署中,必须手动将这些更改传播到服务器组中的所有其他服务器。有关详细信息,请参阅将本地更改传播到服务器组

要验证是否在 StoreFront 服务器上启用了该功能,请使用以下 PowerShell 命令:

Get-STFFeatureState -Name "Citrix.StoreFront.AppProtectionPolicy.Control

5. 交付组

在任何安装了 Delivery Controller 的计算机上或安装了独立 Studio 以及 FMA PowerShell 管理单元的计算机上,使用 PowerShell SDK 为应用程序保护交付组启用以下属性。

  • AppProtectionKeyLoggingRequired:True
  • AppProtectionScreenCaptureRequired:True

可以为每个交付组单独启用其中的每个策略。例如,可以仅为 DG1 配置键盘记录保护,仅为 DG2 配置屏幕捕获保护。可以为 DG3 启用这两个策略。

示例:

要为名为 DG3 的交付组启用这两个策略,请在站点中的任何 Delivery Controller 上运行以下命令:

Set-BrokerDesktopGroup -Name DG3 -AppProtectionKeyLoggingRequired $true -AppProtectionScreenCaptureRequired $true

要验证设置,请运行以下 cmdlet:

Get-BrokerDesktopGroup -Property Name, AppProtectionKeyLoggingRequired, AppProtectionScreenCaptureRequired | Format-Table -AutoSize

此外,请启用 XML 信任:

Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true

请务必保护 StoreFront 与 Broker 之间的网络安全。有关详细信息,请参阅知识中心文章 CTX236929保护 XenApp 和 XenDesktop XML Service 的安全

6. VDA 策略

在提供受保护的应用程序的 VDA 上禁用客户端剪贴板重定向策略。有关详细信息,请参阅客户端剪贴板重定向

可以通过在 Citrix Studio、组策略对象中编辑策略或使用注册表编辑来禁用客户端剪贴板重定向策略。有关详细信息,请参阅使用策略

故障排除

应用程序未枚举或未启动:

  • 确认受影响的用户正在使用受支持的 Citrix Workspace 应用程序版本。
  • 确保在 StoreFront 服务器上启用该功能。
  • 确保交付组已启用适当的功能。

应用程序保护策略未正确应用:

  • 确保在 StoreFront 上启用该功能。
  • 确保交付组已启用适当的功能。
  • 确保该功能已安装在端点上。
  • 确保受影响的用户正在使用受支持的 Citrix Workspace 应用程序版本。
  • 确保安装了 Citrix Workspace 应用程序并且启用了 /includeappprotection 开关。
  • 验证 VDA 是否已禁用剪贴板重定向策略。

屏幕截图不适用于非 Citrix 窗口:

  • 最小化或关闭受保护的 Citrix 窗口。