Citrix Virtual Apps and Desktops

应用程序保护

应用程序保护是 Citrix Workspace 应用程序的附加功能,可在使用 Citrix Virtual Apps and Desktops 的已发布资源时提供增强的安全性。

两个策略为 Citrix HDX 会话提供了反键盘记录和反屏幕截图功能。适用于 Windows 的 Citrix Workspace 应用程序 1912 或适用于 Mac 的 Citrix Workspace 应用程序 2001 的最低版本随附的策略可帮助保护数据免受键盘记录器和屏幕抓取工具的影响。

启用了反键盘记录时:

  • 键盘记录器看到加密的击键。
  • 仅当受保护的窗口处于焦点时,此功能才处于活动状态。

启用了反屏幕截图时:

  • 屏幕截图是 Windows 操作系统上的空白屏幕。在 macOS 上,只有受保护窗口的内容为空。
  • 当受保护的窗口可见(未最小化)时,此功能处于活动状态。

只能通过 PowerShell 配置策略。没有 GUI 管理功能。仅当为特定交付组启用或禁用功能时才需要此配置。

购买此功能后,请务必启用应用程序保护许可证和应用程序保护策略,并导入 FeatureTable.OnPrem.AppProtection.xml 功能表。

免责声明:

应用程序保护策略通过筛选对基础操作系统所需功能的访问(捕获屏幕或键盘按下所需的特定 API 调用)来运行。执行此操作意味着应用程序保护策略甚至可以针对自定义的专用黑客工具提供保护。但是,随着操作系统的发展,捕获屏幕和记录键盘的新方法可能会出现。虽然我们会继续识别和解决这些问题,但我们无法保证在特定配置和部署中提供充足的保护。

限制

存在这些限制是设计的原因:

  • HDX 或 RDP 会话内没有反键盘记录支持。端点保护仍处于活动状态。此限制仅适用于双跳场景。
  • 使用不受支持的 Citrix Workspace 应用程序或 Citrix Receiver 版本时不支持任何功能。在这种情况下,资源是隐藏的。
  • Citrix Cloud 服务不支持任何功能。只有本地 Citrix Virtual Apps and Desktops 部署支持应用程序保护。
  • StoreFront Web 应用商店不支持任何功能。

预期行为

预期行为取决于您访问包含受保护的资源的 StoreFront 应用商店的方式。可以使用受支持的本机 Citrix Workspace 应用程序客户端访问资源。

  • StoreWeb 上的行为 - 设置了应用程序保护策略的应用程序在 StoreFront Web 应用商店中不枚举。
  • 不受支持的 Citrix Receiver 或 Citrix Workspace 应用程序的行为 - 不枚举设置了应用程序保护策略的应用程序。
  • 受支持的 Citrix Workspace 应用程序版本上的行为 - 受保护的资源将枚举并正常启动。

保护功能在以下条件下应用:

  • 反屏幕捕获 - 如果屏幕上可见任何受保护的窗口,则启用此功能。要禁用保护功能,请最小化所有受保护的窗口。
  • 反键盘记录 - 如果受保护的窗口处于焦点中,则启用此功能。要禁用保护功能,请将焦点更改为另一个窗口。

应用程序保护保护哪些项目?

要捕获任何非 Citrix Workspace 应用程序窗口的屏幕截图,用户必须首先将受保护的窗口最小化。

默认情况下,应用程序保护会保护以下 Citrix 窗口:

  • Citrix 登录窗口 - Citrix Workspace 身份验证对话框仅在 Windows 操作系统中受到保护。

Citrix 登录窗口 - 受保护

  • Citrix Workspace 应用程序 HDX 会话窗口(例如,托管桌面)

Citrix 托管桌面窗口 - 受保护

  • 自助服务(应用商店)窗口

Citrix 自助服务(应用商店)窗口 - 受保护

应用程序保护不保护哪些项目?

导航栏中的 Citrix Workspace 应用程序图标下的项目:

  • 连接中心
  • “高级首选项”下的所有链接
  • 个性化
  • 检查更新
  • 注销

系统要求

Citrix 组件的最低版本:

  • 适用于 Windows 的 Citrix Workspace 应用程序 1912 长期服务版本
  • 适用于 Windows 的 Citrix Workspace 应用程序 2002
  • 适用于 Mac 的 Citrix Workspace 应用程序 2001
  • StoreFront 1912
  • Delivery Controller 1912
  • 有效的 Citrix 许可证
    • 应用程序保护附加许可证
    • Citrix Virtual Apps and Desktops 1912

操作系统平台:

端点上支持这些操作系统。VDA 支持所有操作系统。

  • Windows 10
  • Windows 8.1
  • Windows 7
  • macOS High Sierra (10.13) 及更高版本

配置

购买应用程序保护后,请按照以下步骤完全配置并启用该功能:

  1. 导入应用程序保护许可证。
  2. 配置 Workspace 应用程序。
  3. 导入 FeatureTable.OnPrem.AppProtection.xml 功能表。
  4. 在 Delivery Controller 上启用应用程序保护策略。

1. 许可

应用程序保护功能要求您在 Citrix 许可证服务器上安装附加许可证。必须具有最低 Citrix Virtual Desktops 1912 版本许可证。请联系 Citrix 销售代表以购买应用程序保护附加许可证。

  1. 下载许可证文件,然后将其与现有 Citrix Virtual Desktops 许可证一起导入 Citrix 许可证服务器。
  2. 使用 Citrix Licensing Manager 导入许可证文件(首选方法),或者将许可证文件复制到许可证服务器上的 C:\Program Files (x86)\Citrix\Licensing\MyFiles,然后重新启动 Citrix Licensing 服务。有关详细信息,请参阅安装许可证

2. Citrix Workspace 应用程序

在 Citrix Workspace 应用程序上配置应用程序保护。

适用于 Windows 的 Citrix Workspace 应用程序:

可以使用以下方法将应用程序保护组件包括在 Citrix Workspace 应用程序中:

  • 在 Citrix Workspace 应用程序安装期间。
  • 在安装 Citrix Workspace 应用程序后使用命令行界面。

确保安装了 Citrix Workspace 应用程序并启用了 /includeappprotection 开关。

有关详细信息,请参阅应用程序保护

适用于 Mac 的 Citrix Workspace 应用程序:

应用程序保护不需要在适用于 Mac 的 Citrix Workspace 应用程序上进行特定配置。

3. 功能表文件

购买应用程序保护功能后,请务必启用应用程序保护许可证和应用程序保护策略,并导入 FeatureTable.OnPrem.AppProtection.xml 功能表。

Citrix Virtual Apps and Desktops 1912 或更高版本的下载页面上的组件部分包含所需的 XML 文件。必须拥有 Citrix 帐户才能下载该文件。

默认情况下,应用程序保护处于禁用状态。要启用此功能,请使用 Import-ConfigFeatureTable cmdlet 导入启用了应用程序保护功能的 FeatureTable.OnPrem.AppProtection.xml 功能表。为整个站点运行 cmdlet 一次。有关详细信息,请参阅Import-Configfeaturetable

Import-ConfigFeatureTable –Path .\FeatureTable.OnPrem.AppProtection.xml

可以在任何已安装的 Delivery Controller 计算机上或安装了独立 Studio 以及 FMA PowerShell 管理单元的计算机上运行 cmdlet。

要验证是否启用了应用程序保护,请运行 Get-ConfigEnabledFeature | Select-String –Pattern ‘AppProtection’

4. 交付组

在任何安装了 Delivery Controller 的计算机上或安装了独立 Studio 以及 FMA PowerShell 管理单元的计算机上,使用 PowerShell SDK 为应用程序保护交付组启用以下属性。

  • AppProtectionKeyLoggingRequired:True
  • AppProtectionScreenCaptureRequired:True

可以为每个交付组单独启用其中的每个策略。例如,可以仅为 DG1 配置键盘记录保护,仅为 DG2 配置屏幕捕获保护。可以为 DG3 启用这两个策略。

示例:

要为名为 DG3 的交付组启用这两个策略,请在站点中的任何 Delivery Controller 上运行以下命令:

Set-BrokerDesktopGroup -Name DG3 -AppProtectionKeyLoggingRequired $true -AppProtectionScreenCaptureRequired $true

要验证设置,请运行以下 cmdlet:

Get-BrokerDesktopGroup -Property Name, AppProtectionKeyLoggingRequired, AppProtectionScreenCaptureRequired | Format-Table -AutoSize

此外,请启用 XML 信任:

Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true

请务必保护 StoreFront 与 Broker 之间的网络安全。有关详细信息,请参阅知识中心文章 CTX236929保护 XenApp 和 XenDesktop XML Service 的安全

建议

应用程序保护策略主要侧重于增强端点的安全性和保护。查看针对您的环境的所有其他安全建议和策略。可以在风险容忍度低的环境中使用 安全性与控制策略模板设置建议的配置。有关详细信息,请参阅策略模板

故障排除

应用程序未枚举或未启动:

  • 确认受影响的用户正在使用受支持的 Citrix Workspace 应用程序版本。
  • 确保在 StoreFront 服务器上启用该功能。
  • 确保交付组已启用适当的功能。

应用程序保护策略未正确应用:

  • 确保在 StoreFront 上启用该功能。
  • 确保交付组已启用适当的功能。
  • 确保该功能已安装在端点上。
  • 确保受影响的用户正在使用受支持的 Citrix Workspace 应用程序版本。
  • 确保安装了 Citrix Workspace 应用程序并且启用了 /includeappprotection 开关。

屏幕截图不适用于非 Citrix 窗口:

  • 最小化或关闭受保护的 Citrix 窗口。