App Protection

App Protection 是 Citrix Workspace 应用程序的一项功能,可在使用 Citrix Virtual Apps and Desktops 的已发布资源时提供增强的安全性。与 StoreFront 和 Workspace 结合使用的本地 Citrix Virtual Apps and Desktops 部署和 Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)支持 App Protection 功能。这意味着所有云环境、本地环境和混合环境都支持 App Protection。当您通过 ADC Gateway 连接到 StoreFront 或 Workspace 时,还支持 App Protection。

两个策略为 Citrix HDX 会话提供了反键盘记录和防屏幕捕获功能。适用于 Windows 的 Citrix Workspace 应用程序 2203.1 LTSR、适用于 Mac 的 Citrix Workspace 应用程序 2001 或适用于 Linux 的 Citrix Workspace 应用程序 2108 的最低版本随附的策略可帮助保护数据免受键盘记录器和屏幕抓取工具的影响。

启用反键盘记录时:

  • 键盘记录器看到加密的击键。
  • 仅当受保护的窗口处于焦点时,此功能才处于活动状态。

启用了防屏幕捕获时:

  • 在 Windows OS 和 macOS 上捕获屏幕时,只有受保护窗口的内容为空白。当受保护的窗口未最小化时,此功能处于活动状态。在 Linux 操作系统中,整个捕获内容是空白的。无论受保护的窗口是否已最小化,此功能均处于活动状态。
  • 使用 Windows 操作系统中的 Print Screen 按钮创建屏幕截图时,数据不会复制到剪贴板。要使用 Print Screen 按钮创建屏幕截图,请最小化所有受保护的应用程序。

可以通过 PowerShell 和 Web Studio 配置策略。有关详细信息,请参阅为虚拟应用程序和桌面配置 App Protection

购买此功能后,请确保启用 App Protection 许可证。

免责声明:

App Protection 策略通过筛选对基础操作系统所需功能的访问(捕获屏幕或键盘按下所需的特定 API 调用)来运行。执行此操作意味着 App Protection 策略甚至可以针对自定义的专用黑客工具提供保护。但是,随着操作系统的发展,捕获屏幕和记录键盘的新方法可能会出现。虽然我们会继续识别和解决这些问题,但我们无法保证在特定配置和部署中提供充足的保护。

Citrix App Protection 策略可与包括 ICA 文件在内的基本操作系统组件一起高效运行。如果检测到有意篡改或修改基本组件,Citrix 可能不会提供支持,以提供所应用策略的完整性。

检查是否已安装 App Protection

适用于 Windows 的 Citrix Workspace 应用程序

自 Citrix Workspace 应用程序版本 2212 起,默认安装 App Protection。但是,该组件可能处于活动状态,也可能处于休眠状态,具体取决于用户是否选择了安装后启动 App Protection 复选框。

  • 对于 2311 之前的 Citrix Workspace 应用程序版本:

    安装后启动 App Protection - 2311 之前的 Citrix Workspace 应用程序版本

  • 自 Citrix Workspace 应用程序版本 2311 起:

    安装后启动 App Protection - Citrix Workspace 应用程序版本 2311 及更高版本

对于 2212 之前的 Citrix Workspace 应用程序版本,仅当安装 Citrix Workspace 应用程序时选中了启用 App Protection 复选框时,App Protection 才会安装并处于活动状态。

安装后启用 App Protection

App Protection 可能会处于已停止状态或正在运行状态。 要检查服务的状态,请执行以下步骤之一:

  • 对于 Citrix Workspace 应用程序版本 2206 或更高版本,请运行以下命令:

     sc query appprotectionsvc
     <!--NeedCopy-->
    

    2206 或更高版本的 App Protection 状态

  • 对于 2206 之前的 Citrix Workspace 应用程序版本,请运行以下命令:

     sc query entryprotectsvc
     <!--NeedCopy-->
    

    2206 之前的 App Protection 状态

注意:

在 2212 之前的 Citrix Workspace 应用程序版本中,如果您在安装 Citrix Workspace 应用程序时没有选中启用 App Protection 复选框,则当您运行前面的命令来检查状态时,会显示以下错误消息:

App Protection 状态检查错误消息

App Protection 在不同环境中的行为

App Protection 的行为取决于您如何访问配置了 App Protection 策略的资源。这些资源包括 Virtual Apps and Desktops、内部 Web 应用程序和 SaaS 应用程序。可以使用受支持的原生 Citrix Workspace 应用程序客户端或 Web 浏览器访问这些资源。App Protection 在不同环境中的行为各异:

  • 不受支持的 Citrix Receivers 或 Citrix Workspace 应用程序 - 配置了 App Protection 策略的资源不可用。
  • 不受支持的 Citrix Workspace 应用程序版本 - 配置了 App Protection 策略的资源可用并正确启动。
  • 使用 Workspace 应用程序 URL 的混合启动 - 配置了 App Protection 策略的资源始终可用。要使用 Workspace 应用商店 URL 在 Web 浏览器上成功启动资源,请参阅适用于 Workspace 混合启动的 App Protection
  • 使用 StoreFront 应用程序 URL 的混合启动 - 如果未部署 StoreFront 自定义,则配置了 App Protection 策略的资源不可用。要使用 StoreFront 应用商店 URL 在 Web 浏览器上成功启动资源,请参阅适用于 StoreFront 混合启动的 App Protection

保护功能在以下条件下应用:

  • 防屏幕捕获 - 对于适用于 Windows 的 Citrix Workspace 应用程序和适用于 Mac 的 Citrix Workspace 应用程序,如果屏幕上可见任何受保护的窗口,则启用此功能。要禁用保护功能,请最小化所有受保护的窗口。对于适用于 Linux 的 Citrix Workspace 应用程序,如果任何受保护的窗口都处于活动状态,则将启用该功能。要禁用保护功能,请关闭所有受保护的窗口。
  • 反键盘记录 - 如果受保护的窗口处于焦点中,则启用此功能。要禁用保护功能,请将焦点更改为另一个窗口。

App Protection 保护哪些项目?

App Protection 会保护以下 Citrix 窗口:

  • Citrix 登录窗口

    Citrix 登录窗口 - 受保护

  • Citrix Workspace 应用程序 HDX 会话窗口(例如,托管桌面)

    适用于 Azure 的 Citrix Virtual Apps and Desktops Standard 窗口 - 受保护

  • 自助服务(应用商店)窗口

    Citrix 自助服务应用商店窗口 - 受保护

  • Web 和 SaaS 应用程序

    • 适用于 Windows 的 Citrix Workspace 应用程序和适用于 Mac 的 Citrix Workspace 应用程序 - Web 和 SaaS 应用程序在 Citrix Enterprise Browser 中打开。如果将这些应用程序配置为通过 Citrix Secure Private Access 使用 App Protection 策略,App Protection 将按选项卡应用。

      面向 Web 和 SaaS 应用程序的 App Protection

    • 适用于 Linux 的 Citrix Workspace 应用程序 - 不支持 Citrix Enterprise Browser。

App Protection 不保护哪些项目?

  • 导航栏中的 Citrix Workspace 应用程序图标下的以下项目:

    • 连接中心
    • “高级首选项”下的所有链接
    • 个性化
    • 检查更新
    • 注销
  • 如果您选择使用防屏幕截图来保护虚拟桌面,用户仍然可以在虚拟桌面内的应用程序中共享屏幕。但是,对于虚拟桌面之外的应用程序,您将无法创建屏幕截图或者录制虚拟桌面。

限制

设计存在以下限制:

  • 启用了 App Protection 的 Virtual Apps and Desktops 在 RDP 会话中访问时会被阻止启动。
  • 双跃点和多跃点场景不支持 App Protection。
  • 如果您使用的是不受支持的 Citrix Workspace 应用程序或 Citrix Receiver 版本,则不支持 App Protection。在这种情况下,资源是隐藏的。
  • 将 App Protection 功能应用到虚拟应用程序和桌面时,如果使用优化,传出的屏幕共享可能会受到影响。
  • 具有 App Protection 功能的 Citrix Workspace 应用程序可能与一些其他安全解决方案或使用类似底层技术的应用程序不兼容。
  • 从 Citrix Secure Browser 中启动资源或者通过 Remote Browser Isolation 启动资源时,不支持 App Protection。
  • 在适用于 Linux 的 Citrix Workspace 应用程序中,安装 App Protection 后,您无法使用快照应用程序。

上下文 App Protection

上下文 App Protection 提供了精细的灵活性,可以根据用户、其设备和网络状况,有条件地为一部分用户应用 App Protection 策略。有关详细信息,请参阅以下文章:

面向混合启动的 App Protection

Citrix Virtual Apps and Desktops 的混合启动是指您通过浏览器登录 Citrix Workspace 应用程序(适用于 Web 的 Citrix Workspace),然后通过本机 Citrix Workspace 应用程序使用应用程序。“混合”一词是用户结合应用适用于 Web 的 Citrix Workspace 应用程序与本机 Citrix Workspace 应用程序来连接和使用资源的结果。App Protection 支持 Workspace 和 StoreFront 中的混合启动。有关详细信息,请参阅以下文章:

App Protection