应用程序保护
应用程序保护是 Citrix Workspace 应用程序的一项功能,在使用虚拟桌面、虚拟应用程序、Web 应用程序和 SaaS 应用程序时提供增强的安全性。应用程序保护支持本地 Citrix Virtual Apps and Desktops 部署以及通过 StoreFront 和 Workspace 提供的 Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)。这意味着应用程序保护支持所有云环境、本地环境和混合环境。当您通过 ADC Gateway 连接到 StoreFront 或 Workspace 时,也支持应用程序保护。
购买此功能后,请务必启用应用程序保护许可证。
免责声明:
应用程序保护策略通过筛选对底层操作系统所需功能的访问(捕获屏幕或键盘按键所需的特定 API 调用)来发挥作用。这样做意味着应用程序保护策略甚至可以针对自定义和专门构建的黑客工具提供保护。但是,随着操作系统的发展,可能会出现捕获屏幕和记录按键的新方法。虽然我们持续识别和解决这些问题,但我们无法保证在特定配置和部署中提供全面保护。
Citrix 应用程序保护策略可与包括 ICA 文件在内的底层操作系统组件有效配合使用。如果检测到对底层组件的蓄意篡改或修改,Citrix 可能不提供支持,以确保所应用策略的完整性。
应用程序保护在不同环境中的行为
应用程序保护的行为取决于您如何访问使用应用程序保护策略配置的资源。这些资源包括 Virtual Apps and Desktops、内部 Web 应用程序和 SaaS 应用程序。您可以使用受支持的本机 Citrix Workspace 应用程序客户端或 Web 浏览器访问这些资源。应用程序保护在不同环境中的表现各不相同:
- 不受支持的 Citrix Receiver 或 Citrix Workspace 应用程序 - 使用应用程序保护策略配置的资源不可用。
- 受支持的 Citrix Workspace 应用程序版本 - 使用应用程序保护策略配置的资源可用并可正常启动。
- 使用 Workspace 应用商店 URL 进行混合启动 - 使用应用程序保护策略配置的资源始终可用。要使用 Workspace 应用商店 URL 在 Web 浏览器上成功启动资源,请参阅适用于 Workspace 混合启动的应用程序保护。
- 使用 StoreFront 应用商店 URL 进行混合启动 - 如果未部署 StoreFront 自定义,则使用应用程序保护策略配置的资源不可用。要使用 StoreFront 应用商店 URL 在 Web 浏览器上成功启动资源,请参阅适用于 StoreFront 混合启动的应用程序保护。
在以下条件下,将应用保护功能:
- 防屏幕捕获 – 对于适用于 Windows 的 Citrix Workspace 应用程序和适用于 Mac 的 Citrix Workspace 应用程序,如果屏幕上可见任何受保护的窗口,则会启用此功能。要禁用保护,请最小化所有受保护的窗口。对于适用于 Linux 的 Citrix Workspace 应用程序,如果任何受保护的窗口处于活动状态,则会启用此功能。要禁用保护,请关闭所有受保护的窗口。
- 防键盘记录 – 当受保护窗口处于焦点时启用。要禁用保护,请将焦点切换到另一个窗口。
应用程序保护功能保护什么
应用程序保护功能保护以下 Citrix 窗口:
-
Citrix® 登录窗口
-
Citrix Workspace 应用程序 HDX 会话窗口(例如,托管桌面)
-
自助服务(应用商店)窗口
-
Web 和 SaaS 应用程序
-
适用于 Windows 的 Citrix 工作区应用程序和适用于 Mac 的 Citrix 工作区应用程序 - Web 和 SaaS 应用程序在 Citrix 企业浏览器中打开。如果应用程序通过 Citrix 安全私有访问配置了应用程序保护策略,则应用程序保护将按选项卡应用。
-
适用于 Linux 的 Citrix 工作区应用程序 — Citrix 企业浏览器不受支持。
-
注意:
为了提供应用程序保护解决方案,一些 Citrix 签名的 DLL(例如
ctxapclient32.dll和ctxapclient64.dll)被注入到所有进程中。在适用于 Windows 的 Citrix Workspace 应用程序 2405.12 和 2402 CU3 版本之前,还会注入一个额外的 DLL,即FeatureFlagHelper32.dll和FeatureFlagHelper64.dll。这些 DLL 无害,并且在其他进程的日志文件中保留这些 DLL 的痕迹是安全的。
应用程序保护不保护什么
-
导航栏中 Citrix Workspace 应用程序图标下的以下项目:
- 连接管理中心
- 高级首选项下的所有链接
- 个性化
- 检查可用更新
- 注销
-
如果您选择使用防屏幕捕获功能保护虚拟桌面,用户仍然可以从虚拟桌面内的应用程序进行屏幕共享。但是,对于虚拟桌面之外的应用程序,您无法截取屏幕截图或录制虚拟桌面。
局限性
以下是设计上的局限性:
- 在 RDP 会话中访问时,启用了应用程序保护的虚拟应用程序和桌面无法启动。
- 在 RDP 会话中,通过 Citrix 企业浏览器打开的 Web 和 SaaS 应用程序不支持应用程序保护。
- 如果您使用的是不受支持的 Citrix Workspace 应用程序或 Citrix Receiver 版本,则不支持应用程序保护。在这种情况下,资源将被隐藏。
- 当应用程序保护功能应用于虚拟应用程序和桌面时,如果使用了优化,出站屏幕共享可能会受到影响。
- 启用了应用程序保护的 Citrix Workspace 应用程序可能与使用类似基础技术的其他安全解决方案或应用程序不兼容。
- 当您从 Citrix Secure Browser 内部启动资源或使用远程浏览器隔离时,不支持 App Protection。
- 在适用于 Linux 的 Citrix 工作区应用程序中,安装应用程序保护后无法使用 snap 应用程序。
- 在 Mac 上使用 DisplayLink 连接到外部显示器时,启用防屏幕捕获的资源会显示为灰色。这是因为 Mac 上的 DisplayLink 使用屏幕录制技术来投射屏幕,并且会被 App Protection 阻止。作为替代方案,最终用户可以使用基于电缆的连接器(例如 USB Type C)连接到外部显示器。
上下文应用保护
上下文 App Protection 提供了精细的灵活性,可以根据用户、其设备和网络状况,有条件地为部分用户应用 App Protection 策略。有关详细信息,请参阅以下文章:
适用于混合启动的应用程序保护
Citrix Virtual Apps and Desktops 的混合启动是指您通过浏览器(Citrix Workspace for Web)登录 Citrix Workspace 应用程序,并通过本机 Citrix Workspace 应用程序使用应用程序。“混合”一词是用户结合使用 Citrix Workspace for Web 和本机 Citrix Workspace 应用程序来连接和使用资源的结果。应用程序保护支持 Workspace 和 StoreFront 中的混合启动。有关详细信息,请参阅以下文章: