Citrix Virtual Apps and Desktops

应用程序保护

应用程序保护是 Citrix Workspace 应用程序的附加功能,可在使用 Citrix Virtual Apps and Desktops 的已发布资源时提供增强的安全性。

两个策略为 Citrix HDX 会话提供了反键盘记录和反屏幕截图功能。适用于 Windows 的 Citrix Workspace 应用程序 1912、适用于 Mac 的 Citrix Workspace 应用程序 2001 或适用于 Linux 的 Citrix Workspace 应用程序 2108 的最低版本随附的策略可帮助保护数据免受键盘记录器和屏幕抓取工具的影响。

启用了反键盘记录时:

  • 键盘记录器看到加密的击键。
  • 仅当受保护的窗口处于焦点时,此功能才处于活动状态。

启用了反屏幕截图时:

  • 屏幕截图是 Windows 操作系统和 Linux 操作系统上的空白屏幕。在 macOS 上,只有受保护窗口的内容为空。
  • 对于 Windows 操作系统和 macOS,当受保护的窗口可见(未最小化)时,此功能处于活动状态。对于 Linux 操作系统,最小化或最大化受保护的窗口时,该功能都处于活动状态。

只能通过 PowerShell 配置策略。没有 GUI 管理功能。仅当为特定交付组启用或禁用功能时才需要此配置。

购买此功能后,请务必启用应用程序保护许可证。

免责声明:

应用程序保护策略通过筛选对基础操作系统所需功能的访问(捕获屏幕或键盘按下所需的特定 API 调用)来运行。执行此操作意味着应用程序保护策略甚至可以针对自定义的专用黑客工具提供保护。但是,随着操作系统的发展,捕获屏幕和记录键盘的新方法可能会出现。虽然我们会继续识别和解决这些问题,但我们无法保证在特定配置和部署中提供充足的保护。

Citrix 应用程序保护策略可与包括 ICA 文件在内的基本操作系统组件一起高效运行。如果检测到有意篡改或修改基本组件,Citrix 将无法提供支持,以便提供所应用策略的完整性。

限制

存在这些限制是设计的原因:

  • HDX 或 RDP 会话内没有反键盘记录支持。端点保护仍处于活动状态。此限制仅适用于双跳场景。
  • 使用不受支持的 Citrix Workspace 应用程序或 Citrix Receiver 版本时不支持任何功能。在这种情况下,资源是隐藏的。
  • 本地 Citrix Virtual Apps and Desktops 部署和 Citrix Virtual Apps and Desktops 服务支持使用 StoreFront 来保护应用程序。
  • StoreFront Web 应用商店不支持任何功能。
  • Citrix Workspace 应用程序的应用程序保护附加功能可防止出站屏幕共享。
  • 应用程序保护可能会阻止与启用了优化的协作应用程序或功能进行传出屏幕共享。
  • 具有应用程序保护策略的应用程序不会在连接租约中枚举,因此在中断/脱机模式下,服务连续性不会在 Citrix Workspace 应用程序中显示应用程序/桌面图标。

预期行为

预期行为取决于您访问包含受保护的资源的 StoreFront 应用商店的方式。可以使用受支持的本机 Citrix Workspace 应用程序客户端访问资源。

  • StoreWeb 上的行为 - 设置了应用程序保护策略的应用程序在 StoreFront Web 应用商店中不枚举。
  • 不受支持的 Citrix Receiver 或 Citrix Workspace 应用程序的行为 - 不枚举设置了应用程序保护策略的应用程序。
  • 受支持的 Citrix Workspace 应用程序版本上的行为 - 受保护的资源将枚举并正常启动。

保护功能在以下条件下应用:

  • 反屏幕捕获 - 对于 Windows 和 Mac,如果屏幕上可见任何受保护的窗口,则启用此功能。要禁用保护功能,请最小化所有受保护的窗口。对于 Linux,如果任何受保护的窗口都处于活动状态,将启用该功能。要禁用保护功能,请关闭所有受保护的窗口。
  • 反键盘记录 - 如果受保护的窗口处于焦点中,则启用此功能。要禁用保护功能,请将焦点更改为另一个窗口。

应用程序保护保护哪些项目?

要捕获任何非 Citrix Workspace 应用程序窗口的屏幕截图,用户必须首先将受保护的窗口最小化。对于 Linux,用户必须关闭所有受保护的窗口。

默认情况下,应用程序保护会保护以下 Citrix 窗口:

  • Citrix 登录窗口 - Citrix Workspace 身份验证对话框仅在 Windows 操作系统中受到保护。对于 Linux,您必须在 AuthManConfig.xml 文件中配置应用程序保护功能,才能对身份验证管理器启用该功能。

Citrix 登录窗口 - 受保护

  • Citrix Workspace 应用程序 HDX 会话窗口(例如,托管桌面)

Citrix 托管桌面窗口 - 受保护

  • 自助服务(应用商店)窗口 - Citrix Workspace 自助服务窗口仅在 Windows 操作系统中受保护。对于 Linux,您必须在 AuthManConfig.xml 文件中配置应用程序保护功能,才能对自助服务窗口启用该功能。

Citrix 自助服务(应用商店)窗口 - 受保护

应用程序保护不保护哪些项目?

导航栏中的 Citrix Workspace 应用程序图标下的项目:

  • 连接中心
  • “高级首选项”下的所有链接
  • 个性化
  • 检查更新
  • 注销

系统要求

Citrix 组件的最低版本

  • 适用于 Linux 的 Citrix Workspace 应用程序 2108
  • 适用于 Windows 的 Citrix Workspace 应用程序 1912 长期服务版本
  • 适用于 Windows 的 Citrix Workspace 应用程序 2002
  • 适用于 Mac 的 Citrix Workspace 应用程序 2001
  • StoreFront 1912
  • Delivery Controller 1912
  • 有效的 Citrix 许可证
    • 应用程序保护附加许可证
    • 对 Citrix Virtual App and Desktops 1912 或更高版本有效的许可证

操作系统平台

应用程序保护策略运行时安装在要从中进行连接的端点上,而非安装在要连接的 VDA 上。因此,只有端点的操作系统版本很重要。(应用程序保护可以连接到 Citrix Virtual Apps and Desktops 系统要求中所述的任何受支持的操作系统上托管的 VDA。)

运行以下操作系统的端点支持应用程序保护功能:

  • Windows 10
  • Windows 8.1
  • Windows 7
  • macOS High Sierra (10.13) 及更高版本
  • 64 位 Ubuntu 18.04+
  • 64 位 Debian 9+
  • 64 位 CentOS7.5+
  • 64 位 RHEL7.5+
  • ARMHF 32 位 Raspbian 10 (Buster)+

注意:

为了保护应用程序,适用于 Linux 的 Citrix Workspace 应用程序需要 Gnome Display Manager 以及支持的操作系统。

配置

请按照以下步骤完全配置并启用应用程序保护功能:

  1. 导入应用程序保护许可证†。
  2. 配置 Workspace 应用程序。
  3. 在 Delivery Controller 上启用应用程序保护策略†。

† 在 Citrix Virtual Apps and Desktops 服务环境中,这些配置步骤略有差别。请参阅这些部分中的注释。

1. 许可

注意:

在 Citrix Virtual Apps and Desktops 服务环境中,请忽略此步骤,因为没有要安装的许可证。应用程序保护功能包含在某些 Citrix Cloud 服务包中,许可证直接在 Citrix Cloud 上提供。

应用程序保护功能要求您在 Citrix 许可证服务器上安装附加许可证。还必须存在对 Citrix Virtual App and Desktops 1912 或更高版本有效的许可证。请联系 Citrix 销售代表以购买应用程序保护附加许可证。

  1. 下载许可证文件,然后将其与现有 Citrix Virtual Desktops 许可证一起导入 Citrix 许可证服务器。
  2. 使用 Citrix Licensing Manager 导入许可证文件(首选方法),或者将许可证文件复制到许可证服务器上的 C:\Program Files (x86)\Citrix\Licensing\MyFiles,然后重新启动 Citrix Licensing 服务。有关详细信息,请参阅安装许可证

2. Citrix Workspace 应用程序

在 Citrix Workspace 应用程序上配置应用程序保护。

适用于 Windows 的 Citrix Workspace 应用程序

可以使用以下方法将应用程序保护组件包括在 Citrix Workspace 应用程序中:

  • 在 Citrix Workspace 应用程序安装期间。
  • 在安装 Citrix Workspace 应用程序后使用命令行界面。

确保安装了 Citrix Workspace 应用程序并启用了 /includeappprotection 开关。

有关详细信息,请参阅应用程序保护

适用于 Mac 的 Citrix Workspace 应用程序

应用程序保护不需要在适用于 Mac 的 Citrix Workspace 应用程序上进行特定配置。

适用于 Linux 的 Citrix Workspace 应用程序

使用 tarball、Debian 和 Red Hat Package Manager (RPM) 软件包安装适用于 Linux 的 Citrix Workspace 应用程序时支持应用程序保护功能。支持的体系结构为 x64 和 ARMHF。

有关详细信息,请参阅应用程序保护

3. 交付组

注意:

在 Citrix Virtual Apps and Desktops 服务环境中,请在任何计算机(Citrix Cloud Connector 计算机除外)上使用 Citrix Virtual Apps and Desktops 远程 PowerShell SDK 中的 cmdlet 执行此部分中的命令。

在任何安装了 Delivery Controller 的计算机上或安装了独立 Studio 以及 FMA PowerShell 管理单元的计算机上,使用 Citrix Virtual Apps and Desktops SDK 为应用程序保护交付组启用以下属性。

  • AppProtectionKeyLoggingRequired:True
  • AppProtectionScreenCaptureRequired:True

可以为每个交付组单独启用其中的每个策略。例如,可以仅为 DG1 配置键盘记录保护,仅为 DG2 配置屏幕捕获保护。可以为 DG3 启用这两个策略。

示例

要为名为 DG3 的交付组启用这两个策略,请在站点中的任何 Delivery Controller 上运行以下命令:

Set-BrokerDesktopGroup -Name DG3 -AppProtectionKeyLoggingRequired $true -AppProtectionScreenCaptureRequired $true

要验证设置,请运行以下 cmdlet:

Get-BrokerDesktopGroup -Property Name, AppProtectionKeyLoggingRequired, AppProtectionScreenCaptureRequired | Format-Table -AutoSize

此外,请启用 XML 信任:

Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true

请务必保护 StoreFront 与 Broker 之间的网络安全。有关详细信息,请参阅知识中心文章 CTX236929保护 XenApp 和 XenDesktop XML Service 的安全

建议

应用程序保护策略主要侧重于增强端点的安全性和保护。查看针对您的环境的所有其他安全建议和策略。可以在风险容忍度低的环境中使用安全性与控制策略模板设置建议的配置。有关详细信息,请参阅策略模板

故障排除

应用程序未枚举或未启动:

  • 确认受影响的用户正在使用受支持的 Citrix Workspace 应用程序版本。
  • 确保交付组已启用适当的功能。

应用程序保护策略未正确应用:

  • 确保交付组已启用适当的功能。
  • 确保该功能已安装在端点上。
  • 确保受影响的用户正在使用受支持的 Citrix Workspace 应用程序版本。
  • 确保安装了 Citrix Workspace 应用程序并且启用了 /includeappprotection 开关。

屏幕截图不适用于非 Citrix 窗口:

  • 最小化或关闭受保护的 Citrix 窗口,包括 Citrix Workspace 应用程序。
应用程序保护