Citrix Virtual Apps and Desktops

适用于 Workspace 的上下文应用程序保护

上下文应用程序保护提供了精细的灵活性,可以根据用户、其设备和网络状况,有条件地为一部分用户应用应用程序保护策略。

实施上下文应用程序保护

您可以使用 Broker 访问策略规则中定义的连接过滤器来实施上下文应用程序保护。Broker 访问策略定义了用于控制用户能否访问桌面组的规则。该策略由一组规则组成。每个规则都与单个桌面组有关且包含一组连接过滤器和访问权限控制。

当用户的连接详细信息与 Broker 访问策略中的一个或多个规则的连接过滤器匹配时,用户将获得对桌面组的访问权限。默认情况下,用户无权访问站点中的任何桌面组。您可以根据要求创建更多 Broker 访问策略。多个规则可以应用于同一个桌面组。有关详细信息,请参阅 New-BrokerAssignmentPolicyRule

如果用户的连接与访问策略规则中定义的连接过滤器匹配,则 Broker 访问策略规则中的以下参数能够灵活根据上下文启用应用程序保护:

  • AppProtectionKeyLoggingRequired
  • AppProtectionScreenCaptureRequired

使用 Broker 访问策略规则中引用的智能访问策略可进一步优化连接过滤器。请参阅本文中解释说明的场景,了解如何使用智能访问策略设置上下文应用程序保护。

必备条件

请确保您具有以下对象:

  • Citrix Virtual Apps and Desktops 版本 2109 或更高版本
  • Delivery Controller 版本 2109 或更高版本
  • 网络位置服务 (NLS),适用于基于用户的网络位置的场景
  • 许可要求 -
    • 适用于 DaaS 的应用程序保护
    • 配置了智能访问策略的场景的自适应身份验证授权。

为 Workspace 配置上下文应用程序保护 - 若干场景

场景 1:为通过 Access Gateway 进入的外部用户启用应用程序保护

  1. 配置自适应身份验证

  2. 根据您的网络位置配置自适应访问。
    1. 登录 Citrix Cloud 并导航到网络位置

      网络位置

    2. 添加网络 IP 地址或子网以将其视为“内部”或“直接”。
    3. 在“位置标记”字段中输入 location_internal。
    4. 将网络连接类型选择为“内部”。

      网络连接类型

      如果您从 IP 地址配置为“内部”的设备登录云存储,则该连接将被视为“内部”连接。所有其他网络连接均被视为“外部”连接或通过 Access Gateway 连接。

  3. 配置 Broker 访问策略规则

    默认情况下,为每个交付组创建两个 Broker 访问策略。一个策略适用于通过 Access Gateway 建立的连接,另一个策略适用于直接连接。您只能为通过 Access Gateway 建立的连接(即外部连接)启用应用程序保护。请使用以下步骤配置 Broker 访问策略规则:

    1. 按照 Citrix 博客 Getting started with PowerShell automation for Citrix Cloud(Citrix Cloud 的 PowerShell 自动化入门)中的说明,安装 Citrix PowerShell SDK 并连接到 Citrix Cloud API。

    2. 运行命令 Get-BrokerAccessPolicyRule

      显示存在的所有交付组的所有 Broker 访问策略的列表。

    3. 找到要更改的交付组的 DesktopGroupUid

      桌面组 UID

    4. 使用 DesktopGroupUid 提取适用于交付组的策略。至少存在两个策略,其中一个策略中的 AllowedConnections 设置了 ViaAG,另一个设置了 NotViaAG

      Get-BrokerAccessPolicyRule -DesktopGroupUid 7

      获取 Broker 访问策略

      在屏幕截图中,您可以看到两个策略:

      • CAP_Desktops_AG - AllowedConnections 设置了 ViaAG,它代表面向外部连接或者通过 Access Gateway 建立的连接的策略

      • CAP_Desktops_Direct – AllowedConnections 设置了 NotViaAG,它代表面向内部连接或直接连接的策略

  4. 请使用以下命令仅为外部连接启用应用程序保护策略,为内部连接禁用应用程序保护策略:

    • Set-BrokerAccessPolicyRule CAP_Desktops_AG -AppProtectionKeyLoggingRequired $true -AppProtectionScreenCaptureRequired $true

    • Set-BrokerAccessPolicyRule CAP_Desktops_Direct -AppProtectionKeyLoggingRequired $false -AppProtectionScreenCaptureRequired $false

Verification(验证)

注销 Citrix Workspace 应用程序并重新登录。从外部连接启动受保护的资源。您会看到应用程序保护策略已应用。请从内部连接启动相同的资源,即在第一步中配置的 IP 地址范围内的设备。您会看到应用程序保护策略已禁用。

场景 2:为不可信设备启用应用程序保护

可信设备和不可信设备有多种定义。在这种情况下,假设端点分析 (EPA) 扫描成功后设备是可信的。所有其他设备均被视为不可信设备。

  1. 配置自适应身份验证
  2. 使用以下步骤使用 EPA 扫描创建身份验证策略:

    1. 登录 Citrix ADC 管理 UI。在配置选项卡中,导航到 Security(安全)> AAA-Application Traffic(AAA-应用程序流量)-> Virtual Servers(虚拟服务器)。单击要使用的虚拟服务器,在本例中为 auth_vs

      Virtual servers(虚拟服务器)

    2. 导航到 Authentication Policies(身份验证策略)> Add Binding(添加绑定)

      身份验证策略

      添加绑定

    3. 单击添加以创建策略。

      策略绑定

    4. 根据 EPA 扫描创建身份验证策略。请输入策略的名称。选择操作类型EPA。单击添加创建操作。

      创建身份验证策略

    5. 此时将显示 Create Authentication EPA Action(创建身份验证 EPA 操作)屏幕。

      创建身份验证 EPA

      Create Authentication EPA Action(创建身份验证 EPA 操作)屏幕上,输入以下详细信息,然后单击创建以创建操作。

      • EPA 操作的名称。在这种情况下为 EPA_Action_FileExists
      • 默认组。输入默认组名。如果 EPA 表达式为 True,则将用户添加到默认组中。本例中的默认组FileExists
      • 隔离组。输入隔离组名称。如果 EPA 表达式为 False,则将用户添加到隔离组中。
      • 表达式。添加要扫描的 EPA 表达式。在本示例中,如果存在特定文件,我们认为 EPA 扫描是成功的:sys.client_expr("file_0_C:\\\\epa\\\\avinstalled.txt")
    6. 您将返回到 Create Authentication Policy(创建身份验证策略)屏幕。在表达式编辑器中输入 true,然后单击创建

      身份验证 EPA 为 true

    7. 您将返回到策略绑定屏幕。请执行以下操作:

      • 选择 Goto 表达式NEXT
      • Select Next Factor(选择下一个因素)部分中,选择您在 Application Delivery Controller (ADC) 中为身份验证配置的 LDAP 策略。
      • 单击绑定

        策略绑定详细信息

  3. 使用以下步骤为可信设备创建智能访问策略:
    1. auth_vs 服务器的Authentication Virtual Server(身份验证虚拟服务器)页面上选择 Smart Access Policies(智能访问策略)。

      身份验证虚拟服务器

    2. 单击 Add Binding(添加绑定)。

      添加绑定

    3. Policy Binding(策略绑定)屏幕上,单击 Select Policy(选择策略)部分中的添加

      选择策略

    4. 此时将显示 Create Authentication Smart Access Policy(创建身份验证智能访问策略)屏幕。

      身份验证智能访问

      Create Authentication Smart Access Policy(创建身份验证智能访问策略)屏幕上,输入智能访问策略的名称,然后单击添加以创建智能访问配置文件。

    5. 此时将显示 Create Authentication Smart Access Profile(创建身份验证智能访问配置文件)屏幕。为操作添加名称。在 Tags(标记)中输入 trusted(可信)。稍后将在 Broker 访问策略规则中引用该标记进行配置。单击创建

      创建身份验证配置文件

    6. 您将返回到 Create Authentication Smart Access Policy(创建身份验证智能访问策略)屏幕。在“表达式”部分中,输入要推送标记的表达式。在这种情况下,由于标记是为可信设备推送的,因此请输入 AAA.USER.IS_MEMBER_OF(“FileExists”)。单击创建

      可信设备的标记

    7. 您将返回到策略绑定屏幕。选择 Goto 表达式为“End”,然后单击绑定

      选择 End 表达式

  4. 为不可信设备创建智能访问策略。

    1. 按照上一步的说明进行操作,子步骤 vvi 除外。
    2. 对于子步骤 v,请在 Create Authentication Smart Access Profile(创建身份验证智能访问配置文件)屏幕上,为操作添加名称。在 Tags(标记)中输入 untrusted(不可信)。稍后将在 Broker 访问策略规则中引用该标记进行配置。单击创建
    3. 对于子步骤 vi,请在 Create Authentication Smart Access Policy(创建身份验证智能访问策略)屏幕的 Expression(表达式)部分,输入要推送标记的表达式。在这种情况下,由于标记是为不可信设备推送的,因此请输入 AAA.USER.IS_MEMBER_OF(“FileExists”).NOT
  5. 配置 Broker 访问策略规则

    1. 按照 Citrix 博客 Getting started with PowerShell automation for Citrix Cloud(Citrix Cloud 的 PowerShell 自动化入门)中的说明,安装 Citrix PowerShell SDK 并连接到 Citrix Cloud API。
    2. 运行命令 Get-BrokerAccessPolicyRule

      显示存在的所有交付组的所有 Broker 访问策略的列表。

    3. 找到要更改的交付组的 DesktopGroupUid

      桌面组 UID

    4. 使用以下命令获取仅应用到特定交付组的策略:Get-BrokerAccessPolicyRule -DesktopGroupUid 7
    5. 要筛选使用可信设备的用户,请使用以下命令创建另一个 Broker 访问策略:New-BrokerAccessPolicyRule -Name CAP_Desktops_AG_Trusted-DesktopGroupUid 7 - AllowedConnections ViaAG -AllowedProtocols HDX, RDP -AllowedUsers AnyAuthenticated - AllowRestart $true -Enabled $true-IncludedSmartAccessFilterEnabled $true
    6. 要对可信设备禁用应用程序保护,为不可信设备启用应用程序保护,请使用以下命令:Set-BrokerAccessPolicyRule CAP_Desktops_AG_trusted -IncludedSmartAccessTags Workspace:trusted -AppProtectionKeyLoggingRequired $false -AppProtectionScreenCaptureRequired $false

      Set-BrokerAccessPolicyRule CAP_Desktops_AG -IncludedSmartAccessTags Workspace:untrusted -AppProtectionKeyLoggingRequired $true -AppProtectionScreenCaptureRequired $true

Verification(验证)

注销 Citrix Workspace 应用程序并重新登录。从满足 EPA 扫描条件的可信设备启动受保护的资源。您会看到应用程序保护策略未应用。从不受信任的设备启动相同的资源。您会看到应用程序保护策略已应用。

适用于 Workspace 的上下文应用程序保护