Citrix Workspace app for Windows

安全性

April 16, 2026

投稿者:

C C

应用保护

应用保护功能是一项附加功能，在使用 Citrix Virtual Apps and Desktops 和 Citrix DaaS（以前称为 Citrix Virtual Apps and Desktops 服务）时提供增强的安全性。此功能限制客户端通过键盘记录和屏幕捕获恶意软件进行攻击的能力。应用保护可防止泄露机密信息，例如用户凭据和屏幕上的敏感信息。此功能可防止用户和攻击者截取屏幕截图以及使用键盘记录器窃取和利用敏感信息。有关详细信息，请参阅应用保护。

免责声明

应用保护策略会筛选对底层操作系统所需功能的访问（捕获屏幕或键盘按键所需的特定 API 调用）。应用保护策略甚至可以针对自定义和专门构建的黑客工具提供保护。但是，随着操作系统的发展，可能会出现捕获屏幕和记录密钥的新方法。虽然我们持续识别并解决这些问题，但我们无法保证在特定配置和部署中提供全面保护。

要在适用于 Windows 的 Citrix Workspace app 上配置应用保护，请参阅配置一文中的“适用于 Windows 的 Citrix Workspace app”部分。

注意：

应用保护仅在从版本 1912 及更高版本升级时受支持。

改进的 ICA® 文件安全性

此功能在启动虚拟应用和桌面会话期间处理 ICA 文件时提供增强的安全性。

Citrix Workspace app 允许您在启动虚拟应用和桌面会话时将 ICA 文件存储在系统内存中，而不是本地磁盘中。

此功能旨在消除表面攻击以及任何可能在本地存储 ICA 文件时滥用该文件的恶意软件。此功能也适用于在 Workspace for Web 上启动的虚拟应用和桌面会话。

配置

通过 Web 访问 Citrix Workspace 或 StoreFront 时，也支持 ICA 文件安全性。如果通过 Web 访问，客户端检测是此功能正常工作的先决条件。如果您正在使用浏览器访问 StoreFront，请在 StoreFront 部署的 web.config 文件中启用以下属性：

StoreFront 版本	属性
2.x	pluginassistant
3.x	protocolHandler

通过浏览器登录应用商店时，单击检测 Workspace App。如果未出现提示，请清除浏览器 Cookie，然后重试。

如果是 Workspace 部署，您可以通过导航到帐户设置 > 高级 > 应用和桌面启动首选项来查找客户端检测设置。

您可以采取额外措施，以便会话仅使用存储在系统内存中的 ICA 文件启动。使用以下任一方法：

客户端上的组策略对象 (GPO) 管理模板。
Global App Config Service。
Workspace for Web。

使用 GPO：

要阻止从存储在本地磁盘上的 ICA 文件启动会话，请执行以下操作：

1. 通过运行 gpedit.msc 打开 Citrix Workspace app 组策略对象管理模板。
1. 在计算机配置节点下，转至管理模板 > Citrix 组件 > Citrix Workspace > 客户端引擎。
1. 选择安全 ICA 文件会话启动策略并将其设置为已启用。

单击应用和确定。

使用 Global App Config Service：

您可以从 Citrix Workspace app 2106 开始使用 Global App Config Service。

要阻止从存储在本地磁盘上的 ICA 文件启动会话，请执行以下操作：

将 Block Direct ICA File Launches 属性设置为 True。

有关 Global App Config Service 的详细信息，请参阅 Global App Config Service 文档。

使用 Workspace for Web：

要在使用 Workspace for Web 时禁止在本地磁盘上下载 ICA 文件，请执行以下操作：

运行 PowerShell 模块。请参阅配置 DisallowICADownload。

注意：

DisallowICADownload 策略不适用于 StoreFront 部署。

Workspace 会话的非活动超时

管理员可以配置非活动超时值，以指定在用户自动退出 Citrix Workspace 会话之前允许的空闲时间量。如果鼠标、键盘或触摸在指定的时间间隔内处于空闲状态，您将自动退出 Workspace。非活动超时不会影响活动的虚拟应用和桌面会话或 Citrix StoreFront 应用商店。

非活动超时值可以设置为 1 分钟到 1,440 分钟。默认情况下，未配置非活动超时。管理员可以使用 PowerShell 模块配置 inactivityTimeoutInMinutes 属性。单击此处下载适用于 Citrix Workspace 配置的 PowerShell 模块。

最终用户体验如下：

在您退出登录前三分钟，会话窗口中会出现通知，其中包含保持登录或退出登录的选项。
仅当配置的非活动超时值大于或等于五分钟时，才会显示通知。
用户可以单击保持登录以关闭通知并继续使用应用程序，在这种情况下，非活动计时器将重置为其配置的值。您也可以单击退出登录以结束当前应用商店的会话。

注意：

管理员只能为 Workspace（云）会话配置非活动超时。

本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译，仅供您参考。Cloud Software Group 无法控制机器翻译的内容，这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性，或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容，我们均不作任何明示或暗示的保证，并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议（产品或服务与已进行机器翻译的任何文档保持一致）下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题，Cloud Software Group 不承担任何责任。

这是否有帮助？

安全性

April 16, 2026

投稿者:

C C

April 16, 2026

投稿者:

C C

这是否有帮助？