安全性
App Protection
App Protection 功能是一项附加功能,可在使用 Citrix Virtual Apps and Desktops 和 Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)时提供增强的安全性。该功能限制了客户端受键盘记录和屏幕捕获恶意软件影响的能力。App Protection 可防止泄露屏幕上的用户凭据和敏感信息等机密信息。该功能可防止用户和攻击者截取屏幕截图以及使用键盘记录器收集和利用敏感信息。有关详细信息,请参阅 App Protection
免责声明
App Protection 策略将筛选对基础操作系统所需功能的访问权限(捕获屏幕或键盘按下所需的特定 API 调用)。App Protection 策略甚至能够针对自定义的专用黑客工具提供保护。但是,随着操作系统的发展,捕获屏幕和记录键盘的新方法可能会出现。虽然我们会继续识别和解决这些问题,但我们无法保证在特定配置和部署中提供充足的保护。
要在适用于 Windows 的 Citrix Workspace 应用程序上配置 App Protection,请参阅配置一文中的“适用于 Windows 的 Citrix Workspace 应用程序”部分。
注意:
App Protection 仅在从版本 1912 开始升级时受支持。
提高了 ICA 文件的安全性
此功能可在虚拟应用程序和桌面会话启动期间处理 ICA 文件时提供增强的安全性。
Citrix Workspace 应用程序允许您在启动虚拟应用程序和桌面会话时将 ICA 文件存储在系统内存中,而非本地磁盘中。
此功能旨在消除表面攻击以及在本地存储时可能会滥用 ICA 文件的任何恶意软件。此功能也适用于在适用于 Web 的 Workspace 上启动的虚拟应用程序和桌面会话
配置
通过 Web 访问 Citrix Workspace 或 StoreFront 时,也支持 ICA 文件安全性。如果可以通过 Web 访问客户端,则客户端检测是此功能运行的必备条件。如果您使用浏览器访问 StoreFront,请在 StoreFront 部署的 web.config 文件中启用以下属性:
| StoreFront 版本 | 属性 |
|---|---|
| 2.x | pluginassistant |
| 3.x | protocolHandler |
通过浏览器登录应用商店时,请单击检测 Workspace 应用程序。如果未显示该提示,请清除浏览器 cookie 并重试。
如果是 Workspace 部署,则可以通过导航到帐户设置 > 高级 > 应用程序和桌面启动首选项来查找客户端检测设置。
您可以采取额外的措施以便仅使用存储在系统内存中的 ICA 文件启动会话。使用以下任意方法:
- 客户端上的组策略对象 (GPO) 管理模板。
- Global App Config Service。
- 适用于 Web 的 Workspace。
使用 GPO:
要阻止从存储在本地磁盘上的 ICA 文件启动会话,请执行以下操作:
- 通过运行
gpedit.msc打开 Citrix Workspace 应用程序组策略对象管理模板。 - 在计算机配置节点下,转至管理模板 > Citrix 组件 > Citrix Workspace > Client Engine。
- 选择安全 ICA 文件会话启动策略并将其设置为已启用。
- 单击应用和确定。
使用 Global App Config Service:
可以使用 Citrix Workspace 应用程序 2106 中的 Global App Config Service。
要阻止从存储在本地磁盘上的 ICA 文件启动会话,请执行以下操作:
将阻止直接 ICA 文件启动属性设置为 True。
有关 Global App Config Service 的详细信息,请参阅 Global App Config Service 文档。
使用适用于 Web 的 Workspace:
要在使用适用于 Web 的 Workspace 时禁止在本地磁盘上下载 ICA 文件,请执行以下操作:
运行 PowerShell 模块。请参阅配置 DisallowICADownload。
注意:
DisallowICADownload 策略不适用于 StoreFront 部署。
Workspace 会话的不活动超时
管理员可以配置不活动超时值,以指定在用户自动从 Citrix Workspace 应用程序会话注销之前的空闲时间量。如果鼠标、键盘或触控在指定的时间间隔内处于空闲状态,您将自动从 Workspace 中注销。不活动超时不会影响活动的虚拟应用程序和桌面会话或 Citrix StoreFront 应用商店。
不活动超时值可以设置为从 1 分钟到 1440 分钟。默认情况下,不配置不活动超时。管理员可以使用 PowerShell 模块配置 inactivityTimeoutInMinutes 属性。单击此处下载适用于 Citrix Workspace 配置的 PowerShell 模块。
最终用户体验如下:
- 在注销前三分钟,您的会话窗口中将显示一条通知,提示一个用于保持登录或注销的选项。
- 只有在配置的不活动超时值大于或等于 5 分钟时,通知才显示。
- 用户可以单击保持登录消除通知并继续使用应用程序,在这种情况下,不活动计时器将重置为已配置的值。也可以单击注销结束当前应用商店的会话。
注意:
管理员只能为 Workspace(云)会话配置不活动超时。