安全性
应用保护
-
应用保护是一项附加功能,在使用 Citrix Virtual Apps and Desktops 和 Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)时提供增强的安全性。使用此功能可:
- 限制客户端受到键盘记录和屏幕捕获恶意软件攻击的能力。
- 保护机密信息(例如用户凭据和屏幕上的敏感信息)不被泄露。
- 防止用户和攻击者截取屏幕截图以及使用键盘记录器窃取和利用敏感信息。有关详细信息,请参阅应用保护。
免责声明
应用保护策略会筛选对底层操作系统所需功能(捕获屏幕或键盘按键所需的特定 API 调用)的访问。应用保护策略甚至可以针对自定义和专门构建的黑客工具提供保护。但是,随着操作系统的发展,可能会出现新的屏幕捕获和按键记录方法。虽然我们会继续识别并解决这些问题,但我们无法保证在特定配置和部署中提供全面保护。
要在适用于 Windows 的 Citrix Workspace 应用程序上配置应用保护,请参阅配置文章中适用于 Windows 的 Citrix Workspace 应用程序部分。
-
注意:
-
-
应用保护仅支持从版本 1912 及更高版本升级。
-
deviceTRUST® 与适用于 Windows 的 Citrix Workspace™ 应用程序的无缝集成
- 从版本 2503 开始,适用于 Windows 的 Citrix Workspace 应用程序包含 deviceTRUST,通过会话中的持续设备姿态检查来增强安全性。deviceTRUST 与 Citrix Workspace 应用程序打包在一起,实现统一部署,确保无缝集成和管理。有关详细信息,请参阅 deviceTRUST。
安装
- 适用于 Windows 的 Citrix Workspace 应用程序始终使用适用于 Windows 的 Citrix Workspace 应用程序安装程序中包含的打包版本安装或更新 deviceTRUST。
- 如果 deviceTRUST 安装失败,您将收到 50024 或 50025 错误代码,并且对适用于 Windows 的 Citrix Workspace 应用程序的安装没有影响。
- 要跳过 deviceTRUST 的安装,请从命令行使用
InstallDeviceTrust=N命令。在升级情况下,您可以使用InstallDeviceTrust=Y来安装 deviceTRUST。
卸载
-
在卸载期间,Citrix Workspace 应用程序仅在它安装了 deviceTRUST 的情况下才将其删除。
-
自动更新场景
- 对于现有的自动更新客户,Citrix Workspace 应用程序会安装 deviceTRUST。
- 如果最终用户在受支持的 Citrix Workspace 应用程序版本中跳过了 deviceTRUST 的安装,则下一个自动更新周期也将跳过 deviceTRUST 的安装。
增强的安全性以及与 AppLocker 的兼容性
适用于 Windows 的 Citrix Workspace 应用程序与安全态势工具 AppLocker 兼容。此功能解决了安全问题并改善了用户体验。
ICA® 安全性
当用户启动应用程序或桌面时,StoreFront™ 会生成 ICA 信息,其中包含有关客户端如何连接到 VDA 的说明。
内存中混合启动
当用户启动资源时,StoreFront 会生成一个 ICA 文件,其中包含有关如何连接到资源的说明。在适用于 Windows 的 Citrix Workspace 应用程序中启动时,ICA 文件在内存中处理,从不保存到磁盘。
当用户在 Web 浏览器中打开其商店并使用适用于 Windows 的 Citrix Workspace 应用程序连接到资源时,这称为混合启动。根据配置,启动方式有多种,请参阅 StoreFront 用户访问选项。
适用于 Windows 的 Citrix Workspace 应用程序支持 Citrix Workspace 启动器和 Citrix Workspace Web 扩展,用于从用户浏览器进行内存中 ICA 启动。建议您禁用用户下载 ICA 文件的选项。这消除了表面攻击以及任何可能在本地存储 ICA 文件时滥用该文件的恶意软件。要在 StoreFront 2402 及更高版本中禁用用户下载 ICA 文件的选项,请参阅 StoreFront 文档。要在 Workspace 中禁用用户下载 ICA 文件的选项,请参阅 Workspace PowerShell 文档。
阻止从磁盘启动 ICA 文件
确保您的系统始终使用内存启动后,Citrix® 建议您禁用从磁盘启动 ICA 文件。这样,用户就无法通过电子邮件等方式打开从恶意来源接收到的 ICA 文件。您可以通过以下任一方法禁用从磁盘启动 ICA 文件:
- 全局应用配置服务
- 客户端上的组策略对象 (GPO) 管理模板
全局应用配置服务
您可以从 Citrix Workspace 应用程序 2106 开始使用全局应用配置服务。在安全和身份验证 > 安全首选项下,将策略阻止直接 ICA 文件启动设置为已启用。
组策略
要使用组策略阻止从本地磁盘上存储的 ICA 文件启动会话,请执行以下操作:
- 通过运行
gpedit.msc打开 Citrix Workspace 应用程序 GPO 管理模板。
-
- 在计算机配置节点下,转至管理模板 > Citrix 组件 > Citrix Workspace > 客户端引擎。
-
- 选择安全 ICA 文件会话启动策略并将其设置为已启用。
-
- 单击应用,然后单击确定。
ICA 文件签名
ICA 文件签名有助于保护您免受未经授权的应用程序或桌面启动。Citrix Workspace 应用程序会根据管理策略验证受信任的来源是否生成了应用程序或桌面启动,并防止从不受信任的服务器启动。您可以使用 GPO 管理模板或 StoreFront。ICA 文件签名功能默认情况下未启用。
有关为 StoreFront 启用 ICA 文件签名的信息,请参阅 StoreFront 文档中的ICA 文件签名。
配置 ICA 文件签名
注意:
如果未将 CitrixBase.admx\adml 添加到本地 GPO,则启用 ICA 文件签名策略可能不存在。
- 通过运行 gpedit.msc 打开 Citrix Workspace 应用程序 GPO 管理模板。
- 在计算机配置节点下,转至管理模板 > Citrix 组件。
- 选择启用 ICA 文件签名策略,并根据需要选择以下选项之一:
- 已启用 - 表示您可以将签名证书指纹添加到受信任证书指纹的允许列表。
- 信任证书 - 单击显示以从允许列表中删除现有签名证书指纹。您可以从签名证书属性中复制并粘贴签名证书指纹。
- 安全策略 - 从菜单中选择以下选项之一。
- 仅允许签名启动(更安全):仅允许来自受信任服务器的签名应用程序和桌面启动。当签名无效时,将出现安全警告。会话启动因未经授权而失败。
- 针对未签名启动提示用户(安全性较低) - 启动未签名或签名无效的会话时,将出现消息提示。您可以选择继续启动或取消启动(默认)。
- 单击应用,然后单击确定以保存策略。
- 重新启动 Citrix Workspace 应用程序会话以使更改生效。
选择数字签名证书时,我们建议您从以下优先级列表中进行选择:
- 从公共证书颁发机构 (CA) 购买代码签名证书或 SSL 签名证书。
- 如果您的企业拥有私有 CA,请使用私有 CA 创建代码签名证书或 SSL 签名证书。
- 使用现有 SSL 证书。
- 创建根 CA 证书,并使用 GPO 或手动安装将其分发到用户设备。
不活动超时
Workspace 会话超时
管理员可以配置不活动超时值,以指定在用户自动注销 Citrix Workspace 会话之前允许的空闲时间量。如果鼠标、键盘或触摸在指定的时间间隔内处于空闲状态,您将自动从 Workspace 注销。不活动超时不影响活动的虚拟应用程序和桌面会话或 Citrix StoreFront 商店。
要配置不活动超时,请参阅 Workspace 文档。
最终用户体验如下:
- 在您注销前三分钟,会话窗口中会出现一条通知,其中包含保持登录或注销的选项。
- 仅当配置的不活动超时值大于或等于五分钟时,才会出现此通知。
- 用户可以单击保持登录以关闭通知并继续使用应用程序,在这种情况下,不活动计时器将重置为其配置值。您也可以单击注销以结束当前商店的会话。
StoreFront 会话超时
连接到 StoreFront 商店时,Citrix Workspace 应用程序不应用不活动超时。如果您正在使用 Citrix Gateway,则可以配置网关的会话超时。有关详细信息,请参阅 StoreFront 文档。