App Protection
App Protection 是 Citrix Workspace 应用程序的一项功能,可在使用虚拟桌面、虚拟应用程序、Web 和 SaaS 应用程序时提供增强的安全性。与 StoreFront 和 Workspace 结合使用的本地 Citrix Virtual Apps and Desktops 部署和 Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)支持 App Protection 功能。这意味着所有云环境、本地环境和混合环境都支持 App Protection。当您通过 ADC Gateway 连接到 StoreFront 或 Workspace 时,还支持 App Protection。
有关 App Protection 功能的详细信息,请参阅功能和配置部分。
购买此功能后,请确保启用 App Protection 许可证。
免责声明:
App Protection 策略通过筛选对基础操作系统所需功能的访问(捕获屏幕或键盘按下所需的特定 API 调用)来运行。执行此操作意味着 App Protection 策略甚至可以针对自定义的专用黑客工具提供保护。但是,随着操作系统的发展,捕获屏幕和记录键盘的新方法可能会出现。虽然我们会继续识别和解决这些问题,但我们无法保证在特定配置和部署中提供充足的保护。
Citrix App Protection 策略可与包括 ICA 文件在内的基本操作系统组件一起高效运行。如果检测到有意篡改或修改基本组件,Citrix 可能不会提供支持,以提供所应用策略的完整性。
App Protection 在不同环境中的行为
App Protection 的行为取决于您如何访问配置了 App Protection 策略的资源。这些资源包括 Virtual Apps and Desktops、内部 Web 应用程序和 SaaS 应用程序。可以使用受支持的原生 Citrix Workspace 应用程序客户端或 Web 浏览器访问这些资源。App Protection 在不同环境中的行为各异:
- 不受支持的 Citrix Receivers 或 Citrix Workspace 应用程序 - 配置了 App Protection 策略的资源不可用。
- 不受支持的 Citrix Workspace 应用程序版本 - 配置了 App Protection 策略的资源可用并正确启动。
- 使用 Workspace 应用程序 URL 的混合启动 - 配置了 App Protection 策略的资源始终可用。要使用 Workspace 应用商店 URL 在 Web 浏览器上成功启动资源,请参阅适用于 Workspace 混合启动的 App Protection。
- 使用 StoreFront 应用程序 URL 的混合启动 - 如果未部署 StoreFront 自定义,则配置了 App Protection 策略的资源不可用。要使用 StoreFront 应用商店 URL 在 Web 浏览器上成功启动资源,请参阅适用于 StoreFront 混合启动的 App Protection。
保护功能在以下条件下应用:
- 防屏幕捕获 - 对于适用于 Windows 的 Citrix Workspace 应用程序和适用于 Mac 的 Citrix Workspace 应用程序,如果屏幕上可见任何受保护的窗口,则启用此功能。要禁用保护功能,请最小化所有受保护的窗口。对于适用于 Linux 的 Citrix Workspace 应用程序,如果任何受保护的窗口都处于活动状态,则将启用该功能。要禁用保护功能,请关闭所有受保护的窗口。
- 反键盘记录 - 如果受保护的窗口处于焦点中,则启用此功能。要禁用保护功能,请将焦点更改为另一个窗口。
App Protection 保护哪些项目?
App Protection 会保护以下 Citrix 窗口:
-
Citrix 登录窗口
-
Citrix Workspace 应用程序 HDX 会话窗口(例如,托管桌面)
-
自助服务(应用商店)窗口
-
Web 和 SaaS 应用程序
-
适用于 Windows 的 Citrix Workspace 应用程序和适用于 Mac 的 Citrix Workspace 应用程序 - Web 和 SaaS 应用程序在 Citrix Enterprise Browser 中打开。如果将这些应用程序配置为通过 Citrix Secure Private Access 使用 App Protection 策略,App Protection 将按选项卡应用。
-
适用于 Linux 的 Citrix Workspace 应用程序 - 不支持 Citrix Enterprise Browser。
-
注意:
为了提供 App Protection 解决方案,只有极少数 Citrix 签名的 DLL(例如
ctxapclient32.dll、ctxapclient64.dll和FeatureFlagHelper64.dll)可能会注入到其他进程中。这些 DLL 是无害的,将这些 DLL 的痕迹保存在其他进程的日志文件中是安全的。
App Protection 不保护哪些项目?
-
导航栏中的 Citrix Workspace 应用程序图标下的以下项目:
- 连接中心
- “高级首选项”下的所有链接
- 个性化
- 检查更新
- 注销
-
如果您选择使用防屏幕截图来保护虚拟桌面,用户仍然可以在虚拟桌面内的应用程序中共享屏幕。但是,对于虚拟桌面之外的应用程序,您将无法创建屏幕截图或者录制虚拟桌面。
限制
设计存在以下限制:
- 启用了 App Protection 的 Virtual Apps and Desktops 在 RDP 会话中访问时会被阻止启动。
- 在 RDP 会话中,使用 Citrix Enterprise Browser 打开的 Web 和 SaaS 应用程序不支持 App Protection。
- 双跃点和多跃点场景不支持 App Protection。
- 如果您使用的是不受支持的 Citrix Workspace 应用程序或 Citrix Receiver 版本,则不支持 App Protection。在这种情况下,资源是隐藏的。
- 将 App Protection 功能应用到虚拟应用程序和桌面时,如果使用优化,传出的屏幕共享可能会受到影响。
- 具有 App Protection 功能的 Citrix Workspace 应用程序可能与一些其他安全解决方案或使用类似底层技术的应用程序不兼容。
- 从 Citrix Secure Browser 中启动资源或者通过 Remote Browser Isolation 启动资源时,不支持 App Protection。
- 在适用于 Linux 的 Citrix Workspace 应用程序中,安装 App Protection 后,您无法使用快照应用程序。
上下文 App Protection
上下文 App Protection 提供了精细的灵活性,可以根据用户、其设备和网络状况,有条件地为一部分用户应用 App Protection 策略。有关详细信息,请参阅以下文章:
面向混合启动的 App Protection
Citrix Virtual Apps and Desktops 的混合启动是指您通过浏览器登录 Citrix Workspace 应用程序(适用于 Web 的 Citrix Workspace),然后通过本机 Citrix Workspace 应用程序使用应用程序。“混合”一词是用户结合应用适用于 Web 的 Citrix Workspace 应用程序与本机 Citrix Workspace 应用程序来连接和使用资源的结果。App Protection 支持 Workspace 和 StoreFront 中的混合启动。有关详细信息,请参阅以下文章: