App Protection

App Protection 是 Citrix Workspace 应用程序的一项功能，可在使用 Citrix Virtual Apps and Desktops 的已发布资源时提供增强的安全性。与 StoreFront 和 Workspace 结合使用的本地 Citrix Virtual Apps and Desktops 部署和 Citrix DaaS（以前称为 Citrix Virtual Apps and Desktops 服务）支持 App Protection 功能。这意味着所有云环境、本地环境和混合环境都支持 App Protection。当您通过 ADC Gateway 连接到 Storefront 或 Workspace 时，还支持 App Protection。

两个策略为 Citrix HDX 会话提供了反键盘记录和反屏幕截图功能。Windows 版 Citrix Workspace 应用程序 2203.1 LTSR、Mac 版 Citrix Workspace 应用程序 2001 或 Linux 版 Citrix Workspace 应用程序 2108 的最低版本随附的策略可帮助保护数据免受键盘记录器和屏幕抓取工具的影响。

启用反键盘记录时：

• 键盘记录器看到加密的击键。
• 仅当受保护的窗口处于焦点时，此功能才处于活动状态。

启用了反屏幕截图时：

• 在 Windows OS 和 macOS 上捕获屏幕时，只有受保护窗口的内容为空白。当受保护的窗口未最小化时，此功能处于活动状态。在 Linux 操作系统中，整个捕获内容是空白的。无论受保护的窗口是否已最小化，此功能均处于活动状态。
• 对于 Windows 操作系统和 macOS，当受保护的窗口可见（未最小化）时，此功能处于活动状态。对于 Linux 操作系统，最小化或最大化受保护的窗口时，该功能都处于活动状态。
• 使用 Windows 操作系统中的 Print Screen 按钮创建屏幕截图时，数据不会复制到剪贴板。要使用 Print Screen 按钮创建屏幕截图，请最小化所有受保护的应用程序。

可以通过 PowerShell 和 Web Studio 配置策略。

要通过 Web Studio 配置 App Protection，请执行以下步骤：

1. App Protection 需要 XML 信任。要启用 XML 信任，请转到设置 > 启用 XML 信任。

2. 要为交付组选择一种 App Protection 方法，请执行以下步骤：

   • 在左侧窗格中选择交付组。

   • 选择一个组，然后在操作栏中选择编辑。

   • 在“App Protection”页面上，您可以启用反键盘记录和反屏幕捕获。

购买此功能后，请务必启用 App Protection 许可证。

免责声明：

App Protection 策略通过筛选对基础操作系统所需功能的访问（捕获屏幕或键盘按下所需的特定 API 调用）来运行。执行此操作意味着 App Protection 策略甚至可以针对自定义的专用黑客工具提供保护。但是，随着操作系统的发展，捕获屏幕和记录键盘的新方法可能会出现。虽然我们会继续识别和解决这些问题，但我们无法保证在特定配置和部署中提供充足的保护。

Citrix App Protection 策略可与包括 ICA 文件在内的基本操作系统组件一起高效运行。如果检测到有意篡改或修改基本组件，Citrix 将无法提供支持，以提供所应用策略的完整性。

系统要求

作为必备条件，请确保您已使用管理员权限安装了 Citrix Workspace 应用程序。

Citrix 组件的最低版本

• Linux 版 Citrix Workspace 应用程序 2108
• Windows 版 Citrix Workspace 应用程序 2203.1 LTSR
• Windows 版 Citrix Workspace 应用程序 2002
• Windows 版 Citrix Workspace 应用程序 2305.1（应用商店版本）
• Mac 版 Citrix Workspace 应用程序 2001
• StoreFront 1912 LTSR
• Delivery Controller 1912
• 有效的 Citrix 许可证。有关详细信息，请联系您的 Citrix 销售代表或 Citrix Partner。

注意：

如果用户使用的设备或 Workspace 应用程序版本不支持 App Protection，他们将无法访问受保护的资源。受保护的资源包括 Virtual Apps and Desktops 以及 Web 和 SaaS 应用程序。

操作系统平台

App Protection 策略运行时安装在要从中进行连接的端点上，而非安装在要连接到的 VDA 上。因此，只有端点的操作系统版本很重要。（App Protection 可以连接到 Citrix Virtual Apps and Desktops 系统要求中所述的任何受支持的操作系统上托管的 VDA。）

运行以下操作系统的端点支持 App Protection 功能：

• Windows 11
• Windows 10
• Windows 8.1
• macOS High Sierra (10.13) 及更高版本
• 64 位 Ubuntu 18.04 和 Ubuntu 20.04
• 64 位 Debian 9 和 Debian 10
• 64 位 CentOS 7
• 64 位 RHEL 7
• ARMHF 32 位 Raspberry Pi OS（基于 Debian 10 (buster)）
• ARM64 Raspberry Pi OS（基于 Debian 11 (bullseye)）

注意：

对于 App Protection，Linux 版 Citrix Workspace 应用程序需要 Gnome Display Manager 以及支持的操作系统。

检查是否已安装 App Protection

Windows 版 Citrix Workspace 应用程序

自 Citrix Workspace 应用程序版本 2212 起，默认安装 App Protection。但是，该组件可能处于活动状态，也可能处于休眠状态，具体取决于用户是否选择了安装后启动 App Protection 复选框。

对于 2212 之前的 Citrix Workspace 应用程序版本，只有当安装 Citrix Workspace 应用程序时选中了启用 App Protection 复选框时，App Protection 才会被安装并处于活动状态。

App Protection 可能会处于已停止状态或正在运行状态。 要检查服务的状态，请执行以下步骤之一：

• 对于 Citrix Workspace 应用程序版本 2206 或更高版本，请运行以下命令：

   sc query appprotectionsvc
   <!--NeedCopy-->
  

  

• 对于 2206 之前的 Citrix Workspace 应用程序版本，请运行以下命令：

   sc query entryprotectsvc
   <!--NeedCopy-->
  

  

注意：

在 2212 之前的 Citrix Workspace 应用程序版本中，如果您在安装 Citrix Workspace 应用程序时没有选中启用 App Protection复选框，则当您运行前面的命令来检查状态时，会显示以下错误消息：

App Protection 在不同环境中的行为

App Protection 的行为取决于您如何访问配置了 App Protection 策略的资源。这些资源包括 Virtual Apps and Desktops、内部 Web 应用程序和 SaaS 应用程序。可以使用受支持的原生 Citrix Workspace 应用程序客户端或 Web 浏览器访问这些资源。App Protection 在不同环境中的行为各异：

• 不受支持的 Citrix Receivers 或 Citrix Workspace 应用程序 - 配置了 App Protection 策略的资源不可用。
• 不受支持的 Citrix Workspace 应用程序版本 - 配置了 App Protection 策略的资源可用并正确启动。
• 使用 Workspace 应用程序 URL 的混合启动 - 配置了 App Protection 策略的资源始终可用。要使用 Workspace 应用商店 URL 在 Web 浏览器上成功启动资源，请参阅适用于 Workspace 混合启动的 App Protection。
• 使用 StoreFront 应用程序 URL 的混合启动 - 如果未部署 StoreFront 自定义，则配置了 App Protection 策略的资源不可用。要使用 StoreFront 应用商店 URL 在 Web 浏览器上成功启动资源，请参阅适用于 StoreFront 混合启动的 App Protection。

保护功能在以下条件下应用：

• 反屏幕捕获 - 对于 Windows 和 Mac，如果屏幕上可见任何受保护的窗口，则启用此功能。要禁用保护功能，请最小化所有受保护的窗口。对于 Linux，如果任何受保护的窗口都处于活动状态，将启用该功能。要禁用保护功能，请关闭所有受保护的窗口。
• 反键盘记录 - 如果受保护的窗口处于焦点中，则启用此功能。要禁用保护功能，请将焦点更改为另一个窗口。

App Protection 保护哪些项目?

要捕获任何非 Citrix Workspace 应用程序窗口的屏幕截图，用户必须首先将受保护的窗口最小化。对于 Linux，用户必须关闭所有受保护的窗口。

App Protection 会保护以下 Citrix 窗口：

• Citrix 登录窗口 - Citrix Workspace 身份验证对话框仅在 Windows 操作系统中受到保护。对于 Linux，您必须在 AuthManConfig.xml 文件中配置 App Protection 功能，才能对身份验证管理器启用该功能。

• Citrix Workspace 应用程序 HDX 会话窗口（例如，托管桌面）

• 自助服务（应用商店）窗口 - Citrix Workspace 自助服务窗口仅在 Windows 操作系统中受保护。对于 Linux，您必须在 AuthManConfig.xml 文件中配置 App Protection 功能，才能对自助服务窗口启用该功能。

• Web 和 SaaS 应用程序 - 在 Windows 和 Mac 中，Web 和 SaaS 应用程序在适用于 Citrix Workspace 应用程序的 Citrix Enterprise Browser 中打开。如果将这些应用程序配置为通过 Secure Private Access 使用 App Protection 策略，App Protection 将按选项卡应用。

  

App Protection 不保护哪些项目?

• 导航栏中的 Citrix Workspace 应用程序图标下的以下项目：

  • 连接中心
  • “高级首选项”下的所有链接
  • 个性化
  • 检查更新
  • 注销

• 如果您选择使用防屏幕截图来保护虚拟桌面，用户仍然可以在虚拟桌面内的应用程序中共享屏幕。但是，对于虚拟桌面之外的应用程序，您将无法创建屏幕截图或者录制虚拟桌面。

限制

设计存在以下限制：

• 启用了 App Protection 的 Virtual Apps and Desktops 在 RDP 会话中访问时会被阻止启动。
• 双跃点和多跃点场景不支持 App Protection。
• 如果您使用的是不受支持的 Citrix Workspace 应用程序或 Citrix Receiver 版本，则不支持 App Protection。在这种情况下，资源是隐藏的。
• 将 App Protection 功能应用到 Virtual Apps and Desktops 时，如果使用优化，传出的屏幕共享可能会受到影响。
• 具有 App Protection 功能的 Citrix Workspace 应用程序可能与一些其他安全解决方案或使用类似底层技术的应用程序不兼容。
• 从 Citrix Secure Browser 中启动资源或者通过 Remote Browser Isolation 启动资源时，不支持 App Protection。
• 在 Linux 版 Citrix Workspace 应用程序中，安装 App Protection 后，您无法使用快照应用程序。

上下文 App Protection

上下文 App Protection 提供了精细的灵活性，可以根据用户、其设备和网络状况，有条件地为一部分用户应用 App Protection 策略。有关详细信息，请参阅以下文章：

• 适用于 StoreFront 的上下文 App Protection
• 适用于 Workspace 的上下文 App Protection

面向混合启动的 App Protection

Citrix Virtual Apps and Desktops 的混合启动是指您通过浏览器登录 Citrix Workspace 应用程序（适用于 Web 的 Citrix Workspace），然后通过本机 Citrix Workspace 应用程序使用应用程序。“混合”一词是用户结合应用适用于 Web 的 Citrix Workspace 应用程序与本机 Citrix Workspace 应用程序来连接和使用资源的结果。App Protection 支持 Workspace 和 StoreFront 中的混合启动。有关详细信息，请参阅以下文章：

• 面向 Workspace 的混合启动的 App Protection。
• 面向 StoreFront 的混合启动的 App Protection。