应用程序保护事件报告至 Director 和 Monitor
本节概述
Windows 版 Citrix Workspace 应用程序 (CWA) 引入了内置安全检查,可自动检测端点上的高风险状况(例如 Microsoft Recall),无需手动配置。这些检测通过向 Citrix Director 和 Monitor 报告事件提供实时可见性,使管理员能够快速评估风险并应用 App Protection 策略等保护措施。
尽管某些事件(例如 Microsoft Recall)的检测是自动的,但要防范这些事件,管理员需要手动配置 App Protection 策略。
通过利用主动风险管理和策略重新配置,管理员可以加强其环境中的端点安全性,并减少新兴威胁的暴露。这种主动方法通过帮助组织实时识别和响应威胁,进一步巩固了 Citrix® 确保应用程序交付安全的承诺。
先决条件
- Citrix 虚拟投递代理:VDA 版本 2507 或更高版本。
- 思杰 Director:思杰虚拟应用和桌面 2603 或更高版本。
- Citrix Monitor:DDC 的版本必须是 128 或更高版本。
-
Windows 版 Citrix Workspace 应用程序 (CWA):端点上需要版本 2603 或更高版本。
- 对于保护事件,管理员必须通过 Citrix 策略配置相关的 App Protection 策略(例如,防屏幕截图、防 DLL 注入)。
事件类型
微软回顾功能检测
Windows Recall 是一个在端点上运行的 AI 代理,它持续捕获并本地存储用户屏幕内容的快照以供分析。这些快照可能包含敏感信息,例如:
- 在登录时输入的公司凭据。
- 虚拟桌面或已发布的应用程序中显示的机密应用程序数据。
- 在会话期间可被查看的专有文档和知识产权。

如果被利用,此功能可能允许攻击者或未经授权的用户从设备中检索敏感数据,即使会话结束后也是如此。
何时发送此事件
在会话启动期间,CWA 会自动检测 Windows Recall 是否在端点上处于活动状态。
- 检测事件:如果检测到 Recall 且会话未启用防屏幕捕获策略,则发送此事件。
- 保护事件:如果检测到 Recall 且会话已启用防屏幕捕获策略,则发送此事件。

事件特定数据
此事件仅使用通用字段;它不包含 resourceType 和 resourceName 之外的任何附加字段。
屏幕捕获检测
当用户或工具尝试截取端点桌面屏幕截图时,会引发屏幕捕获事件。如果启用了 应用程序保护防屏幕捕获 策略,则会话内容将对捕获工具显示为黑色。该工具仍然可以捕获会话外部的桌面区域,但会话内容本身会被遮蔽。
何时发送此事件
当 CWA 检测到屏幕捕获工具在启用并运行防屏幕捕获策略的会话期间主动尝试捕获屏幕时,会发送 screenCaptureEvent。该事件包括工具的名称和路径,以及其签名状态。

DLL 注入检测
DLL(动态链接库)是一种可执行库。当进程将 DLL 注入 Citrix 进程时,就会发生 DLL 注入。注入这些 DLL 的原因多种多样——既有正当的(例如,图形驱动程序、防病毒软件),也有恶意的(例如,拦截网络流量、拦截凭据)。
应用程序保护反 DLL 注入可防止未签名的 DLL 注入到特定的 Citrix 进程中。未签名的 DLL 注入 Citrix 进程被视为 DLL 注入事件。
此事件何时发送
当 CWA 检测到未签名的 DLL 注入受保护的 Citrix 进程且反 DLL 注入策略已启用时,会发送 DLL 注入事件。

数据和事件详情
常见事件架构
所有端点安全事件都共享一个报告给 Director 和 Monitor 的通用信封:
| 字段 | 详细说明 | 示例 |
|---|---|---|
deviceName |
端点计算机名称。 | WORKSTATION-01 |
username |
已登录用户(UPN 格式)。 | john@example.com |
timestamp |
Unix 纪元时间戳(毫秒)。 | 1733805466000 |
osVersion |
端点操作系统版本。 | Windows 11 Pro |
cwaVersion |
端点上的 Citrix Workspace 应用程序版本。 | 25.3.2.196 |
ipAddress |
端点 IP 地址。 | 123.45.67.89 |
version |
事件架构版本。 | 1.0 |
eventType |
安全事件类型的标识符。 | recallEvent |
payloadType |
0 = 检测(已识别威胁);1 = 保护(已缓解)。 | 0 |
component |
生成事件的 CWA 组件。 | AppProtection |
每个事件还包含一个 EndpointSecurityAdditionalData 对象,其中详细列出了以下信息:
| 字段 | 详细信息 | 示例 |
|---|---|---|
resourceType |
与事件关联的资源类型。 | ICA session |
resourceName |
已发布资源的友好名称。 | Prod_Win11_Session |
屏幕捕获事件特定数据
除了通用字段外,EndpointSecurityAdditionalData 还包括:
| 字段 | 事件描述 | 示例 |
|---|---|---|
screenCaptureToolName |
检测到的工具的可执行文件名称。 | obs64.exe |
screenCaptureToolPath |
工具可执行文件的完整文件系统路径。 | C:\Program Files\obs-studio\bin\64bit |
signed |
检测到的可执行文件是否经过数字签名。 | true |
DLL 注入事件特定数据
除了通用字段之外,管理员还可以查看 DLL 的路径:
| 字段 | 详细信息 | 示例 |
|---|---|---|
dllPath |
注入的未签名 DLL 的完整文件系统路径。 | C:\Program Files\abc.dll |