配置 App Protection
App Protection 可以在您使用 Citrix Workspace 应用程序时提供增强的安全性。该功能限制了客户端被键盘记录和屏幕捕获恶意软件入侵的能力。App Protection 可防止泄露屏幕上显示的用户凭据和敏感信息等机密信息。该功能可防止用户和攻击者截取屏幕截图以及使用键盘记录器收集和利用敏感信息。
本文介绍如何在不同平台上的 Citrix Workspace 应用程序中配置 App Protection。
App Protection 在 Citrix Workspace 应用程序上可用,适用于以下平台:
- 适用于 Windows 的 Citrix Workspace 应用程序
- 适用于 Linux 的 Citrix Workspace 应用程序
- 适用于 Mac 的 Citrix Workspace 应用程序
免责声明
App Protection 策略筛选对基础操作系统所需功能的访问权限。需要特定的 API 调用才能捕获屏幕或按下键盘。App Protection 策略甚至能够针对自定义的专用黑客工具提供保护。但是,随着操作系统的发展,捕获屏幕和记录键盘的新方法可能会出现。虽然我们会继续识别和解决这些问题,但我们无法保证在特定配置和部署中提供充足的保护。
适用于 Windows 的 Citrix Workspace 应用程序
必备条件
- Citrix Virtual Apps and Desktops 版本 1912 LTSR 或更高版本。
- StoreFront 1912 LTSR 或 Workspace。
- Citrix Workspace 应用程序 2203.1 LTSR 或更高版本。
- 有效的 App Protection 许可证
-
自 Citrix Workspace 应用程序版本 2212 起,App Protection 组件是在安装 Citrix Workspace 应用程序期间默认安装的。
安装期间出现的启用 App Protection 复选框将被替换为安装后启动 App Protection。
-
对于 2311 之前的 Citrix Workspace 应用程序版本:
-
自 Citrix Workspace 应用程序版本 2311 起:
选中此复选框后,App Protection 将在安装后立即启动。
注意:
如果您未启用此复选框,则对于有权使用 App Protection 的客户,App Protection 会在首次启动受保护的资源或组件时自动启动。
-
配置
为适用于 Windows 的 Citrix Workspace 应用程序配置以下 App Protection 功能:
-
反键盘记录和防屏幕捕获:
- 对于 Virtual Apps and Desktops,请参阅为 Virtual Apps and Desktops 配置反键盘记录和防屏幕捕获。
- 对于 Web 和 SaaS 应用程序,请参阅为 Web 和 SaaS 应用程序配置反键盘记录和防屏幕捕获。
- 对于身份验证和自助服务插件:
- 使用 Global App Configuration Service 用户界面,请参阅使用 Global App Configuration Service 用户界面为身份验证和自助服务插件配置反键盘记录和防屏幕捕获
- 使用组策略对象,请参阅使用组策略对象为身份验证和自助服务插件配置反键盘记录和防屏幕捕获
- 使用 API,请参阅使用 GACS API 为身份验证和自助服务插件配置反键盘记录和防屏幕捕获
- 要配置反 DLL 注入功能,请参阅配置反 DLL 注入功能。
- 要配置 App Protection 策略篡改,请参阅配置 App Protection 策略篡改。
- 要配置 App Protection 状态检查,请参阅配置 App Protection 状态检查。
- 要启用“阻止 DoubleHop 启动”设置,请参阅阻止 DoubleHop 启动。
限制
- 此功能仅在 Windows 11 和 Windows 10 等桌面操作系统中受支持。
- 自版本 2006.1 起,Windows 7 不支持 Citrix Workspace 应用程序。因此,App Protection 在 Windows 7 中不起作用。有关详细信息,请参阅弃用。
- 远程桌面协议 (RDP) 不支持此功能。
命令行接口
可以使用 /startappprotection 命令行参数启动 App Protection 组件。但是,先前的 /includeappprotection 开关已弃用。
下表提供了有关受保护的屏幕的信息,具体取决于部署:
| App Protection 部署 | 受保护的屏幕 | 不受保护的屏幕 |
|---|---|---|
| 包含在 Citrix Workspace 应用程序中 | 自助服务插件和身份验证管理器/用户证书对话框 | 连接中心、设备、Citrix Workspace 应用程序错误消息、客户端自动重新连接、添加帐户 |
| 在 Controller 上配置 | ICA 会话屏幕(应用程序和桌面) | 连接中心、设备、Citrix Workspace 应用程序错误消息、客户端自动重新连接、添加帐户 |
当您创建屏幕截图时,只有受保护的窗口停止运行。您可以创建受保护窗口外部的区域的屏幕截图。但是,如果使用 PrtScr 键捕获 Windows 10 设备上的屏幕截图,则必须最小化受保护的窗口。
以前,Citrix 身份验证和 Citrix Workspace 应用程序屏幕默认强制执行防屏幕捕获和反键盘记录功能。但是,自 2212 起,这些功能默认处于禁用状态,需要使用组策略对象进行配置。
注意:
此 GPO 策略不适用于 ICA 和 SaaS 会话。ICA 和 SaaS 会话继续使用 Delivery Controller 和 Citrix Secure Private Access 进行控制。
App Protection 增强功能:
在适用于 Windows 的 Citrix Workspace 应用程序 2305 及更高版本中,如果满足以下条件之一,则会在身份验证和自助服务插件屏幕上启用反键盘记录:
- 您已使用以下任一方式启用了 App Protection:
- 在安装过程中选中启动 App Protection复选框。
- 使用 /startappprotection 命令行参数启动 App Protection 组件。
- 如果您尚未在安装过程中选中启动 App Protection 复选框或者尚未使用 /startappprotection 命令行参数,则在启动第一个受保护的资源后将启用反键盘记录保护。
注意:
Global App Configuration Service 和组策略对象设置会覆盖上述行为。例如,如果您对这些屏幕禁用了 GACS 或 GPO 策略,则在身份验证和 SSP 屏幕上未启用反键盘记录。
适用于 Linux 的 Citrix Workspace 应用程序
自版本 2108 起,App Protection 功能现已完全起作用。此功能支持 Virtual Apps and Desktops,并且默认处于启用状态。但是,您必须在 AuthManConfig.xml 文件中配置 App Protection 功能,才能对身份验证管理器和自助服务插件界面启用该功能。
必备条件
App Protection 功能最适合以下操作系统以及 Gnome Display Manager:
- 64 位 Ubuntu 22.04、Ubuntu 20.04 和 Ubuntu 18.04
- 64 位 Debian 10 和 Debian 9
- 64 位 CentOS 7
- 64 位 RHEL 7
- ARMHF 32 位 Raspberry Pi OS(基于 Debian 10 (buster))
- ARM64 Raspberry Pi OS(基于 Debian 11 (bullseye))
注意:
如果您使用的 Citrix Workspace 应用程序早于 2204 版,App Protection 功能将不支持使用
glibc2.34 或更高版本的操作系统。如果在使用
glibc2.34 或更高版本的操作系统中安装启用了 App Protection 功能的 Citrix Workspace 应用程序,操作系统引导在重新启动系统时可能会失败。要从操作系统引导失败进行恢复,请执行以下任一操作:
- 重新安装操作系统。
- 转至操作系统恢复模式,然后使用终端卸载 Citrix Workspace 应用程序。
- 通过实时操作系统进行引导,并从现有操作系统中删除
rm -rf /etc/ld.so.preload文件。
安装 App Protection 组件
-
使用 tarball 软件包安装 Citrix Workspace 应用程序时,将显示以下消息:是否要安装 App Protection 组件? 警告: 不能禁用此功能。必须卸载 Citrix Workspace 应用程序,才能将其禁用。有关详细信息,请与系统管理员联系。[default $INSTALLER_N]:
-
输入 Y 以安装 App Protection 组件。默认不安装 App Protection 组件。
-
重新启动您的计算机以使更改反映出来。只有在您重新启动计算机后,App Protection 功能才能按预期运行。
安装 RPM 软件包中的 App Protection 组件
自版本 2104 起,Citrix Workspace 应用程序的 RPM 版本支持 App Protection 功能。
要安装 App Protection 组件,请执行以下操作:
- 安装 Citrix Workspace 应用程序。
- 从 Citrix Workspace 应用程序安装程序中安装 App Protection
ctxappprotection<version>.rpm软件包。 - 重新启动系统以使更改反映出来。
安装 Debian 软件包中的 App Protection 组件
自版本 2101 起,Citrix Workspace 应用程序的 Debian 版本支持 App Protection 功能。
要安装 App Protection 组件,请在安装 Citrix Workspace 应用程序之前从终端运行以下命令:
export DEBIAN_FRONTEND="noninteractive"
sudo debconf-set-selections <<< "icaclient app_protection/install_app_protection select yes"
sudo debconf-show icaclient
* app_protection/install_app_protection: yes
sudo apt install -f ./icaclient_<version>._amd64.deb
<!--NeedCopy-->
自版本 2106 起,Citrix Workspace 应用程序引入了一个选项,用于同时为身份验证管理器和自助服务插件界面分别配置反键盘记录和防屏幕捕获功能。
配置
为适用于 Linux 的 Citrix Workspace 应用程序配置以下 App Protection 功能:
- 要为“身份验证”屏幕配置反键盘记录和防屏幕捕获,请参阅配置对身份验证管理器使用 AuthManConfig.xml。
- 要为“自助服务插件”屏幕配置反键盘记录和防屏幕捕获,请参阅配置对自助服务插件界面使用 AuthManConfig.xml。
- 要为 Virtual Apps and Desktops 配置反键盘记录和防屏幕捕获,请参阅为 Virtual Apps and Desktops 配置反键盘记录和防屏幕捕获。
- 要配置 App Protection 策略篡改,请参阅配置 App Protection 策略篡改。
- 要配置 App Protection 状态检查,请参阅配置 App Protection 状态检查。
适用于 Mac 的 Citrix Workspace 应用程序
为适用于 Mac 的 Citrix Workspace 应用程序配置以下 App Protection 功能:
- 要使用 Global App Configuration Service 用户界面为身份验证和自助服务插件配置反键盘记录和防屏幕捕获,请参阅使用 Global App Configuration Service 用户界面为身份验证和自助服务插件配置反键盘记录和防屏幕捕获。
- 要使用 API 为身份验证和自助服务插件配置反键盘记录和防屏幕捕获,请参阅使用 GACS API 为身份验证和自助服务插件配置反键盘记录和防屏幕捕获。
- 要为 Virtual Apps and Desktops 配置反键盘记录和防屏幕捕获,请参阅为 Virtual Apps and Desktops 配置反键盘记录和防屏幕捕获。
- 要为 Web 和 SaaS 应用程序配置反键盘记录和防屏幕捕获,请参阅为 Web 和 SaaS 应用程序配置反键盘记录和防屏幕捕获。
- 要配置 App Protection 策略篡改,请参阅配置 App Protection 策略篡改。
- 要配置 App Protection 状态检查,请参阅配置 App Protection 状态检查。
建议
App Protection 策略主要侧重于增强端点的安全性和保护。查看针对您的环境的所有其他安全建议和策略。可以在风险容忍度低的环境中使用安全性与控制策略模板设置建议的配置。有关详细信息,请参阅策略模板。