App Protection 功能
本文重点介绍了适用于 Windows 的 Citrix Workspace 应用程序、适用于 Linux 的 Citrix Workspace 应用程序和适用于 Mac 的 Citrix Workspace 应用程序支持的 App Protection 功能。
反键盘记录
通过加密,App Protection 功能的的反键盘记录功能会对用户在物理键盘和屏幕键盘上键入的文本进行加密。在任何键盘记录工具可以从内核或操作系统级别访问文本之前,反键盘记录功能都会对文本进行加密。安装在客户端端点上从操作系统或驱动程序中读取数据的键盘记录器将捕获哈希文本,而非用户正在键入的按键。App Protection 策略不仅对已发布的应用程序和桌面有效,对 Citrix Workspace 身份验证对话框也是如此。从用户打开第一个身份验证对话框的那一刻起,您的 Citrix Workspace 就会受到保护。App Protection 会扰乱按键,将无法理解的文本返回给按键记录器。
管理员可以选择为以下类型的资源启用反键盘记录:
- Virtual Apps and Desktops
- 内部 Web 和 SaaS 应用程序
- 身份验证屏幕
- 自助服务插件 (SSP) 屏幕
防屏幕捕获
防屏幕捕获可防止应用程序尝试在虚拟应用程序或桌面会话中截取屏幕截图或录制屏幕。屏幕捕获软件无法检测捕获区域内的内容。应用程序选择的区域显示为灰色,或者应用程序除了要复制的屏幕部分外,不捕获任何对象。防屏幕捕获功能适用于 Windows 上的 截屏和草图、截图工具和 Shift+Ctrl+Print Screen。
防屏幕捕获的另一个用例是防止在 GoToMeeting、Microsoft Teams 或 Zoom 等虚拟会议或网络会议应用程序中共享敏感数据。当应用程序受到保护时,App Protection 功能会在 Web 会议中返回空白屏幕,从而防止意外共享。此功能可确保敏感数据不会意外从组织泄露。此功能有助于遵守受监管行业的合规性,因为在披露数据泄露时不考虑意图。
管理员可以选择为以下类型的资源启用防屏幕捕获:
- Virtual Apps and Desktops
- 内部 Web 和 SaaS 应用程序
- 身份验证屏幕
- 自助服务插件 (SSP) 屏幕
注意:
如果您启动了两个虚拟桌面,其中一个虚拟桌面启用了防屏幕捕获功能,而另一个虚拟桌面未启用防屏幕捕获功能,防屏幕捕获功能将同时应用到这两个虚拟桌面。您无法截取任何一个虚拟桌面的屏幕截图。
如果您已最小化启用了防屏幕捕获的虚拟桌面,则防屏幕捕获功能仍然应用于没有防屏幕捕获功能的虚拟桌面。
屏幕截图检测和通知
对于 Citrix Workspace 应用程序而言,当有人可能尝试对任何受保护的资源进行屏幕捕获时,您可以查看通知。有关 App Protection 保护的资源的信息,请参阅 [App Protection 保护什么?]。(/en-us/citrix-workspace-app/app-protection.html#what-does-app-protection-protect)
出现以下情况时会显示通知:
- 尝试通过屏幕捕获工具截取屏幕截图或录制视频。
- 尝试通过 Print Screen 键截取屏幕截图。
注意:
- 屏幕捕获工具的每个运行实例仅显示一次。如果您重新启动该工具并尝试捕获屏幕,则会再次显示通知。
- 在适用于 Windows 的 Citrix Workspace 应用程序 2212 及更高版本中,默认情况下,登录窗口和自助服务(应用商店)窗口不受保护。
反 DLL 注入
反 DLL 注入安全增强功能有助于保护 Citrix Workspace 应用程序免受某些未经授权的动态链接库 (DLL) 或不可信模块的侵害。如果注入了此类不可信模块,Citrix Workspace 应用程序会检测到这些干预措施并停止加载这些模块。此外,如果在会话启动之前检测到任何不受信任或恶意的 DLL,App Protection 会阻止会话启动并显示错误消息。关闭错误消息将退出虚拟应用程序和桌面会话。
此功能适用于所有受保护的虚拟应用程序和桌面以及 Citrix Workspace 应用程序身份验证窗口(本地部署/StoreFront)。
当受保护的组件上存在某些不可信或恶意 DLL 时,此增强功能将立即退出会话。
当不可信或恶意 DLL 被阻止时,此增强功能将显示通知。关闭消息将退出虚拟应用程序和桌面会话。
免责声明: 此功能通过筛选对底层操作系统所需功能(加载 DLL 所需的特定 API 调用)的访问来发挥作用。这样做意味着它甚至可以提供保护,使其免受某些自定义和专门构建的黑客工具的侵害。但是,随着操作系统的发展,加载 DLL的新方法可能会出现。虽然我们会继续识别和解决这些问题,但我们无法保证在特定配置和部署中提供充足的保护。
此功能支持适用于 Windows 的 Citrix Workspace 应用程序版本 2206 及更高版本。
注意:
以前,Citrix 身份验证和 Citrix Workspace 应用程序屏幕默认强制执行防屏幕捕获和反键盘记录功能。但是,自 2212 起,这些功能默认处于禁用状态,需要使用组策略对象进行配置。有关 GPO 配置的信息,请参阅 App Protection 配置的增强功能。
与 Microsoft Teams 的 HDX 优化的兼容性
仅当在 Desktop Viewer 模式下为 Citrix Workspace 应用程序启用了 App Protection 时,优化的 Microsoft Teams 才支持屏幕共享。当您在 Microsoft Teams 中单击共享内容时,屏幕选取器会提供以下选项:
- 用于共享任何打开的应用程序的窗口选项 - 仅当 VDA 版本为 2109 或更高版本时才会显示此选项。
- 用于共享您的 VDA 桌面上的内容的桌面选项 - 此选项仅对 Citrix Workspace 应用程序的以下版本显示:
- 适用于 Linux 的 Citrix Workspace 应用程序 2311 或更高版本
- 适用于 Mac 的 Citrix Workspace 应用程序 2308 或更高版本
- 适用于 Windows 的 Citrix Workspace 应用程序 2309 或更高版本
注意:
对于适用于 Linux 的 Citrix Workspace 应用程序,“桌面共享”选项默认处于禁用状态。要将其启用,请在您的 config.json 文件中添加
UseGbufferScreenSharing参数,如下所示:mkdir -p /var/.config/citrix/hdx_rtc_engine vim /var/.config/citrix/hdx_rtc_engine/config.json { "UseGbufferScreenSharing":1 } <!--NeedCopy-->
启用了 App Protection 的优化的 Microsoft Teams 还支持 Citrix 虚拟显示器布局,这允许您分别共享每个虚拟显示器。
限制:
- 优化后的启用了 App Protection 的 Microsoft Teams 不支持在启用了本地应用程序访问 (LAA) 的已发布桌面上共享屏幕。
- 无法捕获或共享客户端呈现的内容,例如使用 BCR 的浏览器内容。如果您尝试截屏,屏幕会显示为黑屏。
注意:
对于适用于 Linux 的 Citrix Workspace 应用程序和适用于 Mac 的 Citrix Workspace 应用程序,此功能目前为技术预览版。
本地 App Protection(预览版)
App Protection 提供增强的安全性,保护客户免受键盘记录器以及意外和恶意屏幕截图的侵害。目前,App Protection 功能仅针对 Workspace 资源提供。借助此功能,App Protection 功能可以扩展到端点上的本地应用程序。自适用于 Windows 的 Citrix Workspace 应用程序 2210 起,App Protection 可以应用到 Windows 设备上的本地应用程序。
使用 Podio 表单注册获取此功能的预览版。
策略篡改检测
如果 App Protection 的防屏幕捕获和反键盘记录策略被篡改,策略篡改检测功能可防止用户访问虚拟应用程序或桌面会话。如果检测到策略篡改,虚拟应用程序或桌面会话将终止。
注意:
策略篡改检测功能在将来的版本中默认处于启用状态。
要配置策略篡改检测,请参阅配置策略篡改检测。
状态检查
要检测和阻止启动不支持策略篡改检测功能的 Citrix Workspace 应用程序版本中启用了 App Protection 策略的虚拟应用程序和桌面,请启用 App Protection 状态检查。
注意:
如果启用了状态检查,并且您使用的是不支持状态检查的 Citrix Workspace 应用程序版本,启用了 App Protection 策略的会话将终止。
要配置状态检查,请参阅配置状态检查。
限制:
当使用 Microsoft Azure 上托管的 Windows 工作站 VDA 时,状态检查会间歇性地停止工作。
在 DoubleHop 场景中使用 App Protection
双跃点场景中不支持 App Protection 功能。双跃点是指在 Citrix Virtual Desktops 会话中运行的 Citrix Virtual Apps 或 Virtual Desktops 会话。在双跃点场景中,您可以启动启用了 App Protection 策略的虚拟应用程序和桌面,但不会应用 App Protection 功能。
自适用于 Windows 的 Citrix Workspace 应用程序 2309 版本起,引入了一个 Windows 组策略来允许您在双跃点场景中阻止启动启用了 App Protection 策略的虚拟应用程序和桌面。有关启用阻止 DoubleHop 启动设置的详细信息,请参阅启用“阻止 DoubleHop 启动”设置。
适用于 App Protection 的 Citrix Analytics Service
当您使用 Citrix Virtual Apps and Desktops 时,会生成与其活动和操作相对应的用户事件。Citrix Analytics for Security 具有一项名为自助搜索的功能,该功能将记录这些用户事件并为您提供有关这些事件的见解。通过自助搜索,您可以查找、筛选和浏览这些用户事件,以便您能够了解完成了哪些用户事件并根据事件的严重性执行操作。有关自助搜索的详细信息,请参阅自助搜索。
面向应用程序和桌面的自助搜索具有事件类型 AppProtection.ScreenCapture,允许您确定是否有人尝试创建启用了 App Protection 策略的虚拟应用程序或桌面的屏幕截图。有关如何搜索用户事件的详细信息,请参阅指定搜索查询以筛选事件。
此服务提供以下信息:
- 设备 ID
- 受保护的应用程序标题
- 操作系统的额外信息
- 屏幕截图工具名称
- 屏幕截图工具路径
