Workspace Environment Management

使用流程层次结构控制保护 Citrix Workspace 环境

在 Citrix Workspace 环境中,某些应用程序可能无法按预期启动。这种情况可能会带来安全风险,尤其是在启动功能强大的 Windows 工具(例如 CMD 和 PowerShell)的情况下。

作为管理员,您可能希望将用户限制为只能启动允许的应用程序。Workspace Environment Management (WEM) 为您提供了流程层次结构控制功能,该功能有助于防止最终用户启动子进程。

您可以控制是否可以在 Citrix Workspace 环境中从其父进程启动某些子进程。在您希望防止意外进程通过已发布的应用程序运行的情况下,此功能非常有用。

本文以 CMD 为例。借助进程层次结构控制,您可以通过阻止通过已发布的应用程序启动 CMD,防止在 Citrix 虚拟应用程序环境中通过 CMD 发起的攻击。使用该功能的常规工作流程如下:

 1. 在 WEM 代理上启用进程层次结构控制

 2. 在 WEM 控制台中配置进程层次结构控制规则

建议

我们建议您使用 WEM 工具 VUEMAppCmd 发布应用程序。该工具可确保 WEM 代理在发布的应用程序启动之前完成处理进程层次结构控制规则。

使用完整配置管理界面编辑应用程序设置,然后添加指向 VUEMAppCmd.exe的可执行文件路径。有关详细信息,请参阅应用程序

应用程序设置

在 WEM 代理上启用进程层次结构控制

要启用该功能,请使用代理计算机上的 AppInfoViewer 工具。该工具位于代理安装文件夹中。启用或禁用该功能后,需要重新启动计算机。

应用程序信息查看器

在 WEM 控制台中配置进程层次结构控制规则

假设你想阻止 CMD 通过记事本启动。要创建流程层次结构控制规则,请完成以下步骤:

 1. 转到旧控制台 > 安全 > 进程层次结构控制,然后选择启用进程层次结构控制

  进程层次控制

 2. 单击添加规则,按如下所示配置设置,然后单击下一步

  注意:

  在此示例中,您将创建一个规则来阻止 CMD 通过记事本启动。您可以使用三种规则类型(路径、发布者和哈希)之一来指定父进程和子进程。在分配下,选择要应用规则的用户。有关这些设置的更多信息,请参阅 流程层次结构控制

  添加流程层次控制规则 1

 3. 将记事本配置为父进程,然后单击下一步

  注意:

  根据您在步骤 2 中选择的规则类型,用户界面会有所不同。

  添加流程层次控制规则 2

 4. 根据需要在规则中添加多个子进程,然后单击 创建

  添加流程层次控制规则 3

这样就完成了规则的创建。代理将阻止 CMD 在 Citrix Workspace 环境中通过记事本启动。

使用流程层次结构控制保护 Citrix Workspace 环境