Citrix Workspace-App

App Protection-Funktionen

In diesem Artikel werden die App Protection-Funktionen beschrieben, die von der Citrix Workspace-App für Windows, der Citrix Workspace-App für Linux und der Citrix Workspace-App für Mac unterstützt werden.

Keyloggingschutz

Für Citrix Workspace-App für Windows, Linux und Mac

Bei Verschlüsselung verschlüsseln die App Protection-Funktionen zum Keyloggingschutz den Text, den Benutzer auf der physischen bzw. Bildschirmtastatur eingeben. Der Keyloggingschutz verschlüsselt den Text, bevor ein Keylogging-Tool von der Kernel- oder Betriebssystemebene aus darauf zugreifen kann. Ein auf dem Client-Endpunkt installierter Keylogger, der die Daten vom Betriebssystem oder Treiber liest, erfasst Hash-Text anstelle der vom Benutzer eingegebenen Tastatureingaben. App Protection-Richtlinien sind nicht nur für veröffentlichte Anwendungen und Desktops aktiv, sondern auch für Dialogfelder zur Citrix Workspace-Authentifizierung. Ihre Citrix Workspace-App ist geschützt, sobald Ihre Benutzer das erste Dialogfeld zur Authentifizierung öffnen. App Protection verschlüsselt Tastatureingaben und gibt nicht entschlüsselbaren Text an Keylogger zurück.

Administratoren können den Keyloggingschutz für folgende Ressourcentypen aktivieren:

  • Virtual Apps and Desktops
  • Interne Web- und SaaS-Apps
  • Authentifizierungsbildschirme
  • Bildschirme des Self-Service-Plug-Ins (SSP)

Verhalten beim Öffnen einer App mit Keyloggingschutz in Citrix Workspace-App für Android

Das Keyloggingschutz-Feature von App Protection wird in Citrix Workspace-App für Android noch nicht unterstützt. Wenn Sie versuchen, eine App mit aktiviertem Keyloggingschutz zu öffnen, wird die App nicht geöffnet und Sie erhalten die folgende Fehlermeldung:

Der Start dieser Ressource wurde von Ihrem Administrator aus Sicherheitsgründen deaktiviert

Apps mit deaktiviertem Keyloggingschutz

Screenschotschutz

Für Citrix Workspace-App für Windows, Linux und Mac

Der Screenshotschutz verhindert, dass Apps in einer Sitzung mit virtueller App oder virtuellem Desktop den Bildschirm aufnehmen oder aufzeichnen können. Die Software zur Screenshotaufnahme kann keine Inhalte innerhalb des Aufnahmebereichs erkennen. Der von der App ausgewählte Bereich ist ausgegraut, oder die App erfasst nichts anstelle des Bildschirmausschnitts, der kopiert werden soll. Der Screenshotschutz gilt für Snip & Sketch, das Snipping-Tool und den Tastaturbefehl Umschalt+Strg+Druck unter Windows.

Ein weiterer Anwendungsfall für den Screenshotschutz ist die verhinderte Weitergabe vertraulicher Daten in virtuellen Besprechungs- oder Webkonferenzanwendungen wie GoToMeeting, Microsoft Teams oder Zoom. App Protection verhindert eine unbeabsichtigte Freigabe, indem in Webkonferenzen bei geschützten Apps ein leerer Bildschirm angezeigt wird. Dieses Feature sorgt dafür, dass vertrauliche Daten nicht versehentlich aus dem Unternehmen gelangen. Es kann in regulierten Branchen zur Einhaltung der Vorschriften beitragen, da die Absicht bei der Offenlegung einer Datenschutzverletzung nicht berücksichtigt wird.

Administratoren können wählen, ob der Screenshotschutz für die folgenden Ressourcentypen aktiviert werden soll:

  • Virtual Apps and Desktops
  • Interne Web- und SaaS-Apps
  • Authentifizierungsbildschirme
  • Bildschirme des Self-Service-Plug-Ins (SSP)

Hinweis:

Wenn Sie zwei virtuelle Desktops gestartet haben und auf einem der virtuellen Desktops die Screenshotschutzfunktion aktiviert ist und auf dem anderen virtuellen Desktop nicht, dann gilt die Screenshotschutzfunktion für beide virtuellen Desktops. Sie können von keinem der virtuellen Desktops Screenshots erstellen.

Falls Sie den virtuellen Desktop, für den der Screenshotschutz aktiviert ist, minimiert haben, gilt die Screenshotschutzfunktion weiterhin für den virtuellen Desktop, bei dem die Screenshotschutzfunktion nicht aktiviert ist.

Erkennung und Benachrichtigung bei Screenshot

In der Citrix Workspace-App können Sie eine Benachrichtigung anzeigen, wenn versucht wird, einen Screenshot einer geschützten Ressource zu erstellen. Weitere Informationen zu den von App Protection geschützten Ressourcen finden Sie unter Was wird durch App Protection geschützt? In Citrix Workspace-App können Sie eine Benachrichtigung anzeigen, wenn versucht wird, einen Screenshot einer geschützten Ressource zu erstellen. Weitere Informationen zu den von App Protection geschützten Ressourcen finden Sie unter Was wird durch App Protection geschützt?

Die Benachrichtigung wird in folgenden Fällen angezeigt:

  • Versuch der Erstellung eines Screenshots oder Videos über ein Screenshot-Tool
  • Versuch der Erstellung eines Screenshots über die Taste “Druck/S-Abf”

Hinweis:

  • Die Benachrichtigung wird nur einmal pro ausgeführter Instanz des Screenshot-Tools angezeigt. Die Benachrichtigung wird erneut angezeigt, wenn Sie das Tool neu starten und versuchen, den Bildschirm aufzuzeichnen.
  • In der Citrix Workspace-App für Windows 2212 und höher sind Anmeldefenster und Fenster des Self-Service-Store standardmäßig nicht geschützt.

Für Citrix Workspace-App für Android

Das Feature beschränkt die Möglichkeit, dass Clients durch Screenshot-Malware kompromittiert werden. Außerdem verhindert es unbefugte Bildschirmaufnahmen, Aufzeichnungen, Spiegelung, Bildschirmübertragung und App-Wechsel.

Die Anti-Screenshot-Funktion ist für Authentifizierungsprozesse, Web- oder SaaS-Apps sowie Citrix Virtual Apps and Desktops verfügbar. Mit der Citrix Workspace-App für Android können Sie keine Screenshots machen. Wenn Sie versuchen, einen Screenshot aufzunehmen, erhalten Sie eine Meldung, dass Sie keine Screenshots machen dürfen.

Administratoren können wählen, ob der Screenshotschutz für die folgenden Ressourcen aktiviert werden soll:

  • Virtual Apps and Desktops
  • Web- und SaaS-Apps
  • Authentifizierungsbildschirme

Ab Version 24.7.0 der Citrix Workspace-App für Android ist der Screenshotschutz standardmäßig verfügbar. Um das Feature zu aktivieren, müssen Sie die im Abschnitt Konfiguration genannten Konfigurationsschritte ausführen.

Einschränkungen:

  • Die App Protection-Richtlinien werden für jeden Store heruntergeladen. Wenn in einem Store die Richtlinien heruntergeladen wurden und Sie zu einem anderen Store wechseln, für den die Richtlinien nicht heruntergeladen wurden, ist der Screenshotschutz im neuen Store nicht aktiv.

  • Der Screenshotschutz wird auf den Authentifizierungsbildschirmen nicht unterstützt, wenn ChromeCustomTab verwendet wird. Dieses Feature wird jedoch unterstützt, wenn die native Authentifizierung oder WebView verwendet wird. ChromeCustomTab ist standardmäßig in den Cloudstores aktiviert und Sie können fir Funktion in WebView ändern, indem Sie den AndroidWebViewType mit dem PowerShell-Modul in Webview ändern. Weitere Informationen finden Sie unter Set-WorkspaceCustomConfigurations.

DLL-Einschleusungsschutz

Der DLL-Einschleusungsschutz schützt die Citrix Workspace-App vor bestimmten nicht autorisierten Dynamic-Link-Bibliotheken (DLL) und nicht vertrauenswürdigen Modulen. Wenn ein solches nicht vertrauenswürdiges Modul eingeschleust wird, erkennt die Citrix Workspace-App den Eingriff und stoppt das Laden des Moduls. Wenn vor dem Start der Sitzung eine nicht vertrauenswürdige oder bösartige DLL erkannt wird, blockiert App Protection den Sitzungsstart und zeigt eine Fehlermeldung an. Beim Schließen der Fehlermeldung wird die virtuelle App- und Desktop-Sitzung beendet.

Dieses Feature gilt für alle geschützten virtuellen Apps und Desktops sowie für den Authentifizierungsbildschirm der Citrix Workspace-App (On-Premises-Bereitstellung/StoreFront).

Mit dieser Verbesserung wird die Sitzung sofort beendet, wenn bestimmte nicht vertrauenswürdige oder schädliche DLLs in der geschützten Komponente vorhanden sind.

Fehlgeschlagener Start

Es wird jetzt eine Benachrichtigung angezeigt, wenn eine nicht vertrauenswürdige oder schädliche DLL blockiert wird. Beim Schließen der Meldung wird die virtuelle App- und Desktop-Sitzung beendet.

Verdächtiger Alarm

Hinweis:Diese Funktion filtert den Zugriff auf erforderliche Funktionen des zugrunde liegenden Betriebssystems (spezifische API-Aufrufe zum Laden von DLLs). Damit schützt es sogar vor bestimmten benutzerdefinierten und speziell entwickelten Hackertools. Die Weiterentwicklung von Betriebssystemen öffnet jedoch immer wieder neue Einfallstore für das Laden von DLLs. Darum ist kein hundertprozentiger Schutz möglich, auch wenn wir diese Schwachstellen kontinuierlich identifizieren und korrigieren.

Dieses Feature unterstützt die Citrix Workspace-App für Windows ab Version 2206.

Hinweis:

Bisher wurden der Screenshotschutz und der Keyloggingschutz für Citrix Authentifizierung und Citrix Workspace-App-Bildschirme standardmäßig erzwungen. Ab Release 2212 sind diese Funktionen standardmäßig deaktiviert und müssen über das Gruppenrichtlinienobjekt konfiguriert werden. Informationen über die GPO-Konfiguration finden Sie unter Verbesserung der Konfiguration von App Protection.

Kompatibilität mit HDX-Optimierung für Microsoft Teams

Optimiertes Microsoft Teams unterstützt die Bildschirmfreigabe nur, wenn die Citrix Workspace-App mit aktiviertem App Protection im Desktop Viewer-Modus ist. Wenn Sie in Microsoft Teams auf Inhalt freigeben zeigt die Bildschirmauswahl folgende Optionen an:

  • Option Fenster zum Freigeben geöffneter Apps: Diese Option wird nur angezeigt, wenn die VDA-Version 2109 oder höher ist.
  • Desktop-Option zum Freigeben der Inhalte auf Ihrem VDA-Desktop: Diese Option wird nur für die folgenden Versionen der Citrix Workspace-App angezeigt:
    • Citrix Workspace-App für Linux, Version 2311 oder später
    • Citrix Workspace-App für Mac Version 2308 oder später
    • Citrix Workspace-App für Windows Version 2309 oder später

Hinweis:

Für die Citrix Workspace-App für Linux ist die Option zur Desktopfreigabe standardmäßig deaktiviert. Um sie zu aktivieren, fügen Sie Ihrer config.json-Datei den Parameter UseGbufferScreenSharing wie folgt hinzu:

mkdir -p /var/.config/citrix/hdx_rtc_engine
vim /var/.config/citrix/hdx_rtc_engine/config.json
{
      "UseGbufferScreenSharing":1
}
<!--NeedCopy-->

Optimiertes Microsoft Teams mit aktivierter App Protection unterstützt auch das virtuelle Citrix Anzeigelayout zur separaten Freigabe jedes virtuellen Bildschirms.

Einschränkung:

  • Optimiertes Microsoft Teams mit App Protection unterstützt keine Bildschirmfreigabe auf veröffentlichten Desktops mit lokalem App-Zugriff (LAA).
  • Am Client (z. B. per Browserinhaltsumleitung) angezeigte Inhalte können nicht erfasst oder freigegeben werden. Wenn Sie versuchen, einen Screenshot zu erstellen, wird dieser schwarz angezeigt.

Hinweis:

Dieses Feature ist für die Citrix Workspace-App für Linux als Technical Preview verfügbar.

Lokales App Protection (Preview)

App Protection bietet erhöhte Sicherheit zum Schutz der Kunden vor Keyloggern und versehentlicher oder böswilliger Screenshoterstellung auf Endpunkten. Derzeit wird App Protection nur für Workspace-Ressourcen angeboten. Mit diesem Feature werden die App Protection-Funktionen auf lokale Apps auf Endpunkten erweitert. Ab Citrix Workspace-App 2210 für Windows kann App Protection auf lokale Apps auf Windows-Geräten angewendet werden.

Registrieren Sie sich mit dem Podio-Formular für die Vorschau dieses Features.

Erkennung von Richtlinienmanipulationen

Das Feature zur Erkennung von Richtlinienmanipulationen verhindert den Benutzerzugriff auf eine virtuelle App- oder Desktopsitzung, wenn die Richtlinien zu Screenshotschutz und Keyloggingschutz in App Protection manipuliert wurden. Wenn eine Richtlinienmanipulation festgestellt wurde, wird die virtuelle App- oder Desktopsitzung beendet.

Hinweis:

Das Feature zur Erkennung von Richtlinienmanipulationen wird ab einer zukünftigen Version standardmäßig aktiviert sein.

Informationen zum Konfigurieren der Erkennung von Richtlinienmanipulationen finden Sie unter Erkennung von Richtlinienmanipulationen konfigurieren.

Posture Check

Aktivieren Sie App Protection Posture Check, um den Start virtueller Apps und Desktops zu erkennen und zu blockieren, wenn die verwendeten App Protection-Richtlinien aus einer Citrix Workspace-Appversion stammen, die die Erkennung von Richtlinienmanipulationen nicht unterstützt.

Hinweis:

Wenn Posture Check aktiviert ist und Sie die Version der Citrix Workspace-App verwenden, die Posture Check nicht unterstützt, werden Sitzungen mit App Protection-Richtlinien beendet.

Informationen zur Konfiguration von Posture Check finden Sie unter Posture Check konfigurieren.

Einschränkung:

Posture Check funktioniert sporadisch nicht, wenn Sie Windows Workstation-VDAs verwenden, die auf Microsoft Azure mit VDA 2308 gehostet werden. Diese Einschränkung wurde in VDA-Version 2311 und höher behoben.

App Protection-Unterstützung für das Double-Hop-Szenario

Ab der Version 2405 von Citrix Workspace-App für Windows wird App Protection für das Double-Hop-Szenario unterstützt, wenn es auf einem Workstation-VDA (wie Windows 10 oder Windows 11) für einen Einzelsitzungs-VDA installiert wird.

Double-Hop bezeichnet ein Szenario, in dem eine Citrix Virtual App- oder Virtual Desktop-Sitzung innerhalb einer Citrix Virtual Desktop-Sitzung ausgeführt wird. Weitere Informationen finden Sie unter Double-Hop in Citrix Virtual Apps and Desktops.

Das folgende Bild beschreibt das Double-Hop-Szenario:

Double-Hop

App Protection mit Double-Hop bedeutet, dass die App Protection-Richtlinien auf den virtuellen Apps und Desktops aktiviert sind, die vom ersten Hop an geöffnet werden.

Der erste Hop, bei dem das App Protection-Feature aktiviert ist und von dem aus Sie die geschützten virtuellen Apps oder Desktops öffnen, kann ein Mehrsitzungs-OS-VDA oder ein Einzelsitzungs-OS-VDA sein.

Im Folgenden sind die erwarteten Verhaltensweisen für App Protection mit Double-Hop auf Betriebssystem-VDA mit mehreren Sitzungen und VDA für Einzelsitzungen aufgeführt:

App Protection im Multisitzungs-OS VDA

App Protection wird in einem Betriebssystem-VDA mit mehreren Sitzungen (wie Windows Server 2k19 oder Windows Server 2k22) nicht unterstützt. Daher darf App Protection auf solchen Maschinen nicht installiert werden.

Sie können Citrix Workspace-App ohne App Protection auf einem Betriebssystem mit mehreren Sitzungen installieren. Ressourcen, die mit App Protection-Richtlinien aktiviert sind, werden jedoch nicht aufgelistet und können in einem Betriebssystem-VDA mit mehreren Sitzungen nicht geöffnet werden.

App Protection im Einzelsitzungs-OS VDA

Mit der Version 2405 von Citrix Workspace-App für Windows werden die App Protection-Features unterstützt, wenn sie auf einem Workstation-VDA (wie Windows 10 oder Windows 11) installiert sind.

Die folgenden Features werden derzeit unterstützt:

Welches Szenario wird unterstützt?

Wenn die zweite virtuelle Hop-App oder der Desktop mit Anti-Screenaufnahme und Keyloggingschutz in der ersten virtuellen Hop-Desktop-Sitzung geöffnet wird, ist sie vor Screenshot- und Keylogging-Tools geschützt, die in der ersten virtuellen Hop-Desktopsitzung ausgeführt werden.

Welches Szenario wird nicht unterstützt?

  • Wenn auf dem virtuellen First-Hop-Desktop keine App Protection-Richtlinien aktiviert sind, ist es möglich, dass auf dem Kundenendpunkt installierte Screenshot- und Keylogging-Tools Bildschirme oder Tastatureingaben erfassen, auch wenn für den zweiten Hop die App Protection-Richtlinien aktiviert sind.

  • Wenn der Endbenutzer über eine RDP-Sitzung auf die erste Hop-Maschine zugreift, wird App Protection für den zweiten Hop nicht unterstützt.

Dieses Feature ist standardmäßig aktiviert und benötigt daher keine separate Konfiguration. Der Administrator muss die App Protection-Richtlinien für die Ressourcen konfigurieren.

Empfehlung für umfassenden Schutz

Um einen umfassenden Schutz zu gewährleisten, wird empfohlen, App Protection-Richtlinien für jeden Hop (sowohl beim ersten als auch beim zweiten) zu aktivieren. Auf diese Weise können Keylogging- und Screenshot-Tools, die entweder auf dem Client oder im ersten Hop ausgeführt werden, den sensiblen Inhalt der zweiten Hop-Sitzung nicht erfassen.

Double-Hop-Start blockieren

App Protection-Features werden in einem Double-Hop-Szenario nicht unterstützt, wenn Sie Citrix Workspace-App für Windows verwenden, die älter als 2405 sind. Sie dürfen virtuelle Apps, Desktops, Web-Apps oder SaaS-Apps, die mit App Protection-Richtlinien aktiviert sind, in einem Double-Hop-Szenario öffnen. Die App Protection-Features wurden jedoch nicht angewendet.

Sie können das Öffnen von virtuellen Apps, Desktops, Web-Apps oder SaaS-Apps blockieren, die mit dem App Protection-Feature in einem Double-Hop-Szenario aktiviert sind.

Weitere Informationen zur Aktivierung der Einstellung Double-Hop-Start blockieren finden Sie unter Einstellung “Double-Hop-Start blockieren” aktivieren.

Citrix Analytics Service für App Protection

Wenn Sie Citrix Virtual Apps and Desktops verwenden, werden Benutzerereignisse generiert, die den Aktivitäten und Aktionen der Benutzer entsprechen. Citrix Analytics für Sicherheit verfügt über ein Feature namens Self-Service-Suche, die diese Benutzerereignisse aufzeichnet und Ihnen Einblicke in sie bietet. Mithilfe der Self-Service-Suche können Sie diese Benutzerereignisse finden, filtern und untersuchen, sodass Sie nachvollziehen können, welches Benutzerereignis stattgefunden hat, und je nach Schweregrad des Ereignisses Maßnahmen ergreifen. Weitere Informationen zur Self-Service-Suche finden Sie unter Self-Service-Suche.

Die Self-Service-Suche für Virtual Apps and Desktops hat den Ereignistyp AppProtection.ScreenCapture, mit dem Sie feststellen können, ob versucht wird, Screenshots der virtuellen Apps oder Desktops zu erstellen, für die App Protection-Richtlinien aktiviert sind. Weitere Informationen zur Suche nach einem Benutzerereignis finden Sie unter Suchabfrage zum Filtern von Ereignissen angeben.

Dieser Service bietet die folgenden Informationen:

  • Geräte-ID
  • Geschützte App-Titel
  • Zusätzliche Informationen zum Betriebssystem
  • Name des Screenshot-Tools
  • Pfad zum Screenshot-Tool

Screenshotschutz in CAS

Positivliste für Screenshots

Wenn für die Citrix Workspace-App, Virtual Apps and Desktops oder SaaS-Apps die Screenshotschutz-Richtlinie von App Protection aktiviert ist, können für sie keine Screenshots mit beliebigen Screenshot-Tools aufgenommen werden.

Ab der Version 2402 der Citrix Workspace-App für Windows können Sie jedoch mit dem Feature „Positivliste für Screenshots“ eine App zur Positivliste für Screenshots hinzufügen. Dieses Feature ermöglicht die Verwendung der App auf der Positivliste zum Aufnehmen von Screenshots für die Ressource, für die die Screenshotschutz-Richtlinie von App Protection aktiviert ist. Informationen zum Hinzufügen einer App zur Positivliste für Screenshots finden Sie unter Positivliste für Screenshots konfigurieren.

Wichtig:

Es wird nicht empfohlen, eine App, die auf der Positivliste steht, über einen längeren Zeitraum auf Ihrem Gerät auszuführen, da dies die Sicherheit beeinträchtigt. Sie können die Apps auf der Positivliste verwenden, um Ihren Bildschirm vorübergehend in Szenarien wie der Fehlerbehebung zu teilen. Es wird empfohlen, die folgenden Bedingungen einzuhalten:

  • Führen Sie die App auf der Positivliste für einen kurzen Zeitraum zusammen mit der Ressource aus, für die das Screenshotschutz-Feature von App Protection aktiviert ist.
  • Beenden Sie die App auf der Positivliste sofort, nachdem die erforderliche Aufgabe abgeschlossen ist.
  • Fügen Sie ein Wasserzeichen hinzu, wenn Sie den Bildschirm teilen und gleichzeitig die Ressource verwenden, für die das Screenshotschutz-Feature von App Protection aktiviert ist, um mehr Sicherheit zu gewährleisten.

Ausschlussliste für Prozesse

Wenn Sie einen Prozess oder eine Anwendung auf Ihrem Gerät starten, werden App Protection-DLLs in jeden Prozess eingefügt, sofern App Protection aktiviert ist. Manchmal kann dies dazu führen, dass der Prozess oder die Anwendung aufgrund von Kompatibilitätsproblemen mit der DLL nicht funktioniert.

Ab der Version 2402 der Citrix Workspace-App für Windows können Sie jeden Prozess zur Prozessausschlussliste hinzufügen, um zu verhindern, dass die App Protection-DLL in diesen bestimmten Prozess eingeschleust wird, und um alle Kompatibilitätsprobleme zu beheben, die durch das Vorhandensein von App Protection-DLLs verursacht wurden. Informationen zum Konfigurieren der Prozessausschlussliste finden Sie unter Prozessausschlussliste konfigurieren.

Wichtig:

Es wird nicht empfohlen, Prozesse auszuschließen, da dies die Sicherheit beeinträchtigt. Sie können dieses Feature verwenden, um die Nutzung der Anwendung vorübergehend zu entsperren und ein Support-Ticket für weitere Untersuchungen zu erstellen.

Ausschlussliste für USB-Filtertreiber

Wenn Sie spezielle externe Tastaturen wie Gaming-Tastaturen mit der Citrix Workspace-App verwenden, kann der USB-Filtertreiber von App Protection manchmal Kompatibilitätsprobleme verursachen und Sie daran hindern, die Tastatur zu verwenden.

Ab der Version 2402 der Citrix Workspace-App für Windows können Sie mit dem Feature „Ausschlussliste für USB-Filtertreiber“ jedes USB-Gerät ausschließen, das Kompatibilitätsprobleme mit der Citrix Workspace-App hat, indem Sie die Anbieter-ID und die Produkt-ID verwenden. Informationen zum Hinzufügen eines Geräts zur Ausschlussliste für USB-Filtertreiber finden Sie unter Ausschlussliste für USB-Filtertreiber konfigurieren.

Hinweis:

Es wird nicht empfohlen, Geräte dauerhaft auszuschließen. Verwenden Sie dieses Feature, um den Benutzer vorübergehend zu entsperren, damit er das Gerät nutzen und ein Support-Ticket erstellen kann, um das Kompatibilitätsproblem weiter zu untersuchen.