Sicherheit

App Protection

HAFTUNGSAUSSCHLUSS

Die Richtlinien von App Protection filtern den Zugriff auf erforderliche Funktionen des zugrunde liegenden Betriebssystems. Spezifische API-Aufrufe sind für Screenshots oder das Aufzeichnen von Tastenanschlägen erforderlich. Dieses Feature bewirkt, dass die Richtlinien von App Protection auch vor benutzerdefinierten und speziell entwickelten Hackertools schützen. Die Weiterentwicklung von Betriebssystemen führt jedoch immer wieder zu neuen Einfallstoren für das Keylogging oder die Bildschirmerfassung. Darum ist kein hundertprozentiger Schutz möglich, auch wenn wir diese Schwachstellen kontinuierlich identifizieren und korrigieren.

App Protection ist eine Zusatzfunktion, die erweiterte Sicherheit bei der Verwendung von Citrix Virtual Apps and Desktops bietet. Sie verringert das Risiko, dass Clients durch Keylogging und Screenshot-Malware kompromittiert werden. App Protection verhindert das Exfiltrieren vertraulicher Informationen, wie Benutzeranmeldeinformationen und sensible Informationen, die auf dem Bildschirm angezeigt werden. Die Funktion verhindert, dass Benutzer und Angreifer Screenshots erstellen und Keylogger verwenden, um vertrauliche Informationen zu lesen und zu nutzen.

Hinweise:

  • Diese Funktion wird nur unterstützt, wenn die Citrix Workspace-App mit einem der folgenden Pakete installiert wird: Tarball, Debian, Red Hat Package Manager (RPM). x64 und ARMHF sind zudem die einzigen unterstützten Architekturen.
  • Dieses Feature wird für On-Premises-Bereitstellungen von Citrix Virtual Apps and Desktops unterstützt. Und für Bereitstellungen mit Citrix Virtual Apps and Desktops Service mit StoreFront.

Für App Protection müssen Sie eine Add-On-Lizenz auf dem Lizenzserver installieren. Eine Citrix Virtual Desktops-Lizenz muss ebenfalls vorhanden sein. Weitere Informationen finden Sie unter Konfigurieren in der Dokumentation zu Citrix Virtual Apps and Desktops.

Ab Version 2108 ist das App Protection-Feature voll funktionsfähig. Das App Protection-Feature unterstützt App- und Desktopsitzungen und ist standardmäßig aktiviert. Sie müssen das App Protection-Feature jedoch in der Datei AuthManConfig.xml konfigurieren, um es für den Authentifizierungsmanager und das Self-Service-Plug-In zu aktivieren.

Ab dieser Version können Sie geschützte Ressourcen aus der Citrix Workspace-App starten, während Mozilla Firefox ausgeführt wird.

Voraussetzung:

Das App Protection-Feature funktioniert am besten mit folgenden Betriebssystemen und dem Gnome-Anzeigemanager:

  • 64-Bit Ubuntu 18.04, Ubuntu 20.04 und Ubuntu 22.04
  • 64-Bit-Debian 9 und Debian 10
  • 64-Bit CentOS 7
  • 64-Bit RHEL 7
  • ARMHF 32-Bit-Raspberry Pi-OS (basierend auf Debian 10 (Buster))
  • ARM64 Raspberry Pi OS (basierend auf Debian 11 (Bullseye))

Hinweis:

Bei Verwendung einer älteren Version der Citrix Workspace-App als 2204 unterstützt das App Protection-Feature Betriebssysteme, die glibc 2.34 oder höher verwenden, nicht.

Wenn Sie die Citrix Workspace-App mit aktiviertem App Protection-Feature auf einem Betriebssystem mit glibc 2.34 oder höher installieren, kann der Betriebssystemstart beim Neustart des Systems fehlschlagen. Führen Sie einen der folgenden Schritte aus, um den Fehler beim Betriebssystemstart zu beheben:

  • Installieren Sie das Betriebssystem neu. Beachten Sie jedoch, dass das App Protection-Feature auf einem Betriebssystem mit glibc 2.34 oder höher nicht unterstützt wird.
  • Aktivieren Sie den Wiederherstellungsmodus des Betriebssystems und deinstallieren Sie die Citrix Workspace-App am Terminal.
  • Starten Sie das Live-Betriebssystem und entfernen Sie die Datei rm -rf /etc/ld.so.preload aus dem vorhandenen Betriebssystem.

App Protection installieren:

Wenn Sie die Citrix Workspace-App mit dem Tarball-Paket installieren, wird die folgende Meldung angezeigt.

“Möchten Sie App Protection installieren? Warnung: Sie können dieses Feature nicht deaktivieren. Zum Deaktivieren müssen Sie die Citrix Workspace-App deinstallieren. Weitere Informationen erhalten Sie von Ihrem Systemadministrator. [default $INSTALLER_N]:”

Geben Sie Y ein, um App Protection zu installieren.

App Protection ist standardmäßig nicht installiert.

Starten Sie die Maschine neu, damit die Änderungen wirksam werden. Damit App Protection wie erwartet funktioniert, müssen Sie Ihre Maschine neu starten.

App Protection auf RPM-Paketen installieren:

Ab Version 2104 wird App Protection von der RPM-Version der Citrix Workspace-App unterstützt.

Mit den folgenden Schritten installieren Sie App Protection:

  1. Installieren Sie die Citrix Workspace-App.
  2. Paket für App Protection ctxappprotection<version>.rpm aus dem Installer der Citrix Workspace-App.
  3. Starten Sie das System neu, damit die Änderungen wirksam werden.

App Protection auf Debian-Paketen installieren:

Ab Version 2101 wird App Protection von der Debian-Version der Citrix Workspace-App unterstützt.

Führen Sie für die unbeaufsichtigte Installation von App Protection den folgenden Befehl vom Terminal aus, bevor Sie die Citrix Workspace-App installieren:

export DEBIAN_FRONTEND="noninteractive"
sudo debconf-set-selections <<< "icaclient app_protection/install_app_protection select yes"

sudo debconf-show icaclient
* app_protection/install_app_protection: yes

sudo apt install -f ./icaclient_<version>._amd64.deb
<!--NeedCopy-->

Die Citrix Workspace-App bietet ab Version 2106 eine Option, mit der Sie Keyloggingschutz- und Screenshotschutzfunktionen für den Authentifizierungsmanager und das Self-Service-Plug-In separat konfigurieren können.

App Protection für den Authentifizierungsmanager konfigurieren:

Navigieren Sie zu der Datei $ICAROOT/config/AuthManConfig.xml und bearbeiten Sie sie wie folgt:


/opt/Citrix/ICAClient/config$ cat AuthManConfig.xml | grep -i authmananti -A 1
    <key>AuthManAntiScreenCaptureEnabled</key>
    <value>true</value>
    <key>AuthManAntiKeyLoggingEnabled</key>
    <value>true</value>

<!--NeedCopy-->

App Protection für das Self-Service-Plug-In konfigurieren:

Navigieren Sie zu der Datei $ICAROOT/config/AuthManConfig.xml und bearbeiten Sie sie wie folgt:


/opt/Citrix/ICAClient/config$ cat AuthManConfig.xml | grep -i protection -A 4
<!-- Selfservice App Protection configuration -->
    <Selfservice>
      <AntiScreenCaptureEnabled>true</AntiScreenCaptureEnabled>
      <AntiKeyLoggingEnabled>true</AntiKeyLoggingEnabled>
    </Selfservice>

<!--NeedCopy-->

Bekannte Probleme:

  • Wenn Sie einen geschützten Bildschirm minimieren, wird App Protection weiterhin im Hintergrund ausgeführt.

Einschränkung:

  • In einigen Fällen können Sie geschützte Ressourcen nicht starten, wenn eine aus dem Snap-Store installierte Anwendung ausgeführt wird. Prüfen Sie als Workaround in der Protokolldatei der Citrix Workspace-App, welche Anwendung das Problem verursacht. Schließen Sie dann die Anwendung.
  • Beim Versuch, den Screenshot eines geschützten Fensters zu erstellen, wird der gesamte Bildschirm abgeblendet, einschließlich der nicht geschützten Apps im Hintergrund.

Inaktivitätstimeout für die Citrix Workspace-App

Die Inaktivitätstimeout-Funktion meldet Sie basierend auf einem vom Administrator festgelegten Wert von der Citrix Workspace-App ab. Ab der Version 2303 können Administratoren die zulässige Leerlaufzeit angeben, bevor ein Benutzer automatisch von der Citrix Workspace-App abgemeldet wird. Sie werden automatisch abgemeldet, wenn innerhalb des angegebenen Zeitintervalls im Fenster der Citrix Workspace-App keine Aktivität über Maus, Tastatur oder Berührung erfolgt. Das Inaktivitätstimeout hat keine Auswirkungen auf die bereits ausgeführten Citrix Virtual Apps and Desktops- und Citrix DaaS-Sitzungen oder die StoreFront-Stores.

Der Wert für das Inaktivitätstimeout kann zwischen 10 und 1440 Minuten liegen. Das Intervall zur Änderung dieses Timeoutwerts muss ein Vielfaches von 5 sein. Beispiel: 10, 15, 20 oder 25 Minuten. Standardmäßig ist das Inaktivitätstimeout nicht konfiguriert.

Hinweis:

Das Feature ist nur in Cloud-Bereitstellungen verfügbar.

Als Voraussetzung müssen Sie dieses Feature in der Datei AuthManConfig.xml aktivieren. Navigieren Sie zu $ICAROOT/config/AuthManConfig.xml und fügen Sie die folgenden Einträge hinzu:

<key>ITOEnabled</key>
<value>true</value>
<!--NeedCopy-->

Administratoren können die Eigenschaft “inactivityTimeoutInMinutes” mit einem PowerShell-Modul konfigurieren.

Schritte zum Konfigurieren von “InactivityTimeoutInMinutes” auf der Clientmaschine:

  1. Laden Sie Configuring Citrix Workspace using PowerShell module herunter.
  2. Um das Modul verwenden zu können, müssen Sie eine API-Client-ID und ein Geheimnis generieren. Weitere Informationen zum Erhalt von Anmeldeinformationen und eine Einführung in die Citrix Cloud-APIs finden Sie unter Erste Schritte mit Citrix Cloud-APIs.
  3. Um dieses Modul zu importieren, übergeben Sie den Pfad zum Verzeichnis Citrix.Workspace.StoreConfigs an das Cmdlet Import-Module, d. h. führen Sie Import-Module ./Citrix.Workspace.StoreConfigs vom Verzeichnis aus, das diese Datei enthält.
  4. Führen Sie nach dem Import des Moduls Get-Help -Full aus, um Hilfe zu spezifischen Cmdlets zu erhalten. Beispiel: Get-Help Set-WorkspaceCustomConfigurations -Full
  5. Führen Sie den folgenden Befehl aus, um inactivityTimeoutInMinutes beispielsweise auf 1 Stunde einzustellen:

    Set-WorkspaceCustomConfigurations -WorkspaceUrl -ClientId -ClientSecret -InactivityTimeoutInMinutes "60"
    <!--NeedCopy-->
    

    Sie müssen den genannten Befehl nicht auf allen Clients ausführen. Sie müssen ihn nur einmal ausführen und testen.

Für die Endbenutzererfahrung gilt Folgendes:

  • Drei Minuten vor der Abmeldung wird eine Benachrichtigung angezeigt. Sie können angemeldet bleiben oder sich abmelden.
  • Benutzer können auf Angemeldet bleiben klicken, um die Benachrichtigung zu schließen und die App weiter zu verwenden. In diesem Fall wird der Inaktivitätstimer auf den konfigurierten Wert zurückgesetzt. Sie können auch auf Abmelden klicken, um die Sitzung für den aktuellen Store zu beenden.

Hinweis:

Die Timeout bei Inaktivität unterstützt keine Distributionen mit dem Standardgrafikprotokoll Wayland. Für Distributionen, die Wayland verwenden, heben Sie die Auskommentierung für einen der folgenden Einträge auf: WaylandEnable=false in /etc/gdm/custom.conf oder /etc/gdm3/custom.conf.

Persistente Anmeldung

Ab Version 2303 der Citrix Workspace-App ermöglicht Ihnen das Feature der persistenten Anmeldung, über den gesamten von Ihrem Administrator konfigurierten Zeitraum (2 bis 365 Tage) angemeldet zu bleiben. Wenn dieses Feature aktiviert ist, müssen Sie während des konfigurierten Zeitraums keine Anmeldeinformationen für die Citrix Workspace-App angeben.

Mit dieser Funktion wird das SSO an Citrix DaaS-Sitzungen auf einen Zeitraum von 365 Tagen verlängert. Diese Verlängerung basiert auf der Lebensdauer langlebiger Tokens. Ihre Anmeldeinformationen werden standardmäßig für 4 Tage oder für die Lebensdauer zwischengespeichert, je nachdem, welcher Wert niedriger ist. Die Verlängerung erfolgt, wenn Sie innerhalb dieser 4 Tage eine Verbindung zur Citrix Workspace-App herstellen.

Konfigurieren der persistenten Anmeldung

Ein Administrator muss die persistente Anmeldung in der Workspaceumgebung mit dem folgenden Verfahren konfigurieren:

  1. Melden Sie sich bei Citrix Cloud an.
  2. Klicken Sie in der Citrix Cloud-Konsole auf das Menü in der oberen linken Ecke des Bildschirms.
  3. Wählen Sie die Option Workspacekonfiguration > Anpassen > Einstellungen aus.
  4. Scrollen Sie nach unten zu Neuauthentifizierungszeitraum für die Workspace-App.
  5. Klicken Sie neben dem Feld Aktueller Zeitraum für die erneute Authentifizierung auf Bearbeiten.
  6. Geben Sie die erforderlichen Tage in das Feld Aktueller Zeitraum für die erneute Authentifizierung ein.
  7. Sie müssen mindestens zwei Tage in das Feld Aktueller Zeitraum für die erneute Authentifizierung eingeben.

Weitere Informationen finden Sie in den Anweisungen im Abschnitt Neuauthentifizierungszeitraum für die Workspace-App in der folgenden Abbildung:

Neuauthentifizierungszeitraum für die Workspace-App

Erfahrung mit verbesserter Authentifizierung

Das Fenster für die persistente Anmeldung ist in das Self-Service-Fenster integriert.

  1. Rufen Sie die Citrix Workspace-App auf. Das Authentifizierungsfenster wird angezeigt.

    Authentifizierungsfenster

  2. Melden Sie sich mit Ihren Anmeldeinformationen an. Sie werden zwecks Bestätigung zur Berechtigungsaufforderung weitergeleitet.

    Berechtigungsfenster

  3. Klicken Sie auf Zulassen.

Hinweis:

Wenn Sie Deny auswählen, wird eine zweite Anmeldeaufforderung angezeigt, und Sie müssen sich alle 24 Stunden bei der Citrix Workspace-App anmelden.

Deaktivieren der persistenten Anmeldung

Ein Administrator kann das Feature der persistenten Anmeldung in der Citrix Cloud-Benutzeroberfläche oder in der Datei AuthManConfig.xml deaktivieren. Der in der Datei AuthManConfig.xml festgelegte Wert überschreibt jedoch den in der Citrix Cloud-Benutzeroberfläche festgelegten Wert.

Verwenden der Citrix Cloud-Benutzeroberfläche

  1. Melden Sie sich bei Citrix Cloud an.
  2. Klicken Sie in der Citrix Cloud-Konsole auf das Menü in der oberen linken Ecke des Bildschirms.
  3. Wählen Sie die Option Workspacekonfiguration > Anpassen > Einstellungen aus.
  4. Scrollen Sie nach unten zu Neuauthentifizierungszeitraum für die Workspace-App.
  5. Klicken Sie neben dem Feld Aktueller Zeitraum für die erneute Authentifizierung auf Bearbeiten.
  6. Geben Sie in das Feld Aktueller Zeitraum für die erneute Authentifizierung einen Tag ein.

Verwenden der Datei AuthManConfig.xml

Gehen Sie wie folgt vor, um das Feature der persistenten Anmeldung zu deaktivieren.

  1. Navigieren Sie zur Datei <ICAROOT>/config/AuthManConfig.xml.
  2. Legen Sie die Werte wie folgt fest:

    <AuthManLite>
        <primaryTokenLifeTime>1.00:00:00</primaryTokenLifeTime>
        <secondaryTokenLifeTime>0.01:00:00</secondaryTokenLifeTime>
        <longLivedTokenSupport>true</longLivedTokenSupport>
        <nativeLoggingEnabled>true</nativeLoggingEnabled>
        <platform>linux</platform>
        <saveTokens>true</saveTokens>
        <compressedGroupsEnabled>true</compressedGroupsEnabled>
    </AuthManLite>
    <!--NeedCopy-->
    
Sicherheit