Produktdokumentation
Citrix Workspace app for Windows
Current Release 2402 LTSR 2203.1 LTSR 1912 LTSR
PDF anzeigen

Sicherheit

April 16, 2026
Beitrag von: 
C C

App Protection

  • App Protection ist eine Zusatzfunktion, die eine verbesserte Sicherheit bei der Verwendung von Citrix Virtual Apps and Desktops und Citrix DaaS (ehemals Citrix Virtual Apps and Desktops Service) bietet. Verwenden Sie diese Funktion, um:

  • die Fähigkeit von Clients einzuschränken, durch Keylogging- und Bildschirmaufnahme-Malware kompromittiert zu werden.
  • die Exfiltration vertraulicher Informationen wie Benutzeranmeldeinformationen und sensibler Informationen auf dem Bildschirm zu schützen.
  • Benutzer und Angreifer daran zu hindern, Screenshots zu erstellen und Keylogger zu verwenden, um sensible Informationen zu sammeln und auszunutzen. Weitere Informationen finden Sie unter App Protection.

Haftungsausschluss

App Protection-Richtlinien filtern den Zugriff auf erforderliche Funktionen des zugrunde liegenden Betriebssystems (spezifische API-Aufrufe, die zum Erfassen von Bildschirmen oder Tastatureingaben erforderlich sind). App Protection-Richtlinien bieten Schutz auch vor benutzerdefinierten und speziell entwickelten Hacker-Tools. Da sich Betriebssysteme jedoch weiterentwickeln, können neue Methoden zur Bildschirmaufnahme und Tastaturprotokollierung entstehen. Obwohl wir diese weiterhin identifizieren und beheben, können wir keinen vollständigen Schutz in spezifischen Konfigurationen und Bereitstellungen garantieren.

Informationen zum Konfigurieren von App Protection in der Citrix Workspace-App für Windows finden Sie im Abschnitt „Citrix Workspace-App für Windows“ im Artikel Konfiguration.

  • Hinweis:

  • App Protection wird nur bei einem Upgrade ab Version 1912 unterstützt.

  • Nahtlose Integration von deviceTRUST® mit der Citrix Workspace™-App für Windows

  • Ab Version 2503 enthält die Citrix Workspace-App für Windows deviceTRUST, was die Sicherheit durch kontinuierliche Gerätezustandsprüfungen innerhalb der Sitzung verbessert. deviceTRUST ist mit der Citrix Workspace-App für eine einheitliche Bereitstellung gebündelt, um eine nahtlose Integration und Verwaltung zu gewährleisten. Weitere Informationen finden Sie unter deviceTRUST.

Installation

  • Die Citrix Workspace-App für Windows installiert oder aktualisiert deviceTRUST immer mit der gebündelten Version, die im Installationsprogramm der Citrix Workspace-App für Windows enthalten ist.
  • Schlägt die deviceTRUST-Installation fehl, erhalten Sie die Fehlercodes 50024 oder 50025, und die Installation der Citrix Workspace-App für Windows wird dadurch nicht beeinträchtigt.
  • Um die Installation von deviceTRUST zu überspringen, verwenden Sie den Befehl InstallDeviceTrust=N über die Befehlszeile. Sie können InstallDeviceTrust=Y verwenden, um deviceTRUST im Falle eines Upgrades zu installieren.

Deinstallation

  • Während der Deinstallation entfernt die Citrix Workspace-App deviceTRUST nur, wenn sie es installiert hat.

  • Szenarien für automatische Updates

  • Für bestehende Kunden mit automatischen Updates installiert die Citrix Workspace-App deviceTRUST.
  • Wenn der Endbenutzer die Installation von deviceTRUST in einer unterstützten Version der Citrix Workspace-App übersprungen hat, wird der nächste Zyklus des automatischen Updates die Installation von deviceTRUST ebenfalls überspringen.

Verbesserte Sicherheit und Kompatibilität mit AppLocker

Die Citrix Workspace-App für Windows ist mit AppLocker, einem Tool zur Überprüfung des Sicherheitsstatus, kompatibel. Diese Funktion behebt Sicherheitsbedenken und verbessert die Benutzererfahrung.

ICA®-Sicherheit

Wenn ein Benutzer eine App oder einen Desktop startet, generiert StoreFront™ ICA-Informationen, die Anweisungen für den Client enthalten, wie eine Verbindung zum VDA hergestellt werden kann.

In-Memory-Hybridstarts

Wenn der Benutzer eine Ressource startet, generiert StoreFront eine ICA-Datei, die Anweisungen zum Herstellen einer Verbindung zur Ressource enthält. Beim Start innerhalb der Citrix Workspace-App für Windows wird die ICA-Datei im Arbeitsspeicher verarbeitet und niemals auf der Festplatte gespeichert.

Wenn der Benutzer seinen Store in einem Webbrowser öffnet und die Citrix Workspace-App für Windows verwendet, um eine Verbindung zur Ressource herzustellen, spricht man von einem Hybridstart. Je nach Konfiguration gibt es verschiedene Möglichkeiten, wie der Start erfolgen kann. Siehe StoreFront-Benutzerzugriffsoptionen.

Die Citrix Workspace-App für Windows unterstützt den Citrix Workspace Launcher und Citrix Workspace Web-Erweiterungen für In-Memory-ICA-Starts aus dem Browser des Benutzers. Es wird empfohlen, die Option des Benutzers zum Herunterladen von ICA-Dateien zu deaktivieren. Dies eliminiert Oberflächenangriffe und jegliche Malware, die die ICA-Datei missbrauchen könnte, wenn sie lokal gespeichert ist. Um die Option des Benutzers zum Herunterladen von ICA-Dateien in StoreFront 2402 und höher zu deaktivieren, siehe StoreFront-Dokumentation. Um die Option des Benutzers zum Herunterladen von ICA-Dateien in Workspace zu deaktivieren, siehe Workspace PowerShell-Dokumentation.

Starten von ICA-Dateien von der Festplatte verhindern

Nachdem Sie sichergestellt haben, dass Ihr eigenes System immer In-Memory-Starts verwendet, empfiehlt Citrix®, das Starten von ICA-Dateien von der Festplatte zu deaktivieren. So können Benutzer keine ICA-Dateien öffnen, die sie von bösartigen Quellen über Methoden wie E-Mail erhalten haben. Sie können das Starten von ICA-Dateien von der Festplatte mit einer der folgenden Methoden deaktivieren:

  • Global App Config-Dienst
  • Gruppenrichtlinienobjekt (GPO) Administrative Vorlage auf dem Client

Global App Config-Dienst

Sie können den Global App Configuration service ab Citrix Workspace-App 2106 verwenden. Setzen Sie unter Sicherheit und Authentifizierung > Sicherheitseinstellungen die Richtlinie Direkte ICA-Dateistarts blockieren auf aktiviert.

Gruppenrichtlinie

Um Sitzungsstarts von ICA-Dateien zu blockieren, die auf der lokalen Festplatte gespeichert sind, gehen Sie mithilfe von Gruppenrichtlinien wie folgt vor:

  1. Öffnen Sie die administrative GPO-Vorlage der Citrix Workspace-App, indem Sie gpedit.msc ausführen.
    1. Navigieren Sie unter dem Knoten Computerkonfiguration zu Administrative Vorlagen > Citrix Komponenten > Citrix Workspace > Client-Engine.
    1. Wählen Sie die Richtlinie Sicherer ICA-Datei-Sitzungsstart aus und setzen Sie sie auf Aktiviert.
    1. Klicken Sie auf Übernehmen und dann auf OK.

ICA-Dateisignierung

Die ICA-Dateisignierung schützt Sie vor einem unautorisierten App- oder Desktop-Start. Die Citrix Workspace-App überprüft, ob eine vertrauenswürdige Quelle den App- oder Desktop-Start basierend auf einer administrativen Richtlinie generiert hat, und schützt vor Starts von nicht vertrauenswürdigen Servern. Sie können die ICA-Dateisignierung mithilfe der administrativen GPO-Vorlage oder über StoreFront konfigurieren. Die Funktion zur ICA-Dateisignierung ist standardmäßig nicht aktiviert.

Informationen zum Aktivieren der ICA-Dateisignierung für StoreFront finden Sie unter ICA-Dateisignierung in der StoreFront-Dokumentation.

ICA-Dateisignatur konfigurieren

Hinweis:

Wenn die CitrixBase.admx\adml nicht zur lokalen GPO hinzugefügt wurde, ist die Richtlinie ICA-Dateisignierung aktivieren möglicherweise nicht vorhanden.

  1. Öffnen Sie die administrative GPO-Vorlage der Citrix Workspace-App, indem Sie gpedit.msc ausführen.
  2. Navigieren Sie unter dem Knoten Computerkonfiguration zu Administrative Vorlagen > Citrix Komponenten.
  3. Wählen Sie die Richtlinie ICA-Dateisignierung aktivieren aus und wählen Sie eine der Optionen nach Bedarf aus:
    1. Aktiviert – Zeigt an, dass Sie den Fingerabdruck des Signaturzertifikats zur Zulassungsliste vertrauenswürdiger Zertifikatsfingerabdrücke hinzufügen können.
    2. Zertifikate vertrauen – Klicken Sie auf Anzeigen, um den vorhandenen Fingerabdruck des Signaturzertifikats aus der Zulassungsliste zu entfernen. Sie können die Fingerabdrücke der Signaturzertifikate aus den Eigenschaften des Signaturzertifikats kopieren und einfügen.
    3. Sicherheitsrichtlinie – Wählen Sie eine der folgenden Optionen aus dem Menü aus.
      1. Nur signierte Starts zulassen (sicherer): Ermöglicht nur signierte App- und Desktop-Starts von einem vertrauenswürdigen Server. Eine Sicherheitswarnung wird angezeigt, wenn eine ungültige Signatur vorliegt. Der Sitzungsstart schlägt aufgrund fehlender Autorisierung fehl.
      2. Benutzer bei unsignierten Starts auffordern (weniger sicher) – Eine Meldung wird angezeigt, wenn eine unsignierte oder ungültig signierte Sitzung gestartet wird. Sie können wählen, ob Sie den Start fortsetzen oder abbrechen möchten (Standard).
  4. Klicken Sie auf Übernehmen und dann auf OK, um die Richtlinie zu speichern.
  5. Starten Sie die Citrix Workspace-App-Sitzung neu, damit die Änderungen wirksam werden.

Bei der Auswahl eines digitalen Signaturzertifikats empfehlen wir Ihnen, aus der folgenden Prioritätenliste zu wählen:

  1. Kaufen Sie ein Code-Signaturzertifikat oder ein SSL-Signaturzertifikat von einer öffentlichen Zertifizierungsstelle (CA).
  2. Wenn Ihr Unternehmen über eine private CA verfügt, erstellen Sie ein Code-Signaturzertifikat oder ein SSL-Signaturzertifikat mithilfe der privaten CA.
  3. Verwenden Sie ein vorhandenes SSL-Zertifikat.
  4. Erstellen Sie ein Stamm-CA-Zertifikat und verteilen Sie es mithilfe von GPO oder manueller Installation an Benutzergeräte.

Inaktivitäts-Timeouts

Timeout für Workspace-Sitzungen

Administratoren können den Inaktivitäts-Timeout-Wert konfigurieren, um die zulässige Leerlaufzeit festzulegen, bevor sich Benutzer automatisch von der Citrix Workspace-Sitzung abmelden. Sie werden automatisch von Workspace abgemeldet, wenn Maus, Tastatur oder Touch für das angegebene Zeitintervall inaktiv sind. Das Inaktivitäts-Timeout wirkt sich nicht auf aktive virtuelle Apps- und Desktops-Sitzungen oder Citrix StoreFront-Stores aus.

Informationen zum Konfigurieren des Inaktivitäts-Timeouts finden Sie in der Workspace-Dokumentation.

Das Endbenutzererlebnis ist wie folgt:

  • Drei Minuten vor der Abmeldung erscheint eine Benachrichtigung in Ihrem Sitzungsfenster mit der Option, angemeldet zu bleiben oder sich abzumelden.
  • Die Benachrichtigung wird nur angezeigt, wenn der konfigurierte Inaktivitäts-Timeout-Wert größer oder gleich fünf Minuten ist.
  • Benutzer können auf Angemeldet bleiben klicken, um die Benachrichtigung zu schließen und die App weiter zu verwenden. In diesem Fall wird der Inaktivitäts-Timer auf seinen konfigurierten Wert zurückgesetzt. Sie können auch auf Abmelden klicken, um die Sitzung für den aktuellen Store zu beenden.

Timeout für StoreFront-Sitzungen

Wenn Sie mit einem StoreFront-Store verbunden sind, wendet die Citrix Workspace-App kein Inaktivitäts-Timeout an. Wenn Sie ein Citrix Gateway verwenden, können Sie das Sitzungs-Timeout des Gateways konfigurieren. Weitere Informationen finden Sie in der StoreFront-Dokumentation.

Sicherheit
April 16, 2026
Beitrag von: 
C C
April 16, 2026
Beitrag von: 
C C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.