Sicherheit

App Protection

App Protection ist ein Zusatzfeature, das erweiterte Sicherheit bei der Verwendung von Citrix Virtual Apps and Desktops und Citrix DaaS (ehemals Citrix Virtual Apps and Desktops Service) bietet. Sie verringert das Risiko, dass Clients Keylogging und Screenshot-Malware zulassen. App Protection verhindert das Exfiltrieren von Benutzeranmeldeinformationen und anderen vertraulichen Informationen auf dem Bildschirm. Die Funktion verhindert, dass Benutzer und Angreifer Screenshots erstellen und Keylogger verwenden, um vertrauliche Informationen zu lesen und zu nutzen. Weitere Informationen finden Sie unter App Protection.

Haftungsausschluss

Richtlinien von App Protection filtern den Zugriff auf erforderliche Funktionen des zugrunde liegenden Betriebssystems (spezifische API-Aufrufe für die Bildschirmerfassung oder das Aufzeichnen von Tastenanschlägen). Damit schützen sie auch vor benutzerdefinierten und speziell entwickelten Hackertools. Die Weiterentwicklung von Betriebssystemen kann jedoch immer wieder zu neuen Einfallstoren für das Keylogging oder die Bildschirmerfassung führen. Darum ist kein hundertprozentiger Schutz möglich, auch wenn wir diese Schwachstellen kontinuierlich identifizieren und korrigieren.

Informationen zur Konfiguration von App Protection in der Citrix Workspace-App für Windows finden Sie in dem Abschnitt zur Citrix Workspace-App für Windows im Artikel Konfiguration.

Hinweis:

App Protection wird nur bei einem Upgrade auf Version 1912 und höher unterstützt.

ICA-Sicherheit

Wenn ein Benutzer eine Anwendung oder einen Desktop startet, generiert StoreFront ICA-Informationen, die Anweisungen für den Client zum Herstellen einer Verbindung mit dem VDA enthalten.

Markteinführung von In-Memory-Hybriden

Wenn der Benutzer eine Ressource startet, generiert StoreFront eine ICA-Datei mit Anweisungen zum Herstellen einer Verbindung mit der Ressource. Wenn die ICA-Datei in der Citrix Workspace-App für Windows gestartet wird, wird sie im Arbeitsspeicher verarbeitet und niemals auf dem Datenträger gespeichert. Wenn der Benutzer seinen Store in einem Webbrowser öffnet und die Citrix Workspace-App für Windows verwendet, um eine Verbindung mit der Ressource herzustellen, wird dies als Hybridstart bezeichnet. Je nach Konfiguration kann der Start auf verschiedene Arten erfolgen, siehe StoreFront-Benutzerzugriffsoptionen. Die Citrix Workspace-App für Windows unterstützt den Citrix Workspace Launcher und die Citrix Workspace-Weberweiterungen für speicherinterne ICA-Starts über den Browser des Benutzers. Es wird empfohlen, die Option des Benutzers zum Herunterladen von ICA-Dateien zu deaktivieren, um Oberflächenangriffe und jegliche Malware zu verhindern, die die ICA-Datei beim lokalen Speichern missbrauchen könnte. Informationen dazu in StoreFront 2402 und höher finden Sie in der StoreFront-Dokumentation. Informationen dazu finden Sie unter Workspace in der Workspace PowerShell-Dokumentation.

Starten von ICA-Dateien vom Datenträger verhindern

Nachdem Sie sichergestellt haben, dass Ihr eigenes System immer In-Memory-Starts verwendet, empfiehlt Citrix, das Starten von ICA-Dateien vom Datenträger zu deaktivieren. Dadurch wird sichergestellt, dass Benutzer ICA-Dateien, die sie von bösartigen Quellen erhalten haben, nicht mit Methoden wie E-Mail öffnen können. Verwenden Sie eine der folgenden Methoden:

  • Global App Config Service.
  • Administrative Gruppenrichtlinienobjektvorlage auf dem Client.

Global App Configuration Service

Sie können den globalen Global App Config Service über die Citrix Workspace-App 2106 verwenden. Stellen Sie unter Sicherheit und Authentifizierung > Sicherheitseinstellungen die Richtlinie Direktes Starten von ICA-Dateien blockieren auf Aktiviert ein.

Gruppenrichtlinie

Gehen Sie wie folgt vor, um mit der Gruppenrichtlinie Sitzungsstarts von ICA-Dateien zu blockieren, die auf dem lokalen Datenträger gespeichert sind:

  1. Öffnen Sie die administrative Gruppenrichtlinienobjektvorlage der Citrix Workspace-App, indem Sie gpedit.msc ausführen.
  2. Navigieren Sie unter dem Knoten Computerkonfiguration zu Administrative Vorlagen > Citrix Komponenten > Citrix Workspace > Clientengine.
  3. Wählen Sie die Richtlinie Sitzungsstart mit ICA-Datei sichern und legen Sie sie auf Aktiviert fest.
  4. Klicken Sie auf Anwenden und OK.

ICA-Dateisignierung

Die ICA-Dateisignierung schützt vor unautorisierten Anwendungs- oder Desktopstarts. Die Citrix Workspace-App prüft, ob eine vertrauenswürdige Quelle die Anwendung oder den Desktop gestartet hat und verhindert basierend auf administrativen Richtlinien das Starten von Ressourcen auf nicht vertrauenswürdigen Servern. Sie können die ICA-Dateisignierung über die administrative Vorlage für Gruppenrichtlinienobjekte oder StoreFront konfigurieren. Das Feature der ICA-Dateisignierung ist in der Standardeinstellung nicht aktiviert.

Informationen zum Aktivieren der ICA-Dateisignierung für StoreFront finden Sie unter ICA-Dateisignierung in der StoreFront-Dokumentation.

Konfigurieren der ICA-Dateisignatur

Hinweis:

Wenn CitrixBase.admx\adml nicht dem lokalen Gruppenrichtlinienobjekt hinzugefügt wird, ist die Richtlinie zum Aktivieren der ICA-Dateisignierung evtl. nicht vorhanden.

  1. Öffnen Sie die administrative Gruppenrichtlinienobjektvorlage der Citrix Workspace-App, indem Sie gpedit.msc ausführen.
  2. Navigieren Sie unter dem Knoten Computerkonfiguration zu Administrative Vorlagen > Citrix Komponenten.
  3. Wählen Sie die Richtlinie ICA-Dateisignierung aktivieren und dann nach Bedarf eine der folgenden Optionen:
    1. Aktiviert: gibt an, dass Sie den Fingerabdruck des Signaturzertifikats der Positivliste der vertrauenswürdigen Zertifikatfingerabdrücke hinzufügen können.
    2. Vertrauenswürdige Zertifikate: Klicken Sie auf Anzeigen, um den Fingerabdruck des Signaturzertifikats aus der Positivliste zu entfernen. Sie können die Fingerabdrücke von Signaturzertifikaten von den Eigenschaften des Signaturzertifikats kopieren und einfügen.
    3. Sicherheitsrichtlinie: Folgende Optionen sind im Menü verfügbar.
      1. Nur signierte Starts zulassen (sicherer): lässt nur richtig signierte Anwendungs- und Desktopstarts von einem vertrauenswürdigen Server zu. Im Falle einer ungültigen Signatur wird eine Sicherheitswarnung angezeigt. Die Sitzung wird dann wegen fehlender Autorisierung nicht gestartet.
      2. Benutzer bei nicht signierten Starts auffordern (weniger sicher): Eine Nachricht wird angezeigt, wenn eine nicht signierte oder ungültig signierte Sitzung gestartet wird. Sie können den Start fortsetzen oder abbrechen (Standard).
  4. Klicken Sie auf Übernehmen und auf OK, um die Richtlinie zu speichern.
  5. Starten Sie die Citrix Workspace-App-Sitzung neu, um die Änderungen zu übernehmen.

Bei der Auswahl eines digitalen Signaturzertifikats empfehlen wir eine Auswahl aus der folgenden Prioritätsliste:

  1. Erwerben Sie ein codesigniertes Zertifikat oder ein SSL-Signaturzertifikat einer öffentlichen Zertifizierungsstelle.
  2. Wenn Ihr Unternehmen eine private Zertifizierungsstelle hat, erstellen Sie ein codesigniertes oder SSL-Signaturzertifikat mit der privaten Zertifizierungsstelle.
  3. Verwenden Sie ein vorhandenes SSL-Zertifikat.
  4. Erstellen Sie ein Stammzertifikat der Zertifizierungsstelle und verteilen es mit einem Gruppenrichtlinienobjekt oder einer manuellen Installation auf die Benutzergeräte.

Timeouts bei Inaktivität

Timeout für Workspace-Sitzungen

Mit dem Inaktivitätstimeout können Administratoren festlegen, nach wie viel Zeit inaktive Benutzer automatisch von der Citrix Workspace-Sitzung abgemeldet werden. Sie werden automatisch von Workspace abgemeldet, wenn Maus, Tastatur oder Toucheingabe im angegebenen Zeitintervall inaktiv sind. Das Inaktivitätstimeout hat keine Auswirkungen auf aktive Sitzungen mit virtuellen Apps oder Desktops oder auf Citrix StoreFront-Stores.

Informationen zum Konfigurieren des Inaktivitäts-Timeouts finden Sie in der Workspace-Dokumentation.

Für die Endbenutzererfahrung gilt Folgendes:

  • Drei Minuten vor der Abmeldung wird eine Benachrichtigung in Ihrem Sitzungsfenster angezeigt. Sie können angemeldet bleiben oder sich abmelden.
  • Die Benachrichtigung wird nur angezeigt, wenn der konfigurierte Wert für das Inaktivitätstimeout größer oder gleich fünf Minuten ist.
  • Benutzer können auf Angemeldet bleiben klicken, um die Benachrichtigung zu schließen und die App weiter zu verwenden. In diesem Fall wird der Inaktivitätstimer auf den konfigurierten Wert zurückgesetzt. Sie können auch auf Abmelden klicken, um die Sitzung für den aktuellen Store zu beenden.

Timeout für StoreFront-Sitzungen

Wenn die Citrix Workspace-App mit einem StoreFront-Store verbunden ist, wendet sie kein Inaktivitätstimeout an. Wenn Sie ein Citrix Gateway verwenden, können Sie das Sitzungstimeout des Gateways konfigurieren. Weitere Informationen finden Sie in der StoreFront-Dokumentation.

Sicherheit