Citrix Workspace-App

App Protection konfigurieren

App Protection bietet erhöhte Sicherheit, wenn Sie die Citrix Workspace-App verwenden. Sie verringert das Risiko, dass Clients durch Keylogging und Screenshot-Malware kompromittiert werden. App Protection verhindert das Exfiltrieren vertraulicher Informationen wie Benutzeranmeldeinformationen und sensible Informationen, die auf dem Bildschirm angezeigt werden. Die Funktion verhindert, dass Benutzer und Angreifer Screenshots erstellen und Keylogger verwenden, um vertrauliche Informationen zu lesen und zu nutzen.

In diesem Artikel wird erläutert, wie Sie App Protection in der Citrix Workspace-App auf verschiedenen Plattformen konfigurieren.

App Protection ist in der Citrix Workspace-App für folgende Plattformen verfügbar:

Haftungsausschluss

App Protection-Richtlinien filtern den Zugriff auf erforderliche Funktionen des zugrunde liegenden Betriebssystems. Spezifische API-Aufrufe sind für Screenshots oder das Aufzeichnen von Tastenanschlägen erforderlich. Damit schützen sie auch vor benutzerdefinierten und speziell entwickelten Hackertools. Die Weiterentwicklung von Betriebssystemen kann jedoch immer wieder zu neuen Einfallstoren für das Keylogging oder die Bildschirmerfassung führen. Darum ist kein hundertprozentiger Schutz möglich, auch wenn wir diese Schwachstellen kontinuierlich identifizieren und korrigieren.

Citrix Workspace-App für Windows

Voraussetzungen

  • Citrix Virtual Apps and Desktops Version 1912 LTSR oder höher.
  • StoreFront Version 1912 LTSR oder Workspace.
  • Citrix Workspace-App Version 2203.1 LTSR oder höher.
  • Eine gültige App Protection-Lizenz
  • Ab Citrix Workspace-App 2212 wird App Protection bei der Installation der Citrix Workspace-App standardmäßig installiert.

    Das bei der Installation angezeigte Kontrollkästchen App Protection aktivieren wurde durch App Protection nach der Installation starten ersetzt.

    • Für Citrix Workspace-App-Versionen vor 2311:

      App Protection nach der Installation starten — Citrix Workspace-App-Versionen vor 2311

    • Ab Version 2311 der Citrix Workspace-App:

      App Protection nach der Installation starten − Citrix Workspace-App ab Version 2311

    Wenn Sie dieses Kontrollkästchen aktivieren, wird App Protection sofort nach der Installation gestartet.

    Hinweis:

    Wenn Sie dieses Kontrollkästchen nicht aktivieren, wird App Protection automatisch beim ersten Start einer geschützten Ressource oder Komponente für Kunden gestartet, die Anspruch auf App Protection haben.

Konfigurieren

Konfigurieren Sie die folgenden App Protection-Features für die Citrix Workspace-App für Windows:

Einschränkungen

  • Dieses Feature wird nur unter Desktop-Betriebssystemen wie Windows 11 und Windows 10 unterstützt.
  • Die Citrix Workspace-App wird ab Version 2006.1 unter Windows 7 nicht unterstützt. Daher funktioniert auch App Protection unter Windows 7 nicht. Weitere Informationen finden Sie unter Einstellung von Features und Plattformen.
  • Das Feature wird nicht über RDP (Remote Desktop Protocol) unterstützt.

Befehlszeilenoberfläche

Sie können die App Protection-Komponente mit dem Befehlszeilenparameter /startappprotection starten. Der vorherige Schalter /includeappprotection ist jedoch veraltet.

Die folgende Tabelle enthält Informationen zu Bildschirmen, die je nach Bereitstellung geschützt sind:

App Protection bereitstellen Geschützte Bildschirme Nicht geschützte Bildschirme
In der Citrix Workspace-App enthalten Self-Service-Plug-In und Authentifizierungsmanager / Dialogfeld “Benutzeranmeldeinformationen” Connection Center, Geräte, Fehlermeldungen der Citrix Workspace-App, Automatische Wiederverbindung von Clients, Konto hinzufügen
Auf dem Controller konfiguriert ICA-Sitzungsbildschirm (für Apps und Desktops) Connection Center, Geräte, Fehlermeldungen der Citrix Workspace-App, Automatische Wiederverbindung von Clients, Konto hinzufügen

Wenn Sie einen Screenshot erstellen, wird nur das geschützte Fenster abgedunkelt. Sie können einen Screenshot des Bereichs außerhalb des geschützten Fensters erstellen. Wenn Sie jedoch die Taste Druck S-Abf verwenden, um einen Screenshot auf einem Windows 10-Gerät zu erfassen, müssen Sie das geschützte Fenster minimieren.

Bisher wurden der Screenshotschutz und der Keyloggingschutz für Citrix Authentifizierung und Citrix Workspace-App-Bildschirme standardmäßig erzwungen. Ab Release 2212 sind diese Funktionen standardmäßig deaktiviert und müssen über das Gruppenrichtlinienobjekt konfiguriert werden.

Hinweis:

Diese GPO-Richtlinie gilt nicht für ICA- und SaaS-Sitzungen. Die ICA- und SaaS-Sitzungen werden weiterhin mit dem Delivery Controller und dem Citrix Secure Private Access gesteuert.

Verbesserung App Protection:

Ab Citrix Workspace-App für Windows 2305 und höher ist Keyloggingschutz auf den Authentifizierungs- und Self-Service-Plug-In-Bildschirmen aktiviert, wenn eines der folgenden Kriterien erfüllt ist:

  • Sie haben App Protection mit einer der folgenden Methoden aktiviert:
    • Aktivieren Sie das Kontrollkästchen App Protection starten während der Installation.
    • Starten von App Protection mit dem Befehlszeilenparameter /startappprotection.
  • Wenn Sie das Kontrollkästchen App Protection starten nicht aktiviert oder während der Installation den Befehlszeilenparameter /startappprotection verwendet haben, wird der Keyloggingschutz nach dem Start der ersten geschützten Ressource aktiviert.

Hinweis:

Der Global App Configuration Service und die Einstellungen für Gruppenrichtlinienobjekte haben Vorrang vor dem vorherigen Verhalten. Wenn Sie beispielsweise die GACS- oder Gruppenrichtlinienobjekt-Richtlinie für diese Bildschirme deaktiviert haben, ist der Keyloggingschutz auf den Authentifizierungs- und SSP-Bildschirmen nicht aktiviert.

Citrix Workspace-App für Linux

Ab Version 2108 ist das App Protection-Feature voll funktionsfähig. Dieses Feature unterstützt Virtual Apps and Desktops und ist standardmäßig aktiviert. Sie müssen jedoch die App Protection-Funktion in der Datei AuthManConfig.xml konfigurieren, um sie für den Authentifizierungsmanager und die Self-Service-Plug-in-Schnittstellen zu aktivieren.

Voraussetzung

Das App Protection-Feature funktioniert am besten mit folgenden Betriebssystemen und dem Gnome-Anzeigemanager:

  • 64-Bit Ubuntu 22.04, Ubuntu 20.04 und Ubuntu 18.04
  • 64-Bit Debian 10 und Debian 9
  • 64-Bit CentOS 7
  • 64-Bit RHEL 7
  • ARMHF 32-Bit-Raspberry Pi-OS (basierend auf Debian 10 (Buster))
  • ARM64 Raspberry Pi OS (basierend auf Debian 11 (Bullseye))

Hinweis:

Wenn Sie die Citrix Workspace-App vor Version 2204 verwenden, unterstützt die App Protection-Funktion die Betriebssysteme, die glibc 2.34 oder höher verwenden, nicht.

Wenn Sie die Citrix Workspace-App mit aktivierter App Protection-Funktion auf dem Betriebssystem installieren, das glibc 2.34 oder höher verwendet, schlägt der Start des Betriebssystems möglicherweise beim Neustart des Systems fehl. Führen Sie einen der folgenden Schritte aus, um den Fehler beim Betriebssystemstart zu beheben:

  • Installieren Sie das Betriebssystem neu.
  • Aktivieren Sie den Wiederherstellungsmodus des Betriebssystems und deinstallieren Sie die Citrix Workspace-App am Terminal.
  • Booten Sie über das Live-Betriebssystem und entfernen Sie die Datei rm -rf /etc/ld.so.preload aus dem vorhandenen Betriebssystem.

App Protection installieren

  1. Wenn Sie die Citrix Workspace-App mit dem Tarball-Paket installieren, wird die folgende Meldung angezeigtMöchten Sie App Protection installieren? Warnung: Sie können dieses Feature nicht deaktivieren. Um sie zu deaktivieren, müssen Sie die Citrix Workspace-App deinstallieren. Weitere Informationen erhalten Sie von Ihrem Systemadministrator. [Standard $INSTALLER_N]:

  2. Geben Sie Y ein, um App Protection zu installieren. App Protection ist standardmäßig nicht installiert.

  3. Starten Sie Ihre Maschine neu, damit die Änderungen übernommen werden. Damit App Protection wie erwartet funktioniert, müssen Sie Ihre Maschine neu starten.

Installieren von App Protection auf RPM-Paketen

Ab Version 2104 wird App Protection von der RPM-Version der Citrix Workspace-App unterstützt.

Mit den folgenden Schritten installieren Sie App Protection:

  1. Installieren Sie die Citrix Workspace-App.
  2. Installieren Sie das App Protection ctxappprotection<version>.rpm -Paket aus dem Citrix Workspace-App-Installationsprogramm.
  3. Starten Sie das System neu, damit die Änderungen übernommen werden.

Installieren von App Protection auf Debian-Paketen

Ab Version 2101 wird App Protection von der Debian-Version der Citrix Workspace-App unterstützt.

Führen Sie zur Installation von App Protection den folgenden Befehl vom Terminal aus, bevor Sie die Citrix Workspace-App installieren:

  export DEBIAN_FRONTEND="noninteractive"
  sudo debconf-set-selections <<< "icaclient app_protection/install_app_protection select yes"

  sudo debconf-show icaclient
  *  app_protection/install_app_protection: yes

  sudo apt install -f ./icaclient_<version>._amd64.deb
<!--NeedCopy-->

Die Citrix Workspace-App bietet ab Version 2106 eine Option, mit der Sie die Funktionen zum Keylogging- und Screenshotschutz für den Authentifizierungsmanager und das Self-Service-Plug-In separat konfigurieren können.

Konfigurieren

Konfigurieren Sie die folgenden App Protection-Features für die Citrix Workspace-App für Linux:

Citrix Workspace-App für Mac

Konfigurieren Sie die folgenden App Protection-Features für die Citrix Workspace-App für Mac:

Citrix Workspace-App für iOS

Ab Version 24.9.0 ist die App Protection-Funktion voll funktionsfähig. Diese Funktion unterstützt Folgendes und ist standardmäßig aktiviert.

  • Virtual Apps and Desktops
  • Interne Web- und SaaS-Apps
  • Authentifizierungsbildschirme

Keyloggingschutz

Voraussetzungen

  • Citrix Virtual Apps and Desktops Version 1912 LTSR oder höher.
  • StoreFront Version 1912 LTSR oder Workspace.
  • Citrix Workspace-App für iOS Version 24.7.0 oder höher.
  • Eine gültige App Protection-Lizenz

Keyloggingschutz aktiviert

Haftungsausschluss:

Die App Protection-Richtlinien filtern den Zugriff auf erforderliche Funktionen des zugrunde liegenden Betriebssystems (spezifische API-Aufrufe für die Bildschirmerfassung oder das Aufzeichnen von Tastenanschlägen). Damit schützt App Protection auch vor benutzerdefinierten und speziell entwickelten Hackertools. Die Weiterentwicklung von Betriebssystemen führt jedoch immer wieder zu neuen Einfallstoren für das Keylogging oder die Bildschirmerfassung. Darum ist kein hundertprozentiger Schutz möglich, auch wenn wir diese Schwachstellen kontinuierlich identifizieren und korrigieren.

Konfiguration

Sie können die Keyloggingschutz- und Screenshotschutz-Features für Citrix Workspace-App für iOS wie folgt konfigurieren:

Konfiguration mit dem Global App Configuration-Dienst

Sie können das Screenshotschutzfeature für den Authentifizierungsbildschirm wie folgt konfigurieren:

  • Benutzeroberfläche verwenden
  • Konfiguration mit der API

Über die Benutzeroberfläche:

Ab der Version 24.7.0 von Citrix Workspace-App für iOS können Sie mit Citrix Workspace App Protection für Authentifizierungsbildschirme mit dem Global App Configuration Service (GACS) konfigurieren.

Wenn Sie das Screenshotschutzfeature mit dem GACS aktivieren, gilt es für den Authentifizierungsbildschirm.

Administratoren können App Protection mit der Workspacekonfiguration-Benutzeroberfläche konfigurieren:

  1. Melden Sie sich an Ihrem Citrix Cloud-Konto an und wählen Sie Workspacekonfiguration.

    Workspacekonfiguration

  2. Wählen Sie App-Konfiguration > Sicherheit und Authentifizierung > App Protection.

    Sicherheit und Authentifizierung

  3. Klicken Sie auf Keyloggingschutz und wählen Sie dann das iOS-Betriebssystem aus.

  4. Klicken Sie auf Screenshotschutz und wählen Sie dann das iOS-Betriebssystem aus.

  5. Klicken Sie auf die Umschaltfläche Aktiviert und dann auf Entwürfe veröffentlichen.

  6. Klicken Sie im Dialogfeld Einstellungen veröffentlichen auf Ja.

    Einstellungen veröffentlichen

Über die API:

Administratoren können mit dieser API die folgenden App Protection-Features konfigurieren. Die Einstellungen für Citrix Workspace-App für iOS lauten wie folgt:

Einstellung zum Aktivieren oder Deaktivieren des Screenshotschutzes:

  “name”: “enable anti screen capture for auth ” “value”: “true” or “false”
<!--NeedCopy-->

Einstellung zum Aktivieren oder Deaktivieren des Keyloggingschutzes:

  “name”: “enable anti key-logging for auth ” “value”: “true” or “false”
<!--NeedCopy-->

Beispiel:

Nachstehend finden Sie ein Beispiel für eine JSON-Datei zur Aktivierung von Screenshotschutz und Keyloggingschutz für Citrix Workspace-App in GACS:

  {
            "category": "App Protection",
            "userOverride": false,
            "assignedTo": [
              "AllUsersNoAuthentication"
            ],
            "settings": [{
              "name": "Enable Anti Screen Capture For Auth",
              "value": "true"
            },
            {
              "name": "Enable Anti Key Logging For Auth",
              "value": "true"
            }]
          }

<!--NeedCopy-->
Unified Endpoint Management-Lösungen verwenden

Ab Version 24.7.0 der Citrix Workspace-App für iOS können Administratoren das App Protection-Feature für den Authentifizierungsbildschirm aktivieren. Administratoren können das Feature über ein AppConfig-basiertes Schlüssel/Wert-Paar konfigurieren.

  • So aktivieren Sie den Screenshotschutz:
    • Schlüssel: EnableAntiScreenCaptureForAuth
    • Werttyp:: boolesch
    • Wert:
      • Wenn der Wert auf true gesetzt ist, ist das Screenshotschutzfeature aktiviert.
      • Wenn der Wert auf false gesetzt ist, ist das Screenshotschutz-Feature deaktiviert.
  • So aktivieren Sie den Keyloggingschutz:
    • Schlüssel: Aktiviere Antikeylogging für Auth
    • Werttyp:: boolesch
    • Wert:
      • Wenn der Wert auf true gesetzt ist, ist das Keyloggingschutzfeature aktiviert.
      • Wenn der Wert auf false gesetzt ist, ist das Keyloggingschutzfeature deaktiviert.

Schritte zum Deaktivieren benutzerdefinierter Tastaturen

Wenn das Keyloggingschutzfeature aktiviert und der Kippschalter “Benutzerdefinierte Tastaturen verwenden” aktiviert ist, können Sie virtuelle Apps, virtuelle Desktops, Web-Apps oder SaaS-Apps nicht öffnen und die folgende Warnmeldung wird angezeigt:

Keyloggingschutz aktiviert

Gehen Sie wie folgt vor, um die benutzerdefinierte Tastatur zu deaktivieren:

  1. Klicken Sie im vorherigen Warndialogfeld auf Tastaturoptionen.

  2. Deaktivieren Sie in den Store-Einstellungen die Option Benutzerdefinierte Tastaturen verwenden. Das Dialogfeld “Benutzerdefinierte Tastaturen deaktivieren” wird angezeigt.

  3. Klicken Sie im Dialogfeld “Benutzerdefinierte Tastaturen deaktivieren” auf Beenden. Das Dialogfeld Beenden wird angezeigt.

  4. Klicken Sie auf OK. Citrix Workspace-App wird beendet und dann automatisch neu gestartet, um die Änderungen widerzuspiegeln.

Einschränkungen

  • Verhinderung von Keylogging:

    Der Keyloggingschutz ist nur mit Bildschirmtastaturen wirksam. Hardwaretastaturen sind nicht durch das Keyloggingschutzfeature geschützt.

  • Bildschirm mit Keyloggingschutz für die Authentifizierung:

    Keyloggingschutz wird für den Authentifizierungsbildschirm nicht unterstützt, wenn mehrere Stores hinzugefügt werden oder ein Store gelöscht wird.

  • Systembrowser:

    Das Keyloggingschutzfeature für den Authentifizierungsbildschirm wird bei Verwendung von Systembrowsern nicht unterstützt.

  • Authentifizierungsbildschirm der Weboberfläche:

    Die Screenshot- und Keyloggingschutzfeatures werden auf dem Authentifizierungsbildschirm der Weboberfläche nicht unterstützt.

Screenschotschutz

In der Version 24.7.0 der Citrix Workspace-App für iOS sind die folgenden Funktionen aktiviert:

  • Screenschotschutz — Dieses Feature verhindert unbefugte Screenshots, Aufzeichnungen, QuickTime-Bildschirmspiegelung, Bildschirmübertragung und App-Wechsel. Das Screenshotschutz-Feature ist für Authentifizierungsprozesse, Web- oder SaaS-Apps sowie Citrix Virtual Apps and Desktops verfügbar. Wenn Sie einen Screenshot anfertigen, wird auf dem Aufnahmemedium eine benutzerdefinierte Meldung Der Screenshot wurde von Ihrem Administrator aus Sicherheitsgründen deaktiviert ausgegeben und der tatsächliche Inhalt wird nicht auf dem Bildschirm angezeigt. Das Screenschotschutzfeature schützt vor verschiedenen Formen von unbefugtem Bildschirmzugriff, z. B.:

    • Screenshot: Verhindert die Aufnahme von Screenshots.
    • Bildschirmaufzeichnung: Blockiert die Bildschirmaufzeichnungssoftware.
    • Bildschirmspiegelung: Deaktiviert die Spiegelung des Bildschirms auf andere Geräte.
    • Bildfreigabe: Schränkt die Bildschirmfreigabefunktion ein.
    • App-Switcher: Verhindert, dass vertrauliche Informationen in der Vorschau des App-Switchers sichtbar sind.

    Screenshot deaktiviert

Unterstützung für mehrere Monitore mit Bildschirmschutz

Mit dieser Funktion erweitert App Protection seinen Schutz auf alle angeschlossenen Bildschirme und stellt sicher, dass Screenshots auf externen Multimonitoren geschützt sind. Der Inhalt sowohl auf dem iPad als auch auf dem externen Monitor ist geschützt.

Das externe Display ist in allen drei Modi geschützt:

Wählen Sie den Modus

  • Mirror: Ermöglicht das Spiegeln des Displays auf dem externen Monitor, der an das iPad angeschlossen ist. Mit einem Bildschirmschutz sind beide Bildschirme geschützt und verhindert, dass unbefugte Screenshots den Inhalt erfassen.
  • Präsentation: Ermöglicht es Ihnen, den Desktop auf einem externen Monitor zu präsentieren und gleichzeitig den iPad-Bildschirm als Trackpad zu verwenden. Der Displayschutz sorgt dafür, dass sowohl die Inhalte auf dem externen Monitor bei Präsentationen als auch das Display des iPads geschützt sind.
  • Erweitern: Ermöglicht es Ihnen, auf jedem Display verschiedene Ansichten oder Bildschirme anzuzeigen. Der Bildschirmschutz erstreckt sich sowohl auf das iPad als auch auf den externen Monitor und stellt sicher, dass die Screenshots geschützt sind.

Citrix Workspace-App für Android

Voraussetzungen

  • Citrix Virtual Apps and Desktops Version 1912 LTSR oder höher.
  • StoreFront Version 1912 LTSR oder Workspace.
  • Citrix Workspace-App für Android Version 24.7.0 oder höher.
  • Eine gültige App Protection-Lizenz

Konfiguration

Sie können das Screenshotschutzfeature für Folgendes konfigurieren:

Konfiguration mit dem Global App Configuration-Dienst

Sie können das Screenshotschutzfeature für den Authentifizierungsbildschirm wie folgt konfigurieren:

  • Benutzeroberfläche verwenden
  • Konfiguration mit der API

Über die Benutzeroberfläche:

Citrix Workspace-App ermöglicht Ihnen, App Protection für Authentifizierungsbildschirme mit dem Global App Configuration Service (GACS) zu konfigurieren.

Wenn Sie das Screenshotschutzfeature mit dem GACS aktivieren, gilt es für den Authentifizierungsbildschirm.

Administratoren können App Protection mit der Workspacekonfiguration-Benutzeroberfläche konfigurieren:

  1. Melden Sie sich an Ihrem Citrix Cloud-Konto an und wählen Sie Workspacekonfiguration.

    Workspacekonfiguration

  2. Wählen Sie App-Konfiguration > Sicherheit und Authentifizierung > App Protection.

    Sicherheit und Authentifizierung

  3. Klicken Sie auf Screenshotschutz und wählen Sie dann das Android-Betriebssystem aus.

  4. Klicken Sie auf die Umschaltfläche Aktiviert und dann auf Entwürfe veröffentlichen.

  5. Klicken Sie im Dialogfeld Einstellungen veröffentlichen auf Ja.

    Einstellungen veröffentlichen

Über die API:

Administratoren können über die API das App Protection-Feature konfigurieren. Einstellung zum Aktivieren oder Deaktivieren des Screenshotschutzes für Citrix Workspace-App für Android:

  “name”: “enable anti screen capture for auth ” “value”: “true” or “false”
<!--NeedCopy-->

Beispiel: Im Folgenden finden Sie eine JSON-Beispieldatei zur Aktivierung der Anti-Screencapture-Funktion für die Citrix Workspace-App in GACS:

  {
            "category": "App Protection",
            "userOverride": false,
            "assignedTo": [
              "AllUsersNoAuthentication"
            ],
            "settings": [{
              "name": "Enable Anti Screen Capture For Auth",
              "value": "true"
            },
           ]
          }

<!--NeedCopy-->

Unified Endpoint Management-Lösungen verwenden

Ab Version 24.7.0 von Citrix Workspace-App für Android können Administratoren die App Protection-Funktion für den Authentifizierungsbildschirm aktivieren. Administratoren können das Feature über ein AppConfig-basiertes Schlüssel/Wert-Paar konfigurieren.

  • So aktivieren Sie den Screenshotschutz:

    • Schlüssel: EnableAntiScreenCaptureForAuth
    • Werttyp:: boolesch
    • Wert:
      • Wenn der Wert auf true gesetzt ist, ist das Screenshotschutzfeature aktiviert.
      • Wenn der Wert auf false gesetzt ist, ist Screenshotschutzfeature deaktiviert.

Empfehlung

App Protection-Richtlinien konzentrieren sich in erster Linie auf die Verbesserung der Sicherheit und des Schutzes von Endpunkten. Überprüfen Sie alle anderen Sicherheitsempfehlungen und Richtlinien für Ihre Umgebung. Sie können eine Sicherheit und Steuerung-Richtlinienvorlage für eine empfohlene Konfiguration in Umgebungen mit geringer Risikotoleranz verwenden. Weitere Informationen finden Sie unter Richtlinienvorlagen.

App Protection konfigurieren