App Protection konfigurieren
App Protection erhöht die Sicherheit bei der Verwendung der Citrix Workspace-App. Es verringert das Risiko, dass Clients durch Keylogging und Screenshot-Malware kompromittiert werden. App Protection verhindert das Exfiltrieren vertraulicher Informationen wie Benutzeranmeldeinformationen und sensible Informationen, die auf dem Bildschirm angezeigt werden. Die Funktion verhindert, dass Benutzer und Angreifer Screenshots erstellen und Keylogger verwenden, um vertrauliche Informationen zu lesen und zu nutzen.
In diesem Artikel wird erläutert, wie Sie App Protection in der Citrix Workspace-App auf verschiedenen Plattformen konfigurieren.
App Protection ist in der Citrix Workspace-App für folgende Plattformen verfügbar:
- Citrix Workspace-App für Windows
- Citrix Workspace-App für Linux
- Citrix Workspace-App für Mac
- Citrix Workspace-App für Android
Haftungsausschluss
App Protection-Richtlinien filtern den Zugriff auf erforderliche Funktionen des zugrunde liegenden Betriebssystems. Spezifische API-Aufrufe sind für Screenshots oder das Aufzeichnen von Tastenanschlägen erforderlich. Damit schützen sie auch vor benutzerdefinierten und speziell entwickelten Hackertools. Die Weiterentwicklung von Betriebssystemen kann jedoch immer wieder zu neuen Einfallstoren für das Keylogging oder die Bildschirmerfassung führen. Darum ist kein hundertprozentiger Schutz möglich, auch wenn wir diese Schwachstellen kontinuierlich identifizieren und korrigieren.
Citrix Workspace-App für Windows
Voraussetzungen
- Citrix Virtual Apps and Desktops Version 1912 LTSR oder höher.
- StoreFront Version 1912 LTSR oder Workspace.
- Citrix Workspace-App Version 2203.1 LTSR oder höher.
- Eine gültige App Protection-Lizenz
-
Ab Citrix Workspace-App 2212 wird App Protection bei der Installation der Citrix Workspace-App standardmäßig installiert.
Das bei der Installation angezeigte Kontrollkästchen App Protection aktivieren wurde durch App Protection nach der Installation starten ersetzt.
-
Für Citrix Workspace-App-Versionen vor 2311:
-
Ab Version 2311 der Citrix Workspace-App:
Wenn Sie dieses Kontrollkästchen aktivieren, wird App Protection sofort nach der Installation gestartet.
Hinweis:
Wenn Sie dieses Kontrollkästchen nicht aktivieren, wird App Protection automatisch beim ersten Start einer geschützten Ressource oder Komponente für Kunden gestartet, die Anspruch auf App Protection haben.
-
Konfigurieren
Konfigurieren Sie die folgenden App Protection-Features für die Citrix Workspace-App für Windows:
-
Keyloggingschutz und Screenshotschutz:
- Informationen bezüglich Virtual Apps and Desktops finden Sie unter Keyloggingschutz und Screenshotschutz für Virtual Appsand Desktops konfigurieren.
- Informationen bezüglich Web- oder SaaS-Apps finden Sie unter Keyloggingschutz und Screenshotschutz für Web- oder SaaS-Apps konfigurieren.
- Für Authentifizierung und Self-Service-Plug-In:
- Wenn Sie die Benutzeroberfläche der Global App Configuration Service verwenden, finden Sie weitere Informationen unter Keyloggingschutz und Screenshotschutz für Authentifizierung und Self-Service-Plug-In konfigurieren – Benutzeroberfläche des Global App Configuration Service verwenden
- Wenn Sie das Gruppenrichtlinienobjekt verwenden, finden Sie weitere Informationen unter Keyloggingschutz und Screenshotschutz für Authentifizierung und Self-Service-Plug-In konfigurieren – Gruppenrichtlinienobjekt verwenden
- Wenn Sie die API verwenden, finden Sie weitere Informationen unter Keyloggingschutz und Screenshotschutz für Authentifizierung und Self-Service-Plug-In konfigurieren – Global App Configuration Service-API verwenden
- Informationen zum Konfigurieren des DLL-Einschleusungsschutzfeatures finden Sie unter DLL-Einschleusungsschutz konfigurieren.
- Informationen zum Konfigurieren der App Protection-Richtlinienmanipulation finden Sie unter App Protection Richtlinienmanipulation konfigurieren.
- Informationen zum Konfigurieren des App Protection Posture Check finden Sie unter App Protection Posture Check konfigurieren.
- Informationen zum Aktivieren der Einstellung zum Blockieren des DoubleHop-Starts finden Sie unter DoubleHop-Start blockieren.
Einschränkungen
- Dieses Feature wird nur unter Desktop-Betriebssystemen wie Windows 11 und Windows 10 unterstützt.
- Die Citrix Workspace-App wird ab Version 2006.1 unter Windows 7 nicht unterstützt. Daher funktioniert auch App Protection unter Windows 7 nicht. Weitere Informationen finden Sie unter Einstellung von Features und Plattformen.
- Das Feature wird nicht über RDP (Remote Desktop Protocol) unterstützt.
Befehlszeilenoberfläche
Sie können App Protection mit dem Befehlszeilenparameter /startappprotection
starten. Der ältere Switch /includeappprotection
ist veraltet.
Die folgende Tabelle enthält Informationen zu Bildschirmen, die je nach Bereitstellung geschützt sind:
App Protection bereitstellen | Geschützte Bildschirme | Nicht geschützte Bildschirme |
---|---|---|
In der Citrix Workspace-App enthalten | Self-Service-Plug-In und Authentifizierungsmanager / Dialogfeld “Benutzeranmeldeinformationen” | Connection Center, Geräte, Fehlermeldungen der Citrix Workspace-App, Automatische Wiederverbindung von Clients, Konto hinzufügen |
Auf dem Controller konfiguriert | ICA-Sitzungsbildschirm (für Apps und Desktops) | Connection Center, Geräte, Fehlermeldungen der Citrix Workspace-App, Automatische Wiederverbindung von Clients, Konto hinzufügen |
Wenn Sie einen Screenshot erstellen, wird nur das geschützte Fenster abgedunkelt. Sie können einen Screenshot des Bereichs außerhalb des geschützten Fensters erstellen. Wenn Sie jedoch die Taste Druck S-Abf verwenden, um einen Screenshot auf einem Windows 10-Gerät zu erfassen, müssen Sie das geschützte Fenster minimieren.
Bisher wurden der Screenshotschutz und der Keyloggingschutz für Citrix Authentifizierung und Citrix Workspace-App-Bildschirme standardmäßig erzwungen. Ab Release 2212 sind diese Funktionen standardmäßig deaktiviert und müssen über das Gruppenrichtlinienobjekt konfiguriert werden.
Hinweis:
Diese GPO-Richtlinie gilt nicht für ICA- und SaaS-Sitzungen. Die ICA- und SaaS-Sitzungen werden weiterhin mit dem Delivery Controller und dem Citrix Secure Private Access gesteuert.
Verbesserung App Protection:
Ab Citrix Workspace-App für Windows 2305 und höher ist Keyloggingschutz auf den Authentifizierungs- und Self-Service-Plug-In-Bildschirmen aktiviert, wenn eines der folgenden Kriterien erfüllt ist:
- Sie haben App Protection mit einer der folgenden Methoden aktiviert:
- Aktivieren Sie das Kontrollkästchen App Protection starten während der Installation.
- Starten von App Protection mit dem Befehlszeilenparameter /startappprotection.
- Wenn Sie das Kontrollkästchen App Protection starten nicht aktiviert oder während der Installation den Befehlszeilenparameter /startappprotection verwendet haben, wird der Keyloggingschutz nach dem Start der ersten geschützten Ressource aktiviert.
Hinweis:
Der Global App Configuration Service und die Einstellungen für Gruppenrichtlinienobjekte haben Vorrang vor dem vorherigen Verhalten. Wenn Sie beispielsweise die GACS- oder Gruppenrichtlinienobjekt-Richtlinie für diese Bildschirme deaktiviert haben, ist der Keyloggingschutz auf den Authentifizierungs- und SSP-Bildschirmen nicht aktiviert.
Citrix Workspace-App für Linux
Ab Version 2108 ist das App Protection-Feature voll funktionsfähig. Dieses Feature unterstützt Virtual Apps and Desktops und ist standardmäßig aktiviert. Sie müssen das App Protection-Feature jedoch in der Datei AuthManConfig.xml
konfigurieren, um es für den Authentifizierungsmanager und das Self-Service-Plug-In zu aktivieren.
Voraussetzung
Das App Protection-Feature funktioniert am besten mit folgenden Betriebssystemen und dem Gnome-Anzeigemanager:
- 64-Bit Ubuntu 22.04, Ubuntu 20.04 und Ubuntu 18.04
- 64-Bit Debian 10 und Debian 9
- 64-Bit CentOS 7
- 64-Bit RHEL 7
- ARMHF 32-Bit-Raspberry Pi-OS (basierend auf Debian 10 (Buster))
- ARM64 Raspberry Pi OS (basierend auf Debian 11 (Bullseye))
Hinweis:
Bei Verwendung einer früheren Version der Citrix Workspace-App als 2204 werden Betriebssysteme, die
glibc
2.34 oder höher verwenden, nicht von App Protection unterstützt.Wenn Sie die Citrix Workspace-App mit aktiviertem App Protection-Feature auf einem Betriebssystem mit
glibc
2.34 oder höher installieren, kann der Betriebssystemstart beim Neustart des Systems fehlschlagen. Führen Sie einen der folgenden Schritte aus, um den Fehler beim Betriebssystemstart zu beheben:
- Installieren Sie das Betriebssystem neu.
- Aktivieren Sie den Wiederherstellungsmodus des Betriebssystems und deinstallieren Sie die Citrix Workspace-App am Terminal.
- Starten Sie das Live-Betriebssystem und entfernen Sie die Datei
rm -rf /etc/ld.so.preload
aus dem vorhandenen Betriebssystem.
App Protection installieren
-
Wenn Sie die Citrix Workspace-App mit dem Tarball-Paket installieren, wird die folgende Meldung angezeigtMöchten Sie App Protection installieren? Warnung: Sie können dieses Feature nicht deaktivieren. Zum Deaktivieren müssen Sie die Citrix Workspace-App deinstallieren. Weitere Informationen erhalten Sie von Ihrem Systemadministrator. [default $INSTALLER_N]:
-
Geben Sie Y ein, um App Protection zu installieren. App Protection ist standardmäßig nicht installiert.
-
Starten Sie Ihre Maschine neu, damit die Änderungen übernommen werden. Damit App Protection wie erwartet funktioniert, müssen Sie Ihre Maschine neu starten.
Installieren von App Protection auf RPM-Paketen
Ab Version 2104 wird App Protection von der RPM-Version der Citrix Workspace-App unterstützt.
Mit den folgenden Schritten installieren Sie App Protection:
- Installieren Sie die Citrix Workspace-App.
- Paket für App Protection
ctxappprotection<version>.rpm
aus dem Installer der Citrix Workspace-App. - Starten Sie das System neu, damit die Änderungen übernommen werden.
Installieren von App Protection auf Debian-Paketen
Ab Version 2101 wird App Protection von der Debian-Version der Citrix Workspace-App unterstützt.
Führen Sie zur Installation von App Protection den folgenden Befehl vom Terminal aus, bevor Sie die Citrix Workspace-App installieren:
export DEBIAN_FRONTEND="noninteractive"
sudo debconf-set-selections <<< "icaclient app_protection/install_app_protection select yes"
sudo debconf-show icaclient
* app_protection/install_app_protection: yes
sudo apt install -f ./icaclient_<version>._amd64.deb
<!--NeedCopy-->
Die Citrix Workspace-App bietet ab Version 2106 eine Option, mit der Sie die Funktionen zum Keylogging- und Screenshotschutz für den Authentifizierungsmanager und das Self-Service-Plug-In separat konfigurieren können.
Konfigurieren
Konfigurieren Sie die folgenden App Protection-Features für die Citrix Workspace-App für Linux:
- Informationen zum Konfigurieren von Keyloggingschutz und Screenshotschutz für den Authentifizierungsbildschirm finden Sie unter AuthManConfig.xml für den Authentifizierungsmanager verwenden.
- Informationen zum Konfigurieren von Keyloggingschutz und Screenshotschutz für den Self-Service-Plug-In-Bildschirm finden Sie unter AuthManConfig.xml für die Self-Service-Plug-In-Schnittstelle verwenden.
- Informationen zum Konfigurieren von Keyloggingschutz und Screenshotschutz für Virtual Apps and Desktops finden Sie unter Keyloggingschutz und Screenshotschutz für Virtual Apps and Desktops konfigurieren.
- Informationen zum Konfigurieren der App Protection-Richtlinienmanipulation finden Sie unter App Protection Richtlinienmanipulation konfigurieren.
- Informationen zum Konfigurieren des App Protection Posture Check finden Sie unter App Protection Posture Check konfigurieren.
Citrix Workspace-App für Mac
Konfigurieren Sie die folgenden App Protection-Features für die Citrix Workspace-App für Mac:
- Informationen zum Konfigurieren von Keyloggingschutz und Screenshotschutz für die Authentifizierung und das Self-Service Plug-In über die Benutzeroberfläche des Global App Configuration Service finden Sie unter Keyloggingschutz und Screenshotschutz für Authentifizierung und Self-Service-Plug-In über die Benutzeroberfläche des Global App Configuration Service konfigurieren.
- Informationen zum Konfigurieren von Keyloggingschutz und Screenshotschutz für die Authentifizierung und das Self-Service-Plug-In über die API finden Sie unter Keyloggingschutz und Screenshotschutz für Authentifizierung und Self-Service-Plug-In über die API konfigurieren.
- Informationen zum Konfigurieren von Keyloggingschutz und Screenshotschutz für Virtual Apps and Desktops finden Sie unter Keyloggingschutz und Screenshotschutz für Virtual Apps and Desktops konfigurieren.
- Informationen zum Konfigurieren von Keyloggingschutz und Screenshotschutz für Web- und SaaS-Apps finden Sie unter Keyloggingschutz und Screenshotschutz für Web- und SaaS-Apps konfigurieren.
- Informationen zum Konfigurieren der App Protection-Richtlinienmanipulation finden Sie unter App Protection Richtlinienmanipulation konfigurieren.
- Informationen zum Konfigurieren des App Protection Posture Check finden Sie unter App Protection Posture Check konfigurieren.
Citrix Workspace-App für Android
Voraussetzungen
- Citrix Virtual Apps and Desktops Version 1912 LTSR oder höher.
- StoreFront Version 1912 LTSR oder Workspace.
- Citrix Workspace-App für Android Version 24.7.0 oder höher.
- Eine gültige App Protection-Lizenz
Konfiguration
Sie können das Screenshotschutzfeature für Folgendes konfigurieren:
-
Citrix Virtual Apps and Desktops — Das Screenshotschutzfeature für Citrix Virtual Apps and Desktops kann in DDC konfiguriert werden. Die App Protection-Richtlinie wird auf eine Bereitstellungsgruppe in DDC angewendet. Weitere Informationen finden Sie unter Keyloggingschutz und Screenshotschutz für Virtual Apps and Desktops konfigurieren.
-
Web- und SaaS-Apps — Das Screenshotschutzfeature für Web- und SaaS-Apps kann über Secure Private Access-Richtlinien konfiguriert werden. Weitere Informationen finden Sie unter Screenshotschutzfeature für Web- und SaaS-Apps konfigurieren.
-
Authentifizierungsbildschirm — Das Screenshotschutzfeature für den Authentifizierungsbildschirm kann über den Global App Configuration-Dienst und mit Unified Endpoint Management-Lösungen konfiguriert werden.
Konfiguration mit dem Global App Configuration-Dienst
Sie können das Screenshotschutzfeature für den Authentifizierungsbildschirm wie folgt konfigurieren:
- Benutzeroberfläche verwenden
- Konfiguration mit der API
Über die Benutzeroberfläche:
Citrix Workspace-App ermöglicht Ihnen, App Protection für Authentifizierungsbildschirme mit dem Global App Configuration Service (GACS) zu konfigurieren.
Wenn Sie das Screenshotschutzfeature mit dem GACS aktivieren, gilt es für den Authentifizierungsbildschirm.
Administratoren können App Protection mit der Workspacekonfiguration-Benutzeroberfläche konfigurieren:
-
Melden Sie sich an Ihrem Citrix Cloud-Konto an und wählen Sie Workspacekonfiguration.
-
Wählen Sie App-Konfiguration > Sicherheit und Authentifizierung > App Protection aus.
-
Klicken Sie auf Screenshotschutz und wählen Sie dann das Android-Betriebssystem aus.
-
Klicken Sie auf die Umschaltfläche Aktiviert und dann auf Entwürfe veröffentlichen.
-
Klicken Sie im Dialogfeld Einstellungen veröffentlichen auf Ja.
Über die API:
Administratoren können über die API das App Protection-Feature konfigurieren. Einstellung zum Aktivieren oder Deaktivieren des Screenshotschutzes für Citrix Workspace-App für Android:
“name”: “enable anti screen capture for auth ” “value”: “true” or “false”
<!--NeedCopy-->
Beispiel: für eine JSON-Datei zur Aktivierung von Screenshotschutz für Citrix Workspace-App in GACS:
{
"category": "App Protection",
"userOverride": false,
"assignedTo": [
"AllUsersNoAuthentication"
],
"settings": [{
"name": "Enable Anti Screen Capture For Auth",
"value": "true"
},
]
}
<!--NeedCopy-->
Unified Endpoint Management-Lösungen verwenden
Ab Version 24.7.0 von Citrix Workspace-App für Android können Administratoren die App Protection-Funktion für den Authentifizierungsbildschirm aktivieren. Administratoren können das Feature über ein AppConfig-basiertes Schlüssel/Wert-Paar konfigurieren.
-
So aktivieren Sie den Screenshotschutz:
- Schlüssel:
enableAntiScreenCaptureForAuth
- Werttyp:: boolesch
- Wert:
- Wenn der Wert auf true gesetzt ist, ist das Screenshotschutzfeature aktiviert.
- Wenn der Wert auf false gesetzt ist, ist Screenshotschutzfeature deaktiviert.
- Schlüssel:
Empfehlung
App Protection-Richtlinien konzentrieren sich in erster Linie auf die Verbesserung der Sicherheit und des Schutzes von Endpunkten. Überprüfen Sie alle anderen Sicherheitsempfehlungen und Richtlinien für Ihre Umgebung. Sie können eine Sicherheit und Steuerung-Richtlinienvorlage für eine empfohlene Konfiguration in Umgebungen mit geringer Risikotoleranz verwenden. Weitere Informationen finden Sie unter Richtlinienvorlagen.