Configurar App Protection
App Protection proporciona una seguridad mejorada cuando se utiliza la aplicación Citrix Workspace. La función restringe la posibilidad de que los clientes puedan verse amenazados por malware de registro de pulsaciones de teclas y malware de capturas de pantalla. App Protection evita la exfiltración de información confidencial, como credenciales de usuario e información confidencial mostrada en la pantalla. La función evita que los usuarios y los atacantes hagan capturas de pantalla y usen registradores de pulsaciones de teclas para obtener y explotar información confidencial.
En este artículo se explica cómo configurar App Protection en la aplicación Citrix Workspace en diferentes plataformas.
App Protection está disponible en la aplicación Citrix Workspace para las siguientes plataformas:
- Aplicación Citrix Workspace para Windows
- Aplicación Citrix Workspace para Linux
- Aplicación Citrix Workspace para Mac
- Aplicación Citrix Workspace para Android
Renuncia de responsabilidades
Las directivas de App Protection filtran el acceso a las funciones requeridas del sistema operativo subyacente. Se necesitan llamadas a API específicas para capturar pantallas o pulsaciones de teclas. Las directivas de App Protection proporcionan protección incluso contra herramientas de piratas informáticos personalizadas y con un diseño específico. Sin embargo, a medida que los sistemas operativos evolucionan, es posible que surjan nuevas formas de capturar pantallas y registrar pulsaciones de teclas. Si bien seguimos identificándolas y abordándolas, no podemos garantizar una protección completa en configuraciones e implementaciones específicas.
Aplicación Citrix Workspace para Windows
Requisitos previos
- Citrix Virtual Apps and Desktops 1912 LTSR o versiones posteriores.
- StoreFront versión 1912 LTSR o Workspace.
- Aplicación Citrix Workspace 2203.1 LTSR o una versión posterior.
- Una licencia de App Protection válida
-
A partir de la versión 2212 de la aplicación Citrix Workspace, el componente App Protection se instala de forma predeterminada durante la instalación de la aplicación Citrix Workspace.
La casilla de verificación Habilitar App Protection que se muestra durante la instalación se sustituye por Iniciar App Protection después de la instalación.
-
Para las versiones de la aplicación Citrix Workspace anteriores a la 2311:
-
A partir de la versión 2311 de la aplicación Citrix Workspace:
Al seleccionar esta casilla de verificación, App Protection se inicia inmediatamente después de la instalación.
Nota:
Si no se habilita esta casilla de verificación, App Protection se inicia automáticamente al iniciar por primera vez un recurso o componente protegido en el caso de los clientes que tienen derechos para usar el componente App Protection.
-
Configurar
Configure las siguientes funciones de App Protection para la aplicación Citrix Workspace para Windows:
-
Protección contra el registro de tecleo y capturas de pantalla:
- Para Virtual Apps and Desktops, consulte Configurar la protección contra el registro de tecleo y capturas de pantalla para Virtual Apps and Desktops.
- Para las aplicaciones web y SaaS, consulte Configurar la protección contra el registro de tecleo y capturas de pantalla para las aplicaciones web y SaaS.
- Para la autenticación y Self-service Plug-in:
- Mediante la interfaz de usuario del Global App Configuration Service, consulte Configurar la protección contra el registro de tecleo y capturas de pantalla para la autenticación y el Self-service Plug-in mediante la interfaz de usuario de Global App Configuration Service
- Mediante un objeto de directiva de grupo, consulte Configurar la protección contra el registro de tecleo y capturas de pantalla para la autenticación y el Self-service Plug-in mediante un objeto de directiva de grupo
- Mediante la API, consulte Configurar la protección contra el registro de tecleo y capturas de pantalla para la autenticación y el Self-service Plug-in mediante una API de GACS
- Para configurar la función antiinyección de DLL, consulte Configurar la función antiinyección de DLL.
- Para configurar la manipulación de directivas de App Protection, consulte Configurar la manipulación de directivas de App Protection.
- Para configurar la Comprobación de la postura de App Protection, consulte Configurar comprobación de la postura de App Protection.
- Para habilitar el parámetro de inicio de doble salto, consulte Bloquear inicio de doble salto.
Limitaciones
- Esta función solo está disponible en sistemas operativos de escritorio como Windows 11 y Windows 10.
- A partir de la versión 2006.1, la aplicación Citrix Workspace no se admite en Windows 7. Por lo tanto, App Protection no funciona en Windows 7. Para obtener más información, consulte Elementos retirados.
- Esta función no se puede usar con el Protocolo de escritorio remoto (RDP).
Interfaz de línea de comandos
Puede iniciar el componente App Protection mediante el parámetro /startappprotection
de línea de comandos. No obstante, el modificador /includeappprotection
anterior se ha retirado.
La tabla siguiente proporciona información sobre las pantallas protegidas en función de la implementación:
Implementación de App Protection | Pantallas protegidas | Pantallas no protegidas |
---|---|---|
Se incluye en la aplicación Citrix Workspace | Cuadro de diálogo de credenciales de usuario / administrador de autenticación y Self-service Plug-in | Central de conexiones, Dispositivos, mensajes de error de la aplicación Citrix Workspace, Reconexión automática de clientes, Agregar cuenta |
Se ha configurado en el Controller | Pantalla de sesión ICA (tanto aplicaciones como escritorios) | Central de conexiones, Dispositivos, mensajes de error de la aplicación Citrix Workspace, Reconexión automática de clientes, Agregar cuenta |
Al tomar una captura de pantalla, solo se oscurece la ventana protegida. Puede hacer una captura de pantalla de la zona que queda fuera de la ventana protegida. Sin embargo, si utiliza la tecla Impr Pant para hacer una captura de pantalla en un dispositivo con Windows 10, debe minimizar la ventana protegida.
Anteriormente, las funcionalidades de protección contra la captura de tecleo y contra las capturas de pantalla se aplicaban de forma predeterminada para la autenticación de Citrix y las pantallas de la aplicación Citrix Workspace. Sin embargo, a partir de 2212, estas capacidades están inhabilitadas de forma predeterminada y deben configurarse mediante el objeto de directiva de grupo.
Nota:
Esta directiva de GPO no se aplica a las sesiones ICA y SaaS. Las sesiones ICA y SaaS se siguen controlando mediante el Delivery Controller y Citrix Secure Private Access.
Mejora en App Protection:
A partir de la versión 2305 de la aplicación Citrix Workspace para Windows, se habilita la protección contra el registro de tecleo en las pantallas de autenticación y del Self-service Plug-in si se cumple uno de estos criterios:
- Habilitó App Protection mediante una de estas opciones:
- Marcar la casilla Iniciar App Protection durante la instalación.
- Iniciar el componente App Protection mediante el parámetro /startappprotection de la línea de comandos.
- Si no marcó la casilla de verificación Iniciar App Protection ni utilizó el parámetro de línea de comandos /startappprotection durante la instalación, la protección contra el registro de tecleo se habilitará tras iniciar el primer recurso protegido.
Nota:
Global App Configuration Service y los objetos de directiva de grupo (GPO) supeditan el comportamiento anterior. Por ejemplo, si inhabilitó GACS o la directiva de GPO para estas pantallas, la protección contra el registro de tecleo no estará habilitada en las pantallas de autenticación y SSP.
Aplicación Citrix Workspace para Linux
A partir de la versión 2108, la función App Protection es completamente funcional. Esta función es compatible con Virtual Apps and Desktops y está habilitada de forma predeterminada. Sin embargo, debe configurar la función de App Protection en el archivo AuthManConfig.xml
para habilitarla en las interfaces del administrador de autenticación y del Self-service Plug-in.
Requisito previo
App Protection funciona mejor con estos sistemas operativos y GNOME Display Manager:
- Ubuntu 18.04, Ubuntu 20.04 y Ubuntu 22.04 de 64 bits
- Debian 9 y Debian 10 de 64 bits
- CentOS 7 de 64 bits
- RHEL 7 de 64 bits
- Sistema operativo Raspberry Pi (Buster) con armhf de 32 bits (basado en Debian 10)
- Sistema operativo ARM64 Raspberry Pi (basado en Debian 11 (bullseye))
Nota:
Si usa una versión de la aplicación Citrix Workspace anterior a 2204, la función de App Protection no es compatible con los sistemas operativos que usa n
glibc
2.34 o una versión posterior.Si instala la aplicación Citrix Workspace con la función App Protection habilitada en un SO que usa
glibc
2.34 o una versión posterior, es posible que, al reiniciar el sistema, el SO no arranque. Para recuperarse de un error de arranque del SO, realice una de estas acciones:
- Instale de nuevo el sistema operativo.
- Vaya al modo de recuperación del sistema operativo y desinstale la aplicación Citrix Workspace desde el terminal.
- Arranque el sistema desde el SO en directo y quite el archivo
rm -rf /etc/ld.so.preload
del SO existente.
Instalación del componente de App Protection
-
Al instalar la aplicación Citrix Workspace con el paquete tarball, aparece el siguiente mensaje: ¿Quiere instalar el componente de App Protection? Advertencia: No puede inhabilitar esta función. Para inhabilitarla, debe desinstalar la aplicación Citrix Workspace. Para obtener más información, póngase en contacto con el administrador de sistemas. [default $INSTALLER_N]:
-
Presione Y para instalar el componente de App Protection. App Protection no se instala de forma predeterminada.
-
Reinicie la máquina para que se reflejen los cambios. App Protection funciona como es debido solamente tras reiniciar la máquina.
Instalación del componente de App Protection en paquetes RPM
A partir de la versión 2104, App Protection se ofrece en la versión RPM de la aplicación Citrix Workspace.
Para instalar App Protection, haga esto:
- Al instalar la aplicación Citrix Workspace.
- Instale el paquete
ctxappprotection<version>.rpm
de App Protection desde el instalador de la aplicación Citrix Workspace. - Reinicie el sistema para que se reflejen los cambios.
Instalar el componente de App Protection en paquetes Debian
A partir de la versión 2101, App Protection se ofrece en la versión Debian de la aplicación Citrix Workspace.
Para instalar el componente de App Protection, ejecute el siguiente comando desde el terminal antes de instalar la aplicación Citrix Workspace:
export DEBIAN_FRONTEND="noninteractive"
sudo debconf-set-selections <<< "icaclient app_protection/install_app_protection select yes"
sudo debconf-show icaclient
* app_protection/install_app_protection: yes
sudo apt install -f ./icaclient_<version>._amd64.deb
<!--NeedCopy-->
A partir de la versión 2106, la aplicación Citrix Workspace presenta una opción para configurar las funciones de protección contra el registro de tecleo y protección contra capturas de pantalla por separado para las interfaces del administrador de autenticación y del Self-service Plug-in.
Configurar
Configure las siguientes funciones de App Protection para la aplicación Citrix Workspace para Linux:
- Para configurar la protección contra el registro de tecleo y la captura de pantallas para la pantalla de autenticación, consulte Configurar mediante AuthManConfig.xml para Authentication Manager.
- Para configurar la protección contra registro de tecleo y captura de pantallas para la pantalla del Self-service Plug-in, consulte Configurar mediante AuthManConfig.xml para la interfaz del Self-service Plug-in.
- Para configurar la protección contra el registro de tecleo y capturas de pantalla para Virtual Apps and Desktops, consulte Configurar la protección contra el registro de tecleo y capturas de pantalla para Virtual Apps and Desktops.
- Para configurar la manipulación de directivas de App Protection, consulte Configurar la manipulación de directivas de App Protection.
- Para configurar la Comprobación de la postura de App Protection, consulte Configurar comprobación de la postura de App Protection.
Aplicación Citrix Workspace para Mac
Configure las siguientes funciones de App Protection para la aplicación Citrix Workspace para Mac:
- Para configurar la protección contra el registro de tecleo y capturas de pantalla para la autenticación y el Self-service Plug-in mediante la interfaz de usuario del Global App Configuration Service, consulte Configurar la protección contra el registro de tecleo y capturas de pantalla para la autenticación y el Self-service Plug-in mediante la interfaz de usuario de Global App Configuration Service.
- Para configurar la protección contra el registro de tecleo y capturas de pantalla para la autenticación y el Self-service Plug-in mediante una API, consulte Configurar la protección contra el registro de tecleo y capturas de pantallas para la autenticación y el Self-service Plug-in mediante una API de GACS.
- Para configurar la protección contra el registro de tecleo y capturas de pantalla para Virtual Apps and Desktops, consulte Configurar la protección contra el registro de tecleo y capturas de pantalla para Virtual Apps and Desktops.
- Para configurar la protección contra el registro de tecleo y capturas de pantalla para aplicaciones web y SaaS, consulte Configurar la protección contra el registro de tecleo y capturas de pantalla para las aplicaciones web y SaaS.
- Para configurar la manipulación de directivas de App Protection, consulte Configurar la manipulación de directivas de App Protection.
- Para configurar la Comprobación de la postura de App Protection, consulte Configurar comprobación de la postura de App Protection.
Aplicación Citrix Workspace para Android
Requisitos previos
- Citrix Virtual Apps and Desktops 1912 LTSR o versiones posteriores.
- StoreFront versión 1912 LTSR o Workspace.
- Aplicación Citrix Workspace para Android versión 24.7.0 o posterior.
- Una licencia de App Protection válida
Configuración
Puede configurar la función de protección contra capturas de pantalla para lo siguiente:
-
Citrix Virtual Apps and Desktops: La función de protección contra capturas de pantalla para Citrix Virtual Apps and Desktops se puede configurar en DDC. La directiva de App Protection se aplica a un grupo de entrega en DDC. Para obtener más información, consulte Configurar la protección contra el registro de tecleo y capturas de pantalla para Virtual Apps and Desktops.
-
Aplicaciones web y SaaS: La función de protección contra capturas de pantalla para aplicaciones web y SaaS se puede configurar mediante directivas de Secure Private Access. Para obtener más información, consulte Configurar la protección contra capturas de pantalla para aplicaciones web y SaaS.
-
Pantalla de autenticación: La función de protección contra capturas de pantalla para la pantalla de autenticación se puede configurar a través de Global App Configuration Service y mediante las soluciones de administración unificada de dispositivos de punto final.
Uso de Global App Configuration Service
Puede configurar la función de protección contra capturas de pantalla para la pantalla de autenticación mediante:
- Uso de la interfaz de usuario
- Uso de la API
Uso de la interfaz de usuario:
La aplicación Citrix Workspace le permite configurar App Protection para las pantallas de autenticación mediante Global App Configuration Service (GACS).
Si habilita la función de protección contra capturas de pantalla con el GACS, se aplicará a la pantalla de autenticación.
Los administradores pueden configurar App Protection mediante la interfaz de usuario de Configuración de Workspace:
-
Inicie sesión en su cuenta de Citrix Cloud y seleccione Configuración de Workspace.
-
Seleccione Configuración de la aplicación > Seguridad y autenticación > App Protection.
-
Haga clic en Protección contra capturas de pantalla y, a continuación, seleccione el sistema operativo Android.
-
Haga clic en el botón Habilitado y, a continuación, en Publicar borradores.
-
En el cuadro de diálogo Parámetros de publicación, haga clic en Sí.
Uso de la API:
Los administradores pueden usar la API para configurar la función de App Protection. El parámetro para habilitar o inhabilitar la protección contra capturas de pantalla en la aplicación Citrix Workspace para Android:
“name”: “enable anti screen capture for auth ” “value”: “true” or “false”
<!--NeedCopy-->
Ejemplo: A continuación se incluye un archivo JSON de ejemplo para habilitar la función de protección contra capturas de pantalla para la aplicación Citrix Workspace en GACS:
{
"category": "App Protection",
"userOverride": false,
"assignedTo": [
"AllUsersNoAuthentication"
],
"settings": [{
"name": "Enable Anti Screen Capture For Auth",
"value": "true"
},
]
}
<!--NeedCopy-->
Uso de soluciones de administración unificada de dispositivos de punto final
A partir de la versión 24.7.0 de la aplicación Citrix Workspace para Android, los administradores pueden habilitar la función App Protection para la pantalla de autenticación. Los administradores pueden configurar esta función mediante un par clave-valor basado en AppConfig.
-
Para habilitar la protección contra capturas de pantalla:
- Clave:
enableAntiScreenCaptureForAuth
- tipo de valor: booleano
- valor:
- Si se establece en true, la función de protección contra capturas de pantalla está habilitada.
- Si se establece en false, la función de protección contra capturas de pantalla está inhabilitada.
- Clave:
Recomendación
Las directivas de App Protection se centran en mejorar la seguridad y la protección de los dispositivos de punto final. Revise todas las demás recomendaciones y directivas de seguridad de su entorno. Puede utilizar una plantilla de directiva de Seguridad y control para la configuración recomendada en entornos con baja tolerancia al riesgo. Para obtener más información, consulte Plantillas de directiva.