Aplicación Citrix Workspace

Funciones de App Protection

En este artículo se destacan las funciones de App Protection compatibles con la aplicación Citrix Workspace para Windows, la aplicación Citrix Workspace para Linux y la aplicación Citrix Workspace para Mac.

Protección contra el registro de tecleo

Para la aplicación Citrix Workspace para Windows, Linux y Mac

A través del cifrado, las funciones contra el registro del tecleo de App Protection codifican el texto que el usuario escribe tanto en el teclado físico como en el de pantalla. La protección contra el registro de tecleo cifra el texto antes de que una herramienta pueda acceder a él desde el nivel del kernel o sistema operativo. Un registrador de las pulsaciones de teclas instalado en el dispositivo de punto final del cliente que leyera los datos del sistema operativo o un controlador capturaría el texto cifrado en lugar de las pulsaciones de teclas del usuario. Las directivas de App Protection están activas no solo para las aplicaciones y los escritorios publicados, sino también para los cuadros de diálogo de autenticación de Citrix Workspace. Su instancia de Citrix Workspace está protegida desde el momento en que los usuarios abren el primer cuadro de diálogo de autenticación. App Protection codifica las pulsaciones de teclas y devuelve texto indescifrable a los programas de registro de tecleo.

Los administradores pueden optar por habilitar la protección contra el registro de tecleo para los siguientes tipos de recursos:

  • Virtual Apps and Desktops
  • Aplicaciones web y SaaS internas
  • Pantallas de autenticación
  • Pantallas de Self-service Plug-in (SSP)

Para la aplicación Citrix Workspace para iOS

Esta función protege contra los intentos de registro de tecleo en el nivel de aplicación, lo que garantiza que la información confidencial introducida en las aplicaciones protegidas permanezca segura. Esta función le permite usar solo los teclados predeterminados proporcionados por Apple, lo que garantiza que no se puedan capturar las pulsaciones de teclas introducidas en las aplicaciones protegidas. App Protection impide el uso de teclados personalizados como parte de la función de protección contra el registro de tecleo. Si ha habilitado teclados personalizados, puede inhabilitarlos y, a continuación, seguir usando los recursos que están habilitados mediante la función de protección contra el registro de tecleo de App Protection.

Los administradores pueden optar por habilitar la protección contra el registro de tecleo para lo siguiente:

  • Virtual Apps and Desktops
  • Aplicaciones web y SaaS abiertas a través de WebView
  • Pantallas de autenticación

Para obtener más información sobre la configuración de la función App Protection, consulte Configurar App Protection.

A partir de la versión 24.9.0 de la aplicación Citrix Workspace para iOS, está disponible la función de protección contra la captura de pantallas. No obstante, para habilitar la función, siga los pasos de configuración mencionados en la sección Configurar.

Comportamiento al abrir una aplicación con la función de protección contra el registro de tecleo en la aplicación Citrix Workspace para Android

La función de protección contra el registro de tecleo de App Protection aún no se admite en la aplicación Citrix Workspace para Android. Si intenta abrir una aplicación con la función de protección contra el registro de tecleo habilitada, la aplicación no se abrirá y aparecerá el siguiente mensaje de error:

Su administrador inhabilitó el inicio de este recurso por motivos de seguridad

Aplicaciones con protección contra el registro de tecleo inhabilitada

Protección contra la captura de pantallas

Para la aplicación Citrix Workspace para Windows, Linux y Mac

La protección contra capturas de pantalla impide que una aplicación intente hacer una captura o grabación de la pantalla en una sesión de escritorio o aplicación virtual. El software de captura de pantalla no puede detectar contenido dentro de la región de captura. El área seleccionada por la aplicación se muestra atenuada o la aplicación no captura nada, en lugar de la sección de la pantalla que prevé copiar. La función de protección contra la captura de pantallas se aplica a Snip and Sketch, Snipping Tool y Mayús+Ctrl+Impr Pant en Windows.

Otro caso de uso de la función de protección contra capturas de pantalla es impedir que se comparta información confidencial en aplicaciones de reuniones virtuales o conferencias web como GoToMeeting, Microsoft Teams o Zoom. App Protection impide que se comparta información de forma involuntaria, mostrando una pantalla en blanco en las conferencias web cuando las aplicaciones están protegidas. Esta función garantiza que la información confidencial no se filtre accidentalmente de la organización. Esta función ayuda a cumplir con la normativa en sectores regulados, puesto que la intención no se tiene en cuenta al revelarse una filtración de datos.

Los administradores pueden optar por habilitar la protección contra capturas de pantalla para los siguientes tipos de recursos:

  • Virtual Apps and Desktops
  • Aplicaciones web y SaaS internas
  • Pantallas de autenticación
  • Pantallas de Self-service Plug-in (SSP)

Nota:

Si ha iniciado dos escritorios virtuales y uno de ellos está habilitado con la función de protección contra captura de pantalla y el otro no, la función de protección contra captura de pantalla se aplicará a ambos escritorios virtuales. No puede realizar una captura de pantalla de ninguno de los escritorios virtuales.

En caso de que haya minimizado el escritorio virtual que está habilitado con la protección contra captura de pantalla, la función de protección contra captura de pantalla seguirá aplicándose al escritorio virtual que no tiene dicha función.

Detección y notificación de capturas de pantalla

Con la aplicación Citrix Workspace para Windows, podrá ver una notificación cuando haya un posible intento de captura de pantalla con relación a cualquier recurso protegido. Para obtener información sobre los recursos protegidos con App Protection, consulte ¿Qué protege App Protection?

La notificación aparece cuando hay:

  • Un intento de hacer una captura de pantalla o grabar un vídeo a través de una herramienta para captura de pantallas.
  • Un intento de hacer una captura de pantalla con la tecla Imprimir pantalla.

Nota:

  • La notificación aparece solo una vez por instancia en ejecución de la herramienta de captura de pantallas. La notificación se muestra de nuevo si se vuelve a iniciar la herramienta y se intenta capturar la pantalla.
  • En la aplicación Citrix Workspace para Windows 2212 y versiones posteriores, las ventanas de inicio de sesión y las ventanas de autoservicio (Tienda) no están protegidas de forma predeterminada.

Para la aplicación Citrix Workspace para iOS

A partir de la versión 24.9.0, la aplicación Citrix Workspace para iOS admite la función App Protection.

App Protection es una función de la aplicación Citrix Workspace que proporciona una seguridad mejorada cuando se utilizan recursos publicados de Citrix Virtual Apps and Desktops. Esta función restringe la posibilidad de que los clientes se vean afectados por malware de registro de tecleo y captura de pantallas. App Protection evita la filtración de información confidencial, como las credenciales de usuario y la información confidencial que se muestra en la pantalla. La función evita que los usuarios y los atacantes hagan capturas de pantalla y usen registradores de pulsaciones de teclas para obtener y explotar información confidencial.

Para habilitar la función, siga los pasos de configuración mencionados en la sección Configurar.

Con la aplicación Citrix Workspace para Android

La función restringe la posibilidad de que los clientes puedan verse amenazados por malware de capturas de pantalla. Además, impide las capturas de pantalla, las grabaciones, el reflejo, el uso compartido de pantalla y el cambio de aplicación no autorizados.

La función de protección contra capturas de pantalla está disponible para los procesos de autenticación, las aplicaciones web o SaaS y Citrix Virtual Apps and Desktops. La aplicación Citrix Workspace para Android no permite realizar capturas de pantalla. Cuando intenta capturar una pantalla, aparece un mensaje que le indica que no está autorizado a hacer capturas de pantalla.

Los administradores pueden optar por habilitar la protección contra capturas de pantalla para lo siguiente:

  • Virtual Apps and Desktops
  • Aplicaciones web y SaaS
  • Pantallas de autenticación

A partir de la versión 24.7.0 de la aplicación Citrix Workspace para Android, la función de protección contra capturas de pantalla está disponible de forma predeterminada. Sin embargo, para habilitar la función, siga los pasos de configuración mencionados en la sección Configuración.

Limitaciones:

  • Las directivas de App Protection se descargan para cada almacén. Si se han descargado las directivas para un almacén y cambia a otro almacén para el que no se han descargado las directivas, la función de protección contra capturas de pantalla no protege a este último.

  • La función de protección contra capturas de pantalla no se admite en las pantallas de autenticación cuando se usa ChromeCustomTab. Sin embargo, esta función es compatible cuando se usa la autenticación nativa o WebView. ChromeCustomTab está habilitado de forma predeterminada en los almacenes de la nube. Puede cambiar a WebView si cambia el parámetro AndroidWebViewType a webview mediante el módulo de PowerShell. Para obtener más información, consulte Set-WorkspaceCustomConfigurations.

Antiinyección de DLL

La mejora de seguridad antiinyección de DLL ayuda a proteger la aplicación Citrix Workspace frente determinadas bibliotecas de enlace dinámico (DLL) no autorizadas o frente a módulos que no son de confianza. Si se inyectan estos módulos que no son de confianza, la aplicación Citrix Workspace detecta estas intervenciones e impide que los módulos se carguen. Además, si se detecta alguna DLL maliciosa o que no sea de confianza antes del inicio de la sesión, App Protection bloquea el inicio de la sesión y muestra un mensaje de error. Al cerrar el mensaje de error, se cierra la sesión de escritorio y aplicación virtual.

Esta función está disponible con todas las aplicaciones y escritorios virtuales protegidos y con la ventana de autenticación de la aplicación Citrix Workspace (implementación local o StoreFront).

La mejora cierra la sesión inmediatamente cuando existen determinadas DLL maliciosas o que no son de confianza en el componente protegido

Inicio fallido

La mejora muestra una notificación cuando se bloquea una DLL maliciosa o que no es de confianza. Al cerrar el mensaje, se cierra la sesión de escritorio y aplicación virtual.

Alerta sospechosa

Aviso: Esta característica funciona mediante el filtrado del acceso a las funciones necesarias del sistema operativo subyacente (llamadas a API específicas necesarias para cargar las DLL). De este modo, puede proporcionar protección incluso contra ciertas herramientas de piratas informáticos personalizadas y diseñadas específicamente. Sin embargo, a medida que los sistemas operativos evolucionan, pueden surgir nuevas formas de cargar archivos DLL. Si bien seguimos identificándolas y abordándolas, no podemos garantizar una protección completa en configuraciones e implementaciones específicas.

Esta función es compatible con la aplicación Citrix Workspace para Windows 2206 y versiones posteriores.

Nota:

Anteriormente, las funcionalidades de protección contra la captura de tecleo y contra las capturas de pantalla se aplicaban de forma predeterminada para la autenticación de Citrix y las pantallas de la aplicación Citrix Workspace. Sin embargo, a partir de 2212, estas capacidades están inhabilitadas de forma predeterminada y deben configurarse mediante el objeto de directiva de grupo. Para obtener información sobre la configuración del objeto de directiva de grupo, consulte Mejora de la configuración de App Protection.

Compatibilidad con la optimización de HDX para Microsoft Teams

Microsoft Teams optimizado permite el uso compartido de la pantalla cuando la aplicación Citrix Workspace está habilitada con App Protection únicamente en el modo Desktop Viewer. Al hacer clic en Compartir contenido en Microsoft Teams, el selector de pantallas ofrece estas opciones:

  • La opción Ventana para compartir aplicaciones abiertas: Esta opción solo se muestra si la versión del VDA es 2109 o una posterior.
  • La opción Escritorio para compartir el contenido del escritorio del VDA: esta opción solo se muestra en las siguientes versiones de la aplicación Citrix Workspace:
    • Aplicación Citrix Workspace para Linux 2311 o una versión posterior
    • Aplicación Citrix Workspace para Mac 2308 o una versión posterior
    • Aplicación Citrix Workspace para Windows versión 2309 o posterior

Nota:

En la aplicación Citrix Workspace para Linux, la opción de compartir escritorio está inhabilitada de forma predeterminada. Para habilitarla, agregue el parámetro UseGbufferScreenSharing al archivo config.json de la siguiente manera:

  mkdir -p /var/.config/citrix/hdx_rtc_engine
  vim /var/.config/citrix/hdx_rtc_engine/config.json
  {
        "UseGbufferScreenSharing":1
  }
<!--NeedCopy-->

Microsoft Teams optimizado con App Protection habilitada también permite el diseño de monitores virtuales de Citrix, con el que puede compartir cada monitor virtual de forma individual.

Limitación:

  • Microsoft Teams optimizado con App Protection habilitada no presenta compatibilidad con el uso compartido de la pantalla en escritorios publicados habilitados con acceso a aplicaciones locales (LAA).
  • El contenido generado por el cliente, como el contenido del explorador web mediante BCR, no se puede capturar ni compartir. Si intenta realizar una captura de pantalla, se mostrará como una pantalla negra.

Nota:

En el caso de la aplicación Citrix Workspace para Linux, esta función se encuentra en Technical Preview.

App Protection local (Technical Preview)

App Protection ofrece una mayor seguridad a la hora de defender a los clientes de registradores de pulsaciones de teclas y capturas de pantalla, ya sean accidentales o maliciosas, en los dispositivos de punto final. Actualmente, las funciones de App Protection solo se ofrecen con los recursos de Workspace. Con esta función, las funciones de App Protection se extienden a las aplicaciones locales residentes en los dispositivos de punto final. A partir de la aplicación Citrix Workspace 2210 para Windows, se puede aplicar App Protection a las aplicaciones locales de los dispositivos Windows.

Regístrese en la versión Technical Preview de esta función mediante el formulario de Podio.

Detección de manipulación de directivas

La función de detección de manipulación de directivas impide que el usuario acceda a sesiones de escritorio o aplicación virtual si se alteran las directivas de App Protection de protección contra capturas de pantalla y el registro de tecleo. Si se detecta una alteración de las directivas, la sesión de escritorio o aplicación virtual finaliza.

Nota:

La función de detección de manipulación de directivas se inhabilitará de forma predeterminada en una versión futura.

Para configurar la detección de manipulación de directivas, consulte Configurar la detección de manipulación de directivas.

Verificación de la postura

Para detectar y bloquear el inicio de aplicaciones y escritorios virtuales que están habilitados con directivas de App Protection desde versiones de la aplicación Citrix Workspace que no admiten la función de detección de manipulación de directivas, habilite la Comprobación de la postura de App Protection.

Nota:

Si la comprobación de la postura está habilitada y utiliza la versión de la aplicación Citrix Workspace que no presenta compatibilidad con la comprobación de la postura, las sesiones habilitadas con directivas de App Protection se finalizan.

Para configurar la verificación de la postura, consulte Configurar la verificación de la postura.

Limitación:

La comprobación de la postura deja de funcionar de forma intermitente cuando se utilizan VDA en estaciones de trabajo con Windows alojadas en Microsoft Azure con VDA 2308. Esta limitación se resuelve en la versión 2311 y posteriores del VDA.

Compatibilidad con App Protection con escenario de doble salto

A partir de la versión 2405 de la aplicación Citrix Workspace para Windows, App Protection es compatible con casos de doble salto cuando se instala en un VDA de estación de trabajo (como Windows 10 o Windows 11) para un VDA de sesión única.

El doble salto indica un caso en el que una sesión de Citrix Virtual Apps o Virtual Desktops se ejecuta dentro de una sesión de Citrix Virtual Desktops. Para obtener más información, consulte Doble salto en Citrix Virtual Apps and Desktops.

La siguiente imagen describe el caso de doble salto:

Doble salto

App Protection con doble salto significa que las directivas de App Protection están habilitadas en las aplicaciones y escritorios virtuales que se abren desde el primer salto.

El primer salto en el que se habilita la funcionalidad App Protection y desde el que se abren las aplicaciones o los escritorios virtuales protegidos puede ser un VDA con SO multisesión o un VDA con SO de sesión única.

A continuación, se indican los comportamientos previstos de App Protection con doble salto en VDA con SO multisesión y VDA de sesión única:

App Protection en VDA con SO multisesión

App Protection no es compatible con VDA de sistema operativo multisesión (como Windows Server 2k19 o Windows Server 2k22). Por lo tanto, App Protection no debe instalarse en dichas máquinas.

Puede instalar la aplicación Citrix Workspace sin App Protection en un sistema operativo multisesión. Sin embargo, los recursos que están habilitados con directivas de App Protection no se enumeran ni se pueden abrir en un VDA con SO multisesión.

App Protection en VDA con SO de sesión única

Con la versión 2405 de la aplicación Citrix Workspace para Windows, las funciones de App Protection se admiten cuando se instala en un VDA de estación de trabajo (como Windows 10 o Windows 11).

Actualmente, se admiten las siguientes funciones:

¿Qué caso se admite?

Cuando el escritorio o la aplicación virtual del segundo salto habilitados con protección contra capturas de pantalla y registro de tecleo se abren en la sesión de escritorio virtual del primer salto, están protegidos de las herramientas de captura de pantallas y registro de tecleo que se ejecutan en la sesión de escritorio virtual del primer salto.

¿Qué caso no es compatible?

  • Si el escritorio virtual del primer salto no tiene habilitadas las directivas de App Protection, es posible que las herramientas de captura de pantallas y registro de tecleo instaladas en el dispositivo de punto final del cliente capturen las pantallas o las pulsaciones de teclas, incluso cuando el segundo salto tenga habilitadas las directivas de App Protection.

  • Si el usuario final accede a la máquina del primer salto mediante una sesión RDP, no se admite App Protection para el segundo salto.

Esta función está habilitada de forma predeterminada; por lo tanto, no necesita una configuración independiente. El administrador debe configurar las directivas de App Protection para los recursos.

Recomendación para una protección de extremo a extremo

Para obtener una protección integral, se recomienda habilitar las directivas de App Protection en cada salto (tanto en el primero como en el segundo). De esta forma, las herramientas de registro de tecleo y captura de pantallas que se ejecutan en el cliente o en el primer salto no pueden capturar el contenido confidencial de la sesión del segundo salto.

Bloquear inicio de doble salto

Las funciones de App Protection no se admiten en un caso de doble salto cuando se usan versiones de la aplicación Citrix Workspace para Windows anteriores a 2405. Puede abrir aplicaciones virtuales, escritorios, aplicaciones web o aplicaciones SaaS que estén habilitados con directivas de App Protection en un caso de doble salto. Sin embargo, las funciones de App Protection no se aplican.

Puede bloquear la apertura de aplicaciones virtuales, escritorios, aplicaciones web o aplicaciones SaaS habilitadas con la funcionalidad App Protection en caso de doble salto.

Para obtener más información sobre cómo habilitar el parámetro Bloquear inicio de doble salto, consulte Habilitar el parámetro Bloquear inicio de doble salto.

Servicio Citrix Analytics para App Protection

Cuando usa Citrix Virtual Apps and Desktops, se generan eventos de usuario correspondientes a sus actividades y acciones. Citrix Analytics for Security tiene una función denominada Búsqueda de autoservicio que registra esos eventos de usuario y le proporciona insights sobre ellos. La búsqueda de autoservicio le permite buscar, filtrar y explorar esos eventos de usuario para poder comprender qué evento de usuario se lleva a cabo y actuar en función de la gravedad del evento. Para obtener más información sobre la búsqueda de autoservicio, consulte Búsqueda de autoservicio.

La búsqueda de autoservicio de aplicaciones y escritorios tiene un tipo de evento AppProtection.ScreenCapture que le permite determinar si se intenta realizar capturas de pantalla de las aplicaciones o escritorios virtuales que están habilitados con las directivas de App Protection. Para obtener más información sobre cómo buscar un evento de usuario, consulte Especificar una consulta de búsqueda para filtrar eventos.

Este servicio proporciona la siguiente información:

  • ID de dispositivo
  • Títulos de aplicaciones protegidas
  • Información adicional del sistema operativo
  • Nombre de la herramienta de captura de pantalla
  • Ruta de la herramienta de captura de pantalla

Anticaptura de pantalla en CAS

Lista de permitidos para capturas de pantalla

Si la aplicación Citrix Workspace, las aplicaciones y escritorios virtuales o las aplicaciones SaaS están habilitadas con la directiva anticaptura de pantalla de App Protection, no podrá capturar sus pantallas con ninguna herramienta diseñada para tal fin.

Sin embargo, a partir de la versión 2402 de la aplicación Citrix Workspace para Windows, la función Lista de permitidos para capturas de pantalla le permite agregar una aplicación a la lista de permitidos para capturas de pantalla. Esta función le permite usar la aplicación de la lista de permitidos y capturar la pantalla del recurso habilitado con la directiva anticaptura de pantalla de App Protection. Para agregar una aplicación a la lista de permitidos para capturas de pantalla, consulte Configurar Lista de permitidos para capturas de pantalla.

-priority

No se recomienda ejecutar una aplicación incluida en la lista de permitidos en el dispositivo durante un período más prolongado, ya que reduce la postura de seguridad. Puede usar las aplicaciones de la lista de permitidas para compartir su pantalla temporalmente en situaciones como la solución de problemas. Se recomienda cumplir con las siguientes condiciones:

  • Ejecute la aplicación incluida en la lista de permitidas durante un período breve junto con el recurso habilitado con la función anticaptura de pantalla de App Protection.
  • Cierre la aplicación incluida en la lista de permitidas inmediatamente después de completar la tarea requerida.
  • Agregue una marca de agua al compartir la pantalla mientras usa el recurso habilitado con la función anticaptura de pantalla de App Protection para mayor seguridad.

Lista de exclusión de procesos

Al iniciar cualquier proceso o aplicación en el dispositivo, las DLL de App Protection se inyectan en cada proceso si App Protection está habilitada. En ocasiones, esto puede provocar que el proceso o la aplicación no funcionen debido a problemas de compatibilidad con la DLL.

A partir de la versión 24.02 de la aplicación Citrix Workspace para Windows, puede agregar cualquier proceso a la lista de exclusión de procesos para evitar que las DLL de App Protection se incorporen a ese proceso en particular y evitar problemas de compatibilidad causados por la presencia de las DLL de App Protection. Para configurar la lista de exclusión de procesos, consulte Configurar Lista de exclusión de procesos.

-priority

No se recomienda excluir procesos, ya que esto reduce la postura de seguridad. Puede usar esto para desbloquear temporalmente el uso de la aplicación y generar un tíquet de asistencia para una investigación más a fondo.

Lista de exclusión de controladores de filtro USB

A veces, cuando se usan teclados externos especializados, como teclados para juegos, con la aplicación Citrix Workspace, el controlador de filtros USB de App Protection puede provocar problemas de compatibilidad e impedir que el uso del teclado.

A partir de la versión 2402 de la aplicación Citrix Workspace para Windows, la función Lista de exclusión de controladores de filtro USB le permite excluir cualquier dispositivo USB que presente problemas de compatibilidad con la aplicación Citrix Workspace mediante el ID de proveedor y el ID de producto del dispositivo. Para agregar cualquier dispositivo a la Lista de exclusión de controladores de filtro USB, consulte Configurar Lista de exclusión de controladores de filtro USB.

Nota:

No se recomienda excluir dispositivos de forma permanente. Use esta función para impedir de forma temporal que el usuario utilice el dispositivo y generar un tíquet de asistencia para investigar más a fondo el problema de compatibilidad.

Lista de aplicaciones permitidas que usan funcionalidades LD_PRELOAD para la aplicación Citrix Workspace para Linux

App Protection bloquea el inicio de una sesión protegida si se están ejecutando otras aplicaciones que usan LD_PRELOAD. Para permitir aplicaciones legítimas, puede configurar la función de lista de permitidos con la aprobación del administrador. Esta función es solo para la aplicación Citrix Workspace para Linux.

Para habilitar la función, siga los pasos de configuración mencionados en la sección Configurar la lista de permitidos para LD_PRELOAD.