Sécurité
App Protection
App Protection est une fonctionnalité complémentaire qui offre une sécurité renforcée lors de l’utilisation de Citrix Virtual Apps and Desktops et Citrix DaaS (anciennement Citrix Virtual Apps and Desktops Service). Cette fonctionnalité limite le risque d’infection par des programmes malveillants d’enregistrement de frappe et de capture d’écran. App Protection empêche l’exfiltration d’informations confidentielles telles que les informations d’identification de l’utilisateur et les informations sensibles affichées à l’écran. Cette fonctionnalité empêche les utilisateurs et les attaquants de prendre des captures d’écran et d’utiliser des enregistreurs de frappe pour récupérer et exploiter des informations sensibles. Pour plus d’informations, consultez Protection des applications.
Clause d’exclusion de responsabilité
Les stratégies de protection des applications filtrent l’accès aux fonctions requises du système d’exploitation sous-jacent (appels d’API spécifiques nécessaires pour capturer des écrans ou des frappes de clavier). Les stratégies App Protection fournissent une protection même contre les outils de piratage personnalisés et spécifiques. Cependant, à mesure que les systèmes d’exploitation évoluent, de nouveaux programmes d’enregistrement de frappe et de capture d’écran peuvent émerger. Bien que nous continuions à les identifier et à les traiter, nous ne pouvons pas garantir une protection complète dans des configurations et des déploiements spécifiques.
Pour configurer la protection des applications sur l’application Citrix Workspace pour Windows, consultez la section correspondante dans l’article Configuration.
Remarque :
La fonctionnalité App Protection n’est prise en charge que lors de la mise à niveau à partir de la version 1912.
Amélioration de la sécurité des fichiers ICA
Cette fonctionnalité fournit une sécurité renforcée lors du traitement des fichiers ICA lors du lancement d’une session d’applications et de bureaux virtuels.
L’application Citrix Workspace vous permet de stocker le fichier ICA dans la mémoire système au lieu du disque local lorsque vous lancez une session d’applications et de bureaux virtuels.
Cette fonctionnalité vise à éliminer les attaques de surface et tout malware susceptible d’utiliser à mauvais escient le fichier ICA lorsqu’il est stocké localement. Cette fonctionnalité s’applique également aux sessions d’applications et de bureaux virtuels lancées sur Workspace for Web.
Configuration
La sécurité des fichiers ICA est également prise en charge lorsque Citrix Workspace ou StoreFront est accessible via le Web. La détection des clients est une condition préalable pour que cette fonctionnalité soit opérationnelle si elle est accessible via le Web. Si vous accédez à StoreFront à l’aide d’un navigateur, activez les attributs suivants dans le fichier web.config sur les déploiements StoreFront :
Version de StoreFront | Attribut |
---|---|
2.x | pluginassistant |
3.x | protocolHandler |
Lorsque vous vous connectez au magasin via le navigateur, cliquez sur Détecter l’application Workspace. Si l’invite n’apparaît pas, effacez les cookies du navigateur et réessayez.
S’il s’agit d’un déploiement Workspace, vous pouvez trouver les paramètres de détection du client en accédant à Paramètres du compte > Avancé > Préférences de lancement des applications et des postes de travail.
Vous pouvez prendre des mesures supplémentaires pour que les sessions soient lancées uniquement à l’aide d’un fichier ICA stocké sur la mémoire système. Utilisez l’une des méthodes suivantes :
- Modèle d’administration d’objet de stratégie de groupe (GPO) sur le client.
- Global App Config Service.
- Workspace pour Web
Utilisation de l’objet de stratégie de groupe :
Pour bloquer les lancements de session à partir de fichiers ICA stockés sur le disque local, procédez comme suit :
- Ouvrez le modèle d’administration d’objet de stratégie de groupe de l’application Citrix Workspace en exécutant
gpedit.msc
. - Sous le nœud Configuration ordinateur, accédez à Modèles d’administration > Composants Citrix > Citrix Workspace > Moteur client.
- Sélectionnez la stratégie Lancement sécurisé de session de fichier ICA et définissez-la sur Activé.
- Cliquez sur Appliquer, puis sur OK.
Utilisation du Global App Config Service :
Vous pouvez utiliser Global App Config Service à partir de l’application Citrix Workspace 2106.
Pour bloquer les lancements de session à partir de fichiers ICA stockés sur le disque local, procédez comme suit :
Définissez l’attribut Block Direct ICA File Launches sur True.
Pour plus d’informations, consultez la documentation Global App Config Service .
Utilisation de Workspace pour Web :
Pour interdire le téléchargement de fichiers ICA sur le disque local lors de l’utilisation de Workspace pour Web, procédez comme suit :
Exécutez le module PowerShell. Consultez Configurer DisallowICADownload.
Remarque :
La stratégie DisallowICADownload n’est pas disponible pour les déploiements StoreFront.
Délai d’inactivité pour les sessions Citrix Workspace
Les administrateurs peuvent configurer la valeur de délai d’inactivité pour spécifier la durée d’inactivité autorisée avant que les utilisateurs ne soient déconnectés automatiquement de la session Citrix Workspace. Vous êtes automatiquement déconnecté de Workspace si la souris, le clavier ou la fonction tactile sont inactifs pendant l’intervalle de temps spécifié. Le délai d’inactivité n’affecte pas les sessions d’applications et de bureaux virtuels actives ni les magasins Citrix StoreFront.
La valeur de délai d’inactivité définie doit être comprise entre 1 et 1 440 minutes. Par défaut, le délai d’inactivité n’est pas configuré. Les administrateurs peuvent configurer la propriété inactivityTimeoutInMinutes à l’aide d’un module PowerShell. Cliquez ici pour télécharger les modules PowerShell pour la configuration de Citrix Workspace.
L’expérience utilisateur est la suivante :
- Une notification apparaît dans la fenêtre de votre session trois minutes avant votre déconnexion, avec la possibilité de rester connecté ou de vous déconnecter.
- La notification n’apparaît que si la valeur de délai d’inactivité configurée est supérieure ou égale à cinq minutes.
- Les utilisateurs peuvent cliquer sur Rester connecté pour ignorer la notification et continuer à utiliser l’application, auquel cas le minuteur d’inactivité est réinitialisé à sa valeur configurée. Vous pouvez également cliquer sur Déconnexion pour mettre fin à la session du magasin actuel.
Remarque :
Les administrateurs peuvent configurer le délai d’inactivité uniquement pour les sessions Workspace (cloud).