Configurer la protection des applications
La protection des applications renforce la sécurité lorsque vous utilisez l’application Citrix Workspace. Cette fonctionnalité limite la capacité des clients à être compromis par des logiciels malveillants d’enregistrement de touches et de capture d’écran. La protection des applications empêche l’exfiltration d’informations confidentielles telles que les informations d’identification de l’utilisateur et les informations sensibles affichées à l’écran. Cette fonctionnalité empêche les utilisateurs et les attaquants de prendre des captures d’écran et d’utiliser des enregistreurs de frappe pour récupérer et exploiter des informations sensibles.
Cet article explique comment configurer la protection des applications sur l’application Citrix Workspace sur différentes plateformes.
La protection des applications est disponible sur l’application Citrix Workspace pour les plateformes suivantes :
- Application Citrix Workspace pour Windows.
- Application Citrix Workspace pour Linux
- Application Citrix Workspace pour Mac
- Application Citrix Workspace pour Android
Clause d’exclusion de responsabilité
Les stratégies App Protection filtrent l’accès aux fonctions requises du système d’exploitation sous-jacent. Les appels d’API spécifiques sont nécessaires pour capturer des écrans ou des frappes de clavier. Les stratégies App Protection fournissent une protection même contre les outils de piratage personnalisés et spécifiques. Cependant, à mesure que les systèmes d’exploitation évoluent, de nouveaux programmes d’enregistrement de frappe et de capture d’écran peuvent émerger. Bien que nous continuions à les identifier et à les traiter, nous ne pouvons pas garantir une protection complète dans des configurations et des déploiements spécifiques.
Application Citrix Workspace pour Windows
Logiciels requis
- Citrix Virtual Apps and Desktops 1912 LTSR ou versions ultérieures.
- StoreFront version 1912 LTSR ou Workspace.
- Application Citrix Workspace version 2203.1 LTSR ou versions ultérieures.
- Une licence Protection des applications valide
-
À partir de la version 2212 de l’application Citrix Workspace, le composant App Protection est installé par défaut lors de l’installation de l’application Citrix Workspace.
La case à cocher Activer App Protection qui apparaît lors de l’installation est remplacée par Démarrer App Protection après l’installation.
-
Pour les versions de l’application Citrix Workspace antérieures à la version 2311 :
-
À partir de la version 2311 de l’application Citrix Workspace :
Lorsque vous cochez cette case, la fonctionnalité App Protection démarre immédiatement après l’installation.
Remarque :
Si vous ne cochez pas cette case, la fonctionnalité App Protection démarre automatiquement dès le premier démarrage d’une ressource ou d’un composant protégé pour les clients ayant droit à la protection des applications.
-
Configurer
Configurez les fonctionnalités App Protection suivantes pour l’application Citrix Workspace pour Windows :
-
Protection contre l’enregistrement de frappe et prévention des captures d’écran :
- Pour Virtual Apps and Desktops, consultez la section Configurer la protection contre l’enregistrement de frappe et la prévention des captures d’écran pour les applications et les bureaux virtuels.
- Pour les applications Web et SaaS, consultez la section Configurer la protection contre l’enregistrement de frappe et la prévention des captures d’écran pour les applications Web et SaaS.
- Pour l’authentification et Self-Service Plug-in :
- Si vous utilisez l’interface utilisateur Global App Configuration Service, consultez la section Configurer la protection contre l’enregistrement de frappe et la prévention des captures d’écran pour l’authentification et Self-Service Plug-in à l’aide de l’interface utilisateur Global App Configuration Service
- Si vous utilisez un objet de stratégie de groupe, consultez la section Configurer la protection contre l’enregistrement de frappe et la prévention des captures d’écran pour l’authentification et Self-Service Plug-in à l’aide d’un objet de stratégie de groupe
- Si vous utilisez l’API, consultez la section Configurer la protection contre l’enregistrement de frappe et la prévention des captures d’écran pour l’authentification et Self-Service Plug-in à l’aide de l’API GACS
- Pour configurer la protection contre les injections de DLL, consultez l’article Configurer la protection contre les injections de DLL.
- Pour configurer la détection d’altération des stratégies App Protection, consultez l’article Configurer la détection d’altération des stratégies de protection des applications.
- Pour configurer la vérification de l’état de la fonctionnalité App Protection, consultez l’article Configurer la vérification de l’état d’App Protection.
- Pour activer le paramètre Bloquer le lancement de DoubleHop, consultez la section Bloquer le lancement de DoubleHop.
Limitations
- Cette fonctionnalité est prise en charge uniquement sur les systèmes d’exploitation de bureau tels que Windows 11 et Windows 10.
- À partir de la version 2006.1, l’application Citrix Workspace n’est plus prise en charge sous Windows 7. La protection des applications ne fonctionne donc pas sous Windows 7. Pour plus d’informations, consultez Fin de prise en charge.
- Cette fonctionnalité n’est pas prise en charge par le protocole RDP (Remote Desktop Protocol).
Interface de ligne de commande
Vous pouvez démarrer le composant Protection des applications à l’aide du paramètre de ligne de commande /startappprotection
. Cependant, l’ancien commutateur /includeappprotection
est obsolète.
Le tableau suivant fournit des informations sur les écrans protégés en fonction du déploiement :
Déploiement d’App Protection | Écrans protégés | Écrans non protégés |
---|---|---|
Inclus dans l’application Citrix Workspace | Boîte de dialogue Self-Service Plug-in et Authentication Manager/Informations d’identification utilisateur | Centre de connexion, Appareils, messages d’erreur liés à l’application Citrix Workspace, Reconnexion automatique des clients, Ajouter un compte |
Configuré sur le Controller | Écran de session ICA (applications et bureaux) | Centre de connexion, Appareils, messages d’erreur liés à l’application Citrix Workspace, Reconnexion automatique des clients, Ajouter un compte |
Lorsque vous prenez une capture d’écran, seule la fenêtre protégée est occultée. Vous pouvez prendre une capture d’écran de la zone à l’extérieur de la fenêtre protégée. Toutefois, si vous utilisez la touche Impr écran pour réaliser une capture d’écran sur une machine Windows 10, vous devez réduire la fenêtre protégée.
Auparavant, les fonctionnalités anti-capture d’écran et de protection contre l’enregistrement de frappe étaient appliquées par défaut pour l’authentification Citrix et les écrans de l’application Citrix Workspace. Toutefois, à partir de la version 2212, ces fonctionnalités sont désactivées par défaut et doivent être configurées à l’aide de l’objet de stratégie de groupe.
Remarque :
Cette stratégie d’objet de stratégie de groupe ne s’applique pas aux sessions ICA et SaaS. Les sessions ICA et SaaS continuent d’être contrôlées à l’aide du Delivery Controller et de Citrix Secure Private Access.
Amélioration d’App Protection :
À compter de l’application Citrix Workspace pour Windows 2305 et versions ultérieures, la protection contre l’enregistrement de frappe est activée sur les écrans d’authentification et du Self-Service Plug-in si l’un des critères suivants est rempli :
- Vous avez activé la App Protection à l’aide de l’une des méthodes suivantes :
- En sélectionnant la case Démarrer la App Protection lors de l’installation.
- En démarrant le composant App Protection à l’aide du paramètre de ligne de commande /startappprotection.
- Si vous n’avez pas sélectionné la case Démarrer App Protection ou si vous n’avez pas utilisé le paramètre de ligne de commande /startappprotection lors de l’installation, la protection contre l’enregistrement de frappe est activée après le lancement de la première ressource protégée.
Remarque :
Les paramètres Global App Configuration Service et des objets de stratégie de groupe remplacent le comportement précédent. Par exemple, si vous avez désactivé la stratégie GACS ou GPO pour ces écrans, la protection contre l’enregistrement de frappe n’est pas activée sur les écrans d’authentification et du SSP.
Application Citrix Workspace pour Linux
Depuis la version 2108, la fonction App Protection est entièrement fonctionnelle. Cette fonctionnalité prend en charge Virtual Apps and Desktops et elle est activée par défaut. Toutefois, vous devez configurer la fonctionnalité Protection des applications dans le fichier AuthManConfig.xml
pour l’activer dans les interfaces Authentication Manager et Self-Service Plug-in.
Conditions préalables
La fonctionnalité App Protection fonctionne mieux avec les systèmes d’exploitation suivants, ainsi qu’avec Gnome Display Manager :
- Ubuntu 22.04, Ubuntu 20.04 et Ubuntu 18.04 64 bits
- Debian 10 et Debian 9 64 bits
- CentOS 7 64 bits
- RHEL 7 64 bits
- Système d’exploitation Raspberry Pi 32 bits ARMHF (basé sur Debian 10 (Buster))
- Système d’exploitation ARM64 Raspberry Pi (basé sur Debian 11 (bullseye))
Remarque :
Si vous utilisez l’application Citrix Workspace antérieure à la version 2204, la fonctionnalité App Protection ne prend pas en charge les systèmes d’exploitation utilisant la version
glibc
2.34 ou ultérieure.Si vous installez l’application Citrix Workspace avec la fonctionnalité App Protection activée sur le système d’exploitation utilisant la bibliothèque
glibc
2.34 ou une version ultérieure, le démarrage du système d’exploitation peut échouer lors du redémarrage du système. Pour activer la récupération après l’échec de démarrage du système d’exploitation, effectuez l’une des opérations suivantes :
- Réinstallez le système d’exploitation.
- Accédez au mode Récupération du système d’exploitation et désinstallez l’application Citrix Workspace à l’aide du terminal.
- Démarrez via le système d’exploitation actif et supprimez le fichier
rm -rf /etc/ld.so.preload
du système d’exploitation existant.
Installer le composant Protection des applications
-
Lorsque vous installez l’application Citrix Workspace à l’aide du package tarball, le message suivant s’affiche : Voulez-vous installer le composant Protection des applications ? Avertissement : vous ne pouvez pas désactiver cette fonctionnalité. Pour désactiver cette fonctionnalité, vous devez désinstaller l’application Citrix Workspace. Pour plus d’informations, contactez votre administrateur système. [default $INSTALLER_N]:
-
Entrez Y pour installer le composant App Protection. La protection des applications n’est pas installée par défaut.
-
Redémarrez votre ordinateur pour que les modifications soient prises en compte. La protection des applications fonctionne comme prévu uniquement après le redémarrage de votre machine.
Installation du composant Protection des applications sur les packages RPM
À partir de la version 2104, le composant App Protection est pris en charge sur la version RPM de l’application Citrix Workspace.
Pour installer le composant App Protection, procédez comme suit :
- Installez l’application Citrix Workspace.
- Installez le package App Protection
ctxappprotection<version>.rpm
à partir du programme d’installation de l’application Citrix Workspace. - Redémarrez le système pour que les modifications soient prises en compte.
Installation du composant Protection des applications sur les packages Debian
À partir de la version 2101, le composant App Protection est pris en charge sur la version Debian de l’application Citrix Workspace.
Pour installer le composant Protection des applications, exécutez la commande suivante à partir du terminal avant d’installer l’application Citrix Workspace :
export DEBIAN_FRONTEND="noninteractive"
sudo debconf-set-selections <<< "icaclient app_protection/install_app_protection select yes"
sudo debconf-show icaclient
* app_protection/install_app_protection: yes
sudo apt install -f ./icaclient_<version>._amd64.deb
<!--NeedCopy-->
À compter de la version 2106, l’application Citrix Workspace introduit une option qui permet de configurer séparément les fonctionnalités de protection contre les programmes d’enregistrement de frappe et de capture d’écran pour les interfaces Authentication Manager et Self-Service Plug-in.
Configurer
Configurez les fonctionnalités App Protection suivantes pour l’application Citrix Workspace pour Linux :
- Pour configurer la protection contre l’enregistrement de frappe et la prévention des captures d’écran pour l’écran d’authentification, consultez la section Configurer à l’aide du fichier AuthManConfig.xml pour le gestionnaire d’authentification.
- Pour configurer la protection contre l’enregistrement de frappe et la prévention des captures d’écran pour Self-Service Plug-in, consultez la section Configurer à l’aide du fichier AuthManConfig.xml pour l’interface de Self-Service Plug-in.
- Pour configurer la protection contre l’enregistrement de frappe et la prévention des captures d’écran pour les applications et les bureaux virtuels, consultez la section Configurer la protection contre l’enregistrement de frappe et la prévention des captures d’écran pour les applications et les bureaux virtuels.
- Pour configurer la détection d’altération des stratégies App Protection, consultez l’article Configurer la détection d’altération des stratégies de protection des applications.
- Pour configurer la vérification de l’état de la fonctionnalité App Protection, consultez l’article Configurer la vérification de l’état d’App Protection.
Application Citrix Workspace pour Mac
Configurez les fonctionnalités App Protection suivantes pour l’application Citrix Workspace pour Mac :
- Pour configurer la protection contre l’enregistrement de frappe et la prévention des captures d’écran pour l’authentification et Self-Service Plug-in à l’aide de l’interface utilisateur du service Global App Configuration, consultez la section Configurer la protection contre l’enregistrement de frappe et la prévention des captures d’écran pour l’authentification et Self-Service Plug-in à l’aide de l’interface utilisateur du service Global App Configuration.
- Pour configurer la protection contre l’enregistrement de frappe et la prévention des captures d’écran pour l’authentification et Self-Service Plug-in à l’aide de l’API, consultez la section Configurer la protection contre l’enregistrement de frappe et la prévention des captures d’écran pour l’authentification et Self-Service Plug-in à l’aide de l’API GACS.
- Pour configurer la protection contre l’enregistrement de frappe et la prévention des captures d’écran pour les applications et les bureaux virtuels, consultez la section Configurer la protection contre l’enregistrement de frappe et la prévention des captures d’écran pour les applications et les bureaux virtuels.
- Pour configurer la protection contre l’enregistrement de frappe et la prévention des captures d’écran pour les applications Web et SaaS, consultez la section Configurer la protection contre l’enregistrement de frappe et la prévention des captures d’écran pour les applications Web et SaaS.
- Pour configurer la détection d’altération des stratégies App Protection, consultez l’article Configurer la détection d’altération des stratégies de protection des applications.
- Pour configurer la vérification de l’état de la fonctionnalité App Protection, consultez l’article Configurer la vérification de l’état d’App Protection.
Application Citrix Workspace pour Android
Logiciels requis
- Citrix Virtual Apps and Desktops 1912 LTSR ou versions ultérieures.
- StoreFront version 1912 LTSR ou Workspace.
- Application Citrix Workspace pour Android version 24.7.0 ou ultérieure.
- Une licence Protection des applications valide
Configuration
Vous pouvez configurer la fonctionnalité Prévention de capture d’écran pour :
-
Citrix Virtual Apps and Desktops : la fonctionnalité Prévention de capture d’écran pour Citrix Virtual Apps and Desktops peut être configurée dans Desktop Delivery Controller. La stratégie App Protection est appliquée à un groupe de mise à disposition dans Desktop Delivery Controller. Pour plus d’informations, consultez la section Configurer la protection contre l’enregistrement de frappe et la prévention des captures d’écran pour Virtual Apps and Desktops.
-
Applications Web et SaaS - La fonctionnalité Prévention de capture d’écran pour les applications Web et SaaS peut être configurée via des stratégies Secure Private Access. Pour plus d’informations, consultez la section Configurer la prévention de capture d’écran pour les applications Web et SaaS.
-
Écran d’authentification - La fonctionnalité Prévention de capture d’écran de l’écran d’authentification peut être configurée via le service Global App Configuration et à l’aide des solutions Unified Endpoint Management.
Utilisation de Global App Configuration Service
Vous pouvez configurer la fonctionnalité Prévention de capture d’écran pour l’écran d’authentification par le biais des utilisations suivantes :
- Utilisation de l’interface utilisateur
- Utilisation de l’API
Utilisation de l’interface utilisateur :
L’application Citrix Workspace vous permet de configurer App Protection pour les écrans d’authentification à l’aide de GACS (Global App Configuration Service).
Si vous activez la fonctionnalité de prévention de capture d’écran à l’aide de GACS, elle s’applique à l’écran d’authentification.
Les administrateurs peuvent configurer la App Protection à l’aide de l’interface utilisateur de configuration de Workspace :
-
Connectez-vous à votre compte Citrix Cloud et sélectionnez Configuration de l’espace de travail.
-
Sélectionnez Configuration de l’application > Sécurité et authentification > App Protection.
-
Cliquez sur Prévention de capture d’écran, puis sélectionnez le système d’exploitation Android.
-
Cliquez sur le bouton Activé, puis sur Publier les brouillons.
-
Dans la boîte de dialogue Paramètres de publication, cliquez sur Oui.
Utilisation de l’API :
Les administrateurs peuvent utiliser l’API pour configurer la fonctionnalité App Protection. Paramètre permettant d’activer ou de désactiver la prévention de capture d’écran pour l’application Citrix Workspace pour Android :
“name”: “enable anti screen capture for auth ” “value”: “true” or “false”
<!--NeedCopy-->
Exemple : le fichier JSON suivant illustre comment activer la fonctionnalité de prévention de capture d’écran pour l’application Citrix Workspace dans GACS :
{
"category": "App Protection",
"userOverride": false,
"assignedTo": [
"AllUsersNoAuthentication"
],
"settings": [{
"name": "Enable Anti Screen Capture For Auth",
"value": "true"
},
]
}
<!--NeedCopy-->
Utilisation de solutions Unified Endpoint Management
À partir de la version 24.7.0 de l’application Citrix Workspace pour Android, les administrateurs peuvent activer la fonctionnalité App Protection pour l’écran d’authentification. Les administrateurs peuvent configurer cette fonctionnalité à l’aide d’une paire clé-valeur basée sur AppConfig.
-
Pour activer la prévention de capture d’écran :
- Clé :
enableAntiScreenCaptureForAuth
- Type de valeur : booléen
- valeur :
- Si ce paramètre est défini sur true, la fonctionnalité de prévention de capture d’écran est activée.
- Si ce paramètre est défini sur false, la fonctionnalité de prévention de capture d’écran est désactivée.
- Clé :
Conseil
Les stratégies de protection des applications sont principalement axées sur l’amélioration de la sécurité et de la protection d’un point de terminaison. Passez en revue toutes les autres recommandations et stratégies de sécurité pour votre environnement. Vous pouvez utiliser un modèle de stratégie Sécurité et contrôle pour une configuration recommandée dans des environnements à faible tolérance au risque. Pour plus d’informations, veuillez consulter la section Modèles de stratégie.