Application Citrix Workspace

Fonctionnalités de protection des applications

Cet article présente les fonctionnalités de protection des applications prises en charge par l’application Citrix Workspace pour Windows, l’application Citrix Workspace pour Linux et l’application Citrix Workspace pour Mac.

Protection contre l’enregistrement de frappe

Pour l’application Citrix Workspace pour Windows, Linux et Mac

Grâce au chiffrement, les fonctionnalités de protection contre l’enregistrement de frappe d’App Protection brouillent le texte que l’utilisateur saisit à la fois sur le clavier physique et à l’écran. La fonctionnalité de protection contre l’enregistrement de frappe chiffre le texte avant qu’un outil d’enregistrement de frappe ne puisse y accéder depuis le niveau du noyau ou du système d’exploitation. Un enregistreur de frappe installé sur le point de terminaison client lisant les données du système d’exploitation ou du pilote capture uniquement le texte haché au lieu des frappes que l’utilisateur effectue. Les stratégies App Protection sont actives non seulement pour les applications et les bureaux publiés, mais également pour les boîtes de dialogue d’authentification de Citrix Workspace. Votre Citrix Workspace est protégé dès que vos utilisateurs ouvrent la première boîte de dialogue d’authentification. La protection des applications brouille les frappes et renvoie du texte indéchiffrable aux enregistreurs de touches.

Les administrateurs peuvent choisir d’activer la protection contre l’enregistrement de frappe pour les types de ressources suivants :

  • Applications et bureaux virtuels
  • Applications Web et SaaS internes
  • Écrans d’authentification
  • Écrans Self-Service Plug-In (SSP)

Comportement lorsque vous ouvrez une application avec protection contre l’enregistrement de frappe dans l’application Citrix Workspace pour Android

La fonctionnalité de protection contre l’enregistrement de frappe d’App Protection n’est pas encore prise en charge sur l’application Citrix Workspace pour Android. Si vous tentez d’ouvrir une application avec la protection contre l’enregistrement de frappe activée, l’application ne s’ouvre pas et le message d’erreur suivant s’affiche :

« Le lancement de cette ressource est désactivé par votre administrateur pour des raisons de sécurité »

Applications dans lesquelles la protection contre l'enregistrement de frappe est désactivée

Prévention de capture d’écran

Pour l’application Citrix Workspace pour Windows, Linux et Mac

La prévention de capture d’écran empêche une application de tenter de prendre une capture d’écran ou un enregistrement de l’écran dans le cadre d’une session d’application ou de bureau virtuel. Le logiciel de capture d’écran ne peut pas détecter le contenu dans la zone de capture. La zone sélectionnée par l’application est grisée ou l’application ne capture rien à la place de la section d’écran qu’elle visait. La fonction de prévention de capture d’écran s’applique à Snip & Sketch, à l’outil Capture d’écran et à la fonction Maj+Ctrl+Imprimer sous Windows.

Un autre cas d’utilisation de la prévention de capture d’écran consiste à empêcher le partage de données sensibles dans le cadre d’une réunion virtuelle ou d’applications de conférence Web telles que GoToMeeting, Microsoft Teams ou Zoom. App Protection empêche tout partage involontaire en renvoyant un écran vide lors des conférences Web lorsque les applications sont protégées. Cette fonctionnalité garantit que les données sensibles ne sont pas divulguées accidentellement en dehors de l’organisation. Elle peut contribuer à la conformité dans les secteurs réglementés, car l’intention n’est pas prise en compte lors de la divulgation d’une violation de données.

Les administrateurs peuvent choisir d’activer la prévention de capture d’écran pour les types de ressources suivants :

  • Applications et bureaux virtuels
  • Applications Web et SaaS internes
  • Écrans d’authentification
  • Écrans Self-Service Plug-In (SSP)

Remarque :

Si vous avez lancé deux bureaux virtuels et que la fonctionnalité de prévention de capture d’écran est activée sur l’un des bureaux virtuels, mais pas sur l’autre, la fonctionnalité de prévention de capture d’écran s’applique aux deux bureaux virtuels. Vous ne pouvez pas prendre de capture d’écran de l’un ou l’autre des bureaux virtuels.

Si vous avez réduit le bureau virtuel sur lequel la fonction anti-capture d’écran est activée, la fonction est toujours applicable sur l’autre bureau virtuel.

Détection et notification de capture d’écran

Pour l’application Citrix Workspace, vous pouvez afficher une notification lorsqu’une éventuelle tentative de capture d’écran est effectuée sur des ressources protégées. Pour plus d’informations sur les ressources protégées par App Protection, consultez la section [Éléments inclus dans App Protection].(/en-us/citrix-workspace-app/app-protection.html#what-does-app-protection-protect) Pour l’application Citrix Workspace, vous pouvez afficher une notification lorsqu’une éventuelle tentative de capture d’écran est effectuée sur des ressources protégées. Pour plus d’informations sur les ressources protégées par App Protection, consultez la section [Éléments inclus dans App Protection].(/en-us/citrix-workspace-app/app-protection.html#what-does-app-protection-protect)

La notification apparaît lorsqu’il y a une :

  • tentative de capture d’écran ou d’enregistrement de vidéo à l’aide d’un outil de capture d’écran
  • tentative de capture d’écran à l’aide de la touche Impression écran

Remarque :

  • La notification n’apparaît qu’une seule fois par instance en cours d’exécution de l’outil de capture d’écran. La notification apparaît à nouveau si vous relancez l’outil et que vous essayez de capturer l’écran.
  • Dans l’application Citrix Workspace pour Windows 2212 et versions ultérieures, les fenêtres de connexion et de Self-Service (Store) ne sont pas protégées par défaut.

Pour l’application Citrix Workspace pour Android

Cette fonctionnalité limite le risque d’être infecté par des programmes malveillants de capture d’écran. Elle empêche également les captures d’écran, les enregistrements, la mise en miroir de bases de données, le partage d’écran et le changement d’application non autorisés.

La fonctionnalité de prévention de capture d’écran est disponible pour les processus d’authentification, les applications Web ou SaaS, et Citrix Virtual Apps and Desktops. L’application Citrix Workspace pour Android ne vous permet pas de prendre des captures d’écran. Lorsque vous essayez de capturer un écran, un message vous indique que vous n’êtes pas autorisé à prendre des captures d’écran.

Les administrateurs peuvent choisir d’activer la fonctionnalité anti-capture d’écran pour les ressources suivantes :

  • Applications et bureaux virtuels
  • Applications Web et SaaS
  • Écrans d’authentification

À partir de la version 24.7.0 de l’application Citrix Workspace pour Android, la fonctionnalité de prévention de capture d’écran est disponible par défaut. Cependant, pour activer la fonctionnalité, effectuez les étapes de configuration mentionnées dans la section Configuration.

Limitations :

  • Les stratégies App Protection sont téléchargées pour chaque magasin. Si les stratégies d’un magasin ont été téléchargées et que vous passez à un autre magasin pour lequel les stratégies ne sont pas téléchargées, la fonctionnalité de prévention de capture d’écran n’est pas protégée dans le nouveau magasin.

  • La fonctionnalité de prévention de capture d’écran n’est pas prise en charge sur les écrans d’authentification lors de l’utilisation de ChromeCustomTab. Toutefois, cette fonctionnalité est prise en charge lors de l’utilisation de l’authentification native ou de WebView. ChromeCustomTab est activé par défaut sur les magasins cloud et vous pouvez le remplacer par WebView en définissant AndroidWebViewType sur webview à l’aide du module PowerShell. Pour plus d’informations, consultez Set-WorkspaceCustomConfigurations.

Protection contre les injections de DLL

La protection contre les injections de DLL est une amélioration de la sécurité qui permet de protéger l’application Citrix Workspace contre certaines bibliothèques DLL non autorisées ou certains modules non fiables. Si de tels modules non fiables sont injectés, l’application Citrix Workspace détecte ces interventions et arrête le chargement des modules. En outre, si une DLL malveillante ou non fiable est détectée avant le lancement de la session, la protection des applications bloque le lancement de la session et affiche un message d’erreur. La fermeture du message d’erreur entraîne la fermeture de la session d’application et de bureau virtuel.

Cette fonctionnalité s’applique à tous les bureaux et applications virtuels protégés ainsi qu’à la fenêtre d’authentification de l’application Citrix Workspace (déploiement sur site/StoreFront).

Cette amélioration permet de quitter la session immédiatement lorsque certaines DLL non fiables ou malveillantes existent sur le composant protégé.

Échec du lancement

Cette amélioration affiche une notification lorsqu’une DLL non fiable ou malveillante est bloquée. La fermeture du message entraîne la fermeture de la session d’application et de bureau virtuel.

Alerte suspecte

Clause d’exclusion de responsabilité : cette fonctionnalité opère en filtrant l’accès aux fonctions requises du système d’exploitation sous-jacent (appels d’API spécifiques requis pour charger les DLL). Cela signifie qu’elle peut fournir une protection même contre certains outils de piratage personnalisés et spécifiques. Cependant, à mesure que les systèmes d’exploitation évoluent, de nouvelles méthodes de chargement des DLL peuvent apparaître. Bien que nous continuions à les identifier et à les traiter, nous ne pouvons pas garantir une protection complète dans des configurations et des déploiements spécifiques.

Cette fonctionnalité prend en charge l’application Citrix Workspace pour Windows version 2206 et versions ultérieures.

Remarque :

Auparavant, les fonctionnalités anti-capture d’écran et de protection contre l’enregistrement de frappe étaient appliquées par défaut pour l’authentification Citrix et les écrans de l’application Citrix Workspace. Toutefois, à partir de la version 2212, ces fonctionnalités sont désactivées par défaut et doivent être configurées à l’aide de l’objet de stratégie de groupe. Pour plus d’informations sur la configuration de l’objet de stratégie de groupe, consultez la section Amélioration de la configuration d’App Protection.

Compatibilité avec l’optimisation HDX pour Microsoft Teams

Microsoft Teams optimisé prend en charge le partage d’écran lorsque l’application Citrix Workspace est activée avec App Protection uniquement en mode Desktop Viewer. Lorsque vous cliquez sur Partager du contenu dans Microsoft Teams, le sélecteur d’écran propose les options suivantes :

  • Option Fenêtre permettant de partager n’importe quelle application ouverte. Elle ne s’affiche qu’avec la version 2109 du VDA ou une version ultérieure.
  • Option Bureau permettant de partager les contenus sur votre bureau VDA : cette option n’est affichée qu’avec les versions suivantes de l’application Citrix Workspace :
    • Application Citrix Workspace pour Linux version 2311 ou ultérieure
    • Application Citrix Workspace pour Mac version 2308 ou ultérieure
    • Application Citrix Workspace pour Windows version 2309 ou ultérieure

Remarque :

Pour l’application Citrix Workspace pour Linux, l’option de partage de bureau est désactivée par défaut. Pour l’activer, ajoutez le paramètre UseGbufferScreenSharing dans le fichier config.json comme suit :

mkdir -p /var/.config/citrix/hdx_rtc_engine
vim /var/.config/citrix/hdx_rtc_engine/config.json
{
      "UseGbufferScreenSharing":1
}
<!--NeedCopy-->

La version optimisée de Microsoft Teams activée avec App Protection prend également en charge la disposition des moniteurs virtuels Citrix, ce qui vous permet de partager chaque moniteur virtuel de manière individuelle.

Limitation :

  • La version optimisée de Microsoft Teams activée avec App Protection ne prend pas en charge le partage d’écran sur les bureaux publiés activés avec Local App Access (LAA).
  • Le contenu rendu par le client, tel que le contenu du navigateur utilisant le BCR, ne peut être capturé ou partagé. Si vous essayez de faire une capture d’écran, celle-ci s’affiche sous forme d’écran noir.

Remarque :

Avec l’application Citrix Workspace pour Linux et Mac, cette fonctionnalité est en version Technical Preview.

App Protection locale (version préliminaire)

La protection des applications offre une sécurité renforcée pour protéger les clients contre les enregistreurs de frappe et les captures d’écran accidentelles et malveillantes sur les terminaux. Actuellement, les fonctionnalités de protection des applications ne sont proposées que pour les ressources de Workspace. Grâce à cette fonctionnalité, les fonctionnalités de protection des applications sont étendues aux applications locales sur les terminaux. À partir de l’application Citrix Workspace 2210 pour Windows, la protection des applications peut être appliquée aux applications locales sur les appareils Windows.

Inscrivez-vous à la version préliminaire de cette fonctionnalité en utilisant le formulaire Podio.

Détection d’altération des stratégies

La fonction de détection d’altération des stratégies empêche l’utilisateur d’accéder à la session d’application ou de bureau virtuel si les stratégies de prévention de capture d’écran et de protection contre l’enregistrement de frappe d’App Protection sont altérées. Si une altération des stratégies est détectée, la session d’application ou de bureau virtuel est interrompue.

Remarque :

La fonctionnalité de détection d’altération des stratégies sera activée par défaut dans une prochaine version.

Pour configurer la détection d’altération des stratégies, consultez Configurer la détection d’altération des stratégies.

Vérification de l’état

Pour détecter et bloquer le lancement d’applications et de bureaux virtuels dotés de stratégies App Protection à partir de versions de l’application Citrix Workspace qui ne prennent pas en charge la fonctionnalité de détection d’altération des stratégies, activez le paramètre Vérification de l’état d’App Protection.

Remarque :

Si la vérification de l’état est activée et que vous utilisez la version de l’application Citrix Workspace qui ne prend pas en charge la vérification de l’état, les sessions dotées de stratégies d’App Protection sont interrompues.

Pour configurer la vérification de l’état, consultez Configurer la vérification de l’état.

Limitation :

La vérification de l’état cesse de fonctionner par intermittence lorsque vous utilisez des VDA Windows Workstation hébergés sur Microsoft Azure avec un VDA 2308. Cette limitation est résolue dans les versions 2311 et ultérieures du VDA.

Prise en charge d’App Protection pour le scénario à double saut

À partir de la version 2405 de l’application Citrix Workspace pour Windows, la fonctionnalité App Protection est prise en charge pour le scénario à double saut lorsqu’elle est installée sur un VDA de poste de travail (tel que Windows 10 ou Windows 11) pour un VDA mono-session.

Le double saut indique un scénario dans lequel une session Citrix Virtual Apps ou Virtual Desktops s’exécute au sein d’une session Citrix Virtual Desktops. Pour plus d’informations, consultez Double saut dans Citrix Virtual Apps and Desktops.

L’image suivante décrit le scénario de double saut :

Double-hop

La fonctionnalité App Protection avec double saut signifie que les politiques App Protection sont activées sur les applications et les bureaux virtuels ouverts dès le premier saut.

Le premier saut où la fonctionnalité App Protection est activée et à partir duquel vous ouvrez les applications ou bureaux virtuels protégés peut être un VDA avec OS multi-session ou un VDA avec OS mono-session.

Les comportements attendus pour App Protection avec double saut dans un VDA avec OS multi-session et un VDA avec OS mono-session sont les suivants :

App Protection dans un VDA avec OS multi-session

La fonctionnalité App Protection n’est pas prise en charge dans un VDA avec OS multi-session (tel que Windows Server 2k19 ou Windows Server 2k22). Par conséquent, App Protection n’est pas installée sur ces machines.

Vous pouvez installer l’application Citrix Workspace sans App Protection sur un OS multi-session. Cependant, les ressources activées pour les politiques App Protection n’énumèrent pas et ne peuvent pas être ouvertes dans un VDA avec OS multi-session.

App Protection dans un VDA avec OS à session unique

Avec la version 2405 de l’application Citrix Workspace pour Windows, les fonctionnalités App Protection sont prises en charge lorsqu’elles sont installées sur un VDA de poste de travail (tel que Windows 10 ou Windows 11).

Les fonctionnalités suivantes sont actuellement prises en charge :

Quel scénario est pris en charge ?

Lorsque l’application ou le bureau virtuel du second saut activé avec prévention de capture d’écran et protection contre l’enregistrement de frappe est ouvert au cours de la session de bureau virtuel du premier saut, il est protégé contre les outils de capture d’écran et d’enregistrement de frappe qui s’exécutent au cours de la session de bureau virtuel du premier saut.

Quel scénario n’est pas pris en charge ?

  • Si les politiques App Protection ne sont pas activées sur le bureau virtuel du premier saut, il est possible que les outils de capture d’écran et d’enregistrement de frappe installés sur le point de terminaison client capturent les écrans ou les frappes, même lorsque les politiques App Protection sont activées dans le deuxième saut.

  • Si l’utilisateur final accède à la machine du premier saut via une session RDP, la fonctionnalité App Protection pour le second saut n’est pas prise en charge.

Cette fonctionnalité est activée par défaut et ne nécessite donc aucune configuration distincte. L’administrateur doit configurer les politiques App Protection pour les ressources.

Recommandation pour une protection de bout en bout

Pour bénéficier d’une protection de bout en bout, il est recommandé d’activer les politiques App Protection à chaque saut (premier et second). De cette façon, les outils d’enregistrement de frappe et de capture d’écran exécutés sur le client ou lors du premier saut ne sont pas en mesure de capturer le contenu sensible de la session du second saut.

Bloquer le lancement de DoubleHop

Les fonctionnalités App Protection ne sont pas prises en charge dans un scénario à double saut lors de l’utilisation de versions de l’application Citrix Workspace pour Windows antérieures à la version 2405. Vous êtes autorisé à ouvrir des applications virtuelles, des postes de travail, des applications Web ou des applications SaaS qui sont activées avec des politiques App Protection dans un scénario à double saut. Cependant, les fonctionnalités App Protection ne sont pas appliquées.

Vous pouvez bloquer l’ouverture des applications virtuelles, des postes de travail, des applications Web ou des applications SaaS activées avec la fonctionnalité App Protection dans un scénario à double saut.

Pour en savoir plus sur l’activation du paramètre Bloquer le lancement de DoubleHop, consultez Activer le paramètre Bloquer le lancement de DoubleHop.

Citrix Analytics Service pour App Protection

Lorsque vous utilisez Citrix Virtual Apps and Desktops, des événements utilisateur correspondant à leurs activités et actions sont générés. Citrix Analytics for Security dispose d’une fonctionnalité nommée Recherche en libre-service qui enregistre ces événements utilisateur et vous fournit des informations à leur sujet. La fonctionnalité de Recherche en libre-service vous permet de rechercher, de filtrer et de consulter ces événements utilisateur afin de comprendre lequel est effectué et de prendre des mesures en fonction de sa gravité. Pour en savoir plus sur la Recherche en libre-service, voir Recherche en libre-service.

La fonctionnalité Recherche en libre-service pour applications et bureaux comporte le type d’événement AppProtection.ScreenCapture, qui vous permet de déterminer si des tentatives ont été faites pour prendre des captures d’écran des applications et bureaux virtuels dotés de stratégies App Protection. Pour en savoir plus sur la façon de rechercher un événement utilisateur, voir Spécifier une recherche pour filtrer les événements.

Ce service propose les informations suivantes :

  • ID de l’appareil
  • Titres d’applications protégés
  • Informations supplémentaires sur le système d’exploitation
  • Nom de l’outil de capture d’écran
  • Chemin d’accès de l’outil de capture d’écran

Protection contre la capture d'écran dans CAS

Liste verte des captures d’écran

Si l’application Citrix Workspace, Citrix Virtual Apps and Desktops ou les applications SaaS sont activés avec la stratégie de prévention des captures d’écran App Protection, vous ne pouvez pas capturer leurs écrans à l’aide d’un outil de capture d’écran.

Toutefois, à partir de la version 2402 de l’application Citrix Workspace pour Windows, la fonctionnalité Liste verte des captures d’écran vous permet d’ajouter une application à la liste verte de captures d’écran. Cette fonctionnalité vous permet d’utiliser l’application inscrite sur la liste verte et de capturer l’écran de la ressource activée avec la stratégie de prévention des captures d’écran App Protection. Pour ajouter une application à la liste verte de capture d’écran, consultez Configuration de la liste verte de capture d’écran.

Important :

Il n’est pas recommandé d’exécuter une application sur liste verte sur votre appareil pendant une période prolongée, car cela réduit le niveau de sécurité. Vous pouvez utiliser les applications sur liste verte pour partager temporairement votre écran lors de scénarios tels que la résolution de problèmes. Il est recommandé de respecter les conditions suivantes :

  • Exécutez l’application sur liste verte pendant une courte période en activant la fonction anti-capture d’écran App Protection sur la ressource.
  • Une fois la tâche requise terminée, fermez immédiatement l’application sur liste verte.
  • Pour plus de sécurité lors du partage d’un écran tout en utilisant la ressource avec la fonction anti-capture d’écran App Protection activée, ajoutez un filigrane.

Liste d’exclusion des processus

Lorsque vous lancez un processus ou une application sur votre appareil, des DLL App Protection sont injectées dans chaque processus si l’App Protection est activée. Parfois, cela peut empêcher le processus ou l’application de fonctionner en raison de problèmes de compatibilité avec la DLL.

À partir de la version 2402 de l’application Citrix Workspace pour Windows, vous pouvez ajouter n’importe quel processus à la liste d’exclusion des processus afin d’éviter l’injection de la DLL App Protection dans ce processus particulier et de résoudre les problèmes de compatibilité causés par la présence de DLL App Protection. Pour configurer la liste d’exclusion des processus, consultez Configuration de la liste d’exclusion des processus.

Important :

l’exclusion de processus n’est pas recommandée, car cela réduit la posture de sécurité. Vous pouvez l’utiliser pour débloquer temporairement l’utilisation de l’application et créer un ticket d’assistance pour une étude plus approfondie.

Liste d’exclusion des pilotes de filtre USB

Parfois, lorsque vous utilisez des claviers externes spécialisés tels que des claviers de gaming avec l’application Citrix Workspace, le pilote de filtre USB App Protection peut entraîner des problèmes de compatibilité et vous empêcher d’utiliser le clavier.

À partir de la version 2402 de l’application Citrix Workspace pour Windows, la fonctionnalité Liste d’exclusion des pilotes de filtre USB vous permet d’exclure tout périphérique USB présentant des problèmes de compatibilité avec l’application Citrix Workspace à l’aide de l’ID fournisseur et de l’ID produit de l’appareil. Pour ajouter un périphérique à la liste d’exclusion des pilotes de filtre USB, consultez Configuration de la liste d’exclusion des pilotes de filtre USB.

Remarque :

l’exclusion définitive de périphériques n’est pas recommandée. Utilisez cette fonctionnalité pour empêcher temporairement l’utilisateur d’utiliser le périphérique et créez un ticket d’assistance afin d’étudier le problème de compatibilité de manière plus approfondie.