セキュリティ
アプリ保護
アプリ保護機能は、Citrix Virtual Apps and DesktopsおよびCitrix DaaS (旧称 Citrix Virtual Apps and Desktopsサービス) の使用時に強化されたセキュリティを提供するアドオン機能です。この機能は、クライアントがキーロギングやスクリーンキャプチャマルウェアによって侵害される可能性を制限します。アプリ保護は、ユーザー資格情報や画面上の機密情報などの機密情報の漏洩を防ぎます。この機能は、ユーザーや攻撃者がスクリーンショットを撮ったり、キーロガーを使用して機密情報を収集および悪用したりすることを防ぎます。詳しくは、「アプリ保護」を参照してください。
免責事項
アプリ保護ポリシーは、基盤となるオペレーティングシステムの必須機能 (画面キャプチャやキーボード入力に必要な特定のAPI呼び出し) へのアクセスをフィルタリングします。アプリ保護ポリシーは、カスタムの専用ハッカーツールに対しても保護を提供します。ただし、オペレーティングシステムが進化するにつれて、画面キャプチャやキーロギングの新しい方法が出現する可能性があります。Citrixはそれらを特定して対処し続けますが、特定の構成や展開において完全な保護を保証することはできません。
Windows向けCitrix Workspaceアプリでアプリ保護を構成するには、「構成」の記事の「Windows向けCitrix Workspaceアプリ」セクションを参照してください。
注:
アプリ保護は、バージョン1912以降からのアップグレードでのみサポートされています。
ICA® ファイルセキュリティの強化
この機能は、仮想アプリおよびデスクトップセッションの起動時にICAファイルを処理する際のセキュリティを強化します。
Citrix Workspaceアプリでは、仮想アプリおよびデスクトップセッションを起動する際に、ICAファイルをローカルディスクではなくシステムメモリに保存できます。
この機能は、ローカルに保存されたICAファイルを悪用する可能性のある表面攻撃やマルウェアを排除することを目的としています。この機能は、Web向けWorkspaceで起動される仮想アプリおよびデスクトップセッションにも適用されます。
ICAファイルセキュリティは、Citrix WorkspaceまたはStoreFrontがWeb経由でアクセスされる場合にもサポートされます。Web経由でアクセスされる場合、この機能が機能するための前提条件としてクライアント検出が必要です。ブラウザを使用してStoreFrontにアクセスしている場合は、StoreFront展開のweb.configファイルで次の属性を有効にします。
| StoreFrontバージョン | 属性 |
|---|---|
| 2.x | pluginassistant |
| 3.x | protocolHandler |
ブラウザからストアにサインインするときに、[Workspaceアプリを検出] をクリックします。プロンプトが表示されない場合は、ブラウザのCookieをクリアして再試行してください。
Workspace展開の場合、クライアント検出設定は、[アカウント設定] > [詳細設定] > [アプリとデスクトップの起動設定] に移動して見つけることができます。
セッションがシステムメモリに保存されたICAファイルのみを使用して起動されるように、追加の対策を講じることができます。次のいずれかの方法を使用します。
- クライアント上のグループポリシーオブジェクト (GPO) 管理用テンプレート
- Global App Config Service
- Web向けWorkspace
GPOの使用:
ローカルディスクに保存されているICAファイルからのセッション起動をブロックするには、次の手順を実行します。
-
-
gpedit.mscを実行して、Citrix Workspaceアプリグループポリシーオブジェクト管理用テンプレートを開きます。
-
-
- [コンピューターの構成] ノードで、[管理用テンプレート] > [Citrixコンポーネント] > [Citrix Workspace] > [クライアントエンジン] に移動します。
-
- [ICAファイルセッション起動の保護] ポリシーを選択し、[有効] に設定します。
- [適用] をクリックし、[OK] をクリックします。
Global App Config Serviceの使用:
Citrix Workspaceアプリ2106からGlobal App Config Serviceを使用できます。
ローカルディスクに保存されているICAファイルからのセッション起動をブロックするには、次の手順を実行します。
[直接ICAファイル起動をブロック] 属性を [True] に設定します。
Global App Config Serviceの詳細については、Global App Config Serviceのドキュメントを参照してください。
Web向けWorkspaceの使用:
Web向けWorkspaceを使用しているときにローカルディスクへのICAファイルのダウンロードを許可しないようにするには、次の手順を実行します。
PowerShellモジュールを実行します。DisallowICADownloadの構成を参照してください。
注:
DisallowICADownloadポリシーは、StoreFront展開では利用できません。
Workspaceセッションの非アクティブタイムアウト
管理者は、非アクティブタイムアウト値を構成して、ユーザーがCitrix Workspaceセッションから自動的にサインアウトされるまでのアイドル時間を指定できます。マウス、キーボード、またはタッチが指定された間隔でアイドル状態になると、Workspaceから自動的にサインアウトされます。非アクティブタイムアウトは、アクティブな仮想アプリおよびデスクトップセッションやCitrix StoreFrontストアには影響しません。
非アクティブタイムアウト値は、1分から1,440分まで設定できます。デフォルトでは、非アクティブタイムアウトは構成されていません。管理者は、PowerShellモジュールを使用してinactivityTimeoutInMinutesプロパティを構成できます。Citrix Workspace構成用のPowerShellモジュールをダウンロードするには、こちらをクリックしてください。
エンドユーザーエクスペリエンスは次のとおりです。
- セッションウィンドウに、サインアウトの3分前に通知が表示され、サインインしたままにするか、サインアウトするかのオプションが提示されます。
- 通知は、構成された非アクティブタイムアウト値が5分以上の場合にのみ表示されます。
- ユーザーは [サインインしたままにする] をクリックして通知を閉じ、アプリの使用を続行できます。この場合、非アクティブタイマーは構成された値にリセットされます。また、[サインアウト] をクリックして、現在のストアのセッションを終了することもできます。
注:
管理者は、Workspace (クラウド) セッションに対してのみ非アクティブタイムアウトを構成できます。