セキュリティ
App Protection
App Protection機能は、Citrix Virtual Apps and DesktopsおよびCitrix DaaS(Citrix Virtual Apps and Desktopsサービスの新名称)の使用時にセキュリティを強化する機能です。この機能により、キーロガーや画面キャプチャマルウェアによりクライアントが侵害される可能性が制限されます。App Protectionでは、画面に表示されるユーザーの資格情報や個人情報などの機密情報の流出を防ぎます。この機能を使うと、ユーザーおよび攻撃者がスクリーンショットを撮る、またはキーロガーを使用することにより機密情報を収集、悪用することを防ぐことができます。詳しくは、「App Protection」を参照してください。
免責事項
App Protectionポリシーは基礎となるオペレーティングシステムの必要な機能へのアクセスをフィルタリングします(画面のキャプチャまたはキーボードの操作が必要な特定のAPI呼び出し)。App Protectionポリシーは、カスタムの目的別に構築されたハッカーツールに対しても保護を提供します。ただし、オペレーティングシステムの進化によって、画面のキャプチャやキーのログ記録には新しい方法が出てくる場合があります。引き続きこうした方法に対応していきますが、特定の構成や展開では完全な保護を保証することはできません。
Windows向けCitrix WorkspaceアプリでApp Protectionを構成するには、 構成の記事の「Windows向けCitrix Workspaceアプリ」セクションを参照してください。
注:
App Protectionは、バージョン1912以降のアップグレードでのみサポートされます。
ICAのセキュリティ
ユーザーがアプリケーションまたはデスクトップを起動すると、StoreFrontはICA情報を生成します。この情報には、VDAに接続する方法に関するクライアントへの指示が含まれています。
インメモリハイブリッド起動
ユーザーがリソースを起動すると、StoreFrontはリソースへの接続方法に関する指示を含むICAファイルを生成します。Windows向けCitrix Workspaceアプリ内で起動すると、ICAファイルはメモリ内で処理され、ディスクに保存されることはありません。ユーザーがWebブラウザーでストアを開き、Windows向けCitrix Workspaceアプリを使用してリソースに接続することをハイブリッド起動と呼びます。構成に応じて、起動を実行する方法はいくつかあります。StoreFrontのユーザーアクセスのオプションを参照してください。Windows向けCitrix Workspaceアプリは、ユーザーのブラウザーからのインメモリICA起動用のCitrix WorkspaceランチャーとCitrix Workspace Web拡張機能をサポートしています。ローカルに保存されたときにICAファイルを悪用する可能性のある攻撃やマルウェアを排除するために、ICAファイルをダウンロードするユーザーのオプションを無効にすることをお勧めします。StoreFront 2402以降でこれを行うには、StoreFrontドキュメントを参照してください。Workspaceでこれを行うには、Workspace PowerShellドキュメントを参照してください。
ディスクからのICAファイルの起動を禁止
使用しているシステムで常にインメモリ起動が使用されることを確認したら、CitrixではディスクからのICAファイルの起動を無効にすることをお勧めします。これにより、ユーザーはメールなどの方法で悪意のあるソースから受信したICAファイルを開くことができなくなります。次のいずれかの方法を使用します:
- Global App Config Service。
- クライアント上のグループポリシーオブジェクト(GPO)管理用テンプレート。
Global App Config Service
Global App Config Serviceは、Citrix Workspaceアプリ2106以降で使用できます。[セキュリティと認証]>[セキュリティ設定] で、ICAファイルからの直接起動を禁止するポリシーを有効に設定します。
グループポリシー
グループポリシーを使用して、ローカルディスクに保存されているICAファイルからのセッションの起動をブロックするには、次の手順を実行します:
-
gpedit.msc
を実行して、Citrix Workspaceアプリグループポリシーオブジェクト管理用テンプレートを開きます。 - [コンピューターの構成]ノードで、[管理用テンプレート]>[Citrixコンポーネント]>[Citrix Workspace]>[クライアントエンジン]の順に移動します。
- [セキュアなICAファイルからのセッション起動]ポリシーを選択し、[有効]に設定します。
- [適用]、[OK] の順にクリックします。
ICAファイルの署名
ICAファイル署名機能は、認証していないアプリケーションやデスクトップの起動を回避するために役立ちます。Citrix Workspaceアプリは、信頼できるソースからアプリケーションまたはデスクトップが生成されたことを管理ポリシーに基づいて検証し、信頼されていないサーバーからの起動を防ぎます。グループポリシーオブジェクトの管理用テンプレートまたはStoreFrontを使用して、ICAファイルの署名を構成できます。ICAファイルの署名機能はデフォルトで無効になっています。
StoreFrontに対するICAファイル署名については、StoreFrontのドキュメントの「ICAファイル署名」を参照してください。
ICAファイルの署名の構成
注:
CitrixBase.admx\admlがローカルGPOに追加されないと、[ICAファイルの署名を有効にします] ポリシーが表示されないことがあります。
- gpedit.mscを実行して、Citrix Workspaceアプリグループポリシーオブジェクト管理用テンプレートを開きます。
- [コンピューターの構成] ノードで、[管理用テンプレート]>[Citrixコンポーネント] に移動します。
-
[ICAファイルの署名を有効にします] を選択し、必要に応じて次のいずれかのオプションを選択します。
- 有効 - 署名証明書の拇印を信頼された機関からの証明書の拇印の許可リストに追加できます。
- 信頼証明書 - [表示] をクリックして、許可リストから既存の署名証明書の拇印を削除します。署名証明書のサムプリントは署名証明書のプロパティからコピーして貼り付けることができます。
- セキュリティポリシー - メニューから次のいずれかのオプションを選択します。
- 署名による起動のみを許可します(安全性が高い):信頼できるサーバーからの署名されたアプリケーションおよびデスクトップの起動のみを許可します。無効な署名があると、セキュリティ警告が表示されます。認証されていないため、セッションを開始できません。
- 署名されていない起動(安全性が低い)でユーザーにプロンプトを表示します:署名されていないセッション、または署名が無効なセッションが開始されると、メッセージが表示されます。起動を続行するか、起動をキャンセルするか(デフォルト)を選択できます。
- [適用] および [OK]をクリックしてポリシーを保存します。
- Citrix Workspaceアプリのセッションを再起動して、この変更を適用します。
デジタル署名証明書を選択するときは、次の一覧の上位のオプションから順にお勧めします:
- 周知の証明機関からコード署名証明書またはSSL署名証明書を購入する。
- 社内に証明機関がある場合はその証明機関を使用して、コード署名証明書またはSSL署名証明書を作成する。
- 既存のSSL証明書を使用する。
- ルート証明書を作成して、GPOまたは手動インストールによりユーザーデバイスに配布する。
非アクティブタイムアウト
Workspaceセッションのタイムアウト
管理者は、非アクティブタイムアウト値を構成して、ユーザーがCitrix Workspaceセッションから自動的にサインアウトするまでのアイドル時間を指定できます。指定された時間内に、マウス、キーボード、またはタッチによる操作がない場合は、自動的にWorkspaceからサインアウトされます。非アクティブタイムアウトは、アクティブな仮想アプリと仮想デスクトップのセッションやCitrix StoreFrontストアには影響しません。
非アクティブタイムアウトを構成するには、 Workspaceドキュメントを参照してください。
エンドユーザーエクスペリエンスは次のとおりです:
- サインアウトの3分前にセッションウィンドウに通知が表示され、サインインしたままにするか、サインアウトするかを選択できます。
- この通知は、設定された非アクティブタイムアウト値が5分以上の場合にのみ表示されます。
- ユーザーは [サインイン状態を維持] をクリックして通知を閉じ、アプリの使用を続行できます。その場合、無通信タイマーは構成された値にリセットされます。[サインアウト] をクリックして、現在のストアのセッションを終了することもできます。
StoreFrontセッションのタイムアウト
StoreFrontストアに接続すると、Citrix Workspaceアプリは非アクティブタイムアウトを適用しません。Citrix Gatewayを使用している場合は、ゲートウェイのセッションタイムアウトを構成できます。詳しくは、StoreFrontのドキュメントを参照してください。