安全
App Protection
App Protection 功能是一项附加功能,可在使用 Citrix Virtual Apps and Desktops 和 Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)时提供增强的安全性。该功能限制了客户端受键盘记录和屏幕捕获恶意软件影响的能力。App Protection 可防止泄露屏幕上的用户凭据和敏感信息等机密信息。该功能可防止用户和攻击者截取屏幕截图以及使用键盘记录器收集和利用敏感信息。有关详细信息,请参阅 App Protection
免责声明
App Protection 策略将筛选对基础操作系统所需功能的访问权限(捕获屏幕或键盘按下所需的特定 API 调用)。App Protection 策略甚至能够针对自定义的专用黑客工具提供保护。但是,随着操作系统的发展,捕获屏幕和记录键盘的新方法可能会出现。虽然我们会继续识别和解决这些问题,但我们无法保证在特定配置和部署中提供充足的保护。
要在适用于 Windows 的 Citrix Workspace 应用程序上配置 App Protection,请参阅配置一文中的“适用于 Windows 的 Citrix Workspace 应用程序”部分。
注意:
App Protection 仅在从版本 1912 开始升级时受支持。
ICA 安全
当用户启动应用程序或桌面时,StoreFront 会生成 ICA 信息,其中包含向客户提供的有关如何连接到 VDA 的说明。
内存中混合启动
当用户启动资源时,StoreFront 会生成一个 ICA 文件,其中包含有关如何连接到该资源的说明。在适用于 Windows 的 Citrix Workspace 应用程序中启动时,将在内存中处理该 ICA 文件,并且绝对不会将其保存到磁盘。当用户在 Web 浏览器中打开其应用商店并使用适用于 Windows 的 Citrix Workspace 应用程序连接到资源时,这称为混合启动。根据配置的不同,有多种不同的启动方式,请参阅 StoreFront 用户访问选项。适用于 Windows 的 Citrix Workspace 应用程序支持 Citrix Workspace Launcher 和 Citrix Workspace Web 扩展程序,用于从用户的浏览器启动内存中 ICA。建议您禁用用户用于下载 ICA 文件的选项,以消除表面攻击和任何在本地存储时可能会滥用 ICA 文件的恶意软件。要在 StoreFront 2402 及更高版本中执行此操作,请参阅 StoreFront 文档。要在 Workspace 中执行此操作,请参阅 Workspace PowerShell 文档。
防止从磁盘启动 ICA 文件
在确保您自己的系统始终使用内存中启动功能后,Citrix 建议您禁用从磁盘启动 ICA 文件的功能。这样可以确保用户无法打开通过电子邮件等方法从恶意来源收到的 ICA 文件。使用以下任意方法:
- Global App Config Service。
- 客户端上的组策略对象 (GPO) 管理模板。
Global App Config Service
可以使用 Citrix Workspace 应用程序 2106 中的 Global App Config Service。在 Security and Authentication(安全性和身份验证)> Security Preferences(安全首选项)下,将阻止直接启动 ICA 文件策略设置为“已启用”。
组策略
要阻止使用组策略从存储在本地磁盘上的 ICA 文件启动会话,请执行以下操作:
- 通过运行
gpedit.msc打开 Citrix Workspace 应用程序组策略对象管理模板。 - 在计算机配置节点下,转至管理模板 > Citrix 组件 > Citrix Workspace > Client Engine。
- 选择安全 ICA 文件会话启动策略并将其设置为已启用。
- 单击应用和确定。
ICA 文件签名
ICA 文件签名可帮助保护您免于启动未经授权的应用程序或桌面。Citrix Workspace 应用程序根据管理策略确认由可信源生成应用程序或桌面启动,并防止从不可信服务器进行启动。您可以使用组策略对象管理模板或 StoreFront 来配置 ICA 文件签名。默认情况下,ICA 文件签名功能未启用。
有关为 StoreFront 启用 ICA 文件签名服务的信息,请参阅 StoreFront 文档中的 ICA 文件签名。
配置 ICA 文件签名
注意:
如果未将 CitrixBase.admx\adml 添加到本地 GPO,则启用 ICA 文件签名策略可能不存在。
- 通过运行 gpedit.msc 打开 Citrix Workspace 应用程序组策略对象管理模板
- 在计算机配置节点下,转至管理模板 > Citrix 组件。
- 选择启用 ICA 文件签名策略并根据需要选择其中一个选项:
- 已启用 - 指示您可以将签名证书指纹添加到可信证书指纹的允许列表中。
- 信任证书 - 单击显示可从允许列表中删除现有的签名证书指纹。可以从签名证书属性中复制并粘贴签名证书指纹。
- 安全策略 - 从菜单中选择以下选项之一。
- 仅允许签名的启动(更安全):仅允许来自可信服务器且已签名的应用程序和桌面启动。存在无效签名时,会出现安全警告。由于未授权,会话启动失败。
- 在进行未签名的启动时提示用户(不安全) - 启动未签名或无效签名的会话时将显示一条消息提示。可以选择继续启动或取消启动(默认设置)。
- 单击应用和确定保存此策略。
- 重新启动 Citrix Workspace 应用程序会话以使所做的更改生效。
选择数字签名证书时,我们建议您从以下优先级列表中进行选择:
- 从公共证书颁发机构 (CA) 购买一个代码签名证书或 SSL 签名证书。
- 如果您的企业具有专用 CA,请使用该专用 CA 创建一个代码签名证书或 SSL 签名证书。
- 使用现有的 SSL 证书。
- 创建一个根 CA 证书,并使用 GPO 或通过手动安装将其分发给用户设备。
不活动超时
Workspace 会话超时
管理员可以配置不活动超时值,以指定在用户自动从 Citrix Workspace 应用程序会话注销之前的空闲时间量。如果鼠标、键盘或触控在指定的时间间隔内处于空闲状态,您将自动从 Workspace 中注销。不活动超时不会影响活动的虚拟应用程序和桌面会话或 Citrix StoreFront 应用商店。
要配置不活动超时,请参阅 Workspace 文档。
最终用户体验如下:
- 在注销前三分钟,您的会话窗口中将显示一条通知,提示一个用于保持登录或注销的选项。
- 只有在配置的不活动超时值大于或等于 5 分钟时,通知才显示。
- 用户可以单击保持登录消除通知并继续使用应用程序,在这种情况下,不活动计时器将重置为已配置的值。也可以单击注销结束当前应用商店的会话。
StoreFront 会话超时
连接到 StoreFront 应用商店时,Citrix Workspace 应用程序不会应用不活动超时。如果您使用的是 Citrix Gateway,则可以配置网关的会话超时。有关详细信息,请参阅 StoreFront 文档。