配置 App Protection

使用 Citrix Workspace 应用程序时，App Protection 提供增强的安全性。 该功能限制了客户端受键盘记录和屏幕捕获恶意软件影响的能力。 App Protection 可防止泄露屏幕上显示的用户凭据和敏感信息等机密信息。 该功能可防止用户和攻击者截取屏幕截图以及使用键盘记录器收集和利用敏感信息。

本文介绍如何在不同平台上的 Citrix Workspace 应用程序中配置 App Protection。

App Protection 在 Citrix Workspace 应用程序上可用，适用于以下平台：

• 适用于 Windows 的 Citrix Workspace 应用程序
• 适用于 Mac 的 Citrix Workspace 应用程序
• 适用于 Linux 的 Citrix Workspace 应用程序
• 适用于 iOS 的 Citrix Workspace 应用程序
• 适用于 Android 的 Citrix Workspace 应用程序

免责声明

App Protection 策略筛选对基础操作系统所需功能的访问权限。 需要特定的 API 调用才能捕获屏幕或按下键盘。 App Protection 策略甚至能够针对自定义的专用黑客工具提供保护。 但是，随着操作系统的发展，捕获屏幕和记录键盘的新方法可能会出现。 虽然我们会继续识别和解决这些问题，但我们无法保证在特定配置和部署中提供充足的保护。

适用于 Windows 的 Citrix Workspace 应用程序

必备条件

• Citrix Virtual Apps and Desktops 版本 1912 LTSR 或更高版本。
• StoreFront 1912 LTSR 或 Workspace。
• Citrix Workspace 应用程序 2203.1 LTSR 或更高版本。
• 有效的 App Protection 许可证

• 自 Citrix Workspace 应用程序版本 2212 起，App Protection 组件是在安装 Citrix Workspace 应用程序期间默认安装的。

  安装期间出现的启用 App Protection 复选框将被替换为安装后启动 App Protection。

  • 对于 2311 之前的 Citrix Workspace 应用程序版本：

    

  • 自 Citrix Workspace 应用程序版本 2311 起：

    

  选中此复选框后，App Protection 将在安装后立即启动。

  注意：

  如果您未启用此复选框，则对于有权使用 App Protection 的客户，App Protection 会在首次启动受保护的资源或组件时自动启动。

配置

为适用于 Windows 的 Citrix Workspace 应用程序配置以下 App Protection 功能：

• 反键盘记录和防屏幕捕获：
  • 对于 Virtual Apps and Desktops，请参阅为 Virtual Apps and Desktops 配置反键盘记录和防屏幕捕获。
  • 对于 Web 和 SaaS 应用程序，请参阅为 Web 和 SaaS 应用程序配置反键盘记录和防屏幕捕获。
  • 对于身份验证和自助服务插件：
    • 要使用 Global App Configuration Service 用户界面，请参阅使用 Global App Configuration Service 用户界面为身份验证和自助服务插件配置反键盘记录和防屏幕捕获
    • 要使用组策略对象，请参阅使用组策略对象为身份验证和自助服务插件配置反键盘记录和防屏幕捕获
    • 要使用 API，请参阅使用 GACS API 为身份验证和自助服务插件配置反键盘记录和防屏幕捕获
• 要配置反 DLL 注入功能，请参阅配置反 DLL 注入功能。
• 要配置 App Protection 策略篡改，请参阅配置 App Protection 策略篡改。
• 要配置 App Protection 状态检查，请参阅配置 App Protection 状态检查。
• 要启用“阻止 DoubleHop 启动”设置，请参阅阻止 DoubleHop 启动。

限制

• 此功能仅在桌面操作系统（例如 Windows 11 和 Windows 10）上受支持。
• 自版本 2006.1 起，Windows 7 不支持 Citrix Workspace 应用程序。 因此，App Protection 在 Windows 7 中不起作用。 有关详细信息，请参阅弃用。
• 远程桌面协议 (RDP) 不支持此功能。

命令行接口

可以使用 /startappprotection 命令行参数启动 App Protection 组件。 但是，之前的 /includeappprotection 开关已弃用。

下表提供了有关受保护的屏幕的信息，具体取决于部署：

当您创建屏幕截图时，只有受保护的窗口停止运行。 您可以创建受保护窗口外部的区域的屏幕截图。 但是，如果使用 PrtScr 键捕获 Windows 10 设备上的屏幕截图，则必须最小化受保护的窗口。

以前，Citrix 身份验证和 Citrix Workspace 应用程序屏幕默认强制执行防屏幕捕获和反键盘记录功能。 但是，自 2212 起，这些功能默认处于禁用状态，需要使用组策略对象进行配置。

注意：

此 GPO 策略不适用于 ICA 和 SaaS 会话。 ICA 和 SaaS 会话继续使用 Delivery Controller 和 Citrix Secure Private Access 进行控制。

App Protection 增强功能：

在适用于 Windows 的 Citrix Workspace 应用程序 2305 及更高版本中，如果满足以下条件之一，则会在身份验证和自助服务插件屏幕上启用反键盘记录：

• 您已使用以下任一方式启用了 App Protection：
  • 在安装过程中选中启动 App Protection复选框。
  • 使用 /startappprotection 命令行参数启动 App Protection 组件。
• 如果您尚未在安装过程中选中启动 App Protection 复选框或者尚未使用 /startappprotection 命令行参数，则在启动第一个受保护的资源后将启用反键盘记录保护。

注意：

Global App Configuration Service 和组策略对象设置会覆盖上述行为。 例如，如果您对这些屏幕禁用了 GACS 或 GPO 策略，则在身份验证和 SSP 屏幕上未启用反键盘记录。

适用于 Linux 的 Citrix Workspace 应用程序

自版本 2108 起，App Protection 功能现已完全起作用。 此功能支持 Virtual Apps and Desktops，并且默认处于启用状态。 但是，必须在 AuthManConfig.xml 文件中配置 App Protection 功能，才能为身份验证管理器和自助服务插件接口启用该功能。

必备条件

App Protection 功能最适合以下操作系统以及 Gnome Display Manager：

• 64 位 Ubuntu 22.04、Ubuntu 20.04 和 Ubuntu 18.04
• 64 位 Debian 10 和 Debian 9
• 64 位 CentOS 7
• 64 位 RHEL 7
• ARMHF 32 位 Raspberry Pi OS（基于 Debian 10 (buster)）
• ARM64 Raspberry Pi OS（基于 Debian 11 (bullseye)）

注意：

如果您使用的是 2204 版之前的 Citrix Workspace 应用程序，App Protection 功能不支持使用 glibc 2.34 或更高版本的操作系统。

如果您在使用 glibc 2.34 或更高版本的操作系统中安装启用了 App Protection 功能的 Citrix Workspace 应用程序，重新启动系统时操作系统引导可能会失败。 要从操作系统引导失败进行恢复，请执行以下任一操作：

• 重新安装操作系统。
• 转至操作系统恢复模式，然后使用终端卸载 Citrix Workspace 应用程序。
• 通过 LiveOS 引导，然后从现有操作系统中删除 rm -rf /etc/ld.so.preload 文件。

安装 App Protection 组件

1. 使用 tarball 软件包安装 Citrix Workspace 应用程序时，将显示以下消息：是否要安装 App Protection 组件? 警告: 不能禁用此功能。 要将其禁用，必须卸载 Citrix Workspace 应用程序。 有关详细信息，请联系您的系统管理员。 [default $INSTALLER_N]:

2. 输入 Y 以安装 App Protection 组件。 默认不安装 App Protection 组件。

3. 重新启动您的计算机以使更改反映出来。 只有在您重新启动计算机后，App Protection 功能才能按预期运行。

安装 RPM 软件包中的 App Protection 组件

自版本 2104 起，Citrix Workspace 应用程序的 RPM 版本支持 App Protection 功能。

要安装 App Protection 组件，请执行以下操作：

1. 安装 Citrix Workspace 应用程序。
2. 从 Citrix Workspace 应用程序安装程序中安装 App Protection ctxappprotection<version>.rpm 软件包。
3. 重新启动系统以使更改反映出来。

安装 Debian 软件包中的 App Protection 组件

自版本 2101 起，Citrix Workspace 应用程序的 Debian 版本支持 App Protection 功能。

要安装 App Protection 组件，请在安装 Citrix Workspace 应用程序之前从终端运行以下命令：

  export DEBIAN_FRONTEND="noninteractive"
  sudo debconf-set-selections <<< "icaclient app_protection/install_app_protection select yes"

  sudo debconf-show icaclient
  *  app_protection/install_app_protection: yes

  sudo apt install -f ./icaclient_<version>._amd64.deb
<!--NeedCopy-->

自版本 2106 起，Citrix Workspace 应用程序引入了一个选项，用于同时为身份验证管理器和自助服务插件界面分别配置反键盘记录和防屏幕捕获功能。

配置

为适用于 Linux 的 Citrix Workspace 应用程序配置以下 App Protection 功能：

• 要为“身份验证”屏幕配置反键盘记录和防屏幕捕获，请参阅配置对身份验证管理器使用 AuthManConfig.xml。
• 要为“自助服务插件”屏幕配置反键盘记录和防屏幕捕获，请参阅配置对自助服务插件界面使用 AuthManConfig.xml。
• 要为 Virtual Apps and Desktops 配置反键盘记录和防屏幕捕获，请参阅为 Virtual Apps and Desktops 配置反键盘记录和防屏幕捕获。
• 要配置 App Protection 策略篡改，请参阅配置 App Protection 策略篡改。
• 要配置 App Protection 状态检查，请参阅配置 App Protection 状态检查。

适用于 Mac 的 Citrix Workspace 应用程序

为适用于 Mac 的 Citrix Workspace 应用程序配置以下 App Protection 功能：

• 要使用 Global App Configuration Service 用户界面为身份验证和自助服务插件配置反键盘记录和防屏幕捕获，请参阅使用 Global App Configuration Service 用户界面为身份验证和自助服务插件配置反键盘记录和防屏幕捕获。
• 要使用 API 为身份验证和自助服务插件配置反键盘记录和防屏幕捕获，请参阅使用 GACS API 为身份验证和自助服务插件配置反键盘记录和防屏幕捕获。
• 要为 Virtual Apps and Desktops 配置反键盘记录和防屏幕捕获，请参阅为 Virtual Apps and Desktops 配置反键盘记录和防屏幕捕获。
• 要为 Web 和 SaaS 应用程序配置反键盘记录和防屏幕捕获，请参阅为 Web 和 SaaS 应用程序配置反键盘记录和防屏幕捕获。
• 要配置 App Protection 策略篡改，请参阅配置 App Protection 策略篡改。
• 要配置 App Protection 状态检查，请参阅配置 App Protection 状态检查。

适用于 iOS 的 Citrix Workspace 应用程序

自版本 24.9.0 起，App Protection 功能将完全正常运行。 此功能支持以下内容，并且默认处于启用状态。

• Virtual Apps and Desktops
• 内部 Web 和 SaaS 应用程序
• 身份验证屏幕

反键盘记录

必备条件

• Citrix Virtual Apps and Desktops 版本 1912 LTSR 或更高版本。
• StoreFront 1912 LTSR 或 Workspace。
• 适用于 iOS 的 Citrix Workspace 应用程序 24.7.0 或更高版本。
• 有效的 App Protection 许可证

免责声明：

App Protection 策略通过筛选对基础操作系统所需功能的访问（捕获屏幕或键盘按下所需的特定 API 调用）来运行。 这意味着 App Protection 策略甚至能够针对自定义的专用黑客工具提供保护。 但是，随着操作系统的发展，捕获屏幕和记录键盘的新方法会出现。 虽然我们会继续识别和解决这些问题，但我们无法保证在特定配置和部署中提供充足的保护。

配置

可以为适用于 iOS 的 Citrix Workspace 应用程序为以下对象配置反键盘记录和防屏幕捕获功能：

• Citrix Virtual Apps and Desktops - Citrix Virtual Apps and Desktops 的反键盘记录和防屏幕捕获功能可以在 DDC 中进行配置。 App Protection 策略适用于 DDC 中的交付组。 有关详细信息，请参阅为 Virtual Apps and Desktops 配置反键盘记录和防屏幕捕获。

• Web 和 SaaS 应用程序 - 可以通过 Secure Private Access 策略配置 Web 和 SaaS 应用程序的反键盘记录和防屏幕捕获功能。 有关详细信息，请参阅为 Web 和 SaaS 应用程序配置反键盘记录和防屏幕捕获。

• 身份验证屏幕 - 身份验证屏幕的反键盘记录和防屏幕捕获功能可以通过 Global App Configuration Service 和 Unified Endpoint Management 解决方案进行配置。

使用 Global App Configuration Service

可以使用以下方法为身份验证屏幕配置防屏幕捕获功能：

• 使用用户界面
• 使用 API

使用用户界面：

自适用于 iOS 的 Citrix Workspace 应用程序 24.7.0 版本起，Citrix Workspace 应用程序允许您使用 Global App Configuration Service (GACS) 为身份验证屏幕配置 App Protection。

如果您使用 GACS 启用防屏幕捕获功能，它们将适用于身份验证屏幕。

管理员可以使用 Workspace 配置用户界面配置 App Protection：

1. 登录到您的 Citrix Cloud 帐户并选择 Workspace 配置。

   

2. 选择应用程序配置 > 安全性和身份验证 > App Protection。

   

3. 单击反键盘记录，然后选择 iOS 操作系统。

4. 单击防屏幕捕获，然后选择 iOS 操作系统。

5. 单击 Enabled（已启用）切换按钮，然后单击 Publish Drafts（发布草稿）。

6. 在发布设置对话框中，单击是。

   

使用 API：

管理员可以使用 API 配置 App Protection 功能。 适用于 iOS 的 Citrix Workspace 应用程序的设置如下：

用于启用或禁用防屏幕捕获的设置：

  “name”: “enable anti screen capture for auth ” “value”: “true” or “false”
<!--NeedCopy-->

用于启用或禁用反键盘记录的设置：

  “name”: “enable anti key-logging for auth ” “value”: “true” or “false”
<!--NeedCopy-->

示例：

下面是在 GACS 中为 Citrix Workspace 应用程序启用防屏幕捕获和反键盘记录功能的示例 JSON 文件：

  {
            "category": "App Protection",
            "userOverride": false,
            "assignedTo": [
              "AllUsersNoAuthentication"
            ],
            "settings": [{
              "name": "Enable Anti Screen Capture For Auth",
              "value": "true"
            },
            {
              "name": "Enable Anti Key Logging For Auth",
              "value": "true"
            }]
          }

<!--NeedCopy-->

使用 Unified Endpoint Management 解决方案

自适用于 iOS 的 Citrix Workspace 应用程序的 24.7.0 版本起，管理员可以为身份验证屏幕启用 App Protection 功能。 管理员可以使用基于 AppConfig 的键-值对来配置此功能。

• 要启用防屏幕捕获功能，请执行以下操作：
  • 注册表项：enableAntiScreenCaptureForAuth
  • 值类型： 布尔值
  • 值：
    • 如果设置为 true，则启用防屏幕捕获功能。
    • 如果设置为 false，则启用防屏幕捕获功能。
• 要启用反键盘记录功能，请执行以下操作：
  • 注册表项：enableAntiKeyLoggingForAuth
  • 值类型： 布尔值
  • 值：
    • 如果设置为 true，则启用反键盘记录功能。
    • 如果设置为 false，则启用反键盘记录功能。

禁用自定义键盘的步骤

启用了反键盘记录功能并打开使用自定义键盘切换开关时，您将无法打开虚拟应用程序、虚拟桌面、Web 应用程序或 SaaS 应用程序，并会出现以下警报消息：

要禁用自定义键盘，请执行以下操作：

1. 在前面的警报对话框中单击键盘选项。

2. 从应用商店设置中清除使用自定义键盘。 此时将出现禁用自定义键盘对话框。

3. 在禁用自定义键盘对话框中单击退出。 此时将出现退出对话框。

4. 单击 OK（确定）。 Citrix Workspace 应用程序退出，然后自动重新启动以反映所做的更改。

限制

• 记录键盘预防：

  键盘记录预防功能只能通过软键盘有效。 硬件键盘不受反键盘记录功能的保护。

• 身份验证屏幕的反键盘记录功能：

  添加多个应用商店或删除应用商店时，身份验证屏幕不支持反键盘记录功能。

• 系统浏览器：

  使用系统浏览器时，不支持身份验证屏幕的反键盘记录功能。

• Web Interface 身份验证屏幕：

  Web Interface 身份验证屏幕不支持防屏幕捕获和反键盘记录功能。

防屏幕捕获

自适用于 iOS 的 Citrix Workspace 应用程序 24.7.0 版本起，启用了以下功能：

• 防屏幕截图 - 此功能可防止未经授权的屏幕截图、录制、QuickTime 屏幕镜像、屏幕共享和应用程序切换。 防屏幕捕获功能可用于身份验证屏幕、Web 或 SaaS 应用程序以及 Citrix Virtual Apps and Desktops。 当您捕获屏幕时，系统会在捕获媒体中显示一条自定义消息 Screen Capture is disabled by your administrator for security reasons（出于安全原因禁用屏幕捕获），而非屏幕上显示的实际内容。 防屏幕捕获可防止各种形式的未经授权的屏幕访问，例如：

  • 屏幕截图： 防止截取屏幕截图。
  • 屏幕录制： 阻止屏幕录制软件。
  • 屏幕镜像： 禁用将屏幕镜像到其他设备。
  • 屏幕共享： 限制屏幕共享功能。
  • App Switcher： 防止敏感信息在 App Switcher 预览中可见。

  

防屏幕多显示器支持

启用此功能后，App Protection 将其保护扩展到连接的所有屏幕，确保外部多显示器上的屏幕截图受到保护。 iPad 和外部显示器上的内容均受到保护。

外部显示器在所有三种模式下均受到保护：

• 镜像： 允许您镜像连接到 iPad 的外部显示器上的显示内容。 启用防屏幕保护功能后，两个屏幕均受到保护，防止未经授权的屏幕截图捕获内容。
• 演示文稿： 允许您在使用 iPad 屏幕作为触控板的同时在外部显示器上显示桌面。 防屏幕保护功能可确保演示期间外部显示器上的内容和 iPad 的显示屏都受到保护。
• 扩展： 允许您在每个显示器上显示不同的视图或屏幕。 防屏幕保护功能扩展到 iPad 和外部显示器，确保屏幕截图受到保护。

适用于 Android 的 Citrix Workspace 应用程序

必备条件

• Citrix Virtual Apps and Desktops 版本 1912 LTSR 或更高版本。
• StoreFront 1912 LTSR 或 Workspace。
• 适用于 Android 的 Citrix Workspace 应用程序 24.7.0 或更高版本。
• 有效的 App Protection 许可证

配置

可以为以下对象配置防屏幕捕获功能：

• Citrix Virtual Apps and Desktops - Citrix Virtual Apps and Desktops 的防屏幕捕获功能可以在 DDC 中进行配置。 App Protection 策略适用于 DDC 中的交付组。 有关详细信息，请参阅为 Virtual Apps and Desktops 配置反键盘记录和防屏幕捕获。

• Web 和 SaaS 应用程序 - 可以通过 Secure Private Access 策略配置 Web 和 SaaS 应用程序的防屏幕捕获功能。 有关详细信息，请参阅为 Web 和 SaaS 应用程序配置防屏幕捕获。

• 身份验证屏幕 - 身份验证屏幕的防屏幕捕获功能可以通过 Global App Configuration Service 和 Unified Endpoint Management 解决方案进行配置。

使用 Global App Configuration Service

可以使用以下方法为身份验证屏幕配置防屏幕捕获功能：

• 使用用户界面
• 使用 API

使用用户界面：

Citrix Workspace 应用程序允许您使用 Global App Configuration Service (GACS) 为身份验证屏幕配置 App Protection。

如果您使用 GACS 启用防屏幕捕获功能，它们将适用于身份验证屏幕。

管理员可以使用 Workspace 配置用户界面配置 App Protection：

1. 登录到您的 Citrix Cloud 帐户并选择 Workspace 配置。

   

2. 选择应用程序配置 > 安全性和身份验证 > App Protection。

   

3. 单击防屏幕捕获，然后选择 Android 操作系统。

4. 单击 Enabled（已启用）切换按钮，然后单击 Publish Drafts（发布草稿）。

5. 在发布设置对话框中，单击是。

   

使用 API：

管理员可以使用 API 配置 App Protection 功能。 用于为适用于 Android 的 Citrix Workspace 应用程序启用或禁用防屏幕捕获的设置：

  “name”: “enable anti screen capture for auth ” “value”: “true” or “false”
<!--NeedCopy-->

示例： 下面是在 GACS 中为 Citrix Workspace 应用程序启用防屏幕捕获功能的示例 JSON 文件：

  {
            "category": "App Protection",
            "userOverride": false,
            "assignedTo": [
              "AllUsersNoAuthentication"
            ],
            "settings": [{
              "name": "Enable Anti Screen Capture For Auth",
              "value": "true"
            },
           ]
          }

<!--NeedCopy-->

使用 Unified Endpoint Management 解决方案

自适用于 Android 的 Citrix Workspace 应用程序的 24.7.0 版本起，管理员可以为身份验证屏幕启用 App Protection 功能。 管理员可以使用基于 AppConfig 的键-值对来配置此功能。

• 要启用防屏幕捕获功能，请执行以下操作：

  • 注册表项：enableAntiScreenCaptureForAuth
  • 值类型： 布尔值
  • 值：
    • 如果设置为 true，则启用防屏幕捕获功能。
    • 如果设置为 false，则禁用防屏幕捕获功能。

建议

App Protection 策略主要侧重于增强端点的安全性和保护。 查看针对您的环境的所有其他安全建议和策略。 可以在风险容忍度低的环境中使用安全性与控制策略模板设置建议的配置。 有关详细信息，请参阅策略模板。