产品文档
Citrix Workspace 应用程序
查看 PDF

配置应用程序保护

May 20, 2026
投稿者: 
C C

应用程序保护在您使用 Citrix Workspace 应用程序时提供增强的安全性。此功能限制客户端被键盘记录和屏幕捕获恶意软件入侵的能力。应用程序保护可防止机密信息(例如用户凭据和屏幕上显示的敏感信息)泄露。此功能可防止用户和攻击者截取屏幕截图以及使用键盘记录器窃取和利用敏感信息。

本文介绍了如何在不同平台上的 Citrix Workspace 应用程序中配置应用程序保护。

应用程序保护适用于以下平台的 Citrix Workspace 应用程序:

免责声明

应用程序保护策略会筛选对底层操作系统所需功能的访问。捕获屏幕或键盘按键需要特定的 API 调用。应用程序保护策略甚至可以抵御自定义和专门构建的黑客工具。但是,随着操作系统的发展,可能会出现捕获屏幕和记录按键的新方法。虽然我们持续识别并解决这些问题,但我们无法保证在特定配置和部署中提供全面保护。

适用于 Windows 的 思杰工作区应用程序

先决条件

  • Citrix 虚拟应用和桌面™ 版本 1912 LTSR 或更高版本。
  • 店面 版本 1912 长期服务版本 或 工作区。
  • Citrix 工作区应用程序版本 2203.1 LTSR 或更高版本。
  • 有效的应用程序保护许可证

  • 自 Citrix Workspace 应用程序 2212 版本起,应用程序保护组件在安装过程中默认安装。

    在安装期间出现的 启用应用程序保护 复选框已替换为 安装后启动应用程序保护

    • 对于 2311 之前的 Citrix Workspace 应用程序版本:

      安装后启动应用程序保护 - 2311 之前的 Citrix Workspace 应用程序版本

    • 自 Citrix 工作区应用程序 2311 版本及更高版本:

      安装后启动应用程序保护 - Citrix 工作区应用程序 2311 版本及更高版本

    选中此复选框后,App Protection 将在安装后立即启动。

    注意:

    如果您未启用此复选框,对于有权使用 App Protection 的客户,App Protection 将在受保护资源或组件首次启动时自动启动。

配置说明

为适用于 Windows 的 Citrix Workspace 应用程序配置以下应用程序保护功能:

局限性

  • 此功能仅在桌面操作系统(例如 Windows 11 和 Windows 10)上受支持。
  • 从版本 2006.1 开始,Citrix Workspace 应用程序不再支持 Windows 7。因此,应用程序保护在 Windows 7 上不起作用。有关详细信息,请参阅 弃用
  • 此功能不支持通过远程桌面协议 (RDP) 使用。

命令行用户界面

您可以使用 /startappprotection 命令行参数启动应用程序保护组件。但是,以前的 /includeappprotection 开关已弃用。

下表提供了关于根据部署情况受保护的屏幕的信息:

应用程序保护部署 受保护的屏幕 未受保护的屏幕
包含在 Citrix 工作区应用程序中 自助服务插件和身份验证管理器/用户凭据对话框 连接中心、设备、Citrix Workspace 应用程序错误消息、客户端自动重新连接、添加帐户
在控制器上配置 ICA 会话屏幕(包括应用程序和桌面) 连接中心、设备、Citrix Workspace 应用程序错误消息、客户端自动重新连接、添加帐户

截取屏幕截图时,只有受保护的窗口会被遮黑。您可以截取受保护窗口外部区域的屏幕截图。但是,如果您在 Windows 10 设备上使用 PrtScr 键捕获屏幕截图,则必须最小化受保护的窗口。

注意:

此 GPO 策略不适用于 ICA 和 SaaS 会话。ICA 和 SaaS 会话将继续使用交付控制器和 Citrix Secure Private Access 进行控制。

应用程序保护增强功能:

从适用于 Windows 2305 及更高版本的 Citrix Workspace 应用程序开始,如果满足以下条件之一,则会在身份验证和自助服务插件屏幕上启用防键盘记录功能:

  • 您已通过以下方式之一启用应用程序保护:
    • 在安装过程中选择“启动应用程序保护”复选框。
    • 使用 /startappprotection 命令行参数启动应用程序保护组件。
  • 如果在安装过程中未选择“启动应用程序保护”复选框或未使用 /startappprotection 命令行参数,则在启动第一个受保护资源后会启用防键盘记录保护。

注意:

全局应用程序配置服务和组策略对象设置会覆盖上述行为。例如,如果您已禁用这些屏幕的 GACS 或 GPO 策略,则身份验证和 SSP 屏幕上不会启用防键盘记录功能。

适用于 Linux 的 Citrix 工作区应用程序

从版本 2108 开始,应用程序保护功能现已完全可用。此功能支持 Virtual Apps and Desktops,并且默认启用。但是,您必须在 AuthManConfig.xml 文件中配置应用程序保护功能,才能为身份验证管理器和自助服务插件接口启用它。

安装应用程序保护组件

  1. 当您使用 tarball 软件包安装 Citrix Workspace 应用程序时,将显示以下消息:是否要安装应用程序保护组件?警告:您无法禁用此功能。要禁用此功能,您必须卸载 Citrix Workspace 应用程序。有关详细信息,请联系您的系统管理员。[default $INSTALLER_N]:

  2. 输入 Y 以安装应用程序保护组件。应用程序保护默认不安装。

  3. 重新启动计算机以使更改生效。应用程序保护仅在您重新启动计算机后才能按预期工作。

在 RPM 软件包上安装应用程序保护组件

从版本 2104 开始,Citrix Workspace 应用程序的 RPM 版本支持应用程序保护。

要安装应用程序保护,请执行以下操作:

  1. 安装 思杰工作区应用程序。
  2. 从 Citrix Workspace 应用程序安装程序安装应用程序保护 ctxappprotection<version>.rpm 软件包。
  3. 重新启动系统以使更改生效。

在 Debian 软件包上安装应用程序保护组件

从版本 2101 开始,Citrix Workspace 应用程序的 Debian 版本支持应用程序保护。

要安装 App Protection 组件,请在安装 Citrix Workspace 应用程序之前从终端运行以下命令:

export DEBIAN_FRONTEND="noninteractive"
sudo debconf-set-selections <<< "icaclient app_protection/install_app_protection select yes"

sudo debconf-show icaclient
* app_protection/install_app_protection: yes

sudo apt install -f ./icaclient_<version>._amd64.deb
<!--NeedCopy-->

从版本 2106 开始,Citrix Workspace 应用程序引入了一个选项,可以分别为身份验证管理器和自助服务插件界面配置防键盘记录和防屏幕捕获功能。

配置方法

为适用于 Linux 的 Citrix Workspace 应用程序配置以下应用程序保护功能:

升级

注意:

应用程序保护服务目前不支持升级。如果它与 Citrix Workspace 应用程序一起安装,升级 Citrix Workspace 应用程序可能会破坏应用程序保护服务,并可能显示以下错误消息: 在安装应用程序保护组件时不支持升级操作。要升级,请卸载适用于 Linux 的 Citrix Workspace 应用程序,重新启动计算机,然后安装新版本

为防止升级期间出现任何问题,我们建议卸载旧版适用于 Linux 的 Citrix Workspace 应用程序,并在安装新版本之前重新启动计算机。有关详细信息,请参阅 安装、卸载和更新

适用于苹果电脑的 Citrix Workspace 应用程序

为适用于 Mac 的 Citrix Workspace 应用程序配置以下应用程序保护功能:

适用于 iOS 的 思杰工作区应用程序

防键盘记录

必备条件

  • Citrix 虚拟应用和桌面 版本 1912 LTSR 或更高版本。
  • StoreFront™ version 1912 LTSR or Workspace.
  • 适用于 iOS 的 Citrix Workspace 应用程序 24.9.0 版或更高版本。
  • 有效的应用程序保护许可证。

免责声明:

应用程序保护策略通过筛选对底层操作系统所需功能的访问(捕获屏幕或键盘按键所需的特定 API 调用)来发挥作用。这意味着应用程序保护策略甚至可以针对自定义和专门构建的黑客工具提供保护。然而,随着操作系统的发展,捕获屏幕和记录按键的新方法不断涌现。虽然我们持续识别并解决这些问题,但我们无法保证在特定配置和部署中提供全面保护。

配置过程

您可以为适用于 iOS 的 Citrix Workspace™ 应用程序配置以下防键盘记录防屏幕捕获功能:

使用全局应用程序配置服务

您可以使用以下方式为身份验证屏幕配置防屏幕捕获功能:

  • 使用 UI
  • 使用 API

使用 UI:

从 Citrix Workspace app for iOS 24.9.0 版本开始,Citrix Workspace app 允许您使用全局应用程序配置服务 (GACS) 为身份验证屏幕配置应用程序保护。

如果您使用 GACS 启用防屏幕捕获功能,则这些功能适用于身份验证屏幕。

管理员可以使用 Workspace 配置 UI 配置应用程序保护:

  1. 登录您的 Citrix Cloud™ 帐户并选择 工作区配置

    工作区配置

  2. 选择 应用程序配置 > 安全和身份验证 > 应用程序保护

    安全和身份验证

  3. 单击 防键盘记录,然后选择 iOS 操作系统。

  4. 单击 防屏幕截图,然后选择 iOS 操作系统。

  5. 单击“启用”切换按钮,然后单击“发布草稿”。

  6. 在“发布设置”对话框中,单击“”。

    发布设置

使用 API:

管理员可以使用 API 配置应用程序保护功能。Citrix Workspace app for iOS 的设置如下:

启用或禁用防屏幕捕获的设置:

“name”: “enable anti screen capture for auth ” “value”: “true” or “false”
<!--NeedCopy-->

用于启用或禁用防键盘记录的设置:

“name”: “enable anti key-logging for auth ” “value”: “true” or “false”
<!--NeedCopy-->

示例:

以下是一个示例 JSON 文件,用于在 GACS 中为 Citrix Workspace 应用程序启用防屏幕截图和防键盘记录功能:

{
          "category": "App Protection",
          "userOverride": false,
          "assignedTo": [
            "AllUsersNoAuthentication"
          ],
          "settings": [{
            "name": "Enable Anti Screen Capture For Auth",
            "value": "true"
          },
          {
            "name": "Enable Anti Key Logging For Auth",
            "value": "true"
          }]
        }

<!--NeedCopy-->
使用统一端点管理解决方案

从适用于 iOS 的 Citrix Workspace 应用程序 24.9.0 版本开始,管理员可以为身份验证屏幕启用应用程序保护功能。管理员可以使用基于 AppConfig 的键值对配置此功能。

  • 用于启用防屏幕截图:
    • 键:enableAntiScreenCaptureForAuth
    • 值类型:布尔值
    • 值:
      • 如果设置为 true,则启用防屏幕截图功能。
      • 如果设置为 false,则启用防屏幕截图功能。
  • 用于启用防键盘记录:
    • 键:enableAntiKeyLoggingForAuth
    • 值类型:布尔值
    • 值:
      • 如果设置为 true,则启用防键盘记录功能。
      • 如果设置为 false,则启用防键盘记录功能。

禁用自定义键盘的步骤

当防键盘记录功能启用且“使用自定义键盘”切换开关打开时,您无法打开虚拟应用程序、虚拟桌面、Web 应用程序或 SaaS 应用程序,并且会出现以下警报消息:

已启用防键盘记录

要禁用自定义键盘,请执行以下操作:

  1. 在前面的警报对话框中单击“键盘选项”。

  2. 从商店设置中清除“使用自定义键盘”。此时将显示“禁用自定义键盘”对话框。

  3. 在“禁用自定义键盘”对话框中单击“退出”。此时将显示“正在退出”对话框。

  4. 单击“确定”。Citrix Workspace 应用程序将退出并自动重新启动以反映更改。

局限性

  • 键盘记录防护:

    键盘记录防护功能仅对软键盘有效。硬件键盘则不受此反键盘记录功能的保护。

  • 身份验证屏幕的防键盘记录:

    当涉及多个商店时,可能会因策略不同而产生冲突。

  • 系统浏览器:

    在使用系统浏览器时,不支持用于身份验证屏幕的防键盘记录功能。

  • Web 界面身份验证屏幕:

    在 Web 界面身份验证屏幕上,不支持防屏幕截图和防键盘记录功能。

防屏幕截图

从版本 24.9.0 适用于 iOS 的 Citrix Workspace 应用程序开始,启用了以下功能:

适用于 Android 的 思杰工作区应用程序

先决条件

  • 思杰虚拟应用和桌面 版本 1912 LTSR 或更高版本。
  • StoreFront version 1912 LTSR or Workspace.
  • 适用于 Android 的 Citrix Workspace 应用程序版本 24.7.0 或更高版本。
  • 有效的应用程序保护许可证

配置说明

您可以配置以下各项的防屏幕截图功能:

使用 全局应用配置服务

您可以使用以下方式为身份验证屏幕配置防屏幕捕获功能:

  • 使用 UI
  • 使用 API

使用 UI:

Citrix Workspace 应用程序允许您使用全局应用程序配置服务 (GACS) 配置用于身份验证屏幕的应用程序保护功能。

如果您使用 GACS 启用防屏幕捕获功能,则这些功能适用于身份验证屏幕。

管理员可以使用 Workspace 配置用户界面来配置应用程序保护功能:

  1. 登录您的 Citrix Cloud 帐户并选择工作区配置

    工作区配置

  2. 选择应用程序配置 > 安全和身份验证 > 应用程序保护

    安全和身份验证

  3. 单击防屏幕捕获,然后选择 Android 操作系统。

  4. 点击“已启用”切换按钮,然后点击“发布草稿”。

  5. 在“发布设置”对话框中,点击“”。

    发布设置

使用 API:

管理员可以使用 API 配置应用程序保护功能。用于为适用于 Android 的 Citrix Workspace 应用程序启用或禁用防屏幕捕获的设置:

“name”: “enable anti screen capture for auth ” “value”: “true” or “false”
<!--NeedCopy-->

示例: 以下是用于在 GACS 中为 Citrix Workspace 应用程序启用防屏幕捕获功能的示例 JSON 文件:

{
          "category": "App Protection",
          "userOverride": false,
          "assignedTo": [
            "AllUsersNoAuthentication"
          ],
          "settings": [{
            "name": "Enable Anti Screen Capture For Auth",
            "value": "true"
          },
         ]
        }

<!--NeedCopy-->

使用统一端点管理解决方案

从适用于 Android 的 Citrix Workspace 应用程序 24.7.0 版本开始,管理员可以为身份验证屏幕启用应用程序保护功能。管理员可以使用基于 AppConfig 的键值对配置此功能。

  • 用于启用防屏幕捕获:

    • 键:enableAntiScreenCaptureForAuth
    • 值类型:布尔值
    • 值:
      • 如果设置为 true,则启用防屏幕捕获功能。
      • 如果设置为 false,则禁用防屏幕捕获功能。

推荐事项

应用程序保护策略主要侧重于增强端点的安全性和保护。请查看您环境中的所有其他安全建议和策略。对于风险承受能力较低的环境,您可以使用安全和控制策略模板来获取推荐配置。有关详细信息,请参阅策略模板

配置应用程序保护
May 20, 2026
投稿者: 
C C
May 20, 2026
投稿者: 
C C

在本文中

站点反馈 | Your privacy choices footer link您的隐私选择 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.