配置防键盘记录和防屏幕截图
您可以配置防键盘记录和防屏幕截图用于以下各项:
配置用于身份验证和自助服务插件的防键盘记录和防屏幕截图
您可以使用以下方法配置用于身份验证和自助服务插件的防键盘记录和防屏幕截图:
| 配置所使用的方法 | 适用于 Windows 的 思杰工作区™ 应用程序 | 适用于 Mac 的 思杰工作区应用程序 | 适用于 Linux 的思杰工作区应用程序 | 适用于 iOS 的思杰工作区应用程序 | 适用于安卓的 Citrix Workspace 应用程序 |
|---|---|---|---|---|---|
| 使用组策略对象 | 是 | 否 | 否 | 否 | 否 |
| 使用全局应用配置服务 | 是 | 是 | 否 | 是 | 是 |
| 使用 AuthManConfig.xml 文件进行相关配置操作 | 否 | 否 | 是 | 否 | 否 |
使用组策略对象
- 通过运行
gpedit.msc打开 Citrix Workspace 应用程序组策略对象管理模板。 - 在“计算机配置”节点下,转到“管理模板”>“Citrix 组件”>“Citrix Workspace”。
- 根据您是为身份验证管理器还是自助服务插件配置应用程序保护,请使用以下步骤之一:
-
身份验证管理器
要为身份验证管理器配置防键盘记录和防屏幕捕获,请选择“用户身份验证”>“管理应用程序保护”策略。
-
自助服务插件界面
要为自助服务插件界面配置防键盘记录和防屏幕捕获,请选择“自助服务”>“管理应用程序保护”策略。
-
- 选择以下一个或两个选项:
- 防键盘记录:防止键盘记录器捕获击键。
- 防屏幕捕获:防止用户截取屏幕截图和共享其屏幕。
- 单击“应用”和“确定”。
预期行为:
预期行为取决于您访问包含受保护资源的 StoreFront 的方法。
使用全局应用配置服务 UI
从适用于 Windows 2302 或适用于 Windows 2301 版本的 Citrix Workspace 应用程序开始,Citrix Workspace 应用程序允许您使用全局应用配置服务 (GACS) 为身份验证屏幕和自助服务插件配置应用程序保护。
如果您使用 GACS 启用防键盘记录和防屏幕捕获功能,则这些功能适用于身份验证屏幕和自助服务插件屏幕。
注意:
- 使用 GACS 为身份验证和自助服务插件配置防键盘记录或防屏幕捕获功能适用于适用于 Windows 的 Citrix Workspace 应用程序和适用于 Mac 的 Citrix Workspace 应用程序。它不适用于适用于 Linux 的 Citrix Workspace 应用程序。
- GACS 配置不适用于虚拟应用程序和桌面以及 Web 和 SaaS 应用程序。这些资源将继续使用 Delivery Controller 和 Citrix Secure Private Access 进行控制。
- 从适用于 Mac 2311 版本的 Citrix Workspace 应用程序开始,您可以使用全局应用配置服务 UI 为云商店和本地环境配置身份验证和自助服务插件的应用程序保护。但是,如果您使用的是早于 2311 版本的适用于 Mac 的 Citrix Workspace 应用程序,则只能为云商店配置它。
管理员可以使用 Workspace 配置 UI 配置应用程序保护:
-
登录您的 Citrix Cloud 帐户,然后选择工作区配置。
-
选择应用配置 > 安全和身份验证 > 应用保护。
-
单击 防屏幕捕获,然后选择相关的操作系统(Windows 或 Mac)。
-
单击启用切换按钮,然后单击发布草稿。
-
点击 防键盘记录,然后选择相应的操作系统(Windows 或 Mac)。
-
点击 启用 切换按钮,然后点击 发布草稿。
启用防屏幕捕获和防键盘记录(/zh-cn/citrix-workspace-app/media/gacs-anti-keylogging.png)
-
在 发布设置 对话框中,点击 是。
发布设置(/zh-cn/citrix-workspace-app/media/gacs-publish-drafts.png)
使用全局应用配置服务 API
管理员可以使用 API 配置这些应用保护功能。设置如下:
-
启用或禁用防屏幕捕获的设置:
“name”: “为身份验证和自助服务插件启用屏幕捕获保护” “value”: “true” 或 “false”
-
启用或禁用防键盘记录的设置:
“name”: “为身份验证和自助服务插件启用键盘记录保护” “value”: “true” 或 “false”
示例: 以下是一个示例 JSON 文件,用于在 GACS 中为 Citrix Workspace 应用程序启用防屏幕捕获和防键盘记录功能:
{
"category": "App Protection",
"userOverride": true,
"assignedTo": [
"AllUsersNoAuthentication"
],
"settings": [
{
"name": "enable anti screen capture for auth and ssp",
"value": true
},
{
"name": "enable anti key-logging for auth and ssp",
"value": true
}
]}
使用 AuthManConfig.xml 文件作为身份验证管理器
导航到 $ICAROOT/config/AuthManConfig.xml 并按如下方式编辑文件:
/opt/Citrix/ICAClient/config$ cat AuthManConfig.xml | grep -i authmananti -A 1
<key>AuthManAntiScreenCaptureEnabled</key>
<value>true</value>
<key>AuthManAntiKeyLoggingEnabled</key>
<value>true </value>
<!--NeedCopy-->
将 AuthManConfig.xml 用于自助服务插件界面
导航到 $ICAROOT/config/AuthManConfig.xml 并按如下方式编辑文件:
/opt/Citrix/ICAClient/config$ cat AuthManConfig.xml | grep -i protection -A 4
<!-- Selfservice App Protection configuration -->
<Selfservice>
<AntiScreenCaptureEnabled>true</AntiScreenCaptureEnabled>
<AntiKeyLoggingEnabled>true</AntiKeyLoggingEnabled>
</Selfservice>
<!--NeedCopy-->
配置适用于 Virtual Apps and Desktops 的防键盘记录和防屏幕截图功能
两个策略在会话中提供防键盘记录和防屏幕截图功能。您可以按如下方式配置适用于 Virtual Apps and Desktops 的防键盘记录和防屏幕截图功能:
注意:
从 2103 版本开始,Citrix DaaS 能够通过 StoreFront 和 Workspace 提供对应用程序保护功能的支持。
使用 Web Studio 界面进行配置
要通过 Web Studio 为 Citrix Virtual Apps™ 或 Desktops 配置防键盘记录和防屏幕截图功能,请执行以下步骤:
-
应用程序保护需要 XML 信任。要启用 XML 信任,请执行以下步骤:
-
登录您的 Citrix DaaS™ 帐户,然后转到 管理 > 设置 > 启用 XML 信任。
-
打开启用 XML 信任开关。
-
-
要为交付组选择应用程序保护方法,请执行以下步骤:
-
在 Citrix DaaS 中,转到 管理 > 交付组。
-
选择一个交付组,然后在操作栏中单击编辑。
-
单击应用程序保护,然后选择防键盘记录和防屏幕捕获复选框。
通过 Web Studio 启用防键盘记录和防屏幕捕获(/zh-cn/citrix-workspace-app/media/app-protection-studio.png)
-
单击保存。
-
Using PowerShell
注意:
In a Citrix DaaS environment, use the cmdlets in the Citrix Virtual Apps and Desktops Remote PowerShell SDK on any machine (apart from Citrix Cloud Connector machines) to issue the commands in this section.
针对应用程序保护交付组,使用 Citrix Virtual Apps and Desktops SDK 在任何已安装的交付控制器计算机上或在安装了 FMA PowerShell 管理单元的独立 Studio 计算机上启用以下属性。
-
AppProtectionKeyLoggingRequired:True -
AppProtectionScreenCaptureRequired:True
您可以为每个交付组单独启用这些策略。例如,您可以仅为 DG1 配置键盘记录保护,仅为 DG2 配置屏幕捕获保护。您可以为 DG3 启用这两种策略。
示例:
要为名为 DG3 的交付组启用这两种策略,请在该站点中的任何 Delivery Controller™ 上运行以下命令:
Set-BrokerDesktopGroup -Name DG3 -AppProtectionKeyLoggingRequired $true -AppProtectionScreenCaptureRequired $true
要验证设置,请运行此 cmdlet:
Get-BrokerDesktopGroup -Property Name, AppProtectionKeyLoggingRequired, AppProtectionScreenCaptureRequired | Format-Table -AutoSize
另外,启用 XML 信任:
Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true
确保 StoreFront 和 Broker 之间的网络安全。有关详细信息,请参阅知识中心文章 CTX236929 和 保护 XenApp 和 XenDesktop XML 服务。
为 Web 和 SaaS 应用程序配置防键盘记录和防屏幕截图
Web 应用程序和 SaaS 应用程序会在适用于 Windows 的 Citrix Workspace 应用程序和适用于 Mac 的 Citrix Workspace 应用程序的 Citrix Enterprise Browser 中打开。如果应用程序通过 Citrix Secure Private Access 配置了应用程序保护策略,则应用程序保护功能将按选项卡应用。
使用以下方法为 Web 和 SaaS 应用程序配置应用程序保护:
- 要为 Workspace 配置 Web 和 SaaS 应用程序的应用程序保护,请参阅 适用于 Citrix Workspace 的 Citrix 安全私有访问。
- 要为 StoreFront 配置 Web 和 SaaS 应用程序的应用程序保护,请参阅 适用于 StoreFront 的 Citrix 安全私有访问支持。