App Protection 功能
本文重点介绍了适用于 Windows 的 Citrix Workspace 应用程序、适用于 Linux 的 Citrix Workspace 应用程序和适用于 Mac 的 Citrix Workspace 应用程序支持的 App Protection 功能。
反键盘记录
适用于适用于 Windows、Linux 和 Mac 的 Citrix Workspace 应用程序
通过加密,App Protection 功能的的反键盘记录功能会对用户在物理键盘和屏幕键盘上键入的文本进行加密。 在任何键盘记录工具可以从内核或操作系统级别访问文本之前,反键盘记录功能都会对文本进行加密。 安装在客户端端点上从操作系统或驱动程序中读取数据的键盘记录器将捕获哈希文本,而非用户正在键入的按键。 App Protection 策略不仅对已发布的应用程序和桌面有效,对 Citrix Workspace 身份验证对话框也是如此。 从用户打开第一个身份验证对话框的那一刻起,您的 Citrix Workspace 就会受到保护。 App Protection 会扰乱按键,将无法理解的文本返回给按键记录器。
管理员可以选择为以下类型的资源启用反键盘记录:
- Virtual Apps and Desktops
- 内部 Web 和 SaaS 应用程序
- 身份验证屏幕
- 自助服务插件 (SSP) 屏幕
面向适用于 iOS 的 Citrix Workspace 应用程序
此功能可防止应用程序级别的键盘记录尝试,确保输入到受保护的应用程序中的敏感信息保持安全。 此功能允许您仅使用 Apple 提供的默认键盘,确保无法捕获输入到受保护的应用程序中的按键。 App Protection 可防止将自定义键盘用作反键盘记录功能的一部分。 如果您启用了自定义键盘,则可以将其禁用,然后继续使用使用 App Protection 的反键盘记录功能启用的资源。
管理员可以选择为以下对象启用反键盘记录和防屏幕捕获:
- Virtual Apps and Desktops
- 通过 WebView 打开的 Web 和 SaaS 应用程序
- 身份验证屏幕
有关配置 App Protection 功能的详细信息,请参阅配置 App Protection。
自适用于 iOS 的 Citrix Workspace 应用程序 24.9.0 版本起,防屏幕捕获功能可用。 但是,要启用该功能,请执行配置部分中提及的配置步骤。
在适用于 Android 的 Citrix Workspace 应用程序中打开带有反键盘记录功能的应用程序时的行为
适用于 Android 的 Citrix Workspace 应用程序尚不支持 App Protection 的反键盘记录功能。 如果您尝试打开启用了反键盘记录的应用程序,该应用程序将无法打开,您会收到以下错误消息:
Launch of this resource is disabled by your administrator for security reasons(出于安全原因,您的管理员禁用了此资源的启动)
防屏幕捕获
适用于适用于 Windows、Linux 和 Mac 的 Citrix Workspace 应用程序
防屏幕捕获可防止应用程序尝试在虚拟应用程序或桌面会话中截取屏幕截图或录制屏幕。 屏幕捕获软件无法检测捕获区域内的内容。 应用程序选择的区域显示为灰色,或者应用程序除了要复制的屏幕部分外,不捕获任何对象。 防屏幕捕获功能适用于 Windows 上的 snip and sketch、Snipping Tool 和 Shift+Ctrl+Print Screen。
防屏幕捕获的另一个用例是防止在 GoToMeeting、Microsoft Teams 或 Zoom 等虚拟会议或网络会议应用程序中共享敏感数据。 当应用程序受到保护时,App Protection 功能会在 Web 会议中返回空白屏幕,从而防止意外共享。 此功能可确保敏感数据不会意外从组织泄露。 此功能有助于遵守受监管行业的合规性,因为在披露数据泄露时不考虑意图。
管理员可以选择为以下类型的资源启用防屏幕捕获:
- Virtual Apps and Desktops
- 内部 Web 和 SaaS 应用程序
- 身份验证屏幕
- 自助服务插件 (SSP) 屏幕
注意:
如果您启动了两个虚拟桌面,其中一个虚拟桌面启用了防屏幕捕获功能,而另一个虚拟桌面未启用防屏幕捕获功能,防屏幕捕获功能将同时应用到这两个虚拟桌面。 您无法截取任何一个虚拟桌面的屏幕截图。
如果您已最小化启用了防屏幕捕获的虚拟桌面,则防屏幕捕获功能仍然应用于没有防屏幕捕获功能的虚拟桌面。
屏幕截图检测和通知
对于适用于 Windows 的 Citrix Workspace 应用程序而言,当有人可能尝试对任何受保护的资源进行屏幕捕获时,您可以查看通知。 有关受 App Protection 保护的资源的信息,请参阅 App Protection 保护什么?
出现以下情况时会显示通知:
- 尝试通过屏幕捕获工具截取屏幕截图或录制视频。
- 尝试通过 Print Screen 键截取屏幕截图。
注意:
- 屏幕捕获工具的每个运行实例仅显示一次。 如果您重新启动该工具并尝试捕获屏幕,则会再次显示通知。
- 在适用于 Windows 的 Citrix Workspace 应用程序 2212 及更高版本中,默认情况下,登录窗口和自助服务(应用商店)窗口不受保护。
面向适用于 iOS 的 Citrix Workspace 应用程序
自 24.9.0 版本起,适用于 iOS 的 Citrix Workspace 应用程序支持 App Protection 功能。
App Protection 是 Citrix Workspace 应用程序的一项功能,可在使用 Citrix Virtual Apps and Desktops 的已发布资源时提供增强的安全性。 此功能限制了客户端被键盘记录和屏幕捕获恶意软件入侵的能力。 App Protection 可防止屏幕上显示的用户凭据和敏感信息等机密信息泄露。 该功能可防止用户和攻击者截取屏幕截图以及使用键盘记录器收集和利用敏感信息。
要启用该功能,请执行配置部分中提及的配置步骤。
适用于适用于 Android 的 Citrix Workspace 应用程序
此功能限制了客户端受屏幕捕获恶意软件影响的能力。 此外,还可以防止未经授权的屏幕截图、录制、镜像、屏幕共享和应用程序切换。
防屏幕捕获功能可用于身份验证流程、Web 或 SaaS 应用程序以及 Citrix Virtual Apps and Desktops。 适用于 Android 的 Citrix Workspace 应用程序不允许您创建屏幕截图。 当您尝试捕获屏幕时,系统会提示您不允许创建屏幕截图。
管理员可以选择为以下对象启用防屏幕捕获:
- Virtual Apps and Desktops
- Web 和 SaaS 应用程序
- 身份验证屏幕
自适用于 Android 的 Citrix Workspace 应用程序 24.7.0 版本起,防屏幕捕获功能默认可用。 但是,要启用该功能,请执行配置部分中提及的配置步骤。
限制:
-
将为每个应用商店下载 App Protection 策略。 如果一个应用商店下载了这些策略,而您要转移到另一个未下载这些策略的应用商店,新应用商店中的防屏幕捕获功能将不受保护。
-
使用 ChromeCustomTab 时,身份验证屏幕不支持防屏幕捕获功能。 但是,使用本机身份验证或 WebView 时支持此功能。 云应用商店默认启用 ChromeCustomTab,您可以通过使用 PowerShell 模块将 AndroidWebViewType 更改为 webview 来将其更改为 WebView。 有关详细信息,请参阅 Set-WorkspaceCustomConfigurations。
反 DLL 注入
反 DLL 注入安全增强功能有助于保护 Citrix Workspace 应用程序免受某些未经授权的动态链接库 (DLL) 或不可信模块的侵害。 如果注入了此类不可信模块,Citrix Workspace 应用程序会检测到这些干预措施并停止加载这些模块。 此外,如果在会话启动之前检测到任何不受信任或恶意的 DLL,App Protection 会阻止会话启动并显示错误消息。 关闭错误消息将退出虚拟应用程序和桌面会话。
此功能适用于所有受保护的虚拟应用程序和桌面以及 Citrix Workspace 应用程序身份验证窗口(本地部署/StoreFront)。
当受保护的组件上存在某些不可信或恶意 DLL 时,此增强功能将立即退出会话。
当不可信或恶意 DLL 被阻止时,此增强功能将显示通知。 关闭消息将退出虚拟应用程序和桌面会话。
免责声明: 此功能通过筛选对底层操作系统所需功能(加载 DLL 所需的特定 API 调用)的访问来发挥作用。 这样做意味着它甚至可以提供保护,使其免受某些自定义和专门构建的黑客工具的侵害。 但是,随着操作系统的发展,加载 DLL 的新方法可能会出现。 虽然我们会继续识别和解决这些问题,但我们无法保证在特定配置和部署中提供充足的保护。
此功能支持适用于 Windows 的 Citrix Workspace 应用程序版本 2206 及更高版本。
注意:
以前,Citrix 身份验证和 Citrix Workspace 应用程序屏幕默认强制执行防屏幕捕获和反键盘记录功能。 但是,自 2212 起,这些功能默认处于禁用状态,需要使用组策略对象进行配置。 有关 GPO 配置的信息,请参阅 App Protection 配置的增强功能。
与 Microsoft Teams 的 HDX 优化的兼容性
仅当在 Desktop Viewer 模式下为 Citrix Workspace 应用程序启用了 App Protection 时,优化的 Microsoft Teams 才支持屏幕共享。 当您在 Microsoft Teams 中单击共享内容时,屏幕选取器会提供以下选项:
- 用于共享任何打开的应用程序的窗口选项 - 仅当 VDA 版本为 2109 或更高版本时才会显示此选项。
- 用于共享您的 VDA 桌面上的内容的桌面选项 - 此选项仅对 Citrix Workspace 应用程序的以下版本显示:
- 适用于 Linux 的 Citrix Workspace 应用程序 2311 或更高版本
- 适用于 Mac 的 Citrix Workspace 应用程序 2308 或更高版本
- 适用于 Windows 的 Citrix Workspace 应用程序 2309 或更高版本
注意:
对于适用于 Linux 的 Citrix Workspace 应用程序,“桌面共享”选项默认处于禁用状态。 要将其启用,请在您的 config.json 文件中添加
UseGbufferScreenSharing参数,如下所示:mkdir -p /var/.config/citrix/hdx_rtc_engine vim /var/.config/citrix/hdx_rtc_engine/config.json { "UseGbufferScreenSharing":1 } <!--NeedCopy-->
启用了 App Protection 的优化的 Microsoft Teams 还支持 Citrix 虚拟显示器布局,这允许您分别共享每个虚拟显示器。
限制:
- 优化后的启用了 App Protection 的 Microsoft Teams 不支持在启用了本地应用程序访问 (LAA) 的已发布桌面上共享屏幕。
- 无法捕获或共享客户端呈现的内容,例如使用 BCR 的浏览器内容。 如果您尝试截屏,屏幕会显示为黑屏。
注意:
对于适用于 Linux 的 Citrix Workspace 应用程序,此功能为技术预览版。
本地 App Protection(预览版)
App Protection 提供增强的安全性,保护客户免受键盘记录器以及意外和恶意屏幕截图的侵害。 目前,App Protection 功能仅针对 Workspace 资源提供。 借助此功能,App Protection 功能可以扩展到端点上的本地应用程序。 自适用于 Windows 的 Citrix Workspace 应用程序 2210 起,App Protection 可以应用到 Windows 设备上的本地应用程序。
使用 Podio 表单注册获取此功能的预览版。
策略篡改检测
如果 App Protection 的防屏幕捕获和反键盘记录策略被篡改,策略篡改检测功能可防止用户访问虚拟应用程序或桌面会话。 如果检测到策略篡改,虚拟应用程序或桌面会话将终止。
注意:
策略篡改检测功能在将来的版本中默认处于启用状态。
要配置策略篡改检测,请参阅配置策略篡改检测。
状态检查
要检测和阻止启动不支持策略篡改检测功能的 Citrix Workspace 应用程序版本中启用了 App Protection 策略的虚拟应用程序和桌面,请启用 App Protection 状态检查。
注意:
如果启用了状态检查,并且您使用的是不支持状态检查的 Citrix Workspace 应用程序版本,启用了 App Protection 策略的会话将终止。
要配置状态检查,请参阅配置状态检查。
限制:
将 Microsoft Azure 上托管的 Windows 工作站 VDA 与 VDA 2308 结合使用时,状态检查会间歇性地停止工作。 此限制已在 VDA 版本 2311 及更高版本中得到解决。
对双跃点场景的 App Protection 支持
自适用于 Windows 的 Citrix Workspace 应用程序 2405 版本起,在单会话 VDA 的工作站 VDA(例如 Windows 10 或 Windows 11)上安装 App Protection 时,双跃点场景支持该功能。
双跃点表示在 Citrix Virtual Desktops 会话中运行 Citrix Virtual Apps 或 Citrix Virtual Desktops 会话的情景。 有关详细信息,请参阅 Citrix Virtual Apps and Desktops 中的双跃点。
下图描述了双跃点场景:
使用双跃点的 App Protection 意味着在从第一个跃点打开的虚拟应用程序和桌面上启用 App Protection 策略。
启用了 App Protection 功能以及从中打开受保护的虚拟应用程序或桌面的第一个跃点可以是多会话操作系统 VDA 或单会话操作系统 VDA。
下面是多会话操作系统 VDA 和单会话 VDA 中使用双跃点的 App Protection 的预期行为:
多会话操作系统 VDA 中的 App Protection
多会话操作系统 VDA(例如 Windows Server 2k19 或 Windows Server 2k22)不支持 App Protection。 因此,不应将 App Protection 安装在此类计算机上。
可以在多会话操作系统中安装未启用 App Protection 的 Citrix Workspace 应用程序。 但是,启用了 App Protection 策略的资源无法枚举,也无法在多会话操作系统 VDA 中打开。
单会话操作系统 VDA 中的 App Protection
在适用于 Windows 的 Citrix Workspace 应用程序 2405 版本中,安装在工作站 VDA(例如 Windows 10 或 Windows 11)上时支持 App Protection 功能。
当前支持以下功能:
支持什么场景
在第一个跃点的虚拟桌面会话中打开启用了防屏幕捕获和反键盘记录的第二个跃点的虚拟应用程序或桌面时,它将受到保护,免受在第一个跃点的虚拟桌面会话中运行的屏幕捕获和键盘记录工具的侵害。
不支持什么场景
-
如果第一个跃点虚拟桌面未启用 App Protection 策略,则即使第二个跃点启用了 App Protection 策略,安装在客户端端点上的屏幕截图和键盘记录工具也可以捕获屏幕或击键。
-
如果最终用户使用 RDP 会话访问第一个跃点的计算机,则不支持面向第二个跃点的 App Protection。
默认情况下,此功能处于启用状态;因此无需单独配置。 管理员需要为资源配置 App Protection 策略。
端到端保护建议
为了获得端到端保护,建议在每个跃点(第一个和第二个)上启用 App Protection 策略。 这样,在客户端或第一个跃点上运行的键盘记录和屏幕捕获工具无法捕获第二个跃点会话的敏感内容。
阻止双跃点启动
使用 2405 版本之前的适用于 Windows 的 Citrix Workspace 应用程序时,在双跃点场景中不支持 App Protection 功能。 允许您在双跃点场景中打开启用了 App Protection 策略的虚拟应用程序、桌面、Web 应用程序或 SaaS 应用程序。 但是,App Protection 功能并未应用。
在双跃点场景中,您可以阻止打开启用了 App Protection 功能的虚拟应用程序、桌面、Web 应用程序或 SaaS 应用程序。
有关启用“Block Double-hop Launch”(阻止双跃点启动)设置的详细信息,请参阅启用“阻止双跃点启动”设置。
适用于 App Protection 的 Citrix Analytics Service
当您使用 Citrix Virtual Apps and Desktops 时,会生成与其活动和操作相对应的用户事件。 Citrix Analytics for Security 具有一项名为自助搜索的功能,该功能将记录这些用户事件并为您提供有关这些事件的见解。 通过自助搜索,您可以查找、筛选和浏览这些用户事件,以便您能够了解完成了哪些用户事件并根据事件的严重性执行操作。 有关自助搜索的详细信息,请参阅自助搜索。
自助搜索应用程序和桌面的事件类型为 AppProtection.ScreenCapture,它允许您确定是否有人尝试对启用了 App Protection 策略的虚拟应用程序或桌面的屏幕截图。 有关如何搜索用户事件的详细信息,请参阅指定搜索查询以筛选事件。
此服务提供以下信息:
- 设备 ID
- 受保护的应用程序标题
- 操作系统的额外信息
- 屏幕截图工具名称
- 屏幕截图工具路径
屏幕捕获允许列表
如果 Citrix Workspace 应用程序、Virtual Apps and Desktops 或 SaaS 应用程序启用了 App Protection 防屏幕捕获策略,您将无法使用任何屏幕捕获工具捕获其屏幕。
但是,从适用于 Windows 的 Citrix Workspace 应用程序 2402 版本起,“屏幕捕获允许列表”功能允许您向屏幕捕获允许列表中添加应用程序。 通过此功能,您可以使用允许列出的应用程序并捕获通过 App Protection 防屏幕捕获策略启用的资源的屏幕。 要将应用程序添加到屏幕捕获允许列表中,请参阅配置屏幕捕获允许列表。
重要
建议不要在设备上长时间运行列出的允许运行的应用程序,因为这会降低安全状况。 在故障排除等场景中,可以使用列出的允许运行的应用程序临时共享您的屏幕。 建议遵守以下条件:
- 在短时间内运行列出的允许运行的应用程序以及启用了 App Protection 防屏幕捕获功能的资源。
- 完成所需任务后,请立即终止列出的允许运行的应用程序。
- 请在共享屏幕时添加水印,同时使用启用了 App Protection 防屏幕捕获功能的资源,以提高安全性。
进程排除列表
当您在设备上启动任何进程或应用程序时,如果启用了 App Protection,App Protection DLL 会注入到每个进程中。 有时,由于 DLL 的兼容性问题,这可能会导致进程或应用程序无法运行。
自适用于 Windows 的 Citrix Workspace 应用程序 2402 版本起,您可以将任何进程添加到进程排除列表中,以避免将 App Protection DLL 注入到该特定进程中,并从 App Protection DLL 的存在导致的任何兼容性问题中恢复。 要配置进程排除列表,请参阅配置进程排除列表。
重要
不建议排除进程,因为这会降低安全状况。 可以用它来暂时解除对应用程序的使用限制,并提出支持票据以供进一步调查。
USB 过滤器驱动程序排除列表
有时,当您在 Citrix Workspace 应用程序中使用游戏键盘等专用外部键盘时,App Protection USB 过滤器驱动程序可能会导致出现兼容性问题并阻止您使用该键盘。
自适用于 Windows 的 Citrix Workspace 应用程序 2402 版本起,USB 过滤器驱动程序排除列表功能允许您使用设备供应商 ID 和产品 ID 排除与 Citrix Workspace 应用程序存在兼容性问题的任何 USB 设备。 要将任何设备添加到 USB 过滤器驱动程序排除列表中,请参阅配置 USB 过滤器驱动程序排除列表。
注意:
不建议永久排除设备。 使用此功能可以暂时解除对用户使用设备的限制,并提出支持票据以进一步调查兼容性问题。
对适用于 Linux 的 Citrix Workspace 应用程序使用 LD_PRELOAD 功能的应用程序的允许列表
如果其他使用 LD_PRELOAD 的应用程序正在运行,App Protection 会阻止受保护会话的启动。 要允许使用合法应用程序,可以在管理员批准的情况下配置允许列表功能。 此功能仅面向适用于 Linux 的 Citrix Workspace 应用程序。
要启用该功能,请执行配置允许列表 LD_PRELOAD 部分中提及的配置步骤。