应用程序保护

应用程序保护是Citrix Workspace应用程序的附加功能，在使用Citrix虚拟应用程序和桌面发布资源时提供了增强的安全性。

两种策略为Citrix HDX会话提供了防键盘记录和防屏幕捕获功能。这些策略以及至少适用于Windows的Citrix Workspace app 1912、适用于Mac的Citrix Workspace app 2001或适用于Linux的Citrix Workspace app 2108都有助于保护数据不受键盘记录器和屏幕刮取器的影响。

启用时的防密钥记录：

• 键盘记录器可以看到加密的击键。
• 只有当受保护的窗口处于焦点中时，此功能才会被激活。

启用时的反屏幕捕获：

• 屏幕捕获是Windows操作系统和Linux操作系统上的一个空白屏幕。在macOS上，只有受保护窗口的内容为空。
• 对于Windows OS和macOS，当受保护的窗口可见（未最小化）时，此功能处于活动状态。对于Linux操作系统，该功能在最小化或最大化受保护窗口时都处于活动状态。

您只能通过PowerShell配置策略。没有GUI管理功能。仅当启用或禁用特定传递组的功能时，才需要此配置。

购买本特性后，请确保您启用了应用程序保护许可证。

免责声明：

应用保护策略通过过滤访问底层操作系统所需功能(捕捉屏幕或键盘按键所需的特定API调用)来工作。这样做意味着应用程序保护策略可以提供保护，甚至针对定制和专门构建的黑客工具。然而，随着操作系统的发展，捕获屏幕和记录键的新方法可能会出现。在我们继续识别和解决它们的同时，我们不能保证在特定配置和部署中得到充分保护。

Citrix应用程序保护策略可以有效地与底层操作系统组件(包括ICA文件)一起工作。如果检测到有意篡改或修改底层组件以提供应用策略的完整性，Citrix将无法提供支持。

限制

这些限制存在于设计中:

• HDX或RDP会话内不支持反密钥记录。端点保护仍处于活动状态。此限制仅适用于双跳方案。
• 使用不受支持版本的Citrix Workspace应用程序或Citrix Receiver时，不支持任何功能。在这种情况下，资源是隐藏的。
• 应用程序保护支持本地Citrix虚拟应用程序和桌面部署和Citrix虚拟应用程序和桌面服务与StoreFront。
• 不支持StoreFront网络商店的特性。
• Citrix Workspace应用程序保护附加功能可以防止屏幕共享。
• 应用程序保护可能会阻止与协作应用程序或启用了优化功能的功能共享屏幕。
• 具有应用程序保护策略的应用程序没有被列举在连接租约中，因此在中断/脱机模式下，“服务连续性”在Citrix Workspace应用程序中不会显示应用程序/桌面图标。

预期行为

预期的行为取决于您如何访问包含受保护资源的StoreFront存储。您可以使用受支持的本地Citrix工作区应用程序客户端访问资源。

• StoreWeb上的行为-具有应用程序保护策略的应用程序不会在店面web应用商店上枚举。
• 不受支持的Citrix接收器或Citrix Workspace应用程序上的行为—不列举具有应用保护策略的应用。
• 受支持的Citrix Workspace应用程序版本上的行为—受保护资源枚举并正常启动。

在以下条件下应用保护：

• 反屏幕截图–对于Windows和Mac，如果任何受保护的窗口在屏幕上可见，则启用该选项。要禁用保护，请最小化所有受保护的窗口。对于Linux，如果任何受保护的窗口处于活动状态，则会启用该选项。要禁用保护，请关闭所有受保护的窗口。
• 防密钥记录–如果受保护的窗口处于焦点位置，则启用。要禁用保护，请将焦点更改为另一个窗口。

应用程序保护保护什么?

要捕获任何非Citrix Workspace应用程序窗口的屏幕截图，用户必须首先最小化受保护的窗口。对于Linux，用户必须关闭所有受保护的窗口。

默认情况下，应用程序保护保护以下Citrix窗口：

• Citrix登录窗口- Citrix Workspace身份验证对话框仅在Windows操作系统上受到保护。对于Linux，您必须配置应用程序保护功能AuthManConfig.xml文件，以便为身份验证管理器启用它。

• Citrix Workspace app HDX会话窗口（例如，托管桌面）

• 自助服务（商店）窗口-Citrix Workspace自助服务窗口仅在windows操作系统上受保护。对于Linux，必须在中配置应用程序保护功能AuthManConfig.xml文件，以便为自助服务窗口启用它。

应用程序保护保护不了什么?

导航栏中Citrix Workspace apps图标下的项目：

• 联系中心
• 所有高级选项下的链接
• 个性化
• 检查更新
• 签署了

系统要求

Citrix组件的最低版本

• Citrix Workspace app 2108 for Linux
• Citrix Workspace app 1912 for Windows长期服务版本
• 适用于Windows的Citrix Workspace app 2002
• Citrix Workspace app 2001 for Mac
• 店面1912
• 传送控制器1912
• 有效的Citrix许可证
  • 应用程序保护附加许可证
  • 适用于Citrix Virtual App和Desktops 1912或更高版本的许可证

操作系统平台

应用保护策略运行时安装在连接的端点上从…起而不是在你连接的VDA上到．因此，只有操作系统版本的端点是重要的。(应用程序保护可以连接到VDAs托管在任何支持的操作系统中描述Citrix虚拟应用程序和桌面系统要求.）

运行以下操作系统的终端支持应用程序保护特性:

• Windows 10
• Windows 8.1
• 视窗7
• macOS High Sierra（10.13）及以上
• 64位Ubuntu 18.04+
• 64位Debian 9+
• 64位CentOS7.5+
• 64位RHEL7.5+
• ARMHF 32位Raspbian 10（Buster）+

注:

为了保护应用程序，Citrix Workspace应用程序需要Gnome Display Manager以及支持的操作系统。

配置

按照以下步骤完全配置并启用应用程序保护功能：

1. 导入应用程序保护许可†。
2. 配置工作区应用程序。
3. 在Delivery Controllers†上启用应用程序保护策略。

†在Citrix虚拟应用和桌面服务环境中，这些配置步骤略有不同。请参阅这些部分的注释。

1.许可

注:

在Citrix虚拟应用程序和桌面服务环境中忽略这一步，因为没有安装许可。该应用程序保护功能是某些Citrix Cloud服务包的一部分，并直接在Citrix Cloud上提供许可。

应用程序保护要求您在Citrix许可证服务器上安装附加许可证。还必须提供适用于Citrix Virtual App和台式机1912或更高版本的许可证。请联系Citrix销售代表购买应用程序保护附加许可证。

1. 下载许可证文件并将其与现有Citrix虚拟桌面许可证一起导入Citrix许可证服务器。
2. 使用Citrix Licensing Manager导入许可证文件（首选方法）或将许可证文件复制到C:\Program Files (x86)\Citrix\Licensing\MyFiles并重新启动Citrix授权服务。有关详细信息，请参阅安装许可证．

2. Citrix Workspace应用程序

在Citrix Workspace应用程序上配置应用程序保护。

Citrix工作区应用程序

您可以使用以下方法将应用程序保护组件包括在Citrix Workspace应用程序中：

• 在Citrix Workspace应用程序安装期间。
• 在安装Citrix Workspace应用程序后使用命令行界面。

确保Citrix工作区应用程序已安装/ includeappprotection开关启用。

有关更多信息，请参见应用程序保护．

Citrix Workspace app for Mac

应用程序保护不需要在Citrix Workspace Mac应用程序上进行特定配置。

适用于Linux的Citrix Workspace应用程序

当使用tarball、Debian和Red Hat Package Manager（RPM）软件包安装Citrix Workspace App for Linux时，支持应用程序保护。支持的体系结构是x64和ARMHF。

有关更多信息，请参见应用程序保护．

3.交付组

注:

在Citrix虚拟应用程序和桌面服务环境中，使用cmdletCitrix虚拟应用和桌面远程PowerShell SDK在任何机器(Citrix Cloud Connector机器除外)上发出本节中的命令。

使用为应用程序保护传递组启用以下属性Citrix虚拟应用和桌面SDK在任何已安装的Delivery Controller机器上，或安装有FMA PowerShell管理单元的独立Studio机器上。

• AppProtectionKeyLoggingRequired:True
• AppProtectionScreenCaptureRequired:真

您可以在每个交付组中分别启用这些策略。例如，您可以仅为DG1配置密钥记录保护，而仅为DG2配置屏幕捕获保护。您可以为DG3启用这两个策略。

例子

为命名的传送组启用两个策略DG3，在任意一个下发控制器上执行如下命令:

设置BrokerDesktopGroup-名称DG3-AppProtectionKeyLoggingRequired$true-AppProtectionScreenCaptureRequired$true

要验证设置，请运行此cmdlet：

Get BrokerDesktopGroup-属性名称，AppProtectionKeyLoggingRequired，AppProtectionScreenCaptureRequired |格式表-自动调整大小

此外，启用XML信任：

Set-BrokerSite -TrustRequestsSentToTheXmlServicePort真正的美元

确保确保StoreFront和Broker之间的网络安全。有关更多信息，请参阅知识中心的文章CTX236929和确保XenApp和XenDesktop XML服务安全．

建议

应用保护政策主要侧重于增强终端的安全性和保护。检查您的环境的所有其他安全建议和策略。你可以用安全和控制在风险容忍度低的环境中推荐配置的策略模板。有关更多信息，请参见政策模板．

故障排除

应用程序未枚举或未启动：

• 确认受影响用户正在使用受支持版本的Citrix Workspace应用程序。
• 确保交付组已启用适当的功能。

应用保护策略没有正确应用:

• 确保交付组已启用适当的功能。
• 确保该功能已安装在端点上。
• 确保受影响的用户正在使用受支持的Citrix Workspace应用程序版本。
• 确保安装Citrix Workspace应用程序时启用了/includeappprotection开关。

屏幕截图不适用于非Citrix窗口：

• 最小化或关闭受保护的Citrix窗口，包括Citrix Workspace应用程序。