应用程序保护

应用程序保护是Citrix工作空间应用程序的附加功能，它在使用Citrix虚拟应用程序和桌面发布资源时提供增强的安全性。

两个策略为Citrix HDX会话提供了防键盘记录和防截屏功能。这些策略以及Windows的Citrix Workspace应用程序1912,Mac的Citrix Workspace应用程序2001或Linux的Citrix Workspace应用程序2108的最低限度可以帮助保护数据免受键盘记录程序和屏幕抓取程序的侵害。

当您启用反键盘记录功能时:

• 键盘记录程序可以看到加密的按键。
• 只有当受保护的窗口处于焦点中时，此功能才会激活。

启用时防截屏:

• 在Windows操作系统和macOS操作系统中，抓屏时，只有受保护窗口的内容是空白的。当受保护的窗口未最小化时，此功能将激活。在Linux操作系统上，整个捕获是空白的。无论受保护的窗口是否最小化，此功能都是活动的。
• 对于Windows OS和macOS，当受保护的窗口可见时(不是最小化)，此功能将激活。对于Linux操作系统，当受保护的窗口最小化或最大化时，该功能都是激活的。
• 在Windows操作系统下使用“打印屏幕”按钮截图时，数据不会被复制到剪贴板中。要使用“打印屏幕”按钮截图，请最小化所有受保护的应用程序。

您只能通过PowerShell配置策略。没有GUI管理功能。只有在启用或禁用特定交付组的功能时才需要此配置。

购买此功能后，请确保启用了App Protection license。

免责声明:

应用程序保护策略通过过滤对底层操作系统所需功能的访问(捕获屏幕或键盘按键所需的特定API调用)来工作。这样做意味着App Protection策略甚至可以针对定制和专门构建的黑客工具提供保护。但是，随着操作系统的发展，可能会出现捕捉屏幕和记录键的新方法。虽然我们继续识别和解决这些问题，但我们不能保证在特定的配置和部署中得到充分的保护。

Citrix App Protection策略对底层操作系统组件(包括ICA文件)有效。如果检测到对底层组件的故意篡改或修改，Citrix将无法提供支持，以提供所应用策略的完整性。

先决条件

已使用管理员权限安装Citrix Workspace应用程序。

限制

这些限制是故意存在的:

• 在HDX或RDP会话中没有反键盘记录支持。端点保护仍处于活动状态。此限制仅适用于双跳场景。
• 使用不受支持的Citrix Workspace应用程序或Citrix Receiver版本时，没有功能支持。在这种情况下，资源是隐藏的。
• 应用程序保护支持本地Citrix虚拟应用程序和桌面部署，以及具有StoreFront和Workspace的Citrix DaaS(以前称为Citrix虚拟应用程序和桌面服务)。这意味着在所有云环境、本地环境和混合环境中都支持App Protection。
• Citrix工作空间应用程序的应用程序保护附加功能可以防止外发屏幕共享。
• 应用程序保护可能会阻止与已启用优化的协作应用程序或功能共享屏幕。
• 具有应用程序保护策略的应用程序不会在连接租约中列举，因此当处于停机/脱机模式时，服务连续性不会在Citrix工作区应用程序中显示应用程序/桌面图标。
• 具有应用程序保护的Citrix Workspace应用程序可能与其他一些安全解决方案或使用类似底层技术的应用程序不兼容。

预期行为

预期的行为取决于您如何访问包含受保护资源的StoreFront存储。您可以使用受支持的本地Citrix Workspace应用程序客户端访问这些资源。

• StoreWeb上的行为-具有应用程序保护策略的应用程序不会在StoreFront web商店中枚举。
• 不支持的Citrix receiver或Citrix Workspace应用程序的行为—不列举具有应用保护策略的应用。
• 支持的Citrix工作空间应用程序版本的行为—受保护资源枚举并正常启动。

在下列情况下适用保护:

• 防截屏—对于Windows和Mac，如果屏幕上显示任何受保护的窗口，则启用该功能。要禁用保护，请最小化所有受保护的窗口。对于Linux，如果任何受保护的窗口处于活动状态，则启用该功能。要禁用保护，请关闭所有受保护的窗口。
• Anti-keylogging-当受保护的窗口处于焦点中时启用。若要禁用保护，请将焦点更改为另一个窗口。

检查是否安装了App Protection

用于Windows的Citrix工作区应用程序

从Citrix Workspace 2212版本开始，默认安装了app Protection。但是，组件可能处于活动状态或休眠状态，这取决于用户是否选择了安装后启动应用程序保护服务复选框。

应用程序保护可以在停止国家或地区运行状态。使用实例查询服务的当前状态。查询appprotectionsvc

应用程序保护保护什么?

要捕获任何非citrix Workspace应用程序窗口的屏幕截图，用户必须首先最小化受保护的窗口。对于Linux，用户必须关闭所有受保护的窗口。

应用程序保护保护以下Citrix窗口:

• Citrix登录窗口—Citrix Workspace认证对话框仅在Windows操作系统上受保护。对于Linux操作系统，必须在配置文件中配置“应用保护”特性AuthManConfig.xml文件，以便为身份验证管理器启用它。

• Citrix工作空间应用程序HDX会话窗口(例如，管理桌面)

• 自助服务(商店)窗口—Citrix Workspace自助服务窗口仅在windows操作系统下受保护。对于Linux操作系统，必须在配置文件中配置“应用保护”特性AuthManConfig.xml文件以启用自助服务窗口。

• Web和SaaS应用程序-在Windows和Mac上的Citrix工作区应用程序的Citrix企业浏览器中打开Web和SaaS应用程序。如果应用程序通过安全私有访问配置为具有应用程序保护策略，则应用程序保护以每个选项卡为基础。

  

应用程序保护增强:屏幕捕获检测和通知

从Windows 2212版本的Citrix Workspace应用程序开始，当对任何受保护的资源进行可能的屏幕捕获尝试时，您可以查看通知。

当出现以下情况时，将出现通知:

• 尝试通过截屏工具截图或录制视频。
• 尝试通过“打印屏幕”键截取屏幕截图。

注意:

• 该通知只在屏幕捕获工具的每个运行实例中出现一次。如果您重新启动工具并尝试屏幕捕获，则会再次出现通知。
• 在Windows 2212及更高版本的Citrix Workspace应用程序中，登录窗口和自助服务(Store)窗口默认不受保护。

增强应用程序保护:反dll注入

从Windows 2303版本的Citrix Workspace应用程序开始，我们有一个安全增强，有助于保护Citrix Workspace应用程序免受某些未经授权的动态链接库(DLL)或不受信任的模块的攻击。如果这些不受信任的模块被注入，Citrix Workspace应用会检测到这些干预，并阻止这些模块加载。

以下组件可以启用反dll注入功能:

• 思杰授权经理

  

• Citrix工作空间应用程序UI

  

  

• Citrix虚拟应用程序和桌面

  

用户体验

• 在启动时，Citrix Workspace应用程序会验证配置了反dll功能的组件。如果发现注入了恶意DLL，则会关闭受影响的组件，并收到以下警告消息:

  

• 当配置了反DLL的组件正在运行时，如果注入了恶意DLL，您将得到以下警告消息:

  

配置防dll注入特性

缺省情况下，禁用防dll注入功能。您可以通过全局应用配置服务或GPO (Group Policy Object)启用该特性。

通过GPO配置

增加以下策略配置防dll注入特性:

• Anti-DLL注入
• 反dll注入模块允许列表

Anti-DLL注入:

使用此策略可以启用或禁用防dll注入特性。不配置此策略时，将禁用防dll特性。可能的值是:

• 启用—为Citrix Auth Manager、Citrix Workspace app UI和Citrix Virtual Apps and desktop启用反dll注入功能。管理员可以选择需要的组件来启用防dll注入特性。
• 禁用—禁用Citrix Auth Manager、Citrix Workspace应用UI和Citrix Virtual Apps and desktop的反dll注入功能

启用策略。

1. 通过运行打开Citrix Workspace应用程序组策略对象管理模板gpedit.msc。

2. 下电脑配置Node，转到管理模板>Citrix组件>Citrix工作区>应用程序保护>Anti-DLL注入。

   

3. 单击Anti-DLL注射液N策略并将其设置为启用。选中所有组件。但是，您可以修改组件的选择选项部分。
4. 点击好吧。

反dll注入模块允许列表:

管理员可以使用此策略将任何DLL从防DLL注入特性中排除。Citrix建议您仅在处理任何异常情况时使用此策略。如果未配置此策略，则允许列表中没有DLL。所有的dll包括反dll保护。可能的值是:

• 启用-将在允许列表中添加的dll从防dll保护中排除。
• 禁用-清除添加到允许列表中的dll列表。

启用策略。

1. 通过运行打开Citrix Workspace应用程序组策略对象管理模板gpedit.msc。

2. 下电脑配置Node，转到管理模板>Citrix组件>Citrix工作区>应用程序保护>反dll模块允许列表。

   

3. 单击反dll模块允许列表策略并将其设置为启用。

4. 控件中添加要从反dll保护中排除的模块列表反dll注入模块允许列表字段。

   将DLL添加到允许列表的示例格式:

   [{"filePath":"C:\\Program Files (x86)\\trusted\\messagebox.dll"}， {"filePath":"%PROGRAMFILES%\\trusted\\logging.dll"}] 

5. 点击好吧。

使用全局应用配置服务

管理员可以通过App全局配置服务配置防dll注入特性。具体设置如下:

• anti- dll injection—添加需要启用anti- dll injection特性的模块

• anti- dll module allow list -添加需要排除在anti- dll保护之外的dll

有关更多信息，请参见全局应用配置服务。

要进行配置，这里有一个示例JSON文件用于启用Anti-DLL注入和反dll模块允许列表在全局应用程序配置服务中为Windows的Citrix Workspace应用程序:

{"serviceURL": {"url": "https://tuleshtest.cloudburrito.com:443"}， "settings": {"windows": [{"category": "App protection"， "userOverride": false， "assignedTo": ["AllUsersNoAuthentication"]， "assignmentPriority": 0， "settings": [{"name": "anti - dll injection"， "value": ["Citrix Auth Manager"， "Citrix Virtual Apps And台式机"，"Citrix Workspace App UI"]}， {"name": "anti - dll模块允许列表"，"value": [{"filePath":"C:\\Program Files (x86)\\Citrix\\ICA Client\\wfica32.exe"}， {"filePath": "C:\\Program Files (x86)\\Citrix\\ICA Client\\AuthManager\\AuthManSvr.exe"}]}]}}， "name": "name"， "description": "desc"， "useForAppConfig": true}} 

免责声明:

此功能通过过滤对底层操作系统所需功能的访问(加载dll所需的特定API调用)来实现。这样做意味着它甚至可以针对某些定制的和专门构建的黑客工具提供保护。但是，随着操作系统的发展，可能会出现加载dll的新方法。虽然我们继续识别和解决这些问题，但我们不能保证在特定的配置和部署中得到充分的保护。

App Protection不保护什么?

• 在导航栏的Citrix Workspace apps图标下有以下项目:

  • 联系中心
  • 高级偏好下的所有链接
  • 个性化
  • 检查更新
  • 签署了

• 如果你选择用防截屏保护虚拟桌面，用户仍然可以从虚拟桌面内的应用程序共享屏幕。然而，对于虚拟桌面之外的应用程序，你将无法截图或记录虚拟桌面。

系统需求

Citrix组件的最低版本

• Citrix Workspace应用2108 for Linux
• Citrix工作空间应用程序1912为Windows长期服务发布
• Citrix工作区应用程序2002为Windows
• Citrix工作区应用程序2001为Mac
• 店面1912
• 交付控制器1912
• 有效的Citrix许可证。欲了解更多信息，请联系您的思杰销售代表或思杰合作伙伴。

操作系统平台

应用程序保护策略运行时安装在您正在连接的端点上从而不是你正在连接的VDA来。因此，只有端点的操作系统版本是重要的。(App Protection可以连接到托管在任何支持的操作系统上的vdaCitrix虚拟应用程序和桌面系统要求。)

在运行以下操作系统的终端上支持应用程序保护功能:

• Windows 11
• Windows 10
• Windows 8.1
• macOS High Sierra(10.13)及更高版本
• 64位Ubuntu 18.04和Ubuntu 20.04
• 64位Debian 9和Debian 10
• 64位CentOS 7
• 64位RHEL 7
• ARMHF 32位树莓派操作系统(基于Debian 10 (buster))

注意:

对于应用程序保护，Linux的Citrix Workspace应用程序需要Gnome显示管理器以及支持的操作系统。

配置

按照以下步骤完全配置和启用应用程序保护功能:

1. 导入App Protection许可证†。
2. 配置Workspace应用。
3. 在交付控制器上启用应用保护策略†。

†在Citrix DaaS环境中，这些配置步骤略有不同。请参阅这些部分中的注释。

1.许可

注意:

在Citrix DaaS环境中，忽略此步骤，因为没有要安装的许可证。应用程序保护功能作为某些思杰云服务包的一部分，并直接在思杰云上提供许可。

应用程序保护要求您在Citrix许可证服务器上安装附加许可证。还必须提供Citrix Virtual Apps和台式机1912或更高版本的有效许可证。请联系Citrix销售代表购买App Protection附加许可。

1. 下载许可证文件并将其与现有的Citrix虚拟桌面许可证一起导入Citrix license Server。
2. 通过Citrix license管理器导入license文件(首选方式)或将license文件拷贝到C:\Program Files (x86)\Citrix\Licensing\MyFiles在License Server上重启Citrix Licensing服务。有关更多信息，请参见安装许可证。

2.Citrix Workspace应用程序

在Citrix Workspace应用中配置应用保护。

用于Windows的Citrix工作区应用程序

您可以使用以下方法将应用程序保护组件包含在Citrix Workspace应用程序中:

• 在Citrix Workspace应用程序安装期间。
• 在Citrix Workspace应用程序安装后使用命令行界面。

确保Citrix Workspace应用程序安装了/ includeappprotection开关启用。

有关更多信息，请参见应用程序保护。

Citrix工作区Mac应用程序

应用程序保护不需要在Mac版的Citrix Workspace应用程序上进行特定配置。

用于Linux的Citrix Workspace应用程序

当使用tarball、Debian和Red Hat RPM (Package Manager)包安装Linux版的Citrix Workspace应用程序时，支持App Protection功能。支持的体系结构是x64和ARMHF。

有关更多信息，请参见应用程序保护。

3.交付组

注意:

在Citrix DaaS环境中，使用Citrix虚拟应用程序和桌面远程PowerShell SDK在任何机器上(除了Citrix Cloud Connector机器)发出本节中的命令。

为应用保护交付组启用以下属性Citrix虚拟应用和桌面SDK在任何安装了交付控制器的机器上，或者在安装了FMA PowerShell管理单元的独立Studio的机器上。

• AppProtectionKeyLoggingRequired:真
• AppProtectionScreenCaptureRequired:真

您可以为每个Delivery Group单独启用这些策略。例如，只能为DG1配置键盘记录保护，只能为DG2配置截屏保护。您可以为DG3启用这两个策略。

例子

为名为。的交付组启用这两个策略DG3，在站点内任意一个Delivery Controller上运行如下命令:

Set-BrokerDesktopGroup -Name DG3 -AppProtectionKeyLoggingRequired $true - appprotectionscreencapturerrequired $true

要验证设置，运行以下命令:

getbrokerdesktopgroup -Property Name, appprotectionkeylogingrequired, appprotectionscreenapturerrequired

另外，启用XML信任:

Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true

确保StoreFront和Broker之间的网络安全。有关更多信息，请参阅知识中心的文章CTX236929和保护XenApp和XenDesktop XML服务。

建议

App Protection策略主要侧重于增强端点的安全性和保护。检查您的环境的所有其他安全建议和策略。你可以使用安全与控制风险容忍度低的环境中推荐配置的策略模板。有关更多信息，请参见策略模板。

上下文应用程序保护

上下文应用保护提供了粒度灵活性，可以根据用户、他们的设备和网络状态，为用户子集有条件地应用应用保护策略。有关更多信息，请参阅以下文章:

• StoreFront的上下文应用保护
• 工作区的上下文应用保护

混合发行的应用保护

Citrix Virtual Apps and台式机的混合启动是指用户通过浏览器登录Citrix Workspace应用程序(Citrix Workspace for Web)，并通过本地的Citrix Workspace应用程序使用这些应用程序。混合启动是指用户同时使用Citrix Workspace应用程序和本地的Citrix Workspace应用程序连接和使用资源的结果。App Protection支持在工作区和StoreFront中混合启动。有关更多信息，请参阅以下文章:

• 应用程序保护混合启动的工作空间。
• StoreFront混合发行的App Protection。

进行故障排除

应用程序未枚举或未启动:

• 确认受影响的用户正在使用受支持的Citrix Workspace应用程序版本。
• 确保交付组启用了适当的特性。

应用程序保护策略没有正确应用:

• 确保交付组启用了适当的特性。
• 确保在端点上安装了该特性。
• 确保受影响的用户正在使用受支持的Citrix Workspace应用程序版本。
• 确保Citrix Workspace应用安装时启用了/includeappprotection开关。

截图不工作在非思杰的窗口:

• 最小化或关闭受保护的Citrix窗口，包括Citrix Workspace应用程序。