PoC指南:应用保护策略

概述

本指南旨在引导您了解本地Citrix虚拟应用程序和桌面部署的应用程序保护策略的技术前提条件、用例和配置。应用程序保护是Citrix Workspace应用程序(CWA)的附加功能，可在使用Citrix虚拟应用程序和桌面发布资源时提供增强的安全性。在Citrix HDX会话中，有两个策略提供了防键盘记录和防屏幕捕捉功能。

系统需求

应用程序保护策略功能需要特定版本的Citrix Workspace应用程序，并支持Windows和macOS终端。需要特殊的附加组件许可证以及StoreFront和Delivery Controller服务器上的配置更改。有关系统需求的详细资料，请参阅产品文档．

思杰工作空间应用程序

最低版本:

• Citrix工作空间应用程序的Windows 1912 LTSR
• Citrix Mac 2001+的工作空间应用程序
• Citrix工作空间应用程序的Windows 2002+

支持的操作系统:

• Windows 7、8.1和10
• macOS 10.13 (High Sierra)及更新版本

不支持服务器操作系统(例如Windows Server 2019)。

注意:

在安装Citrix Workspace应用程序的地方(通常是端点)支持这些操作系统。VDA支持所有操作系统，包括服务器操作系统。

许可证

需要有效的Citrix许可证:

• Citrix虚拟应用程序和桌面
• 应用程序保护插件许可证

基础设施

服务器需要安装以下组件:

• 店面1912或更高
• 交付控制器1912或更高

安装-交付控制器

注意:

以下步骤仅适用于Citrix虚拟应用程序和桌面版本1912、2003和2006，应用程序保护功能将自动包含在更新的版本中。对于新版本，惟一需要的步骤是启用XML信任(第一步)。

1. 执行如下命令启用XML Trust:

   Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true

   

2. 购买应用程序保护功能后，请下载FeatureTable.OnPrem.AppProtection.xml从Citrix虚拟应用程序和桌面1912或更高版本的下载页面下载文件。

   注意:

   应用程序保护策略XML文件位于组件下

   

3. 点击下载文件并保存到本地磁盘

   

4. 在任何交付控制器上，启动PowerShell并使用cmdlet加载Citrix PowerShell管理单元

   Add-PSSnapin Citrix *

   

5. 在PowerShell中，导航到下载XML文件的文件夹

6. 使用如下命令开启App保护功能:

   Import-ConfigFeatureTable FeatureTable.OnPrem.AppProtection.xml

   

7. 使用以下命令验证应用程序保护已启用:

   getconfigenabledfeature | Select-String -Pattern "AppProtection"

   

安装-发牌

1. 下载许可证文件并将其与现有的Citrix虚拟桌面许可证一起导入到Citrix许可证服务器中
2. 使用Citrix Licensing Manager导入license文件。有关更多信息，请参见安装许可证

安装- Citrix工作区应用程序

1. 使用以下方法之一包含应用程序保护组件:

   Windows:在安装Citrix Workspace应用程序(适用于Windows)时，选择启用应用保护然后点击安装要继续安装或使用命令行开关CitrixWorkspaceApp.exe / includeappprotection．有关更多信息，请参见App保护部分Citrix Workspace应用程序用于Windows生产文档。

   

   macOS:应用程序保护不需要在Citrix Workspace for Mac上进行特定的安装或配置。

   注意:

   不可能向旧客户端添加App保护支持。卸载旧版本的Citrix Receiver / Citrix Workspace应用程序，并安装新版本的应用程序保护组件。

2. 点击完成

   

3. 点击是的重新启动计算机

   

配置—交付组

使用PowerShell在交付组级别上配置了防键盘记录和防屏幕捕获保护。每个交付组上有两个属性会影响应用程序保护策略的行为:

• AppProtectionKeyLoggingRequired-可以是真正的美元(使)或美元的假(禁用)
• AppProtectionScreenCaptureRequired-可以是真正的美元(使)或美元的假(禁用)

1. 在任何交付控制器上，启动PowerShell并使用cmdlet加载Citrix PowerShell管理单元

   Add-PSSnapin Citrix *

2. 启用应用程序保护管理桌面交付组，使用以下命令:

   Set-BrokerDesktopGroup -Name "Admin Desktop" -AppProtectionKeyLoggingRequired $True - appprotectionscreencapturerrequired $True

   

3. 执行以下PowerShell命令验证设置:

   Get-BrokerDesktopGroup -属性名，AppProtectionKeyLoggingRequired, appprotectionscreencapturerrequired | Format-Table -AutoSize

   

测试- Citrix Windows工作区应用程序

以下步骤仅提供反屏幕共享测试的指导。要测试防键盘记录保护，我们建议咨询您自己的安全团队。

1. 启动Citrix Workspace应用程序并登录

   

2. 单击受保护的虚拟应用程序或虚拟桌面(例如Admin desktop)并启动HDX会话。如果您没有看到受保护的资源，您可能正在使用web商店或不支持的Citrix Receiver / Citrix Workspace应用程序。

   

3. (可选)如果未安装应用程序保护，当您尝试启动受保护的虚拟应用程序或桌面时，会弹出以下窗口。点击是的

   

   注意:

   此选项不适用于旧版本的Citrix Receiver / Citrix Workspace应用程序

4. 尝试执行屏幕捕捉

   

5. 确认您看到一个空白屏幕(预期的行为)

   

当测试防键盘记录和防屏幕捕捉保护时，要注意预期的行为:

• Anti-keylogging—当受保护的窗口处于焦点中时，此特性才会激活
• 防屏幕抓取-当受保护的窗口可见时(不是最小化)，此功能将被激活

测试防截屏保护的另一个简单方法是使用一种流行的会议工具(GoToMeeting、Microsoft Teams、Zoom或Slack)。当启用保护时，屏幕共享不应该是可能的。

参考文献

产品文档- Citrix工作区应用程序

产品文档-应用程序保护