PoC指南:应用保护策略
概述
本指南旨在引导您了解本地Citrix虚拟应用程序和桌面部署的应用程序保护策略的技术前提条件、用例和配置。应用程序保护是Citrix Workspace应用程序(CWA)的附加功能,可在使用Citrix虚拟应用程序和桌面发布资源时提供增强的安全性。在Citrix HDX会话中,有两个策略提供了防键盘记录和防屏幕捕捉功能。
系统需求
应用程序保护策略功能需要特定版本的Citrix Workspace应用程序,并支持Windows和macOS终端。需要特殊的附加组件许可证以及StoreFront和Delivery Controller服务器上的配置更改。有关系统需求的详细资料,请参阅产品文档.
思杰工作空间应用程序
最低版本:
- Citrix工作空间应用程序的Windows 1912 LTSR
- Citrix Mac 2001+的工作空间应用程序
- Citrix工作空间应用程序的Windows 2002+
支持的操作系统:
- Windows 7、8.1和10
- macOS 10.13 (High Sierra)及更新版本
不支持服务器操作系统(例如Windows Server 2019)。
注意:
在安装Citrix Workspace应用程序的地方(通常是端点)支持这些操作系统。VDA支持所有操作系统,包括服务器操作系统。
许可证
需要有效的Citrix许可证:
- Citrix虚拟应用程序和桌面
- 应用程序保护插件许可证
基础设施
服务器需要安装以下组件:
- 店面1912或更高
- 交付控制器1912或更高
安装-交付控制器
注意:
以下步骤仅适用于Citrix虚拟应用程序和桌面版本1912、2003和2006,应用程序保护功能将自动包含在更新的版本中。对于新版本,惟一需要的步骤是启用XML信任(第一步)。
执行如下命令启用XML Trust:
Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true
购买应用程序保护功能后,请下载
FeatureTable.OnPrem.AppProtection.xml
从Citrix虚拟应用程序和桌面1912或更高版本的下载页面下载文件。注意:
应用程序保护策略XML文件位于组件下
点击下载文件并保存到本地磁盘
在任何交付控制器上,启动PowerShell并使用cmdlet加载Citrix PowerShell管理单元
Add-PSSnapin Citrix *
- 在PowerShell中,导航到下载XML文件的文件夹
使用如下命令开启App保护功能:
Import-ConfigFeatureTable FeatureTable.OnPrem.AppProtection.xml
使用以下命令验证应用程序保护已启用:
getconfigenabledfeature | Select-String -Pattern "AppProtection"
安装-发牌
- 下载许可证文件并将其与现有的Citrix虚拟桌面许可证一起导入到Citrix许可证服务器中
- 使用Citrix Licensing Manager导入license文件。有关更多信息,请参见安装许可证
安装- Citrix工作区应用程序
使用以下方法之一包含应用程序保护组件:
Windows:在安装Citrix Workspace应用程序(适用于Windows)时,选择启用应用保护然后点击安装要继续安装或使用命令行开关
CitrixWorkspaceApp.exe / includeappprotection
.有关更多信息,请参见App保护部分Citrix Workspace应用程序用于Windows生产文档。macOS:应用程序保护不需要在Citrix Workspace for Mac上进行特定的安装或配置。
注意:
不可能向旧客户端添加App保护支持。卸载旧版本的Citrix Receiver / Citrix Workspace应用程序,并安装新版本的应用程序保护组件。
点击完成
点击是的重新启动计算机
配置—交付组
使用PowerShell在交付组级别上配置了防键盘记录和防屏幕捕获保护。每个交付组上有两个属性会影响应用程序保护策略的行为:
AppProtectionKeyLoggingRequired
-可以是真正的美元
(使)或美元的假
(禁用)AppProtectionScreenCaptureRequired
-可以是真正的美元
(使)或美元的假
(禁用)
在任何交付控制器上,启动PowerShell并使用cmdlet加载Citrix PowerShell管理单元
Add-PSSnapin Citrix *
启用应用程序保护
管理桌面
交付组,使用以下命令:Set-BrokerDesktopGroup -Name "Admin Desktop" -AppProtectionKeyLoggingRequired $True - appprotectionscreencapturerrequired $True
执行以下PowerShell命令验证设置:
Get-BrokerDesktopGroup -属性名,AppProtectionKeyLoggingRequired, appprotectionscreencapturerrequired | Format-Table -AutoSize
测试- Citrix Windows工作区应用程序
以下步骤仅提供反屏幕共享测试的指导。要测试防键盘记录保护,我们建议咨询您自己的安全团队。
启动Citrix Workspace应用程序并登录
单击受保护的虚拟应用程序或虚拟桌面(例如Admin desktop)并启动HDX会话。如果您没有看到受保护的资源,您可能正在使用web商店或不支持的Citrix Receiver / Citrix Workspace应用程序。
(可选)如果未安装应用程序保护,当您尝试启动受保护的虚拟应用程序或桌面时,会弹出以下窗口。点击是的
注意:
此选项不适用于旧版本的Citrix Receiver / Citrix Workspace应用程序
尝试执行屏幕捕捉
确认您看到一个空白屏幕(预期的行为)
当测试防键盘记录和防屏幕捕捉保护时,要注意预期的行为:
- Anti-keylogging—当受保护的窗口处于焦点中时,此特性才会激活
- 防屏幕抓取-当受保护的窗口可见时(不是最小化),此功能将被激活
测试防截屏保护的另一个简单方法是使用一种流行的会议工具(GoToMeeting、Microsoft Teams、Zoom或Slack)。当启用保护时,屏幕共享不应该是可能的。