アプリ保護

アプリ保護は,Citrix工作区アプリのアドオン機能で,Citrix虚拟应用程序和桌面公開リソースの使用時にセキュリティを強化する機能です。

2つのポリシーはCitrix HDXセッションでキーロガー対策および画面キャプチャ対策機能を提供します。窗户向けCitrix工作区アプリ1912年以降またはMac向けCitrix工作区アプリ2001年以降のこれらのポリシーは,キーロガーやスクリーンスクレーパーからデータを保護するのに役立ちます。

キーロガー対策が有効な場合:

• キーロガーには暗号化されたキーストロークが表示されます。
• この機能は,保護ウィンドウにフォーカスがある場合にのみアクティブになります。

画面キャプチャ対策が有効な場合:

• キャプチャする画面は,Windows操作系统では空白の画面になります。macOSでは,保護されたウィンドウのコンテンツのみが空白になります。
• 保護されたウィンドウが表示されている(最小化されていない)場合,この機能がアクティブになります。

これらのポリシーはPowerShellのみで構成します。GUIの管理機能はありません。この設定が必要となるのは,特定のデリバリーグループの機能を有効または無効にする場合だけです。

この機能の購入後,アプリ保護ライセンスとアプリ保護ポリシーを有効にして,FeatureTable.OnPrem.AppProtection.xml機能テーブルをインポートしてください。

免責：

アプリ保護ポリシーはオペレーティングシステムの必要な機能へのアクセスをフィルタリングすることで有効になります(画面のキャプチャまたはキーボードの操作が必要な特定のAPI呼び出し)。つまり,このアプリ保護ポリシーは,カスタムの目的別に構築されたハッカーツールに対しても保護を提供できます。ただし,オペレーティングシステムの進化によって,画面のキャプチャやキーのログ記録には新しい方法が出てきます。引き続きこうした方法に対応していきますが,特定の構成や展開では完全な保護を保証することはできません。

制限事項

これらの制限は設計段階で存在します:

• HDXまたはRDPセッションでは,キーロガー対策はサポートされていません。エンドポイント保護は引き続きアクティブです。この制限は,ダブルホップシナリオにのみ適用されます。
• Citrix工作区アプリまたはCitrix接收机のサポートされていないバージョンを使用する場合,この機能はサポートされません。この場合,リソースは非表示になります。
• アプリ保護は,オンプレミスのCitrix虚拟应用程序和桌面展開および店面を使用したCitrix虚拟应用程序和桌面サービスでサポートされています。
• 店面网络ストアの機能サポートはありません。

正常な動作

正常な動作は,保護されたリソースが含まれる店面ストアにアクセスする方法によって異なります。リソースには,サポートされるネイティブのCitrix工作区アプリクライアントを使用してアクセスできます。

• StoreWebでの動作——アプリ保護ポリシーが有効なアプリケーションは店面网络ストアで列挙されません。
• サポートされていないCitrix接收机またはCitrix工作区アプリでの動作——アプリ保護ポリシーが有効なアプリケーションは列挙されません。
• サポートされているバージョンのCitrix工作区アプリでの動作——保護されたリソースが列挙され正常に起動します。

以下の条件下で保護が適用されます:

• スクリーンキャプチャ対策——保護されたウィンドウが画面に表示されている場合に有効になります。保護を無効にする場合は,すべての保護ウィンドウを最小化します。
• キーロガー対策——保護されたウィンドウにフォーカスがある場合に有効になります。保護を無効にする場合は,フォーカスを別のウィンドウに移動します。

アプリ保護によって保護される内容

Citrix工作区アプリ以外のウィンドウのスクリーンショットをキャプチャするには,最初に保護されたウィンドウを最小化する必要があります。

デフォルトでは,アプリ保護は次のCitrixのウィンドウを保護します:

• Citrixログオンウィンドウ——Citrix工作区の認証ダイアログボックスは,Windowsオペレーティングシステムでのみ保護されます。

• Citrix工作区アプリのHDXセッションウィンドウ(管理されたデスクトップの例)

• セルフサービスストアウィンドウ

アプリ保護によって保護されていない内容

ナビゲーションバーのCitrix工作区アプリアイコンの項目:

• コネクションセンター
• 高度な設定のすべてのリンク
• 個人設定
• 更新プログラムのチェック
• サインアウト

システム要件

Citrixコンポーネントの最小バージョン

• 窗户向けCitrix工作区アプリ1912長期サービスリリースのリリース
• 窗户向けCitrix工作区アプリ2002
• 麦克向けCitrix工作区アプリ2001
• 店面1912
• 1912年交付控制器
• 有効なCitrixライセンス
  • アプリ保護のアドオンライセンス
  • Citrix虚拟应用程序和桌面1912

オペレーティングシステムプラットフォーム

アプリ保護ポリシーランタイムは,接続元のエンドポイントにインストールされ,接続先のVDAにはインストールされません。そのため,重要になるのはエンドポイントのオペレーティングシステムのバージョンだけです。(アプリ保護は。”Citrix虚拟应用程序和桌面のシステム要件“記載のサポートされるオペレーティングシステム上にホストされているVDAに接続できます)。

アプリ保護機能は,次のオペレーティングシステムを実行しているエンドポイントでサポートされます:

• Windows 10
• Windows 8.1
• Windows 7
• macOS高塞拉(10.13)以降

構成

アプリ保護を購入後,完全に構成して機能を有効にするには,次の手順を実行します:

1. アプリ保護ライセンスをインポートします。
2. 工作区アプリを構成します。
3. FeatureTable.OnPrem.AppProtection.xml機能テーブルをインポートします。
4. 交付控制器でアプリ保護ポリシーを有効にします。

1.ライセンス

アプリ保護を利用するには,Citrixライセンスサーバーにアドオンライセンスをインストールする必要があります。Citrix虚拟桌面1912年以降のバージョンのライセンスが必要です。アプリ保護アドオンライセンスを購入する場合は,シトリックスの営業担当者にお問い合わせください。

1. ライセンスファイルをダウンロードして,既存のCitrix虚拟桌面ライセンスとともにCitrixライセンスサーバーにインポートします。
2. Citrix授权经理を使用してライセンスファイルをインポートするか(優先される方法),またはライセンスサーバーのライセンスファイルをC:\Program Files (x86)\Citrix\Licensing\MyFilesにコピーしてCitrix许可サービスを再起動します。詳しくは。”ライセンスのインストール“を参照してください。

2.Citrix工作区アプリ

Citrix工作区アプリでアプリ保護を構成します。

窗户向けCitrix工作区アプリ:

以下の方法で,Citrix工作区アプリにアプリ保護コンポーネントを追加できます:

• Citrix工作区アプリのインストール時。
• Citrix工作区アプリインストール後にコマンドラインインターフェイスを使用。

Citrix工作区アプリのインストール時に/ includeappprotectionスイッチを有効にしたことを確認します。

詳しくは。”アプリ保護“を参照してください。

麦克向けCitrix工作区アプリ:

麦克向けCitrix工作区アプリでは,別途アプリ保護を構成する必要はありません。

3.機能テーブルファイル

この機能の購入後,アプリ保護ライセンスとアプリ保護ポリシーを有効にして,FeatureTable.OnPrem.AppProtection.xml機能テーブルをインポートしてください。

Citrix虚拟应用程序和桌面1912年以降のダウンロードページの组件セクションには必要なXMLファイルが含まれています。ファイルをダウンロードするにはCitrixアカウントが必要です。

デフォルトでは,アプリ保護は無効になっています。この機能を有効にするには,Import-ConfigFeatureTableコマンドレットを使用してアプリ保護が有効になっているFeatureTable.OnPrem.AppProtection.xml機能テーブルをインポートします。このコマンドレットをサイト全体で一度実行します。詳しくは。”Import-Configfeaturetable“を参照してください。

Import-ConfigFeatureTable \ FeatureTable.OnPrem.AppProtection.xml路径

インストール済みの任意の交付控制器マシンで,またはFMA PowerShellスナップインとともにスタンドアロンの工作室がインストールされたマシンでこのコマンドレットを実行できます。

アプリ保護が有効になっていることを確認するには,Get-ConfigEnabledFeature | Select-String -Pattern ' AppProtection 'を実行します。

4.デリバリーグループ

インストール済みの任意の交付控制器マシンで,またはFMA PowerShellスナップインとともにスタンドアロンの工作室がインストールされたマシンでPowerShell SDKを使用して,アプリ保護デリバリーグループの次のプロパティを有効にします。

• AppProtectionKeyLoggingRequired:真
• AppProtectionScreenCaptureRequired:真

いずれかのポリシーを各デリバリーグループで個別に有効にできます。たとえば,DG1でのみキーロガーからの保護を構成でき,DG2でのみ画面キャプチャからの保護を構成できます。DG3で両方のポリシーを有効にできます。

例：

DG3という名前のデリバリーグループで両方のポリシーを有効にするには,サイトの交付控制器で次のコマンドを実行します:

Set-BrokerDesktopGroup -Name DG3 -AppProtectionKeyLoggingRequired $true -AppProtectionScreenCaptureRequired $true

この設定を検証するには,次のコマンドレットを実行します:

Get-BrokerDesktopGroup -Property Name, AppProtectionKeyLoggingRequired, AppProtectionScreenCaptureRequired | Format-Table -AutoSize . Get-BrokerDesktopGroup -Property Name, AppProtectionKeyLoggingRequired, AppProtectionScreenCaptureRequired | Format-Table -AutoSize

さらに,XML信頼を有効にします:

Set-BrokerSite -TrustRequestsSentToTheXmlServicePort真正的美元

店面と代理の間のネットワークを確実に保護してください。の詳しくは、知识中心CTX236929および”XenAppおよびXenDesktop XML服务の保護“を参照してください。

推奨

アプリ保護ポリシーは,主にエンドポイントのセキュリティと保護を強化することに重点を置いています。環境に関するその他のセキュリティ推奨事項とポリシーをすべて確認します。セキュリティと制御のポリシーテンプレートは,許容率が低い環境での推奨構成に使用できます。詳しくは。”ポリシーテンプレート“を参照してください。

トラブルシューティング

アプリケーションが列挙されていないか起動していません:

• 影響を受けるユーザーがCitrix工作区アプリのサポートされているバージョンを使用していることを確認します。
• 店面サーバーでこの機能が有効になっていることを確認します。
• デリバリーグループの適切な機能が有効になっていることを確認します。

アプリ保護ポリシーが適切に適用されていません:

• 店面で機能が有効になっていることを確認します。
• デリバリーグループの適切な機能が有効になっていることを確認します。
• この機能がエンドポイントにインストールされていることを確認します。
• 影響を受けるユーザーがCitrix工作区アプリのサポートされているバージョンを使用していることを確認します。
• Citrix工作区アプリのインストール時に/ includeappprotectionスイッチを有効にしたことを確認します。

Citrixウィンドウ以外でスクリーンショットが機能していません:

• 保護されているCitrixウィンドウ(Citrix工作区アプリを含む)を最小化するか閉じます。