PoC ガイド:アプリ保護ポリシー
概要
このガイドでは、オンプレミスのCitrix Virtual Apps and Desktops展開におけるアプリケーション保護ポリシーの技術的な前提条件、ユースケース、および構成について説明します。アプリ保護は、Citrix Workspaceアプリ(CWA)のアドオン機能で、Citrix Virtual Apps and Desktops の公開リソースを使用するときに強化されたセキュリティを提供します。Citrix HDXセッションでは、キーログ対策とアンチスクリーンキャプチャ機能を提供する2つのポリシーがあります。
システム要件
アプリ保護ポリシー機能には、特定のバージョンのCitrix Workspace アプリが必要で、さまざまなエンドポイントをサポートします。StoreFront およびDelivery Controller サーバーでの構成変更とともに、特別なアドオンライセンスが必要です。最新の要件については、製品ドキュメントのシステム要件を参照してください。
現在サポートされているCitrix Workspaceアプリとエンドポイントオペレーティングシステムのリストについては、「システム要件」を参照してください。さらに、Citrix Readyyは、パートナーによってサポートされているサードパーティのエンドポイントを提供します。
ライセンス
有効なCitrixライセンスが必要です。
- Citrix Virtual Apps and Desktops
- アプリ保護のアドオンライセンス
- Citrix DaaSの場合、アプリケーション保護機能は特定のCitrix Cloudサービスパッケージの一部として含まれており、ライセンスはCitrix Cloudで直接提供されます。
オンプレミスのCitrix Virtual Apps and Desktopsインフラストラクチャ
以下のサーバーコンポーネントは、オンプレミス展開にのみ必要です。Citrix DaaS 展開の場合は、「ワークスペースのインストール」セクションに進んでください。
- StoreFront 1912以上
- Delivery Controller 1912 以上
インストール-Delivery Controller
注:
次の手順は、Citrix Virtual Apps and Desktopsのバージョン 1912、2003、および2006年でのみ必要です。アプリ保護機能は、新しいリリースに自動的に含まれています。新しいリリースで必要な手順は、XML 信頼を有効にすることです (最初のステップ)。
次のコマンドを実行して、XML 信頼を有効にします。
Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true
アプリ保護機能を購入したら、Citrix Virtual Apps and Desktops 1912以降のダウンロードページから
FeatureTable.OnPrem.AppProtection.xmlファイルをダウンロードします。注:
アプリケーション保護ポリシー XML ファイルは、[コンポーネント] の下にあります
[ファイルのダウンロード] をクリックし、ローカルディスクに保存します
任意のDelivery Controller で PowerShell を起動し、コマンドレットを使用してCitrix PowerShellスナップインを読み込む
Add-PSSnapin Citrix*
- PowerShell で、XML ファイルがダウンロードされたフォルダーに移動します。
次のコマンドを使用して、アプリ保護機能を有効にします。
Import-ConfigFeatureTable FeatureTable.OnPrem.AppProtection.xml
次のコマンドで App Protection が有効になっていることを確認します。
Get-ConfigEnabledFeature | Select-String –Pattern "AppProtection"
インストール-ライセンス
- ライセンスファイルをダウンロードし,既存のCitrix虚拟桌面ライセンスとともにCitrixライセンスサーバーにインポートします
- Citrix Licensing Managerを使用してライセンスファイルをインポートします。詳細については、「ライセンスをインストールする」を参照してください。
インストール-Citrix Workspace アプリ
次のいずれかの方法を使用して、アプリ保護コンポーネントを含めます。
Windowsの場合:Citrix Workspaceアプリのインストール中(Windowsの場合)、[アプリ保護を有効にする]を選択し、[インストール]をクリックしてインストールを続行するか、コマンドラインスイッチ
CitrixWorkspaceApp.exe /includeappprotectionを使用します。詳しくは、Windows向けCitrix Workspaceアプリの実稼働ドキュメントの「アプリ保護」セクションを参照してください。
macOSの場合:アプリケーション保護では、Mac用のCitrixWorkspaceに特定のインストールや構成は必要ありません。
注:
古いクライアントに App 保護のサポートを追加することはできません。Citrix Receiver/Citrix Workspaceアプリの古いバージョンをアンインストールし、アプリ保護コンポーネントで新しいバージョンをインストールします。
[完了] をクリックします
[はい] をクリックしてコンピュータを再起動します
構成-デリバリーグループ
アンチキーログおよびアンチスクリーンキャプチャ保護は、PowerShellを使用してデリバリーグループレベルで構成します。アプリ保護ポリシーの動作に影響する各デリバリーグループには、次の 2 つのプロパティがあります。
AppProtectionKeyLoggingRequired-$True(有効)または$False(無効)AppProtectionScreenCaptureRequired-$True(有効)または$False(無効)
任意のDelivery Controller で PowerShell を起動し、コマンドレットを使用してCitrix PowerShellスナップインを読み込む
Add-PSSnapin Citrix*Admin Desktopデリバリーグループのアプリ保護を有効にするには、次のコマンドを使用します。Set-BrokerDesktopGroup -Name "Admin Desktop" -AppProtectionKeyLoggingRequired $True -AppProtectionScreenCaptureRequired $True
次の PowerShell コマンドを実行して、設定を検証します。
Get-BrokerDesktopGroup -Property Name, AppProtectionKeyLoggingRequired, AppProtectionScreenCaptureRequired | Format-Table -AutoSize
テスト-Windows用Citrix Workspace アプリ
以下の手順では、アンチスクリーン共有テストのみのガイダンスを提供します。アンチキーログ保護をテストするには、各社のセキュリティチームに相談することをお勧めします。
Citrix Workspaceアプリを起動してログインする
保護された仮想アプリまたは仮想デスクトップ(Admin Desktop など)をクリックし、HDXセッションを起動します。保護されたリソースが表示されない場合は、Webストアを使用しているか、サポートされていないCitrix Receiver/Citrix Workspaceアプリを使用している可能性があります。
(オプション)App Protection がインストールされていない場合、保護された仮想アプリまたはデスクトップを起動しようとすると、次のポップアップが表示されます。[はい] をクリックします
注:
このオプションは、古いバージョンのCitrix Receiver/Citrix Workspaceアプリでは使用できません
画面キャプチャを実行してみる
空白の画面が表示されることを確認します (予想される動作)
アンチキーロギングとアンチスクリーンキャプチャ保護をテストする場合は、予想される動作に注意してください。
- アンチキーロギング-この機能は、保護されたウィンドウがフォーカスされている場合にのみアクティブになります
- アンチスクリーンキャプチャ-この機能は、保護されたウィンドウが表示されている (最小化されていない) ときにアクティブになります
アンチスクリーンキャプチャ保護をテストするもう 1 つの簡単な方法は、人気のある会議ツール (GoToMeeting、Microsoft Teams、ズーム、Slack) の 1 つを使用することです。保護が有効な場合、画面共有はできません。