PoC指南:应用程序保护策略
概述
本指南旨在指导您完成本地 Citrix Virtual Apps and Desktops 部署的应用程序保护策略的技术必备条件、使用案例和配置。应用程序保护是 Citrix Workspace 应用程序 (CWA) 的附加功能,可在使用 Citrix Virtual Apps and Desktops 发布的资源时提供增强的安全两项策略在 Citrix HDX 会话中提供了反键盘记录和防屏幕捕获功能。
系统要求
应用程序保护策略功能需要特定版本的 Citrix Workspace 应用程序,并支持各种端点。StoreFront 和 Delivery Controller 服务器上需要特殊的附加许可证以及配置更改。有关最新要求,请参阅产品文档中的系统要求。
有关支持的 Citrix Workspace 应用程序和端点操作系统的当前列表,请参阅系统要求。此外,Citrix Ready还提供我们的合作伙伴支持的第三方终端节点。
许可证
需要有效的 Citrix 许可证:
- Citrix Virtual Apps and Desktops
- 应用程序保护附加许可证
- 对于 Citrix DaaS,应用程序保护功能包含在某些 Citrix Cloud 服务包中,许可证直接在 Citrix Cloud 上提供。
本地 Citrix Virtual Apps and Desktops 基础架构
仅本地部署需要以下服务器组件。对于 Citrix DaaS 部署,请跳至Workspace 安装部分。
- StoreFront 1912 或更高版本
- Delivery Controller 1912 或更高版本
安装-Delivery Controller
注意:
仅 Citrix Virtual Apps and Desktops 版本 1912、2003 和 2006 需要以下步骤,应用程序保护功能将自动包含在较新版本中。对于较新版本,只需启用 XML 信任(第一步)。
通过运行以下命令启用 XML 信任:
Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true
购买应用程序保护功能后,请从 Citrix Virtual Apps and Desktops 1912 或更高版本的下载页面下载
FeatureTable.OnPrem.AppProtection.xml文件。注意:
应用程序保护策略 XML 文件位于组件下
点击下载文件并将其保存到本地磁盘
在任何 Delivery Controller 上,启动 PowerShell 并使用 cmdlet 加载 Citrix PowerShell 管理单元
Add-PSSnapin Citrix*
- 在 PowerShell 中,导航到已下载 XML 文件的文件夹
使用以下命令启用应用程序保护功能:
Import-ConfigFeatureTable FeatureTable.OnPrem.AppProtection.xml
使用以下命令验证应用程序保护是否已启用:
Get-ConfigEnabledFeature | Select-String –Pattern "AppProtection"
安装-许可
- 下载许可证文件并将其与现有 Citrix Virtual Desktops 许可证一起导入 Citrix 许可证服务器
- 使用 Citrix Licensing Manager 导入许可证文件。有关更多信息,请参阅安装许可证
安装-Citrix Workspace 应用
使用以下方法之一包含应用程序保护组件:
对于 Windows:在 Citrix Workspace 应用程序安装期间(适用于 Windows),选择 **启用应用程序保护,然后单击安装以继续安装或使用命令行开关
CitrixWorkspaceApp.exe /includeappprotection。**有关更多信息,请参阅适用于 Windows 的 Citrix Workspace 应用程序生产文档中的应用程序保护部分。
对于 macOS:应用程序保护不需要在 Mac 的 Citrix Workspace 上进行特定的安装或配置。
注意:
无法向较旧的客户端添加应用程序保护支持。卸载旧版本的 Citrix Receiver /Citrix Workspace 应用程序,然后使用应用保护组件安装新
点击完成
单击是重新启动计算机
配置-交付组
使用 PowerShell 在交付组级别配置反键盘记录和防屏幕捕获保护。每个交付组上有两个属性会影响应用程序保护策略的行为:
AppProtectionKeyLoggingRequired-可以是$True(启用)或$False(禁用)AppProtectionScreenCaptureRequired-可以是$True(启用)或$False(禁用)
在任何 Delivery Controller 上,启动 PowerShell 并使用 cmdlet 加载 Citrix PowerShell 管理单元
Add-PSSnapin Citrix*要为
Admin Desktop交付组启用应用程序保护,请使用以下命令:Set-BrokerDesktopGroup -Name "Admin Desktop" -AppProtectionKeyLoggingRequired $True -AppProtectionScreenCaptureRequired $True
通过运行以下 PowerShell 命令验证设置:
Get-BrokerDesktopGroup -Property Name, AppProtectionKeyLoggingRequired, AppProtectionScreenCaptureRequired | Format-Table -AutoSize
测试-适用于 Windows 的 Citrix Workspace
以下步骤仅提供反屏幕共享测试的指导。要测试反键盘记录保护,我们建议您咨询自己的安全团队。
启动 Citrix Workspace 应用并登录
单击受保护的虚拟应用程序或虚拟桌面(例如 Admin Desktop),然后启动 HDX 会话。如果看不到受保护的资源,则可能正在使用网络应用商店或不受支持的 Citrix Receiver /Citrix Workspace 应用
(可选)如果未安装应用程序保护,则在尝试启动受保护的虚拟应用程序或桌面时,会显示以下弹出窗口。点击“是”
注意:
此选项不适用于旧版本的 Citrix Receiver /Citrix Workspace 应用程序
尝试执行屏幕截图
确认您看到空白屏幕(预期行为)
测试反键盘记录和防屏幕捕获保护时,请注意预期的行为:
- 反键盘记录-仅当受保护的窗口处于焦点时,此功能才处于活动状态
- 防屏幕捕获-当受保护窗口可见(未最小化)时,此功能处于活动状态
测试防屏幕捕获保护的另一种简单方法是使用其中一种常用的会议工具(GoToMETing、Microsoft Teams、Zoom 或 Slack)。启用保护后,屏幕共享应该无法实现。