本次介绍名为App Protection的功能,该功能在Citrix Virtual Apps and Desktops 1912 LTSR版本中引入,仅在2020年3月24日Workspace应用程序发布时才普遍可用。在这里,您还将找到详细的分步配置说明

什么是应用保护,其用途是什么?
从技术角度来看,应用程序保护是Windows和Mac版Workspace App中集成的组件。应用保护旨在防止键盘记录器恶意记录击键,同时又使屏幕记录(合法或非法)变得不可能。
完成所有配置步骤后,将激活以下两个功能:
防键盘记录 -加密输入的登录信息(用户名/密码)以及其他键盘条目。按键记录器软件将仅记录不可用的加密信息。防键盘记录仅与活动的工作空间窗口结合使用。
反屏幕捕获 (Screen Capture Prevention)-可以在Citrix会话中将任何类型的屏幕记录(屏幕截图或屏幕记录)显示为灰色。
在此视频中,您可以看到两个功能的作用:Citrix的App Protection
提及的所有功能均已集成到1912版的Workspace应用程序中。在BYOD方案中,应用程序保护的使用特别有趣。
Citrix提出的应用程序保护技术与英国公司SentryBay的Citrix Armored Client产品非常相似。
应用保护-体系结构的组件
Citrix 应用保护
适用于Windows的Workspace应用程序1912
应用保护扩展
1、Citrix.StoreFront.AppProtectionPolicy.Control
2、App Protection附加许可证
3、FeatureTable.OnPrem.AppProtection.xml文件
4、Set-BrokerDesktopGroup:
AppProtectionKeyLoggingRequired,
AppProtectionScreenCaptureRequired
5、Citrix策略:客户端剪贴板重定向(可选)
6、受保护的交付组

软件要求和限制:
适用于Windows或更高版本的Citrix Workspace应用程序1912
适用于Mac或更高版本的Citrix Workspace app 2001
无法在双跳场景中使用
尚不支持Citrix Cloud
使用CVAD2003。当前无法使用此版本,因为Citrix尚未改编XML文件(截至2020年3月30日,此案已打开)。
当访问不支持应用程序保护的Workspace应用程序版本时,以及通过浏览器(Web的Workspace)访问它们时,相应的应用程序/桌面将被隐藏,从而阻止了访问。
如下图所示,在StoreFront页面上未列出配置有App Protection的配置组:

Citrix 应用保护
准备工作
1.1。获得附加许可证。第一点当然是最耗时的。附加许可证不能作为测试许可证下载,必须从Citrix合作伙伴处请求。
1.2。应用保护策略文件。下载FeatureTable.OnPrem.AppProtection.xml文件。
Citrix 应用保护
注意:当前(30.03.2020)没有版本CVAD 2003的策略文件。
1.3。StoreFront服务器与交付控制器之间的通信必须进行加密。
必须在站点级别激活TrustRequestsSentToTheXmlServicePort选项:

Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $ true

您可以使用Get-BrokerSite命令检查配置:
Citrix 应用保护

安装/配置
安装或配置包含七个步骤:
2.1。Workspace应用程序安装
2.2。附加许可证安装
2.3。在StoreFront 上激活AppProtectionPolicy 。
2.4。在交付控制器上执行进一步的步骤:
导入FeatureTable.OnPrem.AppProtection.xml文件
激活AppProtection功能
自定义Citrix策略

2.1。在每个目标设备上安装合适版本的Workspace应用程序。
请注意以下事项:安装后无法停用应用程序保护功能。如果要停用应用程序保护功能,则必须重新安装Workspace应用程序。

或通过命令行:CitrixWorkspaceApp.exe / silent / includeSSON / includeappprotection

Citrix 应用保护
2.2。导入附加许可证文件。所有配置步骤均在许可证服务器上执行。
2.2.1。启动Citrix Licensing Manager > 单击“安装许可证”选项卡> 选择带有已下载许可证文件的选项>选择文件> 导入

Citrix 应用保护

2.2.2。也可以使用旧的许可证管理控制台导入许可证文件:单击供应商后台程序选项卡> 导入许可证。
2.2.3。您还可以 将许可证文件保存在文件夹C:\ Program Files(x86)\ Citrix \ Licensing \ MyFiles中,然后重新启动Citrix许可证服务:
重新启动服务名称“ Citrix Licensing”
Citrix 应用保护

2.3。在StoreFront服务器上启动PowerShell控制台(以管理员身份),并运行以下命令链:

Add-STFFeatureState -Name“ Citrix.StoreFront.AppProtectionPolicy.Control” -IsEnabled $ True

Citrix 应用保护
可以使用以下Powershell命令检查结果:

Get-STFFeatureState-Name“ Citrix.StoreFront.AppProtectionPolicy.Control”

Citrix 应用保护

2.4。所有其余的配置步骤均在交付控制器上执行。
2.4.1。导入下载的XML文件:

Import-ConfigFeatureTable.\ FeatureTable.OnPrem.AppProtection.xml

使用命令Get-ConfigEnabledFeature | Select-String -Pattern'AppProtection'
检查导入是否成功。

2.4.2。激活应用程序保护
当前这仅可通过PowerShell进行。这些策略分别链接到所选的交付组:
AppProtectionKeyLoggingRequired
AppProtectionScreenCaptureRequired
例如:

Set-BrokerDesktopGroup -Name 您的部署组-AppProtectionKeyLoggingRequired $ true -AppProtectionScreenCaptureRequired $ true
准则可以单独激活,也可以根据需要一起激活。

可以如下验证设置:

Get-BrokerDesktopGroup -Property Name,AppProtectionKeyLoggingRequired,AppProtectionScreenCaptureRequired | Format-list

2.4.3。自定义Citrix策略。此调整是可选的附加功能,可防止在用户的最终客户端和Citrix会话之间使用剪贴板(剪切和粘贴)。如果还停用了以下选项,也不会造成任何伤害:
客户端驱动器重定向
客户端可移动驱动程序
(更多有用的设置可以在Citrix Policies / Security and Control模板中找到)
创建新的Citrix策略 或在现有策略中停用“ 客户端剪贴板重定向”选项:

并将它们链接到适当的交付组