В этой статье речь пойдёт о достаточно новом о функционале под названием App Protection. Данная технология была представлена в версии Citrix Virtual Apps and Desktops 1912 LTSR, но общедоступной стало только с выходом Workspace App 1912, 24 марта 2020 года. Здесь вы также найдёте подробное пошаговое руководство по конфигурации.
Что такое защита приложений (App Protection) и для чего она используется?
С пользовательской точки зрения – это быстрый и простой вариант дополнительной защиты корпоративных ресурсов, не требующий специальной настройки удаленного рабочего места. Это особенно актуально при резком росте количества удаленных рабочих мест вне офиса, в том числе и из дома.
С технической точки зрения, App Protection является интегрированным компонентом Workspace App для Windows и MacOS. App Protection предназначена для предотвращения захвата ввода с клавиатуры при помощи Keylogger, а также записи с экрана, как видео, так и скриншотов.
После выполнения всех этапов конфигурирования будут активны нижеследующие функции:
- Anti-Keylogging – шифрует уже в процессе логина имя и пароль пользователя, а также остальную информации вводимую пользователем в активном окне сессии. Установленный злоумышленником Keylogger будет записывать только бесполезный набор знаков или ничего.
- Anti-Screen-Capturing (предотвращение захвата экрана) – при включённом режиме любая попытка захвата экрана (скриншоты или запись экрана) окрашивает активное окно сессии в серый цвет. Есть небольшое отличие в работе под Windows и MacOs. В Windows весь экран будет серым, в MacOS – только защищаемое окно. В Windows это даже может быть мешающим поведением, поэтому – для создания скриншотов незащищаемых областей необходимо свернуть защищенное окно.
Обе вышеперечисленные функции интегрированы в Workspace App начиная с версии 1912. Использование защиты приложений особенно интересно в различных сценариях BYOD.
Технология защиты приложений, представленная Citrix, очень похожа на продукт Armored Client for Citrix, английской компании SentryBay. Armored Client for Citrix | White Paper
Скачать Visio-фаил: Citrix-App-Protection-Policies.vsdx, скачать шаблон - Download
- Workspace app 1912 for Windows
- App Protection Erweiterung
- App Protection Add-On License
- Citrix.StoreFront.AppProtectionPolicy.Control
- FeatureTable.OnPrem.AppProtection.xml-файл
- Set-BrokerDesktopGroup:
- AppProtectionKeyLoggingRequired,
- AppProtectionScreenCaptureRequired
- Citrix Policy: Client Clipboard Redirection (optional)
- Защищённая группа доставки (Delivery Group).
Требования к программному обеспечению и ограничения:
- Citrix Workspace app 1912 for Windows или новее
- Citrix Workspace app 2001 for Mac или новее
- использование в сценариях Double-Hop невозможно
- Citrix Cloud пока не поддерживается
- если Вы используете версии Workspace App, которые не поддерживают функционал App Protection, то защищённые группы доставки (Delivery Group) не отображаются.
- защищённые группа доставки также не отображаются, если доступ осуществляется через браузер (Workspace for Web). Как видно на рисунке ниже, группа доставки, защищённая с помощью App Protection, не видна при доступе через браузер StoreFront:
Подготовка
1.1. Получить дополнительную лицензию (Add-On License). Первый пункт, безусловно, один из самых времязатратных. Add-On лицензия не может быть сгенерирована на странице Citrix в качестве тестовой лицензии, а должна быть запрошена у вашего партнёра Citrix.
1.2. Скачайте Protection Policy File. Файл для версии 1912 вы можете скачать при наличии активной подписки по этой ссылке: FeatureTable.OnPrem.AppProtection.xml
Версии 2003: App Protection Policies 2003, Apr 16, 2020 - Download
1.3. Коммуникация (XML Traffic) между StoreFront и Delivery Controller должна быть зашифрована посредством установки SSL/TSL сертификатов на обоих компонентах.
1.4. Необходимо активировать опцию TrustRequestsSentToTheXmlServicePort на контролёре доставки: Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true
Для проверки конфигурации можно использовать команду Get-BrokerSite:
Установка / Конфигурация
Непосредственно настройка состоит из шести последовательных шагов:
2.1. инсталляция Workspace App на рабочем месте
2.2. добавление Add-on лицензии на сервер лицензий
2.3. активирование AppProtectionPolicy на сервере StoreFront
2.4. Дальнейшие шаги выполняются на контроллере доставки (Delivery Controller):
- импорт файла FeatureTable.OnPrem.AppProtection.xml
- активация функционала AppProtection
- настройка политик Citrix
2.1. Установите рекомендованную версию приложения Workspace на каждом целевом устройстве.
Активируйте опцию Enable app protection при установке.
Производитель предлагает обратите внимание на то, что отключить функцию защиты приложения после установки невозможно. Если вы хотите отключить функцию защиты приложения, вам потребуется переустановить Workspace App. По сути же, наличие активированного функционала AppProtection не несёт негативных последствий.
или с помощью командной строки: CitrixWorkspaceApp.exe /silent /includeSSON /includeappprotection
2.2. Импортируйте лицензионный файл. Существует несколько методов добавления лицензий.
Самый быстрый из них, просто скопировать лицензионный файл в папку
C:\Program Files (x86)\Citrix\Licensing\MyFiles, а затем перезапустить службу лицензирования Citrix:
Restart-Service –Name „Citrix Licensing“
Вы также можете импортировать лицензионный файл с помощью одной из двух консолей управления Citrix Lizenzierung Manager или License Administation Console.
2.3. Для следующего пункта настройки нам необходимо запустить консоль PowerShell (с правами администратора) на основном сервере StoreFront. Выполните следующую команду:
Add-STFFeatureState -Name "Citrix.StoreFront.AppProtectionPolicy.Control" -IsEnabled $True
Результаты можно проверить с помощью следующей команды:
Get-STFFeatureState -Name "Citrix.StoreFront.AppProtectionPolicy.Control”
Примечание. Если ваши сервера StoreFront объединены в группу, то изменения необходимо распространить и на другие сервера.
2.4. Все остальные этапы настройки выполняются на контроллере доставки.
2.4.1. Импортируйте загруженный ранее файл XML:
Import-ConfigFeatureTable .\FeatureTable.OnPrem.AppProtection.xml
С помощью команды Get-ConfigEnabledFeature | Select-String –Pattern 'AppProtection' можно проверить, был ли импорт успешным.
2.4.2. Следующие шаги являются фактической активацией функционала. В настоящее время конфигурация возможна только с помощью PowerShell.
Политики привязываются к выбранным группам (Delivery Groups) по отдельности:
- AppProtectionKeyLoggingRequired
- AppProtectionScreenCaptureRequired
Пример:
Set-BrokerDesktopGroup -Name NameOfTheSecretGroup -AppProtectionKeyLoggingRequired $true -AppProtectionScreenCaptureRequired $true
Политики могут быть активированы при необходимости индивидуально или вместе.
Настройки можно проверить следующим образом:
Get-BrokerDesktopGroup -Property Name, AppProtectionKeyLoggingRequired, AppProtectionScreenCaptureRequired | Format-List
2.4.3. Настройка политик Citrix. Данная конфигурация является опциональным дополнением и предотвращают использование буфера обмена между конечным клиентом пользователя и сессией Citrix.
Не повредит, если следующие опции будут также отключены для группы с политикой AppProtection:
- Client drive redirection
- Client removable drivers
Создайте новую политику Citrix или отключите нижеследующею опцию уже в существующей политике: Client clipboard redirection:
и свяжите их с соответствующей группой:
На этом конфигурация закончена…
Проверьте работоспособность решения и при необходимости проведите диагностику
Часто задаваемые вопросы по Citrix App Protection:
- Вопрос: как можно быть уверенным в том, что внешние сотрудники или сотрудники в домашнем офисе установили приложение Workspace App в соответствии с инструкциями по установке?
- Ответ: если пользователь установит неправильную версию Workspace App или выполнит установку не корректно, то приложения/десктопы из защищённых групп даже не будут отображаться.
- Вопрос: можно ли быть на 100% уверенным в технологиях данной защиты?
- Ответ: 100% защиты, к сожалению – не существует. По мере развития операционных систем могут появиться новые способы захвата экранов и ключей регистрации. Вы можете использовать дополнительные методы проверки рабочих мест сотрудников ( такие как EPA, антивирусные системы и т.п. ) для снижения рисков, а также обращаться в техническую поддержку при подозрениях на появление новых методов.
- Вопрос: защищает ли данная технология от перехвата данных в самих виртуальных рабочих столах и приложениях?
- Ответ: нет. Ваши VDI или CVA требуется проверять другими методами.
- Вопрос: будет ли система потреблять больше аппаратных ресурсов при включённой опции защиты приложений?
- Ответ: в моей демонстрационной лаборатории мне не удалось обнаружить никакой разницы со стандартной рабочей нагрузкой.
- Вопрос: какие существуют варианты лицензирования и сколько стоит лицензия?
- Ответ: по аналогии с CVAD предлагаются два типа лицензий: конкурентный пользователь (Concurrent User) и на пользователя/устройство ( per User/Device). Стоимость лицензий зависят от количества приобретённых, т. е. чем больше лицензий приобретено, тем дешевле. Пожалуйста, обратите внимание, что тип лицензии для App Protection должен соответствовать используемым лицензиям CVAD.
- Вопрос: нужно ли мне покупать столько же лицензий для App Protection, сколько и лицензий CVAD?
- Ответ: нет, вы покупаете только то количество, которые вам действительно необходимо, но не менее 25 лицензий.
- Вопрос: отображается ли использование лицензий AppProtection на консоли лицензионного сервера, чтобы убедиться, что ещё осталось достаточное количество лицензий?
- Ответ: Нет, на сегодняшний день система проверяет только наличие лицензий на сервере.
Официальная документация: