Citrix App Protection Policies

In diesem Blogbeitrag geht es um eine Funktion namens App Protection, die mit der Version Citrix Virtual Apps and Desktops 1912 LTSR vorgestellt wurde und erst mit der Veröffentlichung der Workspace App am 24.03.2020 allgemein verfügbar (General Available) wurde. Hier finden Sie auch eine detaillierte Schritt-für-Schritt Konfigurationsanleitung

Was ist App Protection (App Schutz) und wofür wird dieser angewendet?

Aus technischer Sicht ist ein App Schutz eine in Workspace App für Windows und für Mac integrierte Komponente. Der App Schutz soll eine böswillige Aufzeichnung der Tastatureingaben durch einen Keylogger verhindern und gleichzeitig eine Bildschirmaufnahme (legal oder illegal) unmöglich machen.

Wenn alle Konfigurationsschritte vorgenommen sind, sind die zwei folgenden Funktionen aktiv:

  • Anti-Keylogging – verschlüsselt während der Eingabe die eingegebene Anmelde-Information (Username/Password), sowie weitere Tastatur-Eingaben.  Die Keylogger Software wird nur die unbrauchbaren kryptischen Informationen aufnehmen. Anti-Keylogging funktioniert nur Verbindung mit einem aktiven Workspace Fenster.
  • Anti-Screen-Capturing (Screen Capture Prevention) – kann jegliche Art von Bildschirm-Aufnahmen (Screenshots oder Bildschirmaufzeichnung) in einer Citrix Session ausgegraut werden.

In diesem Video sehen die beiden Funktionen in Aktion: App Protection from Citrix

Alle genannten Funktionen wurden in der Workspace App ab Version 1912 integriert. Der Einsatz von App-Protection ist besonders in BYOD-Szenarien interessant.

Die von Citrix vorgestellte App Protection Technologie ist dem Produkt Armored Client for Citrix der englischen Firma SentryBay sehr ähnlich. Armored Client for Citrix | White Paper

 

App Protection – Komponenten der Architektur

App-Protection-Architecture

Quelle: erstellt auf Basis von Citrix Visio Stencils - Download

  1. Workspace app 1912 for Windows
  2. App Protection Erweiterung
  3. Citrix.StoreFront.AppProtectionPolicy.Control
  4. App Protection Add-On License
  5. FeatureTable.OnPrem.AppProtection.xml-Datei
  6. Set-BrokerDesktopGroup:
    • AppProtectionKeyLoggingRequired,
    • AppProtectionScreenCaptureRequired
  7. Citrix Policy: Client Clipboard Redirection (optional)
  8. Geschützte Bereitstellungsgruppe

 

Software Voraussetzung und Einschränkungen:

  • Citrix Workspace app 1912 for Windows oder höher
  • Citrix Workspace app 2001 for Mac oder höher
  • der Einsatz in den Double-Hop-Szenarien ist nicht möglich
  • die Citrix Cloud wird noch nicht supportet
  • Einsatz von CVAD 2003. Aktuell kann diese Version nicht genutzt werden, da die XML-Datei noch nicht von Citrix angepasst wurde (Stand: 30.03.2020).
  • Beim Zugriff von Workspace App Versionen die App Protection nicht unterstützen und auch beim Zugriff durch Browser (Workspace for Web) werden die entsprechenden Apps/Desktops ausgeblendet und somit der Zugriff verhindert.
    Wie auf dem unteren Bild zu sehen ist, wird mit App Protection konfigurierte Bereitstellungsgruppe nicht auf der StoreFront-Seite aufgelistet:

SF for AppProtection

 

Vorbereitung

1.1. Add-On Lizenz besorgen. Der erste Punkt gehört sicherlich zu den zeitaufwendigsten. Die Add-On Lizenz lässt sich nicht als eine Test-Lizenz herunterladen und muss bei Ihrem Citrix Partner angefragt werden.

1.2. App Protection Policy File. Laden Sie die FeatureTable.OnPrem.AppProtection.xml-Datei herunter.

App Protect Download

Hinweis: aktuell (30.03.2020) gibt es noch keine Policy-Datei für die Version CVAD 2003. Eine manuelle Anpassung (Hinzufügen des fehlenden Eintrags <VersionToBurninDate Version="7.25" BurninDate="2020.0215" />) der Datei ist auf Grund der Signierung nicht möglich.

1.3. Die Kommunikation zwischen dem StoreFront Server und dem Delivery Controller muss verschlüsselt sein. Eine Schritt-für-Schritt Anleitung dazu finden Sie unter diesem Link.

Die Option TrustRequestsSentToTheXmlServicePort muss auf der Site-Ebene aktiviert sein:
Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true

Mit dem Befehl Get-BrokerSite können Sie die Konfiguration überprüfen:

01 Get BrokerSite

 

Installation / Konfiguration

Die Installation bzw. Konfiguration besteht aus sieben Schritten:

2.1. Workspace App Installation
2.2. Add-on Lizenz Installation
2.3. AppProtectionPolicy auf dem StoreFront aktivieren
2.4. Weitere Schritte werden auf dem Delivery Controller ausgeführt:

  • FeatureTable.OnPrem.AppProtection.xml Datei importieren
  • AppProtection Funktionalität aktivieren
  • Citrix Policies anpassen

 

2.1. Auf jedem Zielgerät eine passende Version der Workspace App installieren. 

Beachten Sie folgenden Hinweis: Eine Deaktivierung der App-Schutz-Funktion nach der Installation ist nicht möglich. Falls Sie die App-Schutz-Funktion deaktivieren wollen, müssen Sie die Workspace App neu installieren.  Diese Hersteller-Angabe ist etwas irreführend, da der App-Schutz erst auf dem Delivery Controller „scharfgeschaltet“ werden muss.

02 1 Workspace App 1912 App Schutz

oder per Command Line: CitrixWorkspaceApp.exe /silent /includeSSON /includeappprotection

02 2 Workspace App 1912 App Schutz

2.2. Importiren Sie die Add-On Lizenz-Datei. Alle Konfigurationsschritte werden auf dem Lizenzserver durchgeführt.

2.2.1. Citrix Lizenzierung Manager starten > Registerkarte Lizenzen installieren anklicken > Option Mit heruntergeladener Lizenzdatei auswählen > Datei wählen > Importieren

Citrix Lizenzierung Manager - Lizenz Import

2.2.2. Die Lizenzdatei kann auch mit Hilfe der alten License Administation Console importiert werden: Registerkarte Vendor Daemon anklicken > Lizenz imporieren

2.2.3. Sie können auch die Lizenz-Datei in dem Ordner C:\Program Files (x86)\Citrix\Licensing\MyFiles ablegen und anschließen den Citrix Lizenzdienst neu starten:

Restart-Service –Name „Citrix Licensing“

Restart-Service-Citrix 

2.3. Die PowerShell Konsole (als Admin) auf dem StoreFront Server starten und die folgende Befehlskette ausführen:

Add-STFFeatureState -Name "Citrix.StoreFront.AppProtectionPolicy.Control" -IsEnabled $True

Add-STFFeatureState

Die Ergebnisse können mit folgendem Powershell-Befehl überprüft werden:

Get-STFFeatureState -Name "Citrix.StoreFront.AppProtectionPolicy.Control”

Get-STFFeatureState

Hinweis: Wenn eine Servergruppe konfiguriert ist, müssen die Änderungen noch auf die anderen Server verteilt werden.

StoreFront Propageta Changes

2.4. Alle restlichen Konfigurationsschritte werden auf dem Delivery Controller durchgeführt.

2.4.1. Heruntergeladene XML-Datei importieren:

Import-ConfigFeatureTable .\FeatureTable.OnPrem.AppProtection.xml

Import-ConfigFeatureTable

Mit dem Befehl Get-ConfigEnabledFeature | Select-String –Pattern 'AppProtection' kann überprüft werden, ob der Import erfolgreich war.

Get-ConfigFeatureTable

2.4.2. Aktivierung von App Protection

Dies ist aktuell nur per PowerShell möglich. Die Richtlinien werden mit den ausgewählten Bereitstellungsgruppen einzeln verknüpft:

  • AppProtectionKeyLoggingRequired
  • AppProtectionScreenCaptureRequired

Beispiel:

Set-BrokerDesktopGroup -Name IhreBereitstellungsgruppe -AppProtectionKeyLoggingRequired $true -AppProtectionScreenCaptureRequired $true

Die Richtlinien können bei Bedarf einzeln oder zusammen freigeschaltet werden.

Set BrokerDesktopGroup
So können die Einstellungen verifiziert werden:

Get-BrokerDesktopGroup -Property Name, AppProtectionKeyLoggingRequired, AppProtectionScreenCaptureRequired | Format-List

Get BrokerDesktopGroup

2.4.3. Citrix Richtlinien anpassen. Diese Anpassung ist eine optionale Ergänzung und vierhindert die Nutzung der Zwischenablage (Cut-and-Paste) zwischen einem Endclient des Users und einer Citrix Session. Es wird nicht schaden, wenn auch folgenden Optionen deaktiviert werden:

  • Client drive redirection
  • Client removable drivers

(Weitere sinvvolle Einstellungen finden Sie in dem Template Citrix Policies / Security and Control)

Erstellen Sie eine neue Citrix Richtlinien oder deaktivieren Sie in einer bestehenden Richtlinie die Option Client clipboard redirection:

Client Clipboard Redirection

und verknüpfen Sie diese mit der entsprechenden Bereitstellungsgruppe:

07 2 Client Clipboard Redirection

 

FAQ Citrix App Protection:

F. Wie kann man sicherstellen, dass die externe Mitarbeiter oder die Mitarbeiter im Homeoffice (BYOD) die Workspace App gemäß Installationsvorgaben installiert haben?

A. Wenn der Benutzer keine passende Workspace App mitbringt oder die Installation nicht korrekt durchführt, bekommt er die Anwendungen / Desktops aus der geschützten Bereitstellungsgruppen gar nicht erst angezeigt.

F. Wird das System mit der aktivierten App Protection Option mehr Hardwareressourcen in Anspruch nehmen?

A. In meiner Demo Lab konnte ich keinen Unterschied zu der Standard-Auslastung durch den App Schutz feststellen.

F. Welche Lizenzierungsmöglichkeiten gibt es und wie teuer ist eine Lizenz?

A. Es werden analog zu den CVAD zwei Lizenztypen angeboten: Concurrent User (CCU) und User/Device angeboten. Die Kosten sind von der Anzahl der gekauften Lizenzen abhängig, also je mehr, desto billiger. Beachten Sie, dass der Lizenztyp (Concurrent/Named) den eingesetzten CVAD Lizenzen entsprechen muss.

F. Muss man dieselbe Anzahl der App Protection Lizenzen kaufen, wie die Anzahl der CVAD Lizenzen?

A. Nein, Sie kaufen nur die Lizenzen, die Sie wirklich benötigen, aber ab einem Minimum von 25 Lizenzen.

F. Wird die Nutzung der App Protection Lizenzen auf Lizenz Server Konsole angezeigt, um sich zu vergewissern, dass eine ausreichende Anzahl von Lizenzen noch vorhanden ist?

A. Stand heute, wird nur geprüft, ob die Lizenzen auf dem Server vorhanden sind. Da die Lizenzen nicht ein- und ausgecheckt werden, ist keine Auswertung möglich.

 


Offizielle Dokumentation: App-Protection auf Docs.Citrix.com

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.