In diesem Blogbeitrag geht es um eine Funktion namens App Protection, die mit der Version Citrix Virtual Apps and Desktops 1912 LTSR vorgestellt wurde und erst mit der Veröffentlichung der Workspace App am 24.03.2020 allgemein verfügbar (General Available) wurde. Hier finden Sie auch eine detaillierte Schritt-für-Schritt Konfigurationsanleitung
Was ist App Protection (App Schutz) und wofür wird dieser angewendet?
Aus technischer Sicht ist ein App Schutz eine in Workspace App für Windows und für Mac integrierte Komponente. Der App Schutz soll eine böswillige Aufzeichnung der Tastatureingaben durch einen Keylogger verhindern und gleichzeitig eine Bildschirmaufnahme (legal oder illegal) unmöglich machen.
Wenn alle Konfigurationsschritte vorgenommen sind, sind die zwei folgenden Funktionen aktiv:
- Anti-Keylogging – verschlüsselt während der Eingabe die eingegebene Anmelde-Information (Username/Password), sowie weitere Tastatur-Eingaben. Die Keylogger Software wird nur die unbrauchbaren kryptischen Informationen aufnehmen. Anti-Keylogging funktioniert nur Verbindung mit einem aktiven Workspace Fenster.
- Anti-Screen-Capturing (Screen Capture Prevention) – kann jegliche Art von Bildschirm-Aufnahmen (Screenshots oder Bildschirmaufzeichnung) in einer Citrix Session ausgegraut werden.
In diesem Video sehen die beiden Funktionen in Aktion: App Protection from Citrix
Alle genannten Funktionen wurden in der Workspace App ab Version 1912 integriert. Der Einsatz von App-Protection ist besonders in BYOD-Szenarien interessant.
Die von Citrix vorgestellte App Protection Technologie ist dem Produkt Armored Client for Citrix der englischen Firma SentryBay sehr ähnlich. Armored Client for Citrix | White Paper
App Protection – Komponenten der Architektur
Quelle: erstellt auf Basis von Citrix Visio Stencils - Download
Visio-Datei herunterladen: Citrix-App-Protection-Policies.vsdx
- Workspace app 1912 for Windows
- App Protection Erweiterung
- App Protection Add-On License
- Citrix.StoreFront.AppProtectionPolicy.Control
- FeatureTable.OnPrem.AppProtection.xml-Datei
- Set-BrokerDesktopGroup:
- AppProtectionKeyLoggingRequired,
- AppProtectionScreenCaptureRequired
- Citrix Policy: Client Clipboard Redirection (optional)
- Geschützte Bereitstellungsgruppe
Software Voraussetzung und Einschränkungen:
- Citrix Workspace app 1912 for Windows oder höher
- Citrix Workspace app 2001 for Mac oder höher
- der Einsatz in den Double-Hop-Szenarien ist nicht möglich
- die Citrix Cloud wird noch nicht supportet
- beim Zugriff von Workspace App Versionen die App Protection nicht unterstützen und auch beim Zugriff durch Browser (Workspace for Web) werden die entsprechenden Apps/Desktops ausgeblendet und somit der Zugriff verhindert.
- wie auf dem unteren Bild zu sehen ist, wird mit App Protection konfigurierte Bereitstellungsgruppe nicht auf der StoreFront-Seite aufgelistet:
Vorbereitung
1.1. Add-On Lizenz besorgen. Der erste Punkt gehört sicherlich zu den zeitaufwendigsten. Die Add-On Lizenz lässt sich nicht als eine Test-Lizenz herunterladen und muss bei Ihrem Citrix Partner angefragt werden.
1.2. App Protection Policy File. Laden Sie die FeatureTable.OnPrem.AppProtection.xml-Datei herunter.
App Protection Policies 2003, Apr 16, 2020 - Download
1.3. Die Kommunikation zwischen dem StoreFront Server und dem Delivery Controller muss verschlüsselt sein. Eine Schritt-für-Schritt Anleitung dazu finden Sie unter diesem Link.
1.4. Die Option TrustRequestsSentToTheXmlServicePort muss auf der Site-Ebene aktiviert sein:
Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true
Mit dem Befehl Get-BrokerSite können Sie die Konfiguration überprüfen:
Installation / Konfiguration
Die Installation bzw. Konfiguration besteht aus sieben Schritten:
2.1. Workspace App Installation
2.2. Add-on Lizenz Installation
2.3. AppProtectionPolicy auf dem StoreFront aktivieren
2.4. Weitere Schritte werden auf dem Delivery Controller ausgeführt:
- FeatureTable.OnPrem.AppProtection.xml Datei importieren
- AppProtection Funktionalität aktivieren
- Citrix Policies anpassen
2.1. Auf jedem Zielgerät eine passende Version der Workspace App installieren.
Beachten Sie folgenden Hinweis: Eine Deaktivierung der App-Schutz-Funktion nach der Installation ist nicht möglich. Falls Sie die App-Schutz-Funktion deaktivieren wollen, müssen Sie die Workspace App neu installieren. Diese Hersteller-Angabe ist etwas irreführend, da der App-Schutz erst auf dem Delivery Controller „scharfgeschaltet“ werden muss.
oder per Command Line: CitrixWorkspaceApp.exe /silent /includeSSON /includeappprotection
2.2. Importieren Sie die Add-On Lizenz-Datei. Alle Konfigurationsschritte werden auf dem Lizenzserver durchgeführt.
2.2.1. Citrix Lizenzierung Manager starten > Registerkarte Lizenzen installieren anklicken > Option Mit heruntergeladener Lizenzdatei auswählen > Datei wählen > Importieren
2.2.2. Die Lizenzdatei kann auch mit Hilfe der alten License Administation Console importiert werden: Registerkarte Vendor Daemon anklicken > Lizenz imporieren
2.2.3. Sie können auch die Lizenz-Datei in dem Ordner C:\Program Files (x86)\Citrix\Licensing\MyFiles ablegen und anschließen den Citrix Lizenzdienst neu starten:
Restart-Service –Name „Citrix Licensing“
2.3. Die PowerShell Konsole (als Admin) auf dem StoreFront Server starten und die folgende Befehlskette ausführen:
Add-STFFeatureState -Name "Citrix.StoreFront.AppProtectionPolicy.Control" -IsEnabled $True
Die Ergebnisse können mit folgendem Powershell-Befehl überprüft werden:
Get-STFFeatureState -Name "Citrix.StoreFront.AppProtectionPolicy.Control”
Hinweis: Wenn eine Servergruppe konfiguriert ist, müssen die Änderungen noch auf die anderen Server verteilt werden.
2.4. Alle restlichen Konfigurationsschritte werden auf dem Delivery Controller durchgeführt.
2.4.1. Heruntergeladene XML-Datei importieren:
Import-ConfigFeatureTable .\FeatureTable.OnPrem.AppProtection.xml
Mit dem Befehl Get-ConfigEnabledFeature | Select-String –Pattern 'AppProtection' kann überprüft werden, ob der Import erfolgreich war.
2.4.2. Aktivierung von App Protection
Dies ist aktuell nur per PowerShell möglich. Die Richtlinien werden mit den ausgewählten Bereitstellungsgruppen einzeln verknüpft:
- AppProtectionKeyLoggingRequired
- AppProtectionScreenCaptureRequired
Beispiel:
Set-BrokerDesktopGroup -Name IhreBereitstellungsgruppe -AppProtectionKeyLoggingRequired $true -AppProtectionScreenCaptureRequired $true
Die Richtlinien können bei Bedarf einzeln oder zusammen freigeschaltet werden.
So können die Einstellungen verifiziert werden:
Get-BrokerDesktopGroup -Property Name, AppProtectionKeyLoggingRequired, AppProtectionScreenCaptureRequired | Format-List
Einstellungen deaktivieren:
Set-BrokerDesktopGroup -Name IhreBereitstellungsgruppe -AppProtectionKeyLoggingRequired $false -AppProtectionScreenCaptureRequired $false
2.4.3. Citrix Richtlinien anpassen. Diese Anpassung ist eine optionale Ergänzung und vierhindert die Nutzung der Zwischenablage (Cut-and-Paste) zwischen einem Endclient des Users und einer Citrix Session. Es wird nicht schaden, wenn auch folgenden Optionen deaktiviert werden:
- Client drive redirection
- Client removable drivers
(Weitere sinvvolle Einstellungen finden Sie in dem Template Citrix Policies / Security and Control)
Erstellen Sie eine neue Citrix Richtlinien oder deaktivieren Sie in einer bestehenden Richtlinie die Option Client clipboard redirection:
und verknüpfen Sie diese mit der entsprechenden Bereitstellungsgruppe:
FAQ Citrix App Protection:
F. Wie kann man sicherstellen, dass die externe Mitarbeiter oder die Mitarbeiter im Homeoffice (BYOD) die Workspace App gemäß Installationsvorgaben installiert haben?
A. Wenn der Benutzer keine passende Workspace App mitbringt oder die Installation nicht korrekt durchführt, bekommt er die Anwendungen / Desktops aus der geschützten Bereitstellungsgruppen gar nicht erst angezeigt.
F. Wird das System mit der aktivierten App Protection Option mehr Hardwareressourcen in Anspruch nehmen?
A. In meiner Lab-Umgebung konnte ich keinen Unterschied zu der Standard-Auslastung durch den App Schutz feststellen.
F. Welche Lizenzierungsmöglichkeiten gibt es und wie teuer ist eine Lizenz?
A. Es werden analog zu den CVAD zwei Lizenztypen angeboten: Concurrent User (CCU) und User/Device angeboten. Die Kosten sind von der Anzahl der gekauften Lizenzen abhängig, also je mehr, desto billiger. Beachten Sie, dass der Lizenztyp (Concurrent/Named) den eingesetzten CVAD Lizenzen entsprechen muss.
F. Muss man dieselbe Anzahl der App Protection Lizenzen kaufen, wie die Anzahl der CVAD Lizenzen?
A. Nein, Sie kaufen nur die Lizenzen, die Sie wirklich benötigen, aber ab einem Minimum von 25 Lizenzen.
F. Wird die Nutzung der App Protection Lizenzen auf Lizenz Server Konsole angezeigt, um sich zu vergewissern, dass eine ausreichende Anzahl von Lizenzen noch vorhanden ist?
A. Stand heute, wird nur geprüft, ob die Lizenzen auf dem Server vorhanden sind. Da die Lizenzen nicht ein- und ausgecheckt werden, ist keine Auswertung möglich.
Offizielle Dokumentation: