XenApp / XenDesktop 7.17 - In-Session Watermark (Wasserzeichen)

Das Thema Sicherheit ist seit langem ein zentrales IT-Thema geworden. Die funktionale Erweiterung des HDX-Protokolls ist weiterer Schritt zur Erhöhung der IT-Sicherheit.

Das Wasserzeichen ist in der ersten Linie eine zusätzliche Barriere zu einem internen Information-Diebstall. Hauptsächlich werden die Wasserzeichen zum Kopierschutz von Fotos verwendet und haben primär nur eine abschreckende Wirkung. Ich finde es wichtig zu erwähnen, dass die Entfernung von Wasserzeichen keine unüberwindbare Aufgabe mehr ist: Google Algorithmus entfernt Wasserzeichen auf Stockfotos – binnen Sekunden

Nachteil

Die Aktivierung der In-Session Watermark Policy hat einen wesentlichen Nachteil, nämlich die massive Erhöhung der Bandbreite (bis zum Faktor 2,5)

Konfiguration

Die Wasserzeichen lassen sich schnell und einfach per Citrix Richtlinien konfigurieren. Die Richtlinien sind in zwei Kategorien aufgeteilt: Wassserzeichentext und Wasserzeichenstil.

Im ersten Schritt aktivieren Sie die die gewünschte Wasserzeichen-Funktionalität:

Name  Einstellungen 
 Sitzungswasserzeichen  aktivieren Steuert die Anzeige von ICA-Sitzungsinhalten.

Wenn diese Einstellung aktiviert ist, wird die Sitzung mit einem Wasserzeichen gekennzeichnet, das aus einer zusätzlichen Schicht halbtransparenter Beschriftungen mit sitzungsspezifischen Informationen besteht (Anmeldename, VDA-Hostname usw.).
Sitzungswasserzeichen sollen Endbenutzer abschrecken, vertrauliche Informationen als Foto oder Screenshot der Sitzung unerlaubt zu veröffentlichen. Die Richtlinie kann zur Abschreckung bei der Anzeige vertraulicher Informationen in ICA-Sitzungen aktiviert werden. Der Administrator sollte sich über die Auswirkungen auf die Endbenutzererfahrung bewusst sein.

Hinweis: Sitzungswasserzeichen alleine sind kein besonderer Schutzmechanismus und sollten möglichst mit anderen Sicherheitslösungen kombiniert werden.
Zum Schutz der Integrität von Citrix Komponenten auf VDA- und Clientmaschinen sollten entsprechende Maßnahmen getroffen werden, da Sitzungswasserzeichen sonst u. U. nicht richtig funktionieren.
Die Effektivität des Schutzes durch Sitzungswasserzeichen variiert entsprechend der Sitzungsbedingungen. Der Schutz kann bei bestimmten Verwendungsszenarios unzureichend sein.
Wasserzeichen in Bildern und Screenshots können mit verschiedenen Methoden entfernt, verzerrt, geändert oder gefälscht werden.
Die Wasserzeicheninformationen dienen nur der Referenz und sollten nicht für rechtliche Zwecke oder als zuverlässige Quellenangabe bei der Verfolgung von Datenlecks verwendet werden.
Das Aktivieren von Sitzungswasserzeichen kann sich negativ auf die Benutzererfahrung in der Sitzung auswirken. Der Administrator kann den Stil des Wasserzeichens anpassen, um einen Kompromiss zwischen Abschreckungseffekt und Benutzererfahrung zu finden.

 Quelle: Citrix GPO

Folgenden Richtlinien legen nur die optische Darstellung fest: 

Name

Einstellungen  -  Kategorie: Wasserzeichentext

Anmeldename einschließen

Steuert den Inhalt der Beschriftungen eines Sitzungswasserzeichens. Diese Richtlinie ist nur wirksam, wenn Sitzungswasserzeichen aktiviert sind.

Wenn diese Richtlinie aktiviert ist, wird der Anmeldename der aktuellen ICA-Sitzung in den Beschriftungen des Wasserzeichens im Format BENUTZERNAME@DOMÄNENNAME angezeigt.

Diese Einstellung ist standardmäßig aktiviert.

Hinweis: Der Anmeldename sollte nicht mehr als 20 Zeichen haben. Andernfalls ist die Schrift u. U. zu klein oder abgeschnitten und die Wirkung des Wasserzeichens wird beeinträchtigt.

Um die Benutzererfahrung nicht zu sehr zu beeinträchtigen, sollten jeweils nicht mehr als 2 Textelemente für das Wasserzeichen ausgewählt werden.

Benutzerdefinierter  Wassserzeichentext 

Benutzerdefinierter Text, der in Wasserzeichenbeschriftungen angezeigt wird. Das Limit sind 25 Zeichen, sonst wird der Text abgeschnitten.

Client-IP-Adresse einschließen

Steuert den Textinhalt des Sitzungswasserzeichens.
Diese Richtlinie ist nur wirksam, wenn Sitzungswasserzeichen aktiviert sind.
Wenn die Richtlinie aktiviert ist, wird die Cient-IP-Adresse der aktuellen ICA-Sitzung in den Wasserzeichenbeschriftungen angezeigt.
Diese Einstellung ist standardmäßig deaktiviert.

VDI-Hostname einschließen

Steuert den Text der Beschriftungen für das Sitzungswasserzeichen.
Diese Richtline ist nur wirksam, wenn Sitzungswasserzeichen aktiviert sind.
Wenn die Richtlinie aktiviert ist, wird der VDA-Hostname der aktuellen ICA-Sitzung in den Wasserzeichenbeschriftungen angezeigt.
Diese Einstellung ist standardmäßig aktiviert.

VDI-IP-Adresse einschließen

Steuert den Textinhalt des Sitzungswasserzeichens.
Diese Richtline ist nur wirksam, wenn Sitzungswasserzeichen aktiviert sind.
Wenn die Richtlinie aktiviert ist, wird die VDA-IP-Adresse der aktuellen ICA-Sitzung in den Wasserzeichenbeschriftungen angezeigt.

Diese Einstellung ist standardmäßig deaktiviert.

Verbindungszeit einschließen

 Steuert den Inhalt der Beschriftungen eines Sitzungswasserzeichens.
Diese Richtline ist nur wirksam, wenn Sitzungswasserzeichen aktiviert sind.
Wenn die Richtlinie aktiviert ist, wird ein Zeitstempel in den Wasserzeichenbeschriftungen angezeigt. Das Format ist JJJJ/MM/TT hh:mm. Die angezeigte Zeit basiert auf der Systemuhr und Zeitzone des Clients.
Diese Einstellung ist standardmäßig deaktiviert.

 Quelle: Citrix GPO

 Name Einstellungen  -  Kategorie: Wasserzeichenstill
 Sitzungswasserzeichenstill

Steuert den Stil der Beschriftungen von Sitzungswasserzeichen.

Diese Richtlinie ist nur wirksam, wenn Sitzungswasserzeichen aktiviert sind.
Mit der Konfiguration 'Mehrere' werden fünf Wasserzeichenbeschriftungen in der Sitzung angezeigt, eine in der Mitte und vier in den Ecken.
Mit der Konfiguration 'Einzeln' wird eine einzelne Wasserzeichenbeschriftung in der Mitte des Sitzungsfensters angezeigt.

 Wasserzeichentrasparenz Sie können eine Wasserzeichendeckkraft zwischen 0 und 100 festlegen. Je größer der angegebene Wert, desto deckender ist das Wasserzeichen. Diese Einstellung ist nur wirksam, wenn das Sitzungswasserzeichen aktiviert sind. 

 Quelle: Citrix GPO

Wenn Sie alle Default-Einstellungen konfigurieren, sehen die Ergebnisse wie folgt aus: 01 XenDesktop 7.17 Watermarkt

 

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.