应用程序保护功能可以在使用 Citrix Workspace 应用程序时提供增强的安全性。该功能限制了客户端被键盘记录和屏幕捕获恶意软件入侵的能力。应用程序保护可防止泄露屏幕上显示的用户凭据和敏感信息等机密信息。该功能可防止用户和攻击者截取屏幕截图以及使用键盘记录器收集和利用敏感信息。本文介绍如何在不同平台上的 Citrix Workspace 应用程序中配置应用程序保护。

应用程序保护在 Citrix Workspace 应用程序上可用，适用于以下平台：

免责声明

应用程序保护策略筛选对基础操作系统所需功能的访问权限。需要特定的 API 调用才能捕获屏幕或按下键盘。应用程序保护策略甚至能够针对自定义的专用黑客工具提供保护。但是，随着操作系统的发展，捕获屏幕和记录键盘的新方法可能会出现。虽然我们会继续识别和解决这些问题，但我们无法保证在特定配置和部署中提供充足的保护。

自 Citrix Workspace 应用程序版本 2212 起，应用程序保护组件是在安装 Citrix Workspace 应用程序期间默认安装的。

安装期间出现的 Enable app protection（启用应用程序保护）复选框将替换为 Start App Protection after installation（安装后启动应用程序保护）。

选中此复选框后，应用程序保护将在安装后立即启动。

注意：

如果您未启用此复选框，则对于有权使用应用程序保护的客户，应用程序保护会在首次启动受保护的资源或组件时自动启动。

两个策略在会话中提供了反键盘记录和反屏幕截图功能。这些策略必须通过 PowerShell 进行配置。没有可用于实现此目的的 GUI。

注意：

自版本 2103 起，Citrix DaaS 支持对 StoreFront 和 Workspace 使用应用程序保护。

有关 Citrix Virtual Apps and Desktops 和 Citrix DaaS 上的应用程序保护配置的信息，请参阅应用程序保护。

自 Citrix Workspace 应用程序版本 2212 起，应用程序保护组件是在安装 Citrix Workspace 应用程序期间默认安装的。

安装期间出现的 Enable app protection（启用应用程序保护）复选框将替换为 Start App Protection after installation（安装后启动应用程序保护）。

选中此复选框后，应用程序保护将在安装后立即启动。

注意：

如果您未启用此复选框，则对于有权使用应用程序保护的客户，应用程序保护会在首次启动受保护的资源或组件时自动启动。

您也可以使用 /startappprotection 命令行参数启动应用程序保护组件。但是，先前的 /includeappprotection 开关已弃用。

下表提供了有关受保护的屏幕的信息，具体取决于部署：

当您创建屏幕截图时，只有受保护的窗口停止运行。您可以创建受保护窗口外部的区域的屏幕截图。但是，如果使用 PrtScr 键捕获 Windows 10 设备上的屏幕截图，则必须最小化受保护的窗口。

以前，Citrix 身份验证和 Citrix Workspace 应用程序屏幕默认强制执行反屏幕捕获和反键盘记录功能。但是，自 2212 起，这些功能默认处于禁用状态，需要使用组策略对象进行配置。

注意：

此 GPO 策略不适用于 ICA 和 SaaS 会话。ICA 和 SaaS 会话继续使用 Delivery Controller 和 Citrix Secure Private Access 进行控制。

预期行为：

预期行为取决于用户访问具有受保护的资源的 StoreFront 的方法。

注意：

自 2302 版起，适用于 Windows 的 Citrix Workspace 应用程序允许您使用 Global App Configuration 为身份验证和自助服务插件配置应用程序保护。以前，您只能使用组策略对象配置这些组件。

如果您使用 Global App Configuration Service 启用反键盘记录和防屏幕捕获功能，这些功能将同时适用于身份验证和自助服务插件。

注意：

Global App Configuration Service 配置不适用于虚拟应用程序、虚拟桌面、Web 应用程序和 SaaS 应用程序。这些资源将继续使用 Delivery Controller 和 Citrix Secure Private Access 进行控制。有关详细信息，请参阅 Citrix Virtual Apps and Desktops 文档中的“应用程序保护”的配置部分。

管理员可以使用 API 配置这些应用程序保护功能。设置如下所示：

用于启用或禁用反屏幕捕获的设置：

“name”: “enable anti screen capture for auth and ssp” “value”: “true” or “false”

用于启用或禁用反键盘记录的设置：

“name”: “enable anti key-logging for auth and ssp” “value”: “true” or “false”

下面是用于在 Global App Configuration Service 中为适用于 Windows 的 Citrix Workspace 应用程序启用防屏幕捕获和反键盘记录功能的 JSON 文件示例：

要卸载应用程序保护，请从您的系统中卸载 Citrix Workspace 应用程序。重新启动系统以使更改生效。

注意：

只有从 1912 及更高版本进行升级时才支持应用程序保护。

自版本 2108 起，应用程序保护功能现已完全起作用。应用程序保护功能支持应用程序和桌面会话，并且默认处于启用状态。但是，您必须在 AuthManConfig.xml 文件中配置应用程序保护功能，才能对身份验证管理器和自助服务插件界面启用该功能。

应用程序保护功能最适合以下操作系统以及 Gnome Display Manager：

注意：

如果您使用的 Citrix Workspace 应用程序早于 2204 版，应用程序保护功能将不支持使用 glibc 2.34 或更高版本的操作系统。

如果在使用 glibc 2.34 或更高版本的操作系统中安装启用了应用程序保护功能的 Citrix Workspace 应用程序，操作系统引导在重新启动系统时可能会失败。要从操作系统引导失败进行恢复，请执行以下任一操作：

使用 tarball 软件包安装 Citrix Workspace 应用程序时，将显示以下消息：是否要安装应用程序保护组件? Warning: You can’t disable this feature.（警告: 不能禁用此功能。）必须卸载 Citrix Workspace 应用程序，才能将其禁用。有关详细信息，请与系统管理员联系。[default $INSTALLER_N]:”

输入 Y 以安装应用程序保护组件。默认不安装应用程序保护组件。

重新启动计算机以使更改生效。只有在您重新启动计算机后，应用程序保护功能才能按预期运行。

自版本 2104 起，RPM 版 Citrix Workspace 应用程序支持应用程序保护功能。

要安装应用程序保护组件，请执行以下操作：

自版本 2101 起，Debian 版 Citrix Workspace 应用程序支持应用程序保护功能。

要安装应用程序保护组件，请在安装 Citrix Workspace 应用程序之前从终端运行以下命令：

请按如下所示导航到 $ICAROOT/config/AuthManConfig.xml 并编辑该文件：

自 2301 版本起，应用程序保护已得以增强，以保护适用于 Mac 的 Citrix Workspace 应用程序。此增强功能包括保护身份验证屏幕和您在登录 Workspace 应用程序后看到的屏幕。您可以使用 Global App Configuration Service 配置应用程序保护。

注意：

管理员可以使用 API 配置应用程序保护功能。设置如下所示：

用于启用或禁用反屏幕捕获的设置

name：为 auth 和 ssp 启用防屏幕捕获

value：true 或 false

用于启用或禁用反键盘记录的设置

name：为 auth 和 ssp 启用反键盘记录

value：true 或 false

要进行配置，请参阅下面在 Global App Configuration Service 中为适用于 Mac 的 Citrix Workspace 应用程序启用防屏幕捕获和反键盘记录功能的 JSON 文件示例：

管理员还可以使用 Workspace 配置 UI 配置这些功能：

登录到您的云帐户并选择 Workspace 配置。

选择应用程序配置（Beta 版）。

在 Mac 平台的应用程序保护类别中启用防屏幕捕获和反键盘记录。