キーロガー対策および画面キャプチャ対策の構成
以下に関して、キーロガー対策および画面キャプチャ対策を構成できます:
認証およびSelf-service Plug-inのキーロガー対策および画面キャプチャ対策の構成
以下の方法で、認証およびSelf-service Plug-inのキーロガー対策および画面キャプチャ対策を構成できます:
| 構成方法 | Windows向けCitrix Workspaceアプリ | Mac向けCitrix Workspaceアプリ | Linux向けCitrix Workspaceアプリ | iOS向けCitrix Workspaceアプリ | Android向けCitrix Workspaceアプリ |
|---|---|---|---|---|---|
| グループポリシーオブジェクトの使用 | はい | いいえ | いいえ | いいえ | いいえ |
| Global App Configuration Serviceの使用 | はい | はい | いいえ | はい | はい |
| AuthManConfig.xmlの使用 | いいえ | いいえ | はい | いいえ | いいえ |
グループポリシーオブジェクトの使用
-
gpedit.mscを実行して、Citrix Workspaceアプリグループポリシーオブジェクト管理用テンプレートを開きます。 - [コンピューターの構成]ノードで、[管理用テンプレート] > [Citrixコンポーネント] > [Citrix Workspace]に移動します。
- App ProtectionをAuthentication Manager用に構成しているか、Self-service Plug-in用に構成しているかに応じて、次のいずれかの手順を使用します:
-
Authentication Manager
Authentication Managerのキーロガー対策と画面キャプチャ対策を構成するには、[ユーザー認証] > [App Protectionの管理]ポリシーを選択します。
-
Self-service Plug-inインターフェイス
Self-service Plug-inインターフェイスのキーロガー対策および画面キャプチャ対策を構成するには、[Self Service] > [App Protectionの管理]ポリシーを選択します。
-
- 次のオプションのいずれか1つまたは両方を選択します:
- キーロガー対策:キーロガーがキーストロークをキャプチャするのを防ぎます。
- 画面キャプチャ対策:ユーザーがスクリーンショットを撮ったり、画面を共有したりできないようにします。
- [適用]、[OK] の順にクリックします。
想定される動作:
想定される動作は、保護されたリソースが含まれるStoreFrontストアにアクセスする方法によって異なります。
Global App Configuration ServiceのUIの使用
Windows向けCitrix Workspaceアプリ2302またはWindows向けCitrix Workspace 2301バージョン以降、Citrix Workspaceアプリで、Global App Configuration Service(GACS)を使用して認証画面およびSelf-service Plug-inのApp Protectionを構成できます。
GACSを使用してキーロガー対策および画面キャプチャ対策を有効にすると、それらの機能を認証とSelf-service Plug-inの両方に適用できます。
メモ:
- GACSを使用して認証とSelf-service Plug-inのキーロガー対策および画面キャプチャ対策を構成すると、Windows向け Citrix WorkspaceアプリとMac向けCitrix Workspaceアプリに適用できます。 Linux向けCitrix Workspaceアプリには適用できません。
- GACSの構成は、仮想アプリおよびデスクトップ、Webアプリ、およびSaaSアプリには適用されません。 これらのリソースは、引き続きDelivery ControllerおよびCitrix Secure Private Accessを使用して制御されます。
- Mac向けCitrix Workspaceアプリ2311バージョン以降、クラウドストアとオンプレミスの両方で、Global App ConfigurationサービスUIを使用して認証およびSelf-service Plug-inのApp Protectionを構成できるようになりました。 ただし、2311バージョンより前のMac向けCitrix Workspaceアプリを使用している場合は、クラウドストアに対してのみ構成できます。
管理者は、ワークスペース構成UIを使用してApp Protectionを構成できます:
-
Citrix Cloudアカウントにサインインし、[ワークスペースの構成] を選択します。
-
[アプリ構成] > [セキュリティと認証] > [App Protection]を選択します。
-
[画面キャプチャ対策] をクリックし、関連するオペレーティングシステム(WindowsまたはMac)を選択します。
-
[有効] トグルボタンをクリックし、[下書きの公開] をクリックします。
-
[キーロガー対策] をクリックし、関連するオペレーティングシステム(WindowsまたはMac)を選択します。
-
[有効] トグルボタンをクリックし、[下書きの公開] をクリックします。
-
[設定の公開] ダイアログボックスで、[はい] をクリックします。
Global App Configuration Service APIの使用
管理者は、APIを使用して、これらのApp Protection機能を構成できます。 設定項目は次のとおりです:
-
画面キャプチャ対策機能を有効または無効にする設定:
“name”:”enable anti screen capture for auth and ssp” “value”:“true”または“false”
-
キーロガー対策機能を有効または無効にする設定:
“name”:“enable anti key-logging for auth and ssp” “value”:“true”または“false”
例: GACSでCitrix Workspaceアプリの画面キャプチャ防止機能とキーロガー対策機能を有効にするためのJSONファイルの例を次に示します:
{
"category": "App Protection",
"userOverride": true,
"assignedTo": [
"AllUsersNoAuthentication"
],
"settings": [
{
"name": "enable anti screen capture for auth and ssp",
"value": true
},
{
"name": "enable anti key-logging for auth and ssp",
"value": true
}
]}
Authentication ManagerでのAuthManConfig.xmlの使用
$ICAROOT/config/AuthManConfig.xmlに移動し、次のようにファイルを編集します:
/opt/Citrix/ICAClient/config$ cat AuthManConfig.xml | grep -i authmananti -A 1
<key>AuthManAntiScreenCaptureEnabled</key>
<value>true</value>
<key>AuthManAntiKeyLoggingEnabled</key>
<value>true </value>
<!--NeedCopy-->
Self-service Plug-inインターフェイスでのAuthManConfig.xmlの使用
$ICAROOT/config/AuthManConfig.xmlに移動し、次のようにファイルを編集します:
/opt/Citrix/ICAClient/config$ cat AuthManConfig.xml | grep -i protection -A 4
<!-- Selfservice App Protection configuration -->
<Selfservice>
<AntiScreenCaptureEnabled>true</AntiScreenCaptureEnabled>
<AntiKeyLoggingEnabled>true</AntiKeyLoggingEnabled>
</Selfservice>
<!--NeedCopy-->
Virtual Apps and Desktopsのキーロガー対策と画面キャプチャ対策の構成
2つのポリシーがセッションでのキーロガー対策および画面キャプチャ対策機能を提供します。 Virtual Apps and Desktopsのキーロガー対策と画面キャプチャ対策を、次のように構成できます:
メモ:
バージョン2103以降、Citrix DaaSはStoreFrontおよびWorkspaceでApp Protectionをサポートします。
Web Studioの使用
Web Studioを使用してCitrix Virtual AppsまたはDesktopsのキーロガー対策と画面キャプチャ対策を構成するには、次の手順を実行します:
-
App ProtectionにはXML信頼が必要です。 XML信頼を有効にするには、次の手順を実行します:
-
Citrix DaaSアカウントにサインインし、[管理] > [設定] > [XML信頼を有効にする]に移動します。
-
[XML信頼を有効にする] トグルをオンにします。
-
-
デリバリーグループのApp Protection方法を選択するには、次の手順を実行します:
-
Citrix DaaSで、[管理] > [デリバリーグループ]に移動します。
-
デリバリーグループを選択して、操作バーの [編集] をクリックします。
-
[App Protection] をクリックしてから、[キーロガー対策] および [画面キャプチャ対策] チェックボックスを選択します。
-
[保存] をクリックします。
-
PowerShellの使用
メモ:
Citrix DaaS環境では、任意のマシン(Citrix Cloud Connectorマシンを除く)のCitrix Virtual Apps and Desktops Remote PowerShell SDKにあるコマンドレットを使用して、このセクションのコマンドを発行します。
インストール済みの任意のDelivery Controllerマシンで、またはFMA PowerShellスナップインとともにスタンドアロンのStudioがインストールされたマシンで、Citrix Virtual Apps and Desktops SDKを使用して、App Protectionデリバリーグループの次のプロパティを有効にします。
-
AppProtectionKeyLoggingRequired:True -
AppProtectionScreenCaptureRequired:True
いずれかのポリシーを各デリバリーグループで個別に有効にできます。 たとえば、DG1でのみキーロガーからの保護を構成でき、DG2でのみ画面キャプチャからの保護を構成できます。 DG3で両方のポリシーを有効にできます。
例:
DG3という名前のデリバリーグループで両方のポリシーを有効にするには、サイトのDelivery Controllerで次のコマンドを実行します:
Set-BrokerDesktopGroup -Name DG3 -AppProtectionKeyLoggingRequired $true -AppProtectionScreenCaptureRequired $true
この設定を検証するには、次のコマンドレットを実行します:
Get-BrokerDesktopGroup -Property Name, AppProtectionKeyLoggingRequired, AppProtectionScreenCaptureRequired | Format-Table -AutoSize
また、XML信頼を有効にします:
Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true
StoreFrontとブローカーの間のネットワークを確実に保護してください。 詳しくは、Knowledge CenterのCTX236929および「XenAppおよびXenDesktop XML Serviceの保護」を参照してください。
WebアプリまたはSaaSアプリのキーロガー対策と画面キャプチャ対策の構成
Windows向けCitrix WorkspaceアプリおよびMac向けCitrix WorkspaceアプリのCitrix Enterprise Browserで、WebアプリとSaaSアプリを開きます。 Citrix Secure Private AccessによりアプリにApp Protectionポリシーが構成されている場合、App Protectionはタブごとに適用されます。
以下の方法で、WebアプリとSaaSアプリのApp Protectionを構成します:
- WorkspaceのWebアプリおよびSaaSアプリのApp Protectionを構成するには、「Citrix WorkspaceのCitrix Secure Private Access」を参照してください。
- StoreFrontのWebアプリおよびSaaSアプリのApp Protectionを構成するには、「StoreFrontのCitrix Secure Private Accessのサポート」を参照してください。