Documentación de productos
Citrix Virtual Apps and Desktops 7 2402 LTSR
Ver PDF

Consideraciones de seguridad y mejores prácticas

May 30, 2026
Contribución de: 
C C

Nota:

Es posible que su organización deba cumplir con estándares de seguridad específicos para satisfacer los requisitos normativos. Este documento no cubre este tema, ya que dichos estándares de seguridad cambian con el tiempo. Para obtener información actualizada sobre los estándares de seguridad y los productos de Citrix, consulte http://www.citrix.com/security/.

Mejores prácticas de seguridad

Mantenga todas las máquinas de su entorno actualizadas con los parches de seguridad. Una ventaja es que puede usar clientes ligeros como terminales, lo que simplifica esta tarea.

Proteja todas las máquinas de su entorno con software antivirus.

Considere la posibilidad de utilizar software antimalware específico de la plataforma.

Al instalar software, instálelo en las rutas predeterminadas proporcionadas.

  • Si instala software en una ubicación de archivo que no sea la ruta predeterminada proporcionada, considere agregar medidas de seguridad adicionales, como permisos restringidos, a su ubicación de archivo.

Todas las comunicaciones de red deben estar debidamente protegidas y cifradas para que coincidan con su política de seguridad. Puede proteger todas las comunicaciones entre equipos Microsoft Windows mediante IPSec; consulte la documentación de su sistema operativo para obtener detalles sobre cómo hacerlo. Además, la comunicación entre los dispositivos de usuario y los escritorios está protegida a través de Citrix SecureICA, que está configurado de forma predeterminada con cifrado de 128 bits. Puede configurar SecureICA al crear o actualizar un grupo de entrega.

Nota:

Citrix SecureICA forma parte del protocolo ICA/HDX, pero no es un protocolo de seguridad de red compatible con los estándares como Transport Layer Security (TLS). También puede proteger las comunicaciones de red entre dispositivos de usuario y escritorios mediante TLS. Para configurar TLS, consulte Transport Layer Security (TLS).

Aplique las mejores prácticas de Windows para la administración de cuentas. No cree una cuenta en una plantilla o imagen antes de que sea duplicada por Machine Creation Services o Provisioning Services. No programe tareas utilizando cuentas de dominio privilegiadas almacenadas. No cree manualmente cuentas de máquina de Active Directory compartidas. Estas prácticas ayudarán a evitar que un ataque a la máquina obtenga contraseñas de cuentas persistentes locales y luego las use para iniciar sesión en imágenes compartidas de MCS/PVS que pertenecen a otros.

Firewalls

Proteja todas las máquinas de su entorno con firewalls perimetrales, incluso en los límites de los enclaves, según corresponda.

Todas las máquinas de su entorno deben estar protegidas por un firewall personal. Al instalar los componentes principales y los VDA, puede elegir que los puertos necesarios para la comunicación de componentes y funciones se abran automáticamente si se detecta el Servicio de Firewall de Windows (incluso si el firewall no está habilitado). También puede optar por configurar manualmente esos puertos de firewall. Si utiliza un firewall diferente, debe configurarlo manualmente.

Si está migrando un entorno convencional a esta versión, es posible que deba reubicar un firewall perimetral existente o agregar nuevos firewalls perimetrales. Por ejemplo, supongamos que hay un firewall perimetral entre un cliente convencional y un servidor de bases de datos en el centro de datos. Cuando se utiliza esta versión, ese firewall perimetral debe colocarse de modo que el escritorio virtual y el dispositivo de usuario estén en un lado, y los servidores de bases de datos y los Delivery Controllers en el centro de datos estén en el otro lado. Por lo tanto, considere la posibilidad de crear un enclave dentro de su centro de datos para contener los servidores de bases de datos y los Controllers. Considere también tener protección entre el dispositivo de usuario y el escritorio virtual.

Nota:

Los puertos TCP 1494 y 2598 se utilizan para ICA y CGP y, por lo tanto, es probable que estén abiertos en los firewalls para que los usuarios fuera del centro de datos puedan acceder a ellos. Citrix recomienda no utilizar estos puertos para ninguna otra cosa, a fin de evitar la posibilidad de dejar inadvertidamente interfaces administrativas abiertas a ataques. Los puertos 1494 y 2598 están registrados oficialmente en la Autoridad de Asignación de Números de Internet (http://www.iana.org/).

Seguridad de las aplicaciones

Para evitar que los usuarios que no son administradores realicen acciones malintencionadas, le recomendamos que configure reglas de Windows AppLocker para instaladores, aplicaciones, ejecutables y scripts en el host VDA y en el cliente local de Windows.

Administrar privilegios de usuario

Conceda a los usuarios solo las capacidades que necesiten. Los privilegios de Microsoft Windows se siguen aplicando a los escritorios de la forma habitual: configure los privilegios a través de la Asignación de derechos de usuario y las pertenencias a grupos a través de la Directiva de grupo. Una ventaja de esta versión es que es posible conceder a un usuario derechos administrativos sobre un escritorio sin conceder también el control físico sobre el equipo en el que se almacena el escritorio.

Tenga en cuenta lo siguiente al planificar los privilegios de escritorio:

  • De forma predeterminada, cuando los usuarios sin privilegios se conectan a un escritorio, ven la zona horaria del sistema que ejecuta el escritorio en lugar de la zona horaria de su propio dispositivo de usuario. Para obtener información sobre cómo permitir que los usuarios vean su hora local al usar escritorios, consulte el artículo Administrar grupos de entrega.
  • Un usuario que es administrador en un escritorio tiene control total sobre ese escritorio. Si un escritorio es un escritorio agrupado en lugar de un escritorio dedicado, se debe confiar en el usuario con respecto a todos los demás usuarios de ese escritorio, incluidos los usuarios futuros. Todos los usuarios del escritorio deben ser conscientes del riesgo potencial permanente para la seguridad de sus datos que plantea esta situación. Esta consideración no se aplica a los escritorios dedicados, que tienen un solo usuario; ese usuario no debe ser administrador en ningún otro escritorio.
  • Un usuario que es administrador en un escritorio generalmente puede instalar software en ese escritorio, incluido software potencialmente malintencionado. El usuario también puede supervisar o controlar el tráfico en cualquier red conectada al escritorio.

Administrar derechos de inicio de sesión

Los derechos de inicio de sesión son necesarios tanto para las cuentas de usuario como para las cuentas de equipo. Al igual que con los privilegios de Microsoft Windows, los derechos de inicio de sesión se siguen aplicando a los escritorios de la forma habitual: configure los derechos de inicio de sesión a través de la Asignación de derechos de usuario y las pertenencias a grupos a través de la Directiva de grupo.

Los derechos de inicio de sesión de Windows son: iniciar sesión localmente, iniciar sesión a través de Servicios de Escritorio remoto, iniciar sesión a través de la red (acceder a este equipo desde la red), iniciar sesión como trabajo por lotes e iniciar sesión como servicio.

Para las cuentas de equipo, conceda a los equipos solo los derechos de inicio de sesión que necesiten. El derecho de inicio de sesión “Acceder a este equipo desde la red” es necesario:

  • En los VDA, para las cuentas de equipo de los Delivery Controllers
  • En los Delivery Controllers, para las cuentas de equipo de los VDA. Consulte (/es-es/advanced-concepts/implementation-guides/ad-ou-controller-discovery.html).
  • En los servidores StoreFront™, para las cuentas de equipo de otros servidores del mismo grupo de servidores StoreFront

Para las cuentas de usuario, conceda a los usuarios solo los derechos de inicio de sesión que necesiten.

Según Microsoft, de forma predeterminada, al grupo Usuarios de escritorio remoto se le concede el derecho de inicio de sesión “Permitir el inicio de sesión a través de los Servicios de Escritorio remoto” (excepto en los controladores de dominio).

La política de seguridad de su organización puede establecer explícitamente que este grupo se debe quitar de ese derecho de inicio de sesión. Considere el siguiente enfoque:

  • El Virtual Delivery Agent (VDA) para SO multisesión utiliza los Servicios de Escritorio remoto de Microsoft. Puede configurar el grupo Usuarios de escritorio remoto como un grupo restringido y controlar la pertenencia al grupo mediante directivas de grupo de Active Directory. Consulte la documentación de Microsoft para obtener más información.
  • Para otros componentes de Citrix Virtual Apps and Desktops™, incluido el VDA para SO de sesión única, el grupo Usuarios de escritorio remoto no es necesario. Por lo tanto, para esos componentes, el grupo Usuarios de escritorio remoto no requiere el derecho de inicio de sesión “Permitir el inicio de sesión a través de los Servicios de Escritorio remoto”; puede quitarlo. Además:
    • Si administra esos equipos a través de los Servicios de Escritorio remoto, asegúrese de que todos esos administradores ya sean miembros del grupo Administradores.
    • Si no administra esos equipos a través de los Servicios de Escritorio remoto, considere la posibilidad de deshabilitar los propios Servicios de Escritorio remoto en esos equipos.

Aunque es posible agregar usuarios y grupos al derecho de inicio de sesión “Denegar el inicio de sesión a través de los Servicios de Escritorio remoto”, el uso de derechos de inicio de sesión de denegación no se recomienda generalmente. Consulte la documentación de Microsoft para obtener más información.

Configurar derechos de usuario

La instalación de Delivery Controller™ crea los siguientes servicios de Windows:

  • Citrix AD Identity Service (NT SERVICE\CitrixADIdentityService): Administra las cuentas de equipo de Microsoft Active Directory para las máquinas virtuales.
  • Citrix Analytics (NT SERVICE\CitrixAnalytics): Recopila información de uso de la configuración del sitio para su uso por parte de Citrix, si esta recopilación ha sido aprobada por el administrador del sitio. Luego envía esta información a Citrix para ayudar a mejorar el producto.
  • Citrix App Library (NT SERVICE\CitrixAppLibrary): Admite la administración y el aprovisionamiento de AppDisks, la integración de AppDNA y la administración de App-V.
  • Citrix Broker Service (NT SERVICE\CitrixBrokerService): Selecciona los escritorios virtuales o las aplicaciones que están disponibles para los usuarios.
  • Citrix Configuration Logging Service (NT SERVICE\CitrixConfigurationLogging): Registra todos los cambios de configuración y otros cambios de estado realizados por los administradores en el sitio.
  • Citrix Configuration Service (NT SERVICE\CitrixConfigurationService): Repositorio de configuración compartida para todo el sitio.
  • Citrix Delegated Administration Service (NT SERVICE\CitrixDelegatedAdmin): Administra los permisos concedidos a los administradores.
  • Citrix Environment Test Service (NT SERVICE\CitrixEnvTest): Administra las autopruebas de los demás servicios de Delivery Controller.
  • Citrix Host Service (NT SERVICE\CitrixHostService): Almacena información sobre las infraestructuras de hipervisor utilizadas en una implementación de Citrix Virtual Apps o Citrix Virtual Desktops, y también ofrece la funcionalidad utilizada por la consola para enumerar recursos en un grupo de hipervisores.
  • Citrix Machine Creation Services (NT SERVICE\CitrixMachineCreationService): Orquesta la creación de máquinas virtuales de escritorio.
  • Citrix Monitor Service (NT SERVICE\CitrixMonitor): Recopila métricas para Citrix Virtual Apps o Citrix Virtual Desktops, almacena información histórica y proporciona una interfaz de consulta para herramientas de solución de problemas e informes.
  • Citrix Storefront Service (NT SERVICE\ CitrixStorefront): Admite la administración de StoreFront. (No forma parte del propio componente StoreFront).
  • Citrix Storefront Privileged Administration Service (NT SERVICE\CitrixPrivilegedService): Admite operaciones de administración privilegiada de StoreFront. (No forma parte del propio componente StoreFront).
  • Citrix Config Synchronizer Service (NT SERVICE\CitrixConfigSyncService): Propaga los datos de configuración de la base de datos principal del sitio a la caché de host local.
  • Citrix High Availability Service (NT SERVICE\CitrixHighAvailabilityService): Selecciona los escritorios virtuales o las aplicaciones que están disponibles para los usuarios cuando la base de datos principal del sitio no está disponible.

La instalación de Delivery Controller también crea los siguientes servicios de Windows. Estos también se crean cuando se instalan con otros componentes de Citrix:

  • Citrix Diagnostic Facility COM Server (NT SERVICE\CdfSvc): Admite la recopilación de información de diagnóstico para uso del Soporte de Citrix.
  • Citrix Telemetry Service (NT SERVICE\CitrixTelemetryService): Recopila información de diagnóstico para su análisis por parte de Citrix, de modo que los administradores puedan ver los resultados del análisis y las recomendaciones para ayudar a diagnosticar problemas con el sitio.

La instalación de Delivery Controller también crea el siguiente servicio de Windows. Actualmente no se utiliza. Si se ha habilitado, desactívelo.

  • Citrix Remote Broker Provider (NT SERVICE\XaXdCloudProxy)

La instalación de Delivery Controller también crea los siguientes servicios de Windows. Actualmente no se utilizan, pero deben estar habilitados. No los desactive.

  • Citrix Orchestration Service (NT SERVICE\CitrixOrchestration)
  • Citrix Trust Service (NT SERVICE\CitrixTrust)

Excepto el servicio Citrix Storefront Privileged Administration, a estos servicios se les concede el derecho de inicio de sesión Iniciar sesión como servicio y los privilegios Ajustar cuotas de memoria para un proceso, Generar auditorías de seguridad y Reemplazar un token de nivel de proceso. No es necesario cambiar estos derechos de usuario. Estos privilegios no son utilizados por el Delivery Controller y se deshabilitan automáticamente.

Configurar la configuración del servicio

Excepto el servicio Citrix Storefront Privileged Administration y el servicio Citrix Telemetry, los servicios de Windows de Delivery Controller enumerados anteriormente en la sección Configurar derechos de usuario están configurados para iniciar sesión como la identidad NETWORK SERVICE. No modifique esta configuración de servicio.

El servicio Citrix Config Synchronizer necesita que la cuenta NETWORK SERVICE pertenezca al grupo de administradores locales en el Delivery Controller. Esto permite que la caché de host local funcione correctamente.

El servicio Citrix Storefront Privileged Administration está configurado para iniciar sesión como Sistema local (NT AUTHORITY\SYSTEM). Esto es necesario para las operaciones de StoreFront de Delivery Controller que normalmente no están disponibles para los servicios (incluida la creación de sitios de Microsoft IIS). No modifique su configuración de servicio.

El servicio Citrix Telemetry está configurado para iniciar sesión con su propia identidad específica de servicio.

Puede deshabilitar el servicio Citrix Telemetry. Aparte de este servicio y de los servicios que ya están deshabilitados, no deshabilite ningún otro de estos servicios de Windows de Delivery Controller.

Configurar la configuración del registro

Ya no es necesario habilitar la creación de nombres y carpetas de archivos 8.3 en el sistema de archivos del VDA. La clave de registro NtfsDisable8dot3NameCreation se puede configurar para deshabilitar la creación de nombres y carpetas de archivos 8.3. También puede configurar esto mediante el comando fsutil.exe behavior set disable8dot3.

Implicaciones de seguridad del escenario de implementación

Su entorno de usuario puede contener dispositivos de usuario no administrados por su organización y completamente bajo el control del usuario, o dispositivos de usuario administrados por su organización. Las consideraciones de seguridad para estos dos entornos son generalmente diferentes.

Dispositivos de usuario administrados

Los dispositivos de usuario administrados están bajo control administrativo; están bajo su propio control o bajo el control de otra organización en la que confía. Puede configurar y suministrar dispositivos de usuario directamente a los usuarios; alternativamente, puede proporcionar terminales en los que un único escritorio se ejecuta solo en modo de pantalla completa. Siga las prácticas recomendadas de seguridad generales descritas anteriormente para todos los dispositivos de usuario administrados. Esta versión tiene la ventaja de que se requiere un software mínimo en un dispositivo de usuario.

Un dispositivo de usuario administrado se puede configurar para usarse en modo de pantalla completa o en modo de ventana:

  • Modo de pantalla completa: Los usuarios inician sesión con la pantalla habitual de inicio de sesión de Windows. Las mismas credenciales de usuario se utilizan luego para iniciar sesión automáticamente en esta versión.
  • Los usuarios ven su escritorio en una ventana: Los usuarios primero inician sesión en el dispositivo de usuario y luego inician sesión en esta versión a través de un sitio web suministrado con la versión.

Dispositivos de usuario no administrados

No se puede asumir que los dispositivos de usuario que no son administrados por una organización de confianza estén bajo control administrativo. Por ejemplo, puede permitir que los usuarios obtengan y configuren sus propios dispositivos, pero es posible que los usuarios no sigan las prácticas recomendadas de seguridad generales descritas anteriormente. Esta versión tiene la ventaja de que es posible entregar escritorios de forma segura a dispositivos de usuario no administrados. Estos dispositivos aún deben tener una protección antivirus básica que evite los keyloggers y ataques de entrada similares.

Consideraciones sobre el almacenamiento de datos

Al usar esta versión, puede evitar que los usuarios almacenen datos en dispositivos de usuario que están bajo su control físico. Sin embargo, aún debe considerar las implicaciones de que los usuarios almacenen datos en los escritorios. No es una buena práctica que los usuarios almacenen datos en los escritorios; los datos deben guardarse en servidores de archivos, servidores de bases de datos u otros repositorios donde puedan protegerse adecuadamente.

Su entorno de escritorio puede consistir en varios tipos de escritorios, como escritorios agrupados y dedicados. Los usuarios nunca deben almacenar datos en escritorios que se comparten entre usuarios, como los escritorios agrupados. Si los usuarios almacenan datos en escritorios dedicados, esos datos deben eliminarse si el escritorio se pone a disposición de otros usuarios más adelante.

Entornos de versiones mixtas

Los entornos de versiones mixtas son inevitables durante algunas actualizaciones. Siga las prácticas recomendadas y minimice el tiempo de coexistencia de componentes de Citrix de diferentes versiones. En entornos de versiones mixtas, la política de seguridad, por ejemplo, puede no aplicarse de manera uniforme.

Nota:

Esto es típico de otros productos de software; el uso de una versión anterior de Active Directory solo aplica parcialmente la Directiva de grupo con versiones posteriores de Windows.

El siguiente escenario describe un problema de seguridad que puede ocurrir en un entorno Citrix específico de versiones mixtas. Cuando se utiliza Citrix Receiver 1.7 para conectarse a un escritorio virtual que ejecuta el VDA en XenApp y XenDesktop 7.6 Feature Pack 2, la configuración de la directiva Permitir la transferencia de archivos entre el escritorio y el cliente está habilitada en el sitio, pero no puede ser inhabilitada por un Delivery Controller que ejecute XenApp y XenDesktop 7.1. No reconoce la configuración de la directiva, que se lanzó en la versión posterior del producto. Esta configuración de directiva permite a los usuarios cargar y descargar archivos a su escritorio virtual, lo que constituye el problema de seguridad. Para solucionar esto, actualice el Delivery Controller (o una instancia independiente de Studio) a la versión 7.6 Feature Pack 2 y, a continuación, utilice la Directiva de grupo para inhabilitar la configuración de la directiva. Alternativamente, utilice la directiva local en todos los escritorios virtuales afectados.

Consideraciones de seguridad de Remote PC Access

Remote PC Access implementa las siguientes funciones de seguridad:

  • Se admite el uso de tarjetas inteligentes.
  • Cuando se conecta una sesión remota, el monitor del PC de la oficina aparece en blanco.
  • Remote PC Access redirige toda la entrada de teclado y ratón a la sesión remota, excepto CTRL+ALT+DEL y las tarjetas inteligentes y dispositivos biométricos habilitados para USB.
  • SmoothRoaming solo es compatible con un único usuario.
  • Cuando un usuario tiene una sesión remota conectada a un PC de oficina, solo ese usuario puede reanudar el acceso local al PC de oficina. Para reanudar el acceso local, el usuario pulsa Ctrl-Alt-Del en el PC local y, a continuación, inicia sesión con las mismas credenciales utilizadas por la sesión remota. El usuario también puede reanudar el acceso local insertando una tarjeta inteligente o utilizando datos biométricos, si su sistema tiene la integración adecuada de un Credential Provider de terceros. Este comportamiento predeterminado se puede anular habilitando el cambio rápido de usuario a través de objetos de directiva de grupo (GPO) o editando el registro.

Nota:

Citrix recomienda no asignar privilegios de administrador de VDA a los usuarios de sesión generales.

Asignaciones automáticas

De forma predeterminada, Remote PC Access admite la asignación automática de varios usuarios a un VDA. En XenDesktop 5.6 Feature Pack 1, los administradores podían anular este comportamiento utilizando el script de PowerShell RemotePCAccess.ps1. Esta versión utiliza una entrada de registro para permitir o prohibir múltiples asignaciones automáticas de PC remotos; esta configuración se aplica a todo el sitio.

Precaución:

La edición incorrecta del registro puede causar problemas graves que podrían requerir la reinstalación del sistema operativo. Citrix no puede garantizar que se puedan resolver los problemas resultantes del uso incorrecto del Editor del Registro. Utilice el Editor del Registro bajo su propia responsabilidad. Asegúrese de hacer una copia de seguridad del registro antes de editarlo.

Para restringir las asignaciones automáticas a un solo usuario:

En cada Controller del sitio, establezca la siguiente entrada del registro:

HKEY\_LOCAL\_MACHINE\Software\Citrix|DesktopServer
Name: AllowMultipleRemotePCAssignments
Type: REG_DWORD
Data: 0 = Disable multiple user assignment, 1 = (Default) Enable multiple user assignment.

Si hay asignaciones de usuario existentes, quítelas mediante comandos SDK para que el VDA sea posteriormente apto para una única asignación automática.

  • Quite todos los usuarios asignados del VDA: $machine.AssociatedUserNames | %{ Remove-BrokerUser-Name $_ -Machine $machine
  • Quite el VDA del grupo de entrega: $machine | Remove-BrokerMachine -DesktopGroup $desktopGroup

Reinicie el PC físico de la oficina.

Confianza XML

La configuración de confianza XML se aplica a las implementaciones que utilizan:

  • Un StoreFront local.
  • Una tecnología de autenticación de suscriptor (usuario) que no requiere contraseñas. Ejemplos de estas tecnologías son el paso a través de dominio, las tarjetas inteligentes, SAML y las soluciones Veridium.

Habilitar la configuración de confianza XML permite a los usuarios autenticarse correctamente y, a continuación, iniciar aplicaciones. El Delivery Controller confía en las credenciales enviadas desde StoreFront. Habilite esta configuración solo cuando haya protegido las comunicaciones entre sus Delivery Controllers y StoreFront (mediante firewalls, IPsec u otras recomendaciones de seguridad).

Esta configuración está inhabilitada de forma predeterminada.

Utilice el SDK de PowerShell de Citrix Virtual Apps and Desktops para comprobar, habilitar o inhabilitar la configuración de confianza XML.

  • Para comprobar el valor actual de la configuración de confianza XML, ejecute Get-BrokerSite e inspeccione el valor de TrustRequestsSentToTheXMLServicePort.
  • Para habilitar la confianza XML, ejecute Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true.
  • Para deshabilitar la confianza XML, ejecute Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $false.
Consideraciones de seguridad y mejores prácticas
May 30, 2026
Contribución de: 
C C
May 30, 2026
Contribución de: 
C C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.