Consideraciones de seguridad y prácticas recomendadas

Nota:

Es posible que su organización deba cumplir estándares de seguridad específicos para satisfacer los requisitos normativos. Este documento no cubre este tema, ya que dichos estándares de seguridad cambian con el tiempo. Para obtener información actualizada sobre los estándares de seguridad y los productos de Citrix, consulte el Citrix Trust Center.

Firewalls

Proteja todas las máquinas de su entorno con firewalls perimetrales, incluso en los límites de los enclaves, según corresponda.

Todas las máquinas de su entorno deben estar protegidas por un firewall personal. Al instalar los componentes principales y los VDA, puede elegir que los puertos necesarios para la comunicación de componentes y funciones se abran automáticamente si se detecta el Servicio de Firewall de Windows (incluso si el firewall no está habilitado). También puede optar por configurar manualmente esos puertos de firewall. Si utiliza un firewall diferente, debe configurarlo manualmente. Para obtener más información sobre los puertos necesarios, consulte Tech Paper: Communication Ports Used by Citrix Technologies.

Si está migrando un entorno convencional a esta versión, es posible que deba reubicar un firewall perimetral existente o agregar nuevos firewalls perimetrales. Por ejemplo, supongamos que hay un firewall perimetral entre un cliente convencional y un servidor de bases de datos en el centro de datos. Cuando se utiliza esta versión, ese firewall perimetral debe colocarse de manera que el escritorio virtual y el dispositivo de usuario estén en un lado, y los servidores de bases de datos y los Delivery Controllers en el centro de datos estén en el otro lado. Por lo tanto, considere la posibilidad de crear un enclave dentro de su centro de datos para contener los servidores de bases de datos y los Controllers. Considere también tener protección entre el dispositivo de usuario y el escritorio virtual.

Nota:

Los puertos TCP 1494 y 2598 se utilizan para ICA y CGP y, por lo tanto, es probable que estén abiertos en los firewalls para que los usuarios fuera del centro de datos puedan acceder a ellos. Citrix recomienda no utilizar estos puertos para ninguna otra cosa, para evitar la posibilidad de dejar inadvertidamente interfaces administrativas abiertas a ataques. Los puertos 1494 y 2598 están registrados oficialmente en la Internet Assigned Number Authority (http://www.iana.org/).

Comunicaciones seguras con Delivery Controller™

Cifrado de la comunicación mediante HTTPS

StoreFront y NetScaler Gateway se comunican con el servicio XML que se ejecuta en el Delivery Controller a través de HTTP o HTTPS. Dependiendo de la configuración, los VDA pueden comunicarse con el Delivery Controller mediante WebSocket. Director se comunica con los datos de supervisión mediante OData a través de HTTP o HTTPS. Se recomienda habilitar HTTPS y deshabilitar HTTP. Esto requiere que habilite TLS en los Delivery Controllers.

• Para configurar StoreFront para que se conecte mediante HTTPS, consulte Agregar fuentes de recursos para Citrix Virtual Apps and Desktops y Agregar dispositivo Citrix Gateway.

• Para configurar un NetScaler Gateway para que se conecte al Delivery Controller mediante HTTPS, consulte Configuring the Secure Ticket Authority on NetScaler Gateway.

Claves de seguridad

Puede usar Security Keys para asegurarse de que solo los servidores StoreFront y NetScaler autorizados puedan conectarse a DaaS a través de los conectores de la nube. Esto es especialmente importante si ha habilitado la confianza XML.

Confianza XML

De forma predeterminada, cuando StoreFront se conecta al Delivery Controller para acciones como la enumeración y el inicio, StoreFront debe pasar las credenciales de Active Directory del usuario para que DaaS pueda autenticar al usuario y comprobar la pertenencia a grupos del usuario. Sin embargo, al usar otros métodos de autenticación como el paso a través de dominio, las tarjetas inteligentes o SAML, StoreFront no tiene la contraseña de Active Directory. En este caso, debe habilitar la “confianza XML”. Con la confianza XML habilitada, Citrix Virtual Apps and Desktops permite a StoreFront realizar acciones en nombre de un usuario, como enumerar e iniciar aplicaciones, sin validar la contraseña del usuario. Antes de habilitar la confianza XML, use Security Keys u otro mecanismo, como firewalls o IPsec, para asegurarse de que solo los servidores StoreFront de confianza puedan conectarse a los Delivery Controllers.

Utilice el Citrix Virtual Apps and Desktops PowerShell SDK para comprobar, habilitar o inhabilitar la configuración de confianza XML.

• Para comprobar el valor actual de la configuración de confianza XML, ejecute Get-BrokerSite e inspeccione el valor de TrustRequestsSentToTheXMLServicePort.
• Para habilitar o inhabilitar la confianza XML, ejecute Set-BrokerSite con el parámetro TrustRequestsSentToTheXmlServicePort.

Comunicación entre VDA y Delivery Controller

Existen dos mecanismos para que los VDA se comuniquen con los controladores.

• Windows Communication Foundation

  La protección a nivel de mensaje de Windows Communication Foundation (WCF) protege la comunicación entre el Delivery Controller y el VDA. Esto elimina la necesidad de una protección adicional a nivel de transporte mediante TLS. El puerto predeterminado utilizado para la comunicación entre VDA y Delivery Controller es 80. Sin embargo, puede personalizar el puerto. Para obtener más información, consulte Personalizar un VDA.

  Para obtener información sobre la seguridad de los mensajes en WCF, consulte la documentación de Microsoft Message Security in WCF.

  La configuración de WCF utiliza Kerberos para la autenticación mutua entre el Controller y el VDA. El cifrado utiliza AES en modo CBC con una clave de 256 bits. La integridad del mensaje utiliza SHA-1.

  Según Microsoft, los protocols de seguridad utilizados por WCF cumplen con los estándares de OASIS (Organization for the Advancement of Structured Information Standards), incluido WS-SecurityPolicy 1.2. Además, Microsoft afirma que WCF admite todas las suites de algoritmos enumeradas en Security Policy 1.2.

  La comunicación entre el Controller y el VDA utiliza la suite de algoritmos basic256, cuyos algoritmos son los indicados anteriormente.

  La configuración de WCF utiliza el protocolo SOAP sobre HTTP junto con el cifrado de seguridad a nivel de mensaje.

• WebSockets

  Este es el reemplazo moderno de WCF. Ofrece la ventaja de que solo el puerto TLS 443 se utiliza para la comunicación del VDA al Delivery Controller. Actualmente, solo está disponible para máquinas aprovisionadas por MCS. Para obtener más información, consulte Comunicación WebSocket entre VDA y Delivery Controller.

Comunicaciones seguras entre Delivery Controller y License Server

El Delivery Controller se comunica con el License Server a través de HTTPS. De forma predeterminada, utiliza un certificado autofirmado, pero se recomienda reemplazarlo por un certificado emitido por una autoridad de certificación empresarial o pública. Para obtener más información, consulte Instalar manualmente un certificado utilizado por Citrix Licensing Manager y Web Services for Licensing.

Comunicaciones seguras entre navegadores web y Web Studio y Director

Web Studio y Director se pueden instalar en la misma máquina que el Delivery Controller o en máquinas separadas. Los usuarios se conectan a Web Studio y Director mediante un navegador web. De forma predeterminada, Web Studio habilita HTTPS mediante un certificado autofirmado, mientras que Director instalado de forma independiente no configura HTTPS. Se recomienda habilitar TLS en Web Studio y Director, utilizando un certificado adecuado.

Protección de las comunicaciones ICA®

Citrix Virtual Apps and Desktops™ ofrece varias opciones para proteger el tráfico ICA entre el cliente y el VDA. Las opciones disponibles son las siguientes:

• Cifrado básico: La configuración predeterminada.
• SecureICA: Permite cifrar los datos de la sesión mediante el cifrado RC5 (128 bits).
• VDA TLS/DTLS: Permite utilizar el cifrado a nivel de red mediante TLS/DTLS.

Cifrado básico

Cuando se utiliza el cifrado básico, el tráfico se cifra como se muestra en el siguiente gráfico.

SecureICA

Cuando se utiliza SecureICA, el tráfico se cifra como se muestra en el siguiente gráfico.

Cifrado de tráfico al usar SecureICA(/es-es/citrix-virtual-apps-desktops/2411/media/secureica.png)

Para obtener más información, consulte Configuración de directivas de seguridad

Nota 1:

SecureICA no es compatible con la aplicación Workspace para HTML5.

Nota 2:

Citrix SecureICA forma parte del protocolo ICA/HDX, pero no es un protocolo de seguridad de red compatible con los estándares como Transport Layer Security (TLS).

VDA TLS/DTLS

Cuando se utiliza el cifrado VDA TLS/DTLS, el tráfico se cifra como se muestra en el siguiente gráfico.

Cifrado de tráfico al usar TLS/DTLS(/es-es/citrix-virtual-apps-desktops/2411/media/vda-tls.png)

Para configurar VDA TLS/DTLS, consulte Configuración de TLS en VDA.

Canales virtuales

Utilice la lista de permitidos de canales virtuales para controlar qué canales virtuales que no son de Citrix están permitidos en su entorno.

Comunicaciones seguras con el servidor de impresión

Puede habilitar TLS para las conexiones basadas en TCP entre el Virtual Delivery Agent (VDA) y el Universal Print Server. Para obtener más información, consulte Transport Layer Security (TLS) en Universal Print Server.

Comunicación segura con la base de datos del sitio

Para obtener información sobre cómo habilitar TLS en la base de datos del sitio, consulte CTX137556.

Seguridad de la máquina VDA

Recomendaciones generales

Asegúrese de que sus VDA estén actualizados con las últimas actualizaciones de seguridad del sistema operativo y antivirus.

Seguridad de las aplicaciones

Para evitar que los usuarios que no son administradores realicen acciones malintencionadas, Citrix® recomienda configurar reglas de Windows AppLocker para instaladores, aplicaciones, ejecutables y scripts en el host VDA.

Nombres de archivo 8.3

Puede inhabilitar los nombres de archivo 8.3 en los VDA. Consulte la documentación de Microsoft fsutil.

Consideraciones sobre el almacenamiento de datos

Su entorno de escritorio puede constar de varios tipos de escritorios, como escritorios agrupados y dedicados. Los usuarios nunca deben almacenar datos en escritorios que se comparten entre usuarios, como los escritorios agrupados. Si los usuarios almacenan datos en escritorios dedicados, esos datos deben eliminarse si el escritorio se pone a disposición de otros usuarios más adelante.

Administración de cuentas de usuario

Aplique las prácticas recomendadas de Windows para la administración de cuentas. No cree una cuenta en una plantilla o imagen antes de que sea duplicada por Machine Creation Services o Provisioning Services. No programe tareas utilizando cuentas de dominio privilegiadas almacenadas. No cree manualmente cuentas de máquina de Active Directory compartidas. Estas prácticas ayudarán a evitar que un ataque a la máquina obtenga contraseñas de cuentas persistentes locales y las utilice para iniciar sesión en imágenes compartidas de MCS/PVS que pertenezcan a otros.

Conceda a los usuarios solo las capacidades que necesiten. Los privilegios de Microsoft Windows se siguen aplicando a los escritorios de la forma habitual: configure los privilegios mediante la Asignación de derechos de usuario y las pertenencias a grupos mediante la Directiva de grupo. Una ventaja de esta versión es que es posible conceder a un usuario derechos administrativos sobre un escritorio sin conceder también el control físico sobre el equipo en el que se almacena el escritorio.

Tenga en cuenta lo siguiente al planificar los privilegios de escritorio:

• De forma predeterminada, cuando los usuarios no privilegiados se conectan a un escritorio, ven la zona horaria del sistema que ejecuta el escritorio en lugar de la zona horaria de su propio dispositivo de usuario. Para obtener información sobre cómo permitir que los usuarios vean su hora local al usar escritorios, consulte el artículo Administrar grupos de entrega.
• Un usuario que es administrador en un escritorio tiene control total sobre ese escritorio. Si un escritorio es un escritorio agrupado en lugar de un escritorio dedicado, se debe confiar en el usuario con respecto a todos los demás usuarios de ese escritorio, incluidos los futuros usuarios. Todos los usuarios del escritorio deben ser conscientes del riesgo potencial permanente para la seguridad de sus datos que plantea esta situación. Esta consideración no se aplica a los escritorios dedicados, que tienen un solo usuario; ese usuario no debe ser administrador en ningún otro escritorio.
• Un usuario que es administrador en un escritorio generalmente puede instalar software en ese escritorio, incluido software potencialmente malicioso. El usuario también puede supervisar o controlar potencialmente el tráfico en cualquier red conectada al escritorio.

Administrar derechos de inicio de sesión

Los derechos de inicio de sesión son necesarios tanto para las cuentas de usuario como para las cuentas de equipo. Al igual que con los privilegios de Microsoft Windows, los derechos de inicio de sesión se siguen aplicando a los escritorios de la forma habitual: configure los derechos de inicio de sesión a través de la Asignación de derechos de usuario y las pertenencias a grupos a través de la Directiva de grupo.

Los derechos de inicio de sesión de Windows son: iniciar sesión localmente, iniciar sesión a través de Servicios de Escritorio remoto, iniciar sesión a través de la red (acceder a este equipo desde la red), iniciar sesión como trabajo por lotes e iniciar sesión como servicio.

Para las cuentas de equipo, conceda a los equipos solo los derechos de inicio de sesión que necesiten. El derecho de inicio de sesión “Acceder a este equipo desde la red” es necesario para las cuentas de equipo de los Delivery Controllers.

Para las cuentas de usuario, conceda a los usuarios solo los derechos de inicio de sesión que necesiten.

Según Microsoft, de forma predeterminada, al grupo Usuarios de Escritorio remoto se le concede el derecho de inicio de sesión “Permitir el inicio de sesión a través de Servicios de Escritorio remoto” (excepto en los controladores de dominio).

La política de seguridad de su organización puede establecer explícitamente que este grupo debe eliminarse de ese derecho de inicio de sesión. Considere el siguiente enfoque:

• El Virtual Delivery Agent (VDA) para SO multisesión utiliza los Servicios de Escritorio remoto de Microsoft. Puede configurar el grupo Usuarios de Escritorio remoto como un grupo restringido y controlar la pertenencia al grupo a través de las directivas de grupo de Active Directory. Consulte la documentación de Microsoft para obtener más información.
• Para otros componentes de Citrix Virtual Apps and Desktops, incluido el VDA para SO de sesión única, el grupo Usuarios de Escritorio remoto no es necesario. Por lo tanto, para esos componentes, el grupo Usuarios de Escritorio remoto no requiere el derecho de inicio de sesión “Permitir el inicio de sesión a través de Servicios de Escritorio remoto”; puede eliminarlo. Además:
  • Si administra esos equipos a través de Servicios de Escritorio remoto, asegúrese de que todos esos administradores ya sean miembros del grupo Administradores.
  • Si no administra esos equipos a través de Servicios de Escritorio remoto, considere deshabilitar los propios Servicios de Escritorio remoto en esos equipos.

Aunque es posible agregar usuarios y grupos al derecho de inicio de sesión “Denegar el inicio de sesión a través de Servicios de Escritorio remoto”, el uso de derechos de inicio de sesión de denegación no se recomienda generalmente. Consulte la documentación de Microsoft para obtener más información.

Seguridad de Delivery Controller

Servicios de Windows en Delivery Controller

La instalación de Delivery Controller crea los siguientes servicios de Windows:

• Citrix AD Identity Service (NT SERVICE\CitrixADIdentityService): Administra las cuentas de equipo de Microsoft Active Directory para las máquinas virtuales.
• Citrix Analytics (NT SERVICE\CitrixAnalytics): Recopila información de uso de la configuración del sitio para Citrix, si el administrador del sitio ha aprobado esta recopilación. Luego, envía esta información a Citrix para ayudar a mejorar el producto.
• Citrix App Library (NT SERVICE\CitrixAppLibrary): Admite la administración y el aprovisionamiento de AppDisks, la integración de AppDNA y la administración de App-V.
• Citrix Broker Service (NT SERVICE\CitrixBrokerService): Selecciona los escritorios virtuales o las aplicaciones que están disponibles para los usuarios.
• Citrix Configuration Logging Service (NT SERVICE\CitrixConfigurationLogging): Registra todos los cambios de configuración y otros cambios de estado realizados por los administradores en el sitio.
• Citrix Configuration Service (NT SERVICE\CitrixConfigurationService): Repositorio de todo el sitio para la configuración compartida.
• Citrix Delegated Administration Service (NT SERVICE\CitrixDelegatedAdmin): Administra los permisos concedidos a los administradores.
• Citrix Environment Test Service (NT SERVICE\CitrixEnvTest): Administra las autocomprobaciones de los demás servicios de Delivery Controller.
• Citrix Host Service (NT SERVICE\CitrixHostService): Almacena información sobre las infraestructuras de hipervisor utilizadas en una implementación de Citrix Virtual Apps o Citrix Virtual Desktops, y también ofrece funcionalidades utilizadas por la consola para enumerar recursos en un grupo de hipervisores.
• Citrix Machine Creation Services (NT SERVICE\CitrixMachineCreationService): Organiza la creación de máquinas virtuales de escritorio.
• Citrix Monitor Service (NT SERVICE\CitrixMonitor): Recopila métricas para Citrix Virtual Apps o Citrix Virtual Desktops, almacena información histórica y proporciona una interfaz de consulta para herramientas de solución de problemas e informes.
• Citrix StoreFront Service (NT SERVICE\ CitrixStorefront): Admite la administración de StoreFront. (No forma parte del componente StoreFront en sí mismo).
• Servicio de administración privilegiada de Citrix StoreFront (NT SERVICE\CitrixPrivilegedService): Admite operaciones de administración privilegiada de StoreFront. (No forma parte del propio componente de StoreFront).
• Servicio de sincronización de configuración de Citrix (NT SERVICE\CitrixConfigSyncService): Propaga los datos de configuración desde la base de datos del sitio principal a la caché de host local.
• Servicio de alta disponibilidad de Citrix (NT SERVICE\CitrixHighAvailabilityService): Selecciona los escritorios o las aplicaciones virtuales que están disponibles para los usuarios cuando la base de datos del sitio principal no está disponible.

La instalación de Delivery Controller también crea los siguientes servicios de Windows. Estos también se crean cuando se instalan con otros componentes de Citrix:

• Servidor COM de la utilidad de diagnóstico de Citrix (NT SERVICE\CdfSvc): Admite la recopilación de información de diagnóstico para su uso por parte del soporte técnico de Citrix.
• Servicio de telemetría de Citrix (NT SERVICE\CitrixTelemetryService): Recopila información de diagnóstico para su análisis por parte de Citrix, de modo que los administradores puedan ver los resultados del análisis y las recomendaciones para ayudar a diagnosticar problemas con el sitio.

La instalación de Delivery Controller también crea el siguiente servicio de Windows. Actualmente no se utiliza. Si se ha habilitado, desactívelo.

• Proveedor de intermediación remota de Citrix (NT SERVICE\XaXdCloudProxy)

La instalación de Delivery Controller también crea los siguientes servicios de Windows. Actualmente no se utilizan, pero deben estar habilitados. No los desactive.

• Servicio de orquestación de Citrix (NT SERVICE\CitrixOrchestration)
• Servicio de confianza de Citrix (NT SERVICE\CitrixTrust)

Excepto el servicio de administración privilegiada de Citrix StoreFront™, a estos servicios se les concede el derecho de inicio de sesión Iniciar sesión como servicio y los privilegios Ajustar cuotas de memoria para un proceso, Generar auditorías de seguridad y Reemplazar un token de nivel de proceso. No es necesario cambiar estos derechos de usuario. Estos privilegios no son utilizados por Delivery Controller y se deshabilitan automáticamente.

Excepto el servicio de administración privilegiada de Citrix StoreFront y el servicio de telemetría de Citrix, los servicios de Windows de Delivery Controller enumerados anteriormente están configurados para iniciar sesión como la identidad NETWORK SERVICE. No modifique la configuración de estos servicios.

El servicio de sincronización de configuración de Citrix necesita que la cuenta NETWORK SERVICE pertenezca al grupo de administradores locales en Delivery Controller. Esto permite que la caché de host local funcione correctamente.

El servicio de administración privilegiada de Citrix StoreFront está configurado para iniciar sesión como Sistema local (NT AUTHORITY\SYSTEM). Esto es necesario para las operaciones de StoreFront de Delivery Controller que normalmente no están disponibles para los servicios (incluida la creación de sitios de Microsoft IIS). No modifique la configuración de este servicio.

El servicio de telemetría de Citrix está configurado para iniciar sesión con su propia identidad específica del servicio.

Puede deshabilitar el servicio de telemetría de Citrix. Aparte de este servicio y de los servicios que ya están deshabilitados, no deshabilite ningún otro de estos servicios de Windows de Delivery Controller.

Administrar derechos de inicio de sesión

Las cuentas de equipo de los VDA deben tener el derecho de inicio de sesión “Acceder a este equipo desde la red”. Consulte Detección de Controller basada en OU de Active Directory.

Acceso de cliente

El acceso de cliente se proporciona normalmente mediante la implementación de Citrix StoreFront. Para obtener más información sobre cómo proteger StoreFront, consulte la documentación de StoreFront.

Para permitir que los usuarios remotos se conecten de forma segura a StoreFront y a los VDA, implemente una puerta de enlace NetScaler®.

Citrix recomienda que los clientes se conecten a StoreFront mediante la aplicación Citrix Workspace. Para obtener más información, consulte las secciones de seguridad de la documentación de la aplicación Citrix Workspace para cada sistema operativo. Alternativamente, los usuarios pueden usar un explorador web para acceder a StoreFront.

Considere la posibilidad de proporcionar a los usuarios clientes ligeros en los que los usuarios tengan una capacidad limitada para ejecutar aplicaciones que no sean la aplicación Citrix Workspace™. Cuando los dispositivos estén administrados por su organización, debe establecer directivas para garantizar la implementación de actualizaciones de seguridad del sistema operativo y software antivirus. Sin embargo, en muchos casos, los usuarios deben poder conectarse desde dispositivos no administrados que están fuera del control de su organización. Considere la posibilidad de utilizar las siguientes funciones:

• Análisis de puntos finales para escanear los puntos finales en busca de información de seguridad, como el sistema operativo y el antivirus, y denegar el acceso a los clientes que no cumplan sus requisitos de seguridad.
• Protección de aplicaciones bloquea los registradores de pulsaciones de teclas y la captura de pantalla.

Entornos de versiones mixtas

Los entornos de versiones mixtas, por ejemplo, donde los VDA tienen una versión diferente a la del Delivery Controller, son inevitables durante algunas actualizaciones. Siga las prácticas recomendadas y minimice el tiempo en que coexisten componentes de Citrix de diferentes versiones. En entornos de versiones mixtas, es posible que la directiva de seguridad, por ejemplo, no se aplique de manera uniforme.

Nota:

Esto es típico de otros productos de software. El uso de una versión anterior de Active Directory solo aplica parcialmente la Directiva de grupo con versiones posteriores de Windows.

El siguiente escenario describe un problema de seguridad que puede ocurrir en un entorno Citrix específico de versiones mixtas. Cuando se utiliza Citrix Receiver 1.7 para conectarse a un escritorio virtual que ejecuta el VDA en XenApp y XenDesktop 7.6 Feature Pack 2, la configuración de directiva Permitir la transferencia de archivos entre el escritorio y el cliente está habilitada en el sitio, pero no puede ser deshabilitada por un Delivery Controller que ejecute XenApp y XenDesktop 7.1. No reconoce la configuración de directiva, que se lanzó en una versión posterior del producto. Esta configuración de directiva permite a los usuarios cargar y descargar archivos a su escritorio virtual, lo que constituye el problema de seguridad. Para solucionar esto, actualice el Delivery Controller (o una instancia independiente de Studio) a la versión 7.6 Feature Pack 2 y, a continuación, utilice la Directiva de grupo para deshabilitar la configuración de directiva. Alternativamente, utilice la directiva local en todos los escritorios virtuales afectados.

Consideraciones de seguridad de Remote PC Access

Remote PC Access implementa las siguientes funciones de seguridad:

• Se admite el uso de tarjetas inteligentes.
• Cuando se conecta una sesión remota, el monitor del PC de la oficina aparece en blanco.
• Remote PC Access redirige toda la entrada de teclado y ratón a la sesión remota, excepto CTRL+ALT+SUPR y las tarjetas inteligentes y dispositivos biométricos habilitados para USB.
• SmoothRoaming solo es compatible con un único usuario.
• Cuando un usuario tiene una sesión remota conectada a un PC de oficina, solo ese usuario puede reanudar el acceso local al PC de oficina. Para reanudar el acceso local, el usuario pulsa Ctrl-Alt-Supr en el PC local y, a continuación, inicia sesión con las mismas credenciales utilizadas por la sesión remota. El usuario también puede reanudar el acceso local insertando una tarjeta inteligente o utilizando datos biométricos, si su sistema tiene la integración adecuada de un proveedor de credenciales de terceros. Este comportamiento predeterminado se puede anular habilitando el cambio rápido de usuario a través de objetos de directiva de grupo (GPO) o editando el registro.

Nota:

Citrix recomienda no asignar privilegios de administrador de VDA a los usuarios de sesión generales.

Asignaciones automáticas

De forma predeterminada, Remote PC Access admite la asignación automática de varios usuarios a un VDA. En XenDesktop 5.6 Feature Pack 1, los administradores pueden anular este comportamiento mediante el script de PowerShell RemotePCAccess.ps1. Esta versión utiliza una entrada del registro para permitir o prohibir múltiples asignaciones automáticas de PC remotos. Esta configuración se aplica a todo el sitio.

Precaución:

La edición incorrecta del registro puede causar problemas graves que podrían requerir la reinstalación del sistema operativo. Citrix no puede garantizar que los problemas resultantes del uso incorrecto del Editor del Registro puedan resolverse. Utilice el Editor del Registro bajo su propia responsabilidad. Asegúrese de hacer una copia de seguridad del registro antes de editarlo.

Para restringir las asignaciones automáticas a un solo usuario:

En cada controlador del sitio, establezca la siguiente entrada de registro:

HKEY\_LOCAL\_MACHINE\Software\Citrix|DesktopServer
Name: AllowMultipleRemotePCAssignments
Type: REG_DWORD
Data: 0 = Disable multiple user assignment, 1 = (Default) Enable multiple user assignment.

Si hay asignaciones de usuario existentes, quítelas mediante comandos SDK para que el VDA sea posteriormente apto para una única asignación automática.

• Quite todos los usuarios asignados del VDA: $machine.AssociatedUserNames | %{ Remove-BrokerUser-Name $_ -Machine $machine
• Quite el VDA del grupo de entrega: $machine | Remove-BrokerMachine -DesktopGroup $desktopGroup

Reinicie el PC físico de la oficina.