Citrix Virtual Apps and Desktops

Protección de aplicaciones

La protección de aplicaciones es una función adicional de la aplicación Citrix Workspace que proporciona una seguridad mejorada cuando se utilizan recursos publicados de Citrix Virtual Apps and Desktops.

Dos directivas proporcionan funciones contra el registro de tecleo y las capturas de pantalla en una sesión de Citrix HDX. Las directivas, junto con la aplicación Citrix Workspace 1912 o versiones posteriores para Windows, Citrix Workspace 2001 o versiones posteriores para Mac o Citrix Workspace 2018 o versiones posteriores para Linux pueden ayudar a proteger los datos de registradores de pulsaciones de teclas y capturadores de pantalla.

Cuando la función contra el registro de tecleo está habilitada:

  • Un registrador ve pulsaciones de teclas cifradas.
  • Esta función solo está activa cuando hay una ventana protegida enfocada.

Cuando la función contra las capturas de pantalla está activada:

  • La captura de pantalla es una pantalla vacía en los sistemas operativos Windows y Linux. En macOS, solo el contenido de la ventana protegida está vacío.
  • Para Windows OS y macOS, esta función está activa cuando hay una ventana protegida visible (sin minimizar). En el sistema operativo Linux, la función está activa tanto cuando se minimiza como cuando se maximiza una ventana protegida.

Las directivas solo se configuran a través de PowerShell. No hay capacidad de administración de GUI. Esta configuración solo es necesaria para habilitar o inhabilitar la funcionalidad para un grupo de entrega específico.

Después de adquirir esta función, habilite la licencia de protección de aplicaciones.

Renuncia de responsabilidades:

Las directivas de protección de aplicaciones funcionan filtrando el acceso a las funciones requeridas del sistema operativo subyacente (llamadas a API específicas necesarias para capturar pantallas o pulsaciones de teclas). De este modo, las directivas de protección de aplicaciones pueden proporcionar protección incluso contra herramientas de piratas informáticos personalizadas y diseñadas específicamente. Sin embargo, a medida que los sistemas operativos evolucionan, pueden surgir nuevas formas de capturar pantallas y registrar pulsaciones de teclas. Si bien seguimos identificándolas y abordándolas, no podemos garantizar una protección completa en configuraciones e implementaciones específicas.

Las directivas de protección de aplicaciones que ofrece Citrix funcionan con componentes subyacentes del sistema operativo, incluidos los archivos ICA. Citrix no podría ofrecer asistencia si se detectan alteraciones o modificaciones intencionadas de los componentes subyacentes, con lo que se recomienda proporcionar la integridad de las directivas aplicadas.

Limitaciones

Estas limitaciones existen por diseño:

  • La función contra el registro de tecleo no se admite dentro de sesiones HDX o RDP. La protección de dispositivos de punto final sigue activa. Esta limitación solo se aplica a los casos de doble salto.
  • No hay compatibilidad de funcionalidades cuando se utiliza una versión no compatible de la aplicación Citrix Workspace o Citrix Receiver. En ese caso, los recursos están ocultos.
  • La protección de aplicaciones está disponible en las implementaciones locales de Citrix Virtual Apps and Desktops y Citrix Virtual Apps and Desktops Service con StoreFront.
  • No se admiten almacenes web de StoreFront.
  • El complemento de la función de protección de aplicaciones que ofrece la aplicación Citrix Workspace impide compartir pantalla saliente.
  • La protección de aplicaciones puede impedir el uso compartido saliente de la pantalla con aplicaciones o funciones de colaboración que tienen habilitada la optimización.
  • Las aplicaciones con directivas de protección de aplicaciones no se indican en las concesiones de conexión, por lo que la continuidad del servicio no muestra los iconos de aplicación/escritorio en la aplicación Citrix Workspace cuando se encuentra en modo sin conexión o en una interrupción de servicio.

Comportamiento esperado

Los comportamientos previstos dependen de cómo se acceda al almacén de StoreFront que contiene los recursos protegidos. Puede acceder a los recursos a través de un cliente de la aplicación Citrix Workspace nativo compatible.

  • Comportamiento en StoreWeb: Las aplicaciones con directivas de protección de aplicaciones no se enumeran en los almacenes web de StoreFront.
  • Comportamiento en aplicaciones de Citrix Receiver o Citrix Workspace no compatibles: No se enumeran las aplicaciones con directivas de protección de aplicaciones.
  • Comportamiento en las versiones compatibles de la aplicación Citrix Workspace: Los recursos protegidos se enumeran y se inician correctamente.

La protección se aplica en las siguientes condiciones:

  • Protección contra capturas de pantalla: Para Windows y Mac, está habilitada si cualquier ventana protegida es visible en la pantalla. Para inhabilitar la protección, minimice todas las ventanas protegidas. Para Linux, está habilitada si hay alguna ventana protegida activa. Para inhabilitar la protección, cierre todas las ventanas protegidas.
  • Contra registro de tecleo: Habilitada si hay una ventana protegida enfocada. Para inhabilitar la protección, cambie el foco a otra ventana.

¿Qué protege la protección de aplicaciones?

Para capturar la pantalla de cualquier ventana de aplicación que no sea Citrix Workspace, los usuarios deben minimizar primero la ventana protegida. Para Linux, los usuarios deben cerrar todas las ventanas protegidas.

De forma predeterminada, la protección de aplicaciones protege las siguientes ventanas de Citrix:

  • Ventanas de inicio de sesión de Citrix: Los diálogos de autenticación de Citrix Workspace están protegidos solo en sistemas operativos Windows. Para Linux, debe configurar la función de protección de aplicaciones en el archivo AuthManConfig.xml para habilitarla en el administrador de autenticación.

Ventana de inicio de sesión de Citrix: Protegida

  • Ventanas de sesión HDX de la aplicación Citrix Workspace (ejemplo, escritorio administrado)

Ventana de escritorio administrado por Citrix: Protegida

  • Ventanas de autoservicio (almacén): Las ventanas de autoservicio de Citrix Workspace están protegidas solo en los sistemas operativos Windows. Para Linux, debe configurar la función de protección de aplicaciones en el archivo AuthManConfig.xml para habilitarla en las ventanas de autoservicio.

Ventana de autoservicio (almacén) de Citrix: Protegida

¿Qué no protege la protección de aplicaciones?

Los elementos que se encuentran bajo el icono de aplicaciones de Citrix Workspace en la barra de navegación:

  • Central de conexiones
  • Todos los enlaces en Preferencias avanzadas
  • Personalizar
  • Comprobar actualizaciones
  • Cerrar sesión

Requisitos del sistema

Versiones mínimas de los componentes de Citrix

  • Aplicación Citrix Workspace 2018 para Linux
  • Aplicación Citrix Workspace 1912 para Windows Long Term Service Release
  • Aplicación Citrix Workspace 2002 para Windows
  • Aplicación Citrix Workspace 2001 para Mac
  • StoreFront 1912
  • Delivery Controller 1912
  • Licencias de Citrix válidas
    • Licencia adicional de protección de aplicaciones
    • Una licencia válida para Citrix Virtual Apps and Desktops 1912 o una versión posterior

Plataformas de sistemas operativos

El runtime de directivas de protección de aplicaciones se instala en el dispositivo de punto final de origen y no en el VDA de destino. Por lo tanto, solo la versión del sistema operativo del dispositivo de punto final es importante (La protección de aplicaciones se puede conectar a agentes VDA alojados en cualquier sistema operativo compatible descrito en Requisitos del sistema de Citrix Virtual Apps and Desktops).

La función de protección de aplicaciones se admite en los dispositivos de punto final que ejecutan los siguientes sistemas operativos:

  • Windows 10
  • Windows 8.1
  • Windows 7
  • macOS High Sierra (10.13) y versiones posteriores
  • Ubuntu 18.04 de 64 bits o una versión posterior
  • Debian 9 de 64 bits o una versión posterior
  • CentOS 7.5 de 64 bits o una versión posterior
  • RHEL 7.5 de 64 bits o una versión posterior
  • Raspbian 10 (Buster) con armhf de 32 bits o una versión posterior

Nota:

Para la protección de aplicaciones, la aplicación Citrix Workspace para Linux requiere Gnome Display Manager junto con los sistemas operativos compatibles.

Configuración

Siga estos pasos para configurar y habilitar completamente la función de protección de aplicaciones:

  1. Importe la licencia de protección de aplicaciones†.
  2. Configure la aplicación Workspace.
  3. Habilite las directivas de protección de aplicaciones en los Delivery Controllers†.

† En un entorno de Citrix Virtual Apps and Desktops Service, estos pasos de configuración son ligeramente distintos. Consulte las notas de estas secciones.

1. Licencias

Nota:

En un entorno de Citrix Virtual Apps and Desktops Service, omita este paso porque no hay licencias que instalar. La función de protección de aplicaciones se incluye como parte de ciertos paquetes de Citrix Cloud Services, y las licencias se proporcionan directamente en Citrix Cloud.

La protección de aplicaciones requiere la instalación de una licencia adicional en Citrix License Server. También debe haber presente una licencia válida para Citrix Virtual Apps and Desktops 1912 o una versión posterior. Póngase en contacto con un representante de ventas de Citrix para adquirir la licencia adicional de protección de aplicaciones.

  1. Descargue el archivo de licencia e impórtelo en el servidor de licencias Citrix, junto con una licencia existente de Citrix Virtual Desktops.
  2. Utilice Citrix Licensing Manager para importar el archivo de licencia (método preferido) o copie el archivo de licencia en C:\Program Files (x86)\Citrix\Licensing\MyFiles, en el servidor de licencias y reinicie el servicio Citrix Licensing. Para obtener más información, consulte Instalar licencias.

2. Aplicación Citrix Workspace

Configure la protección de aplicaciones en la aplicación Citrix Workspace.

Aplicación Citrix Workspace para Windows

Puede incluir el componente de protección de aplicaciones con la aplicación Citrix Workspace con los siguientes métodos:

  • Durante la instalación de la aplicación Citrix Workspace.
  • Mediante la interfaz de línea de comandos después de instalar la aplicación Citrix Workspace.

Asegúrese de que la aplicación Citrix Workspace se ha instalado con el modificador /includeappprotection habilitado.

Para obtener más información, consulte Protección de aplicaciones.

Aplicación Citrix Workspace para Mac

La protección de aplicaciones no requiere una configuración específica en la aplicación Citrix Workspace para Mac.

Aplicación Citrix Workspace para Linux

La protección de aplicaciones está disponible cuando la aplicación Citrix Workspace se instala mediante los paquetes tarball, Debian y Red Hat Package Manager (RPM). Las arquitecturas compatibles son x64 y ARMHF.

Para obtener más información, consulte Protección de aplicaciones.

3. Grupos de entrega

Nota:

En un entorno de Citrix Virtual Apps and Desktops Service, utilice los cmdlets del SDK de PowerShell remoto de Citrix Virtual Apps and Desktops en cualquier máquina (aparte de las máquinas con Citrix Cloud Connectors) para ejecutar los comandos de esta sección.

Habilite estas propiedades para el grupo de entrega con protección de aplicaciones mediante el SDK de Citrix Virtual Apps and Desktops en cualquier máquina con un Delivery Controller instalado o en una máquina con una versión autónoma de Studio que tenga instalados los complementos FMA de PowerShell.

  • AppProtectionKeyLoggingRequired: True
  • AppProtectionScreenCaptureRequired: True

Puede habilitar cada una de estas directivas individualmente por grupo de entrega. Por ejemplo, puede configurar la protección contra el registro de tecleo solo para DG1 y la protección contra capturas de pantalla solo para DG2. Puede habilitar ambas directivas para DG3.

Ejemplo

Para habilitar ambas directivas para un grupo de entrega denominado DG3, ejecute el siguiente comando en cualquier Delivery Controller del sitio:

Set-BrokerDesktopGroup -Name DG3 -AppProtectionKeyLoggingRequired $true -AppProtectionScreenCaptureRequired $true

Para validar la configuración, ejecute este cmdlet:

Get-BrokerDesktopGroup -Property Name, AppProtectionKeyLoggingRequired, AppProtectionScreenCaptureRequired | Format-Table -AutoSize

Habilite también la confianza en XML:

Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true

Debe proteger la red entre StoreFront y el Broker. Para obtener más información, consulte los artículos CTX236929 y Securing the XenApp and XenDesktop XML Service de Knowledge Center.

Recomendación

Las directivas de protección de aplicaciones se centran en mejorar la seguridad y la protección de los dispositivos de punto final. Revise todas las demás recomendaciones y directivas de seguridad de su entorno. Puede utilizar una plantilla de directiva de Seguridad y control para la configuración recomendada en entornos con baja tolerancia al riesgo. Para obtener más información, consulte Plantillas de directiva.

Solución de problemas

Las aplicaciones no se enumeran o no se inician:

  • Confirme que el usuario afectado utiliza una versión compatible de la aplicación Citrix Workspace.
  • Asegúrese de que el grupo de entrega tiene habilitadas las funciones correspondientes.

Las directivas de protección de aplicaciones no se aplican correctamente:

  • Asegúrese de que el grupo de entrega tiene habilitadas las funciones correspondientes.
  • Compruebe que la función está instalada en el dispositivo de punto final.
  • Confirme que el usuario afectado utiliza una versión compatible de la aplicación Citrix Workspace.
  • Asegúrese de que la aplicación Citrix Workspace se ha instalado con el modificador /includeappprotection habilitado.

Las capturas de pantalla no funcionan en ventanas que no son Citrix:

  • Minimice o cierre las ventanas protegidas de Citrix, incluida la aplicación Citrix Workspace.
Protección de aplicaciones