Seguridad

App Protection

RENUNCIA DE RESPONSABILIDADES

Las directivas de App Protection funcionan filtrando el acceso a las funciones requeridas del sistema operativo subyacente. Se necesitan llamadas a API específicas para capturar pantallas o pulsaciones de teclas. Esta función significa que las directivas de App Protection pueden proporcionar protección incluso contra herramientas de piratas informáticos personalizadas y diseñadas específicamente. Sin embargo, a medida que los sistemas operativos evolucionan, pueden surgir nuevas formas de capturar pantallas y registrar pulsaciones de teclas. Si bien seguimos identificándolas y abordándolas, no podemos garantizar una protección completa en configuraciones e implementaciones específicas.

App Protection es una función adicional que proporciona una mayor seguridad al usar Citrix Virtual Apps and Desktops. La función restringe la posibilidad de que los clientes puedan verse amenazados por malware de registro de pulsaciones de teclas y malware de capturas de pantalla. App Protection evita la exfiltración de información confidencial, como credenciales de usuario e información confidencial que se muestran en la pantalla. La función evita que los usuarios y los atacantes hagan capturas de pantalla y usen registradores de pulsaciones de teclas para obtener y explotar información confidencial.

Notas:

• Esta función está disponible cuando la aplicación Citrix Workspace se instala mediante los paquetes tarball, Debian y Red Hat Package Manager (RPM). Además, x64 y ARM64 son las únicas arquitecturas compatibles.

• Esta función está disponible en implementaciones locales de Citrix Virtual Apps and Desktops. También en implementaciones que usa n Citrix Virtual Apps and Desktops Service con StoreFront.

App Protection requiere instalar una licencia adicional en el servidor de licencias. También debe haber presente una licencia de Citrix Virtual Desktops. Para obtener información sobre las licencias, consulte la sección Configuración de Citrix Virtual Apps and Desktops.

A partir de la versión 2108, la función App Protection es completamente funcional. La función App Protection está disponible en sesiones de escritorios y aplicaciones, y está habilitada de forma predeterminada. Sin embargo, debe configurar la función App Protection en el archivo AuthManConfig.xml para habilitarla en las interfaces del administrador de autenticación y de Self-Service Plug-in.

A partir de esta versión, puede iniciar recursos protegidos desde la aplicación Citrix Workspace mientras se ejecuta Mozilla Firefox.

Requisito previo:

App Protection funciona mejor con estos sistemas operativos y GNOME Display Manager:

• Ubuntu 18.04, Ubuntu 20.04 y Ubuntu 22.04 de 64 bits
• Debian 9, Debian 10 y Debian 11 de 64 bits
• CentOS 7 de 64 bits
• RHEL 7 de 64 bits
• Sistema operativo ARM64 Raspberry Pi (basado en Debian 11 (bullseye))

Instalación del componente de App Protection:

Al instalar la aplicación Citrix Workspace con el paquete tarball, aparece el mensaje siguiente.

“¿Quiere instalar el componente de App Protection? Advertencia: No puede inhabilitar esta función. Para inhabilitarla, debe desinstalar la aplicación Citrix Workspace. Para obtener más información, contacte con el administrador del sistema. [$INSTALLER_N predeterminado]:”

Presione Y para instalar el componente de App Protection.

De forma predeterminada, el componente de App Protection no está instalado.

Reinicie la máquina para que los cambios surtan efecto. App Protection funciona como es debido solamente tras reiniciar la máquina.

Instalación del componente de App Protection en paquetes RPM:

A partir de la versión 2104, App Protection se ofrece en la versión RPM de la aplicación Citrix Workspace.

Para instalar App Protection, haga esto:

1. Al instalar la aplicación Citrix Workspace.
2. Instale el paquete ctxappprotection<version>.rpm de App Protection desde el instalador de la aplicación Citrix Workspace.
3. Reinicie el sistema para que los cambios surtan efecto.

Instalar el componente de App Protection en paquetes Debian:

A partir de la versión 2101, App Protection se ofrece en la versión Debian de la aplicación Citrix Workspace.

Para una instalación silenciosa del componente de App Protection, ejecute el siguiente comando desde el terminal antes de instalar la aplicación Citrix Workspace:

  export DEBIAN_FRONTEND="noninteractive"
sudo debconf-set-selections <<< "icaclient app_protection/install_app_protection select yes"

sudo debconf-show icaclient
*  app_protection/install_app_protection: yes

sudo apt install -f ./icaclient_<version>._amd64.deb
<!--NeedCopy-->

A partir de la versión 2106, la aplicación Citrix Workspace presenta una opción para configurar las funciones de protección contra el registro de tecleo y protección contra capturas de pantalla por separado para las interfaces del administrador de autenticación y del Self-Service Plug-in.

Configurar App Protection para el administrador de autenticación:

Vaya a $ICAROOT/config/AuthManConfig.xml y modifique el archivo de la siguiente manera:

  /opt/Citrix/ICAClient/config$ cat AuthManConfig.xml | grep -i authmananti -A 1
    <key>AuthManAntiScreenCaptureEnabled</key>
    <value>true</value>
    <key>AuthManAntiKeyLoggingEnabled</key>
    <value>true</value>

<!--NeedCopy-->

Configuración de App Protection para la interfaz del Self-Service Plug-in:

Vaya a $ICAROOT/config/AuthManConfig.xml y modifique el archivo de la siguiente manera:

  /opt/Citrix/ICAClient/config$ cat AuthManConfig.xml | grep -i protection -A 4
<!-- Selfservice App Protection configuration -->
    <Selfservice>
      <AntiScreenCaptureEnabled>true</AntiScreenCaptureEnabled>
      <AntiKeyLoggingEnabled>true</AntiKeyLoggingEnabled>
    </Selfservice>

<!--NeedCopy-->

Problemas conocidos:

• Al minimizar una pantalla protegida, App Protection continúa ejecutándose en segundo plano.

Limitación:

• A veces, no se pueden iniciar recursos protegidos cuando se está ejecutando una aplicación instalada desde Snap Store. Como solución temporal, identifique la aplicación que causa el problema en el archivo de registros de la aplicación Citrix Workspace. Luego, cierre la aplicación. Para obtener más información, consulte Configurar la lista de permitidos para las aplicaciones que usan funcionalidades LD_Preload
• Al intentar hacer una captura de pantalla de una ventana protegida, toda la pantalla, incluidas las aplicaciones no protegidas en segundo plano, se atenuaba.

Función de App Protection para eLux® 7

A partir de esta versión, la aplicación Citrix Workspace para Linux admite App Protection en eLux 7. Esta integración proporciona mayor seguridad al proteger contra amenazas de registro de tecleo y captura de pantallas al acceder a aplicaciones y escritorios virtuales desde dispositivos eLux 7. Con App Protection habilitada, las organizaciones pueden proteger mejor la información confidencial y garantizar la conformidad con las directivas de seguridad, incluso en dispositivos de punto final clientes ligeros que ejecutan eLux 7. Para obtener más información sobre App Protection, consulte la documentación de App Protection.

Tiempo de espera por inactividad para la aplicación Citrix Workspace

La función de tiempo de espera por inactividad cierra su sesión de la aplicación Citrix Workspace en función de un valor que establece el administrador. A partir de la versión 2303 y posteriores, los administradores pueden especificar la cantidad de tiempo de inactividad permitido antes de que se cierre automáticamente la sesión de un usuario en la aplicación Citrix Workspace. Se cerrará la sesión automáticamente cuando no se produzca ninguna actividad con el mouse, el teclado o táctil durante el intervalo de tiempo especificado, dentro de la ventana de la aplicación Citrix Workspace. El tiempo de espera por inactividad no afecta a las sesiones de Citrix Virtual Apps and Desktops y Citrix DaaS ni a almacenes de StoreFront.

Nota:

Esta función solo es aplicable en implementaciones en la nube.

Como requisito previo, debe habilitar esta función en el archivo AuthManConfig.xml. Vaya a $ICAROOT/config/AuthManConfig.xml y agregue las siguientes entradas:

  <key>ITOEnabled</key>
<value>true</value>
<!--NeedCopy-->

Los administradores pueden configurar el tiempo de espera en Configuración de Workspace. Para obtener más información, consulte Establecer el tiempo de espera por inactividad para dispositivos móviles y de escritorio en la web y en la aplicación Workspace.

La experiencia del usuario final es la siguiente:

• Aparecerá una notificación tres minutos antes de que se le cierre la sesión, con la opción de mantener la sesión abierta o cerrar la sesión.
• Los usuarios pueden hacer clic en Mantener sesión abierta para descartar la notificación y seguir utilizando la aplicación. En ese caso, el temporizador de inactividad se restablece a su valor configurado. También puede hacer clic en Cerrar sesión para finalizar la sesión del almacén actual.

Nota:

La función de tiempo de espera por inactividad no admite distribuciones que tengan Wayland como el protocolo gráfico predeterminado. Para las distribuciones que tienen Wayland, descomente cualquiera de las siguientes líneas: WaylandEnable=false en /etc/gdm/custom.conf o en /etc/gdm3/custom.conf.

Inicio de sesión persistente

Desde la versión 2303 de la aplicación Citrix Workspace y versiones posteriores, la función de inicio de sesión persistente le permite permanecer conectado durante un período máximo (de 2 a 365 días) configurado por su administrador. Cuando esta función está habilitada, no necesita proporcionar las credenciales de inicio de sesión para la aplicación Citrix Workspace durante el período configurado.

Con esta funcionalidad, las sesiones de SSO en Citrix DaaS se prolongan hasta 365 días. Esta ampliación se basa en el tiempo de vida de los tokens de larga duración. Sus credenciales se almacenan en la caché de forma predeterminada durante 4 días o la duración definida, lo que sea inferior. Y, luego, se prolonga cuando hay actividad de nuevo dentro de estos 4 días al conectarse a la aplicación Citrix Workspace.

Configurar la función de inicio de sesión persistente

Un administrador debe configurar el inicio de sesión persistente en el entorno de Workspace con este procedimiento:

1. Inicie sesión en Citrix Cloud.
2. En la consola de Citrix Cloud, haga clic en el menú de la esquina superior izquierda de la pantalla.
3. Seleccione la opción Configuración de Workspace > Personalizar > Preferencias.
4. Desplácese hacia abajo hasta Período de reautenticación de la aplicación Workspace.
5. Haga clic en Modificar junto al campo Período de reautenticación actual.
6. Introduzca los días necesarios en el campo Período de reautenticación actual.
7. Debe introducir dos días o más en el campo Período de reautenticación actual.

Para obtener más información, consulte las instrucciones de la sección Período de reautenticación para la aplicación Workspace en esta imagen:

Experiencia con la autenticación mejorada

La ventana de inicio de sesión persistente está integrada en la ventana de autoservicio.

1. Acceda a la aplicación Citrix Workspace. Aparece la ventana de autenticación.

   

2. Inicie sesión con sus credenciales. Se le redirigirá a la solicitud de permiso para aceptar.

   

3. Haga clic en Permitir.

Nota:

Si selecciona Denegar y rechaza el consentimiento, verá una segunda solicitud de inicio de sesión, y tendrá que iniciar sesión en la aplicación Citrix Workspace cada 24 horas.

Inhabilitar la función de inicio de sesión

Un administrador puede inhabilitar la función de inicio de sesión persistente en la interfaz de usuario de Citrix Cloud o en el archivo AuthManConfig.xml. Sin embargo, el valor establecido en el archivo AuthManConfig.xml supedita el valor establecido en la interfaz de usuario de Citrix Cloud.

Usar la interfaz de usuario Citrix Cloud

1. Inicie sesión en Citrix Cloud.
2. En la consola de Citrix Cloud, haga clic en el menú de la esquina superior izquierda de la pantalla.
3. Seleccione la opción Configuración de Workspace > Personalizar > Preferencias.
4. Desplácese hacia abajo hasta Período de reautenticación de la aplicación Workspace.
5. Haga clic en Modificar junto al campo Período de reautenticación actual.
6. Introduzca un día en el campo Período de reautenticación actual.

Usar el archivo AuthManConfig.xml

Para inhabilitar la función de inicio de sesión persistente, haga lo siguiente:

1. Vaya al archivo <ICAROOT>/config/AuthManConfig.xml.

2. Defina los valores de esta manera:

     <AuthManLite>
       <primaryTokenLifeTime>1.00:00:00</primaryTokenLifeTime>
       <secondaryTokenLifeTime>0.01:00:00</secondaryTokenLifeTime>
       <longLivedTokenSupport>true</longLivedTokenSupport>
       <nativeLoggingEnabled>true</nativeLoggingEnabled>
       <platform>linux</platform>
       <saveTokens>true</saveTokens>
       <compressedGroupsEnabled>true</compressedGroupsEnabled>
   </AuthManLite>
   <!--NeedCopy-->
   

Integración fluida de deviceTRUST®

A partir de la versión 2503, deviceTRUST se incluye con la aplicación Citrix Workspace para una implementación unificada, lo que garantiza una integración y administración fluidas.

Nota:

Actualmente, esta funcionalidad solo es compatible con el sistema operativo Ubuntu. Verifique las versiones de Ubuntu como se indica en Distribuciones de Linux compatibles.

A continuación se detallan el comportamiento y las especificaciones de la integración de deviceTRUST:

• De forma predeterminada, la aplicación Citrix Workspace para Linux instala deviceTRUST usando la versión empaquetada incluida en el instalador.
• El fallo en la instalación de deviceTRUST no afecta a la instalación de la aplicación Citrix Workspace.
• Si ya tiene instalada la versión 23.1 o anterior de deviceTRUST Client Extension, no se actualiza ni se elimina automáticamente. Sin embargo, la versión 23.1 o anterior de deviceTRUST Agent continúa funcionando con la instalación existente.

Para obtener más información sobre la instalación del componente deviceTRUST en paquetes Debian, consulte Instalación con un paquete Debian.