Proteger comunicaciones

Para proteger la comunicación entre el servidor Citrix Virtual Apps and Desktops y la aplicación Citrix Workspace, se pueden integrar las conexiones de la aplicación Citrix Workspace a través de tecnologías de seguridad como las siguientes:

  • Citrix Gateway: Para obtener información, consulte los temas de esta sección, además de la documentación de Citrix Gateway y StoreFront.

    Nota:

    Citrix recomienda utilizar Citrix Gateway entre los servidores StoreFront y los dispositivos de los usuarios.

  • Un firewall: Los firewall o servidores de seguridad de red pueden permitir o bloquear los paquetes basándose en la dirección y el puerto de destino. Si utiliza la aplicación Citrix Workspace a través de un firewall que asigna la dirección IP de red interna del servidor a una dirección de Internet externa (es decir, traducción de direcciones de red, NAT), configure la dirección externa.
  • Servidor de confianza.
  • Solamente para implementaciones de Citrix Virtual Apps o la Interfaz Web (no se aplica a XenDesktop 7): un servidor proxy SOCKS o un servidor proxy seguro (también conocido como servidor proxy de seguridad o servidor proxy HTTPS). Se pueden utilizar servidores proxy para limitar el acceso hacia y desde la red, y para gestionar las conexiones entre Citrix Workspace y el servidor. La aplicación Citrix Workspace respalda protocolos de proxy seguro y SOCKS.
  • Solamente para implementaciones de Citrix Virtual Apps o la Interfaz Web; no se aplica a XenDesktop 7, XenDesktop 7.1, XenDesktop 7.5 ni XenApp 7.5: Soluciones de Traspaso SSL con protocolos TLS (Transport Layer Security).
  • Para Citrix Virtual Apps and Desktops 7.6, puede habilitar una conexión SSL directamente entre los usuarios y los VDA.

La aplicación Citrix Workspace es compatible y funciona con entornos en los que se utilizan las plantillas de seguridad de escritorio de Microsoft Specialized Security - Limited Functionality (SSLF). Estas plantillas reciben respaldo en varias plataformas de Windows.

TLS

Este tema se aplica a Citrix Virtual Apps and Desktops 7.6 y versiones posteriores.

Para usar el cifrado TLS para todas las comunicaciones de la aplicación Citrix Workspace con el servidor, configure el dispositivo de usuario, la aplicación Citrix Workspace y, si usa la Interfaz Web, el servidor que ejecuta la Interfaz Web. Para obtener información sobre cómo proteger las comunicaciones con StoreFront, consulte los temas de la sección Protección en la documentación de StoreFront. Para obtener información sobre cómo proteger la Interfaz Web, consulte la sección Protección en la documentación de la Interfaz Web.

Requisitos previos:

Los dispositivos de los usuarios deben cumplir los requisitos especificados en los Requisitos del sistema.

Use esta directiva para configurar las opciones de TLS que garantizan que la aplicación Citrix Workspace identifique de forma segura el servidor al que se está conectando y pueda cifrar todas las comunicaciones con el servidor.

Puede usar estas opciones para:

  • Exigir el uso de TLS: Citrix recomienda usar TLS para todas las conexiones a través de redes que no son de confianza, como Internet.
  • Exigir el uso de la criptografía aprobada por FIPS (Federal Information Processing Standards): Para cumplir las recomendaciones de NIST SP 800-52. Estas opciones están inhabilitadas de forma predeterminada.
  • Exigir el uso de una versión específica de TLS y de conjuntos de cifrado TLS específicos: Citrix respalda los protocolos TLS 1.0, TLS 1.1 y TLS 1.2 entre la aplicación Citrix Workspace para Windows y Citrix Virtual Apps and Desktops.
  • Conectarse solamente a servidores específicos.
  • Comprobar si el certificado del servidor se ha revocado.
  • Comprobar si existe alguna directiva de emisión de certificados de servidor específica.
  • Seleccionar un certificado de cliente concreto, si el servidor está configurado para solicitar uno.

Compatibilidad con TLS

  1. Abra la plantilla administrativa de GPO de la aplicación Citrix Workspace; para ello, ejecute gpedit.msc.
  2. En el nodo Configuración del equipo, vaya a Plantillas administrativas > Citrix Workspace > Enrutamiento de red y seleccione la directiva Configuración del modo de conformidad y TLS.

    Directiva TLS y modo de conformidad

  3. Seleccione Habilitada para habilitar las conexiones seguras y para cifrar la comunicación en el servidor. Establezca las siguientes opciones:

    Nota:

    Citrix recomienda usar TLS para proteger las conexiones.

    1. Seleccione Requerir TLS para todas las conexiones si quiere obligar a la aplicación Citrix Workspace a usar TLS en todas las conexiones con aplicaciones y escritorios publicados.

    2. En el menú Modo de conformidad para la seguridad, seleccione la opción correspondiente:

      1. Ninguno: No se impone ningún modo de conformidad.
      2. SP800-52: Seleccione SP800-52 para la conformidad con NIST SP 800-52. Seleccione esta opción solo si los servidores o las puertas de enlace también cumplen las recomendaciones de NIST SP 800-52.

      Nota:

      Si selecciona SP800-52, se usará automáticamente la criptografía aprobada por FIPS, incluso aunque no esté seleccionada la opción Habilitar FIPS. También debe habilitar la opción de seguridad de Windows Criptografía de sistema: usar algoritmos que cumplan FIPS para cifrado, firma y operaciones hash. De lo contrario, la aplicación Citrix Workspace puede fallar al intentar conectarse a aplicaciones y escritorios publicados.

      Si selecciona SP800-52, también debe seleccionar el parámetro Directiva de comprobación de revocación de certificados con el valor Comprobar con acceso completo o con el valor Requerir comprobación con acceso completo y lista de revocación de certificados.

      Cuando selecciona SP 800-52, la aplicación Citrix Workspace verifica si el certificado de servidor cumple las recomendaciones de NIST SP 800-52. Si el certificado de servidor no las cumple, la aplicación Citrix Workspace no se podrá conectar.

      1. Habilitar FIPS: Seleccione esta opción para exigir el uso de la criptografía aprobada por FIPS. También debe habilitar la opción de seguridad de Windows Criptografía de sistema: usar algoritmos que cumplan FIPS para cifrado, firma y operaciones hash en la directiva de grupo del sistema operativo. De lo contrario, la aplicación Citrix Workspace puede fallar al intentar conectarse a aplicaciones y escritorios publicados.
    3. En la lista desplegable Servidores TLS permitidos, seleccione el número de puerto. Con una lista separada por comas, la aplicación Citrix Workspace para Windows se conectará solo a los servidores especificados. Se pueden especificar comodines y números de puerto. Por ejemplo, *.citrix.com: 4433 permite la conexión a un servidor cuyo nombre común termine en .citrix.com en el puerto 4433. La precisión de la información que contenga un certificado de seguridad es responsabilidad del emisor del certificado. Si Citrix Workspace no reconoce ni confía en el emisor de un certificado, se rechaza la conexión.

    4. En el menú Versión de TLS, seleccione una de las siguientes opciones:

    • TLS 1.0, TLS 1.1 o TLS 1.2: Este es el parámetro predeterminado. Esta opción solo se recomienda si es un requisito del negocio usar TLS 1.0 para la compatibilidad.

    • TLS 1.1 o TLS 1.2: Use esta opción para que las conexiones ICA usen TLS 1.1 o TLS 1.2.

    • TLS 1.2: Esta opción se recomienda si TLS 1.2 es un requisito del negocio.

    1. Conjunto de cifrado TLS: Para obligar el uso de conjuntos de cifrado TLS específicos, seleccione Gubernamental (GOV), Comercial (COM) o Todos (ALL). Para determinadas configuraciones de Citrix Gateway, puede que deba seleccionar COM. La aplicación Citrix Workspace respalda claves RSA de 1024, 2048 y 3072 bits. También se respaldan certificados raíz con claves RSA de 4096 bits.

    Nota:

    Citrix no recomienda el uso de claves RSA de 1024 bits.

    • Cualquiera: Cuando tiene el valor “Cualquiera”, la directiva no está configurada y se permite cualquiera de los siguientes conjuntos de cifrado:

      1. TLS_RSA_WITH_RC4_128_MD5
      2. TLS_RSA_WITH_RC4_128_SHA
      3. TLS_RSA_WITH_3DES_EDE_CBC_SHA
      4. TLS_RSA_WITH_AES_128_CBC_SHA
      5. TLS_RSA_WITH_AES_256_CBC_SHA
      6. TLS_RSA_WITH_AES_128_GCM_SHA256
      7. TLS_RSA_WITH_AES_256_GCM_SHA384
    • Comercial: Cuando tiene el valor “Comercial”, se permiten solo los conjuntos de cifrado siguientes:

      1. TLS_RSA_WITH_RC4_128_MD5
      2. TLS_RSA_WITH_RC4_128_SHA
      3. TLS_RSA_WITH_AES_128_CBC_SHA
      4. TLS_RSA_WITH_AES_128_GCM_SHA256
    • Gubernamental: Cuando tiene el valor “Gubernamental”, se permiten solo los conjuntos de cifrado siguientes:

      1. TLS_RSA_WITH_AES_256_CBC_SHA
      2. TLS_RSA_WITH_3DES_EDE_CBC_SHA
      3. TLS_RSA_WITH_AES_128_GCM_SHA256
      4. TLS_RSA_WITH_AES_256_GCM_SHA384
    1. En el menú Directiva de comprobación de revocación de certificados, seleccione alguna de las siguientes opciones:
    • Comprobar sin acceso a red: Se lleva a cabo una comprobación de la lista de revocación de certificados. Solo se usan almacenes locales de listas de revocación de certificados. Se ignoran todos los puntos de distribución. No es obligatorio encontrar la lista de revocación de certificados para verificar el certificado que presenta el servidor de Traspaso SSL/Citrix Secure Web Gateway de destino.

    • Comprobar con acceso completo: Se lleva a cabo una comprobación de la lista de revocación de certificados. Se utilizan los almacenes locales de listas de revocación de certificados y todos los puntos de distribución. Si se encuentra información de revocación de un certificado, se rechaza la conexión. No es obligatorio encontrar una lista de revocación de certificados para la verificación del certificado del servidor presentado por el servidor de destino.

    • Requerir comprobación con acceso completo y lista de revocación de certificados: Se hace una comprobación de listas de revocación de certificados, con exclusión de la entidad de certificación (CA) raíz. Se utilizan los almacenes locales de listas de revocación de certificados y todos los puntos de distribución. Si se encuentra información de revocación de un certificado, se rechaza la conexión. Para la verificación, es necesario encontrar todas las listas de revocación de certificados requeridas.

    • Requerir comprobación con acceso completo y todas las listas de revocación de certificados: Se hace una comprobación de listas de revocación de certificados, incluida la entidad de certificación (CA) raíz. Se utilizan los almacenes locales de listas de revocación de certificados y todos los puntos de distribución. Si se encuentra información de revocación de un certificado, se rechaza la conexión. Para la verificación, es necesario encontrar todas las listas de revocación de certificados requeridas.

    • No comprobar: No se comprueban listas de revocación de certificados.

    1. Puede restringir la aplicación Citrix Workspace para que solo pueda conectarse a servidores con una directiva de emisión de certificados concreta, mediante un OID de extensión de directiva. Cuando se selecciona OID de extensión de directiva, la aplicación Citrix Workspace solamente acepta certificados de servidor que contienen ese OID de extensión de directiva.

    2. En el menú Autenticación del cliente, seleccione alguna de las siguientes opciones:

    • Inhabilitada: La autenticación de cliente está inhabilitada.

    • Mostrar selector de certificados: Pedir siempre al usuario que seleccione un certificado.

    • Seleccionar automáticamente, si es posible: Pedir al usuario que seleccione un certificado solo si hay varios para elegir.

    • No configurado: La autenticación del cliente no está configurada.

    • Usar un certificado especificado: Usar el certificado de cliente que esté definido en la opción “Certificado del cliente”.

    1. Use el parámetro Certificado del cliente para especificar la huella digital del certificado de identificación y evitar tener que preguntar al usuario innecesariamente.

    2. Haga clic en Aplicar y Aceptar para guardar la directiva.

La tabla siguiente muestra los conjuntos de cifrado en cada grupo:

Imagen localizada

Firewall

Los firewall o servidores de seguridad de red pueden permitir o bloquear los paquetes basándose en la dirección y el puerto de destino. Si utiliza un firewall en la implementación, la aplicación Citrix Workspace para Windows debe poder comunicarse a través de él con el servidor web y el servidor Citrix.

Puertos comunes de comunicación Citrix

Origen Tipo Puerto Detalles
Aplicación Citrix Workspace TCP 80/443 Comunicación con StoreFront
ICA/HDX TCP 1494 Acceso a aplicaciones y escritorios virtuales
ICA/HDX con fiabilidad de la sesión TCP 2598 Acceso a aplicaciones y escritorios virtuales
ICA/HDX por SSL TCP 443 Acceso a aplicaciones y escritorios virtuales
ICA/HDX desde HTML5 Workspace TCP 8008 Acceso a aplicaciones y escritorios virtuales
Sonido ICA/HDX por UDP TCP 16500–16509 Intervalo de puertos para sonido ICA/HDX
IMA TCP 2512 Arquitectura IMA (Independent Management Architecture)
Consola de administración TCP 2513 Consolas de administración Citrix y * Nota de servicios WCF: Para plataformas FMA 7.5 y posterior, no se utiliza el puerto 2513.
Solicitud de aplicación o escritorio TCP 80/8080/443 Servicio XML
STA TCP 80/8080/443 Secure Ticket Authority (incrustada en el servicio XML)

Nota:

En XenApp 6.5, XenApp Commands Remoting Service utiliza el puerto 2513 a través de WCF.

Si el firewall se ha configurado para la traducción de direcciones de red (NAT), use la Interfaz Web para definir las asignaciones desde las direcciones internas hacia las direcciones externas y los puertos. Por ejemplo, si el servidor Citrix Virtual Apps and Desktops no se ha configurado con una dirección alternativa, puede configurar la Interfaz Web para proporcionar una dirección alternativa a la aplicación Citrix Workspace. Entonces, la aplicación Citrix Workspace se conecta al servidor mediante la dirección externa y el número de puerto. Para obtener más información, consulte la documentación de Interfaz Web.

Servidor proxy

Se usan servidores proxy para limitar el acceso hacia y desde la red, así como para administrar las conexiones entre los servidores y la aplicación Citrix Workspace para Windows. La aplicación Citrix Workspace respalda protocolos de proxy seguro y SOCKS.

En la comunicación con el servidor, la aplicación Citrix Workspace utiliza los parámetros del servidor proxy configurados de forma remota en el servidor que ejecuta Workspace para Web o la Interfaz Web. Para obtener más información sobre la configuración de servidores proxy, consulte la documentación de StoreFront o de la Interfaz Web.

En la comunicación con el servidor web, la aplicación Citrix Workspace utiliza los parámetros de servidor proxy configurados a través de la opción Internet del explorador web predeterminado en el dispositivo de usuario. Se deben configurar los parámetros de Internet del explorador web predeterminado en el dispositivo de usuario según corresponda.

Configure el proxy con el Editor del Registro para indicar a la aplicación Citrix Workspace que acepte o descarte el servidor proxy durante las conexiones.

Advertencia

Si modifica el Registro de forma incorrecta, pueden producirse problemas graves, que pueden hacer que sea necesario instalar nuevamente el sistema operativo. Citrix no puede garantizar que los problemas derivados de la utilización inadecuada del Editor del Registro puedan resolverse.

  1. Vaya a \HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\AuthManager.
  2. Defina ProxyEnabled (REG_SZ).
    • True: La aplicación Citrix Workspace acepta al servidor proxy durante las conexiones.
    • False: La aplicación Citrix Workspace descarta al servidor proxy durante las conexiones.
  3. Reinicie la aplicación Citrix Workspace para que los cambios surtan efecto.

Citrix Secure Web Gateway

Este tema solo se aplica a entornos donde se usa la Interfaz Web.

Es posible usar Citrix Secure Web Gateway en modo Normal o en modo Relay (Traspaso) para proporcionar un canal de comunicaciones seguro entre la aplicación Citrix Workspace para Windows y el servidor. No es necesario configurar la aplicación Citrix Workspace si se utiliza Citrix Secure Web Gateway en el modo Normal y los usuarios se conectan a través de la Interfaz Web.

La aplicación Citrix Workspace usa parámetros que se configuran de forma remota en el servidor que ejecuta la Interfaz Web para conectarse a los servidores que ejecutan Citrix Secure Web Gateway. Consulte los temas de la Interfaz Web para obtener información sobre la configuración de los parámetros del servidor proxy para la aplicación Citrix Workspace.

Para obtener más información sobre la configuración de servidores proxy, consulte la documentación de la Interfaz Web.

Si se utiliza el modo Relay, el servidor Citrix Secure Web Gateway funciona como un proxy y es necesario configurar Workspace para Windows para que use lo siguiente:

  • El nombre de dominio completo (FQDN) del servidor Citrix Secure Web Gateway.
  • El número de puerto del servidor Citrix Secure Web Gateway.

El nombre de dominio completo (FQDN) debe tener los siguientes tres componentes, consecutivamente:

  • Nombre de host
  • Dominio intermedio
  • Dominio superior

Por ejemplo: mi_equipo.mi_empresa.com es un nombre de dominio completo porque contiene el nombre de host (mi_equipo), un dominio intermedio (mi_empresa) y un dominio superior (com). Por lo general, la combinación de nombre de dominio intermedio y dominio superior (mi_empresa.com) se conoce como nombre de dominio.

Servidor de confianza

El parámetro “Servidor de confianza” identifica y aplica relaciones de confianza en las conexiones de la aplicación Citrix Workspace.

Cuando se habilita “Servidor de confianza”, la aplicación Citrix Workspace especifica los requisitos y decide si la conexión con el servidor es de confianza o no. Por ejemplo, si la aplicación Citrix Workspace se conecta a una dirección determinada (como https://\*.citrix.com) a través de un tipo de conexión específico (como TLS), se redirige a una zona de confianza en el servidor.

Al habilitar esta función, el servidor conectado reside en la zona Sitios de confianza de Windows. Para ver instrucciones detalladas sobre cómo agregar servidores a la zona Sitios de confianza de Windows, consulte la ayuda en línea de Internet Explorer.

Para habilitar la configuración de servidor de confianza mediante la plantilla administrativa de objeto de directiva de grupo

Requisito previo:

Debe salir de los componentes de la aplicación Citrix Workspace, incluida la Central de conexiones.

  1. Abra la plantilla administrativa de GPO de la aplicación Citrix Workspace; para ello, ejecute gpedit.msc.
  2. En el nodo Configuración del equipo, vaya a Plantillas administrativas > Plantillas administrativas clásicas (ADM) > Componentes de Citrix > Citrix Workspace > Enrutamiento de red > Configuración de servidores de confianza.
  3. Marque Habilitado para obligar a que la aplicación Citrix Workspace realice la identificación de la región.
  4. Marque Aplicar configuración de servidor de confianza. Eso obliga al cliente a realizar la identificación mediante un servidor de confianza.
  5. Desde la lista desplegable Zona de Internet de Windows, seleccione la dirección del servidor de cliente. Esta configuración solo se aplica a la zona “Sitios de confianza” de Windows.
  6. En el campo Dirección, establezca la dirección del servidor de cliente en una zona “Sitios de confianza” que no sea Windows. Puede utilizar una lista separada por comas.
  7. Haga clic en Aceptar y Aplicar.

ICA File Signing

La función ICA File Signing (firma de archivos ICA) permite protegerse ante inicios no autorizados de escritorios y aplicaciones. La aplicación Citrix Workspace verifica si el inicio de la aplicación o del escritorio fue generado desde una fuente de confianza, basándose en una directiva de administración, y protege al usuario frente a inicios originados en servidores que no son de confianza. Puede configurar ICA File Signing utilizando la plantilla administrativa de objeto de directiva de grupo, StoreFront o Citrix Merchandising Server. La función ICA File Signing no está habilitada de forma predeterminada.

Para obtener más información sobre cómo habilitar ICA File Signing para StoreFront, consulte Habilitar ICA File Signing en la documentación de StoreFront.

Para la implementación de Interfaz Web, la Interfaz Web habilita y configura los inicios de escritorios y aplicaciones para incluir una firma durante el proceso de inicio mediante el servicio Citrix ICA File Signing. Este servicio permite firmar los archivos ICA con un certificado proveniente del almacén de certificados personal del equipo.

Citrix Merchandising Server con la aplicación Citrix Workspace permite y configura la verificación de firmas para el inicio mediante el asistente de la consola de administración Citrix Merchandising Server Administrator Console > Deliveries para agregar sellos de certificados de confianza.

Configurar la firma del archivo ICA

Nota:

Si no se agrega CitrixBase.admx\adml al objeto de directiva de grupo (GPO) local, la directiva Habilitar ICA File Signing puede no estar presente.

  1. Abra la plantilla administrativa de GPO de la aplicación Citrix Workspace; para ello, ejecute gpedit.msc.
  2. En el nodo Configuración del equipo, vaya a Plantillas administrativas > Componentes de Citrix.
  3. Seleccione la directiva Habilitar ICA File Signing y seleccione una de las opciones según sea necesario:
    1. Habilitada: Indica que puede agregar el sello del certificado con firma a la lista blanca de sellos de certificados de confianza.
    2. Certificados de confianza: Haga clic en Mostrar para eliminar el sello del certificado con firma existente en la lista blanca. Puede copiar y pegar los sellos de certificados con firma desde las propiedades de los certificados.
    3. Directiva de seguridad: Seleccione una de las siguientes opciones en el menú.
      1. Permitir inicios con firma solamente (más seguro): Permite los inicios de solamente escritorios o aplicaciones con firma desde servidores de confianza. Aparece una advertencia de seguridad en caso de una firma no válida. No puede iniciar la sesión debido a que no se autoriza.
      2. Preguntar al usuario en inicios sin firma (menos seguro): Aparece un mensaje cuando se inicia una sesión sin firma o sin firma válida. Puede optar por continuar el inicio o cancelarlo (opción predeterminada).
  4. Haga clic en Aplicar y Aceptar para guardar la directiva.
  5. Reinicie la sesión de la aplicación Citrix Workspace para que los cambios surtan efecto.

Para seleccionar y distribuir un certificado de firma digital:

Cuando se seleccione un certificado de firma digital, Citrix recomienda elegir a partir de la lista siguiente, en el orden siguiente:

  1. Adquiera un certificado con firma de código o un certificado con firma SSL a partir de una entidad de certificados (CA) pública.
  2. Si su empresa dispone de una entidad de certificados privada, cree un certificado con firma de código o un certificado con firma SSL a través de la entidad de certificados privada.
  3. Utilice un certificado SSL existente, como el certificado del servidor de la Interfaz Web.
  4. Cree un certificado raíz y distribúyalo a los dispositivos de usuario mediante un objeto de directiva de grupo o una instalación manual.

Nivel de elevación

Cuando se habilita el control de cuentas de usuario (UAC) en los dispositivos que ejecutan Windows 10, Windows 8 o Windows 7, solo los procesos que se encuentren en el mismo nivel de integridad o elevación que wfcrun32.exe pueden iniciar las aplicaciones virtuales.

Ejemplo 1:

Cuando wfcrun32.exe se ejecuta como un usuario normal (no elevado), otros procesos (como la aplicación Citrix Workspace) deben ejecutarse como usuario normal para poder iniciar aplicaciones a través de wfcrun32.exe.

Ejemplo 2:

Cuando wfcrun32.exe se ejecuta en modo elevado, otros procesos (como la aplicación Citrix Workspace, la Central de conexiones) y aplicaciones de terceros que usan el objeto Cliente ICA y que se están ejecutando en modo no elevado no se pueden comunicar con wfcrun32.exe.