Protección de aplicaciones

La protección de aplicaciones es una función adicional de la aplicación Citrix Workspace que proporciona una seguridad mejorada cuando se utilizan recursos publicados de Citrix Virtual Apps and Desktops.

Dos directivas proporcionan funciones contra el registro de tecleo y las capturas de pantalla en una sesión de Citrix HDX. Las directivas, junto con la aplicación Citrix Workspace 2203.1 LTSR o versiones posteriores para Windows, Citrix Workspace 2001 o versiones posteriores para Mac o Citrix Workspace 2108 o versiones posteriores para Linux pueden ayudar a proteger los datos de registradores de pulsaciones de teclas y capturadores de pantalla.

Al habilitar la protección contra la captura de tecleo:

• Un registrador ve pulsaciones de teclas cifradas.
• Esta función solo está activa cuando hay una ventana protegida enfocada.

Cuando la función contra las capturas de pantalla está activada:

• En el SO Windows y macOS, al capturar una pantalla, solo queda vacío el contenido de la ventana protegida. Esta función está activa cuando una ventana protegida no está minimizada. En el SO Linux, toda la captura aparece vacía. Esta función está activa tanto si una ventana protegida está minimizada como si no.
• Para el SO Windows y macOS, esta función está activa cuando hay una ventana protegida visible (sin minimizar). En el sistema operativo Linux, la función está activa tanto cuando se minimiza como cuando se maximiza una ventana protegida.
• Cuando se utiliza el botón de impresión de pantalla en el sistema operativo Windows para tomar capturas de pantalla, los datos no se copian en el portapapeles. Para tomar capturas de pantalla con el botón de impresión de pantalla, minimice las aplicaciones protegidas.

Las directivas solo se configuran a través de PowerShell. No hay capacidad de administración de GUI. Esta configuración solo es necesaria para habilitar o inhabilitar la funcionalidad para un grupo de entrega específico.

Después de adquirir esta función, habilite la licencia de protección de aplicaciones.

Renuncia de responsabilidades:

Las directivas de protección de aplicaciones funcionan mediante el filtrado del acceso a las funciones requeridas del sistema operativo subyacente (llamadas a API específicas necesarias para capturar pantallas o pulsaciones de teclas). De este modo, las directivas de protección de aplicaciones pueden proporcionar protección incluso contra herramientas de piratas informáticos personalizadas y diseñadas específicamente. Sin embargo, a medida que los sistemas operativos evolucionan, pueden surgir nuevas formas de capturar pantallas y registrar pulsaciones de teclas. Si bien seguimos identificándolas y abordándolas, no podemos garantizar una protección completa en configuraciones e implementaciones específicas.

Las directivas de protección de aplicaciones que ofrece Citrix funcionan con componentes subyacentes del sistema operativo, incluidos los archivos ICA. Citrix no podría ofrecer asistencia si se detectan alteraciones o modificaciones intencionadas de los componentes subyacentes, con lo que se recomienda proporcionar la integridad de las directivas aplicadas.

Requisito previo

Ha instalado la aplicación Citrix Workspace con derechos de administrador.

Limitaciones

Estas limitaciones existen por diseño:

• La función contra el registro de tecleo no se admite dentro de sesiones HDX o RDP. La protección de dispositivos de punto final sigue activa. Esta limitación solo se aplica a los casos de doble salto.
• No hay compatibilidad de funcionalidades cuando se utiliza una versión no compatible de la aplicación Citrix Workspace o Citrix Receiver. En ese caso, los recursos están ocultos.
• La protección de aplicaciones está disponible en las implementaciones locales de Citrix Virtual Apps and Desktops y Citrix DaaS (antes denominado Citrix Virtual Apps and Desktops Service) con StoreFront y Workspace. Esto significa que la protección de aplicaciones se admite en todos los entornos de nube, locales e híbridos.
• El complemento de la función de protección de aplicaciones que ofrece la aplicación Citrix Workspace impide compartir pantalla saliente.
• La protección de aplicaciones puede impedir el uso compartido saliente y entrante de la pantalla con aplicaciones o funciones de colaboración que tienen habilitada la optimización.
• Las aplicaciones con directivas de protección de aplicaciones no se indican en las concesiones de conexión, por lo que la continuidad del servicio no muestra los iconos de aplicación/escritorio en la aplicación Citrix Workspace cuando se encuentra en modo sin conexión o en una interrupción de servicio.
• Es posible que la aplicación Citrix Workspace con protección de aplicaciones no sea compatible con otras aplicaciones o soluciones de seguridad que empleen una tecnología subyacente similar.

Comportamiento esperado

Los comportamientos previstos dependen de cómo se acceda al almacén de StoreFront que contiene los recursos protegidos. Puede acceder a los recursos a través de un cliente de la aplicación Citrix Workspace nativo compatible.

• Comportamiento en aplicaciones de Citrix Receiver o Citrix Workspace no compatibles: No se enumeran las aplicaciones con directivas de protección de aplicaciones.
• Comportamiento en las versiones compatibles de la aplicación Citrix Workspace: Los recursos protegidos se enumeran y se inician correctamente.

La protección se aplica en las siguientes condiciones:

• Protección contra capturas de pantalla: Para Windows y Mac, está habilitada si cualquier ventana protegida es visible en la pantalla. Para inhabilitar la protección, minimice todas las ventanas protegidas. Para Linux, está habilitada si hay alguna ventana protegida activa. Para inhabilitar la protección, cierre todas las ventanas protegidas.
• Contra registro de tecleo: Habilitada si hay una ventana protegida enfocada. Para inhabilitar la protección, cambie el foco a otra ventana.

Comprobar si la protección de aplicaciones está instalada

Aplicación Citrix Workspace para Windows

A partir de la versión 2212 de la aplicación Citrix Workspace, la protección de aplicaciones se instala de forma predeterminada. Sin embargo, el componente puede estar activo o inactivo según si el usuario marcó la casilla Iniciar el servicio de protección de aplicaciones después de la instalación.

El estado de la protección de aplicaciones puede ser DETENIDO o EN EJECUCIÓN. Para comprobar el estado actual del servicio, escriba este comando: sc query appprotectionsvc

¿Qué protege la protección de aplicaciones?

Para capturar la pantalla de cualquier ventana de aplicación que no sea Citrix Workspace, los usuarios deben minimizar primero la ventana protegida. Para Linux, los usuarios deben cerrar todas las ventanas protegidas.

La protección de aplicaciones protege estas ventanas de Citrix:

• Ventanas de inicio de sesión de Citrix: Los diálogos de autenticación de Citrix Workspace están protegidos solo en sistemas operativos Windows. Para Linux, debe configurar la función de protección de aplicaciones en el archivo AuthManConfig.xml para habilitarla en el administrador de autenticación.

• Ventanas de sesión HDX de la aplicación Citrix Workspace (ejemplo, escritorio administrado)

• Ventanas de autoservicio (almacén): Las ventanas de autoservicio de Citrix Workspace están protegidas solo en los sistemas operativos Windows. Para Linux, debe configurar la función de protección de aplicaciones en el archivo AuthManConfig.xml para habilitarla en las ventanas de autoservicio.

• Aplicaciones web y SaaS: Las aplicaciones web y SaaS de Citrix Workspace en Windows y Mac se abren en Citrix Enterprise Browser. Si las aplicaciones están configuradas para considerar las directivas de protección de aplicaciones a través de Secure Private Access, la protección de aplicaciones se aplica ficha por ficha.

  

Mejora de la protección de aplicaciones: Detección y notificación de capturas de pantalla

A partir de la versión 2212 de la aplicación Citrix Workspace para Windows, podrá ver una notificación cuando haya un posible intento de captura de pantalla con relación a cualquier recurso protegido.

La notificación aparece cuando hay:

• Un intento de hacer una captura de pantalla o grabar un vídeo a través de una herramienta para captura de pantallas.
• Un intento de hacer una captura de pantalla con la tecla Imprimir pantalla.

Nota:

• La notificación aparece solo una vez por instancia en ejecución de la herramienta de captura de pantallas. La notificación vuelve a aparecer si reinicia la herramienta e intenta capturar una pantalla.
• En la aplicación Citrix Workspace para Windows 2212 y versiones posteriores, las ventanas de inicio de sesión y las ventanas de autoservicio (Tienda) no están protegidas de forma predeterminada.

Mejora de la protección de aplicaciones: Antiinyección de DLL

A partir de la versión 2303 de la aplicación Citrix Workspace para Windows, tenemos una mejora de seguridad que ayuda a proteger la aplicación Citrix Workspace de determinadas bibliotecas de enlaces dinámicos (DLL) no autorizadas o de módulos que no son de confianza. Si se inyectan estos módulos que no son de confianza, la aplicación Citrix Workspace detecta estas intervenciones e impide que los módulos se carguen.

La antiinyección de DLL se puede habilitar para estos componentes:

• Citrix Auth Manager

  

• Interfaz de usuario de la aplicación Citrix Workspace

  

  

• Citrix Virtual Apps and Desktops

  

Experiencia de usuario

• Mientras se inicia, la aplicación Citrix Workspace verifica los componentes configurados con la función de protección contra DLL. Si se detecta que se ha inyectado una DLL maliciosa, el componente afectado se cierra y aparece este mensaje de alerta:

  

• Mientras se ejecuta el componente configurado con la protección contra DLL, si se inyecta una DLL maliciosa, aparece este mensaje de alerta:

  

Configurar la función de antiinyección de DLL

De forma predeterminada, la función de antiinyección de DLL está inhabilitada. Puede habilitar esta función mediante Global App Configuration Service o el objeto de directiva de grupo (GPO).

Configuración mediante GPO

Se agregan estas directivas para configurar la función de antiinyección de DLL:

• Antiinyección de DLL
• Lista permitida de módulos de antiinyección de DLL

Antiinyección de DLL:

Utilice esta directiva para habilitar o inhabilitar la función de antiinyección de DLL. Cuando esta directiva no se configura, la función de protección contra DLL está inhabilitada. Los valores posibles son:

• Habilitado: La antiinyección de DLL está habilitada para Citrix Auth Manager, la interfaz de usuario de la aplicación Citrix Workspace y Citrix Virtual Apps and Desktops. Los administradores pueden seleccionar los componentes necesarios para habilitar la función de antiinyección de DLL.
• Inhabilitado: La antiinyección de DLL está inhabilitada para Citrix Auth Manager, la interfaz de usuario de la aplicación Citrix Workspace y Citrix Virtual Apps and Desktops.

Para habilitar la directiva:

1. Ejecute gpedit.msc para abrir la plantilla administrativa de GPO de la aplicación Citrix Workspace.

2. En el nodo Configuración del equipo, vaya a Plantillas administrativas > Componentes de Citrix > Citrix Workspace > Protección de aplicaciones > Antiinyección de DLL.

   

3. Haga clic en la directiva Antiinyección de DLL y habilítela. Se seleccionan todos los componentes. Sin embargo, puede modificar la selección de los componentes desde la sección Opciones.
4. Haga clic en Aceptar.

Lista de módulos permitidos de protección contra DLL:

Como administrador, puede utilizar esta directiva para excluir cualquier DLL de la función de antiinyección de DLL. Citrix recomienda utilizar esta directiva solo para gestionar situaciones excepcionales. Si esta directiva no se configura, ninguna DLL forma parte de la lista de permitidos. Se incluyen todas las DLL para la protección contra DLL. Los valores posibles son:

• Habilitado: Excluye de la protección contra DLL las DLL que se agregan a la lista de permitidos.
• Inhabilitado: Borra la lista de las DLL agregadas a la lista de permitidos.

Para habilitar la directiva:

1. Ejecute gpedit.msc para abrir la plantilla administrativa de GPO de la aplicación Citrix Workspace.

2. En el nodo Configuración del equipo, vaya a Plantillas administrativas > Componentes de Citrix > Citrix Workspace > Protección de aplicaciones > Lista de módulos permitidos de protección contra DLL.

   

3. Haga clic en la directiva Lista de módulos permitidos de protección contra DLL y habilítela.

4. Agregue la lista de módulos que quiere excluir de la protección contra DLL en el campo Lista de módulos permitidos de protección contra DLL.

   Formato de ejemplo para agregar DLL a la lista de permitidos:

   [
       {
           "filePath":"C:\Program Files (x86)\trusted\messagebox.dll"
       },
       {
           "filePath":"%PROGRAMFILES%\trusted\logging.dll"
       }
   ]
   <!--NeedCopy-->
   

5. Haga clic en Aceptar.

Mediante Global App Config Service

Los administradores pueden utilizar Global App Config Service para configurar la función de antiinyección de DLL. Los parámetros son los siguientes:

• Antiinyección de DLL: Agregue los módulos necesarios para habilitar la función de antiinyección de DLL.

• Lista de módulos permitidos de protección contra DLL: Agregue las DLL necesarias que quiera excluir de la protección contra DLL.

Para obtener más información, consulte Global App Configuration Service.

Para la configuración, a continuación se muestra un archivo JSON de ejemplo para habilitar la antiinyección de DLL y la lista de módulos permitidos de protección contra DLL para la aplicación Citrix Workspace para Windows en Global App Configuration Service:

{
  "serviceURL": {
    "url": "https://tuleshtest.cloudburrito.com:443"
  },
  "settings": {
    "appSettings": {
      "windows": [
        {
          "category": "App protection",
          "userOverride": false,
          "assignedTo": [
            "AllUsersNoAuthentication"
          ],
          "assignmentPriority": 0,
          "settings": [
            {
              "name": "anti dll injection",
              "value": [
                "Citrix Auth Manager",
                "Citrix Virtual Apps And Desktops",
                "Citrix Workspace app UI"
              ]
            },
            {
              "name": "anti dll module allow list",
              "value": [
                {
                  "filePath": "C:\Program Files (x86)\Citrix\ICA Client\wfica32.exe"
                },
                {
                  "filePath": "C:\Program Files (x86)\Citrix\ICA Client\AuthManager\AuthManSvr.exe"
                }
              ]
            }
          ]
        }
      ]
    },
    "name": "name",
    "description": "desc",
    "useForAppConfig": true
  }
}
<!--NeedCopy-->

Aviso:

Esta característica funciona mediante el filtrado del acceso a las funciones necesarias del sistema operativo subyacente (llamadas a API específicas necesarias para cargar las DLL). De este modo, puede proporcionar protección incluso contra ciertas herramientas de piratas informáticos personalizadas y diseñadas específicamente. Sin embargo, a medida que los sistemas operativos evolucionan, pueden surgir nuevas formas de cargar archivos DLL. Si bien seguimos identificándolas y abordándolas, no podemos garantizar una protección completa en configuraciones e implementaciones específicas.

¿Qué no protege la protección de aplicaciones?

• Estos elementos que se encuentran bajo el icono de aplicaciones de Citrix Workspace en la barra de navegación:

  • Central de conexiones
  • Todos los enlaces en Preferencias avanzadas
  • Personalizar
  • Comprobar actualizaciones
  • Cerrar sesión

• Si opta por proteger un escritorio virtual con una función de protección contra capturas de pantalla, los usuarios podrán seguir compartiendo la pantalla desde las aplicaciones del escritorio virtual. Sin embargo, en el caso de las aplicaciones que estén fuera del escritorio virtual, no podrá hacer capturas de pantalla ni grabar el escritorio virtual.

Requisitos del sistema

Versiones mínimas de los componentes de Citrix

• Aplicación Citrix Workspace 2108 para Linux
• Aplicación Citrix Workspace 2203.1 LTSR para Windows
• Aplicación Citrix Workspace 2002 para Windows
• Aplicación Citrix Workspace 2001 para Mac
• StoreFront 1912
• Delivery Controller 1912
• Licencias de Citrix válidas. Para obtener más información, contacte con un representante de Ventas o Citrix Partner.

Nota:

Si los usuarios utilizan dispositivos o versiones de la aplicación Workspace que no admiten la protección de aplicaciones, no podrán acceder a los recursos protegidos. Los recursos protegidos incluyen Virtual Apps and Desktops y aplicaciones web y SaaS.

Plataformas de sistemas operativos

El runtime de directivas de protección de aplicaciones se instala en el dispositivo de punto final de origen y no en el VDA de destino. Por lo tanto, solo la versión del sistema operativo del dispositivo de punto final es importante (la protección de aplicaciones se puede conectar a agentes VDA alojados en cualquier sistema operativo compatible descrito en Requisitos del sistema de Citrix Virtual Apps and Desktops).

La función de protección de aplicaciones es compatible con dispositivos de punto final que tienen estos sistemas operativos:

• Windows 11
• Windows 10
• Windows 8.1
• macOS High Sierra (10.13) y versiones posteriores
• Ubuntu 18.04 y Ubuntu 20.04 de 64 bits
• Debian 9 y Debian 10 de 64 bits
• CentOS 7 de 64 bits
• RHEL 7 de 64 bits
• Sistema operativo Raspberry Pi (Buster) con armhf de 32 bits (basado en Debian 10)

Nota:

Para la protección de aplicaciones, la aplicación Citrix Workspace para Linux requiere Gnome Display Manager junto con los sistemas operativos compatibles.

Configurar

Siga estos pasos para configurar y habilitar completamente la función de protección de aplicaciones:

1. Importe la licencia de protección de aplicaciones†.
2. Configure la aplicación Workspace.
3. Habilite las directivas de protección de aplicaciones en los Delivery Controllers†.

† En un entorno de Citrix DaaS, estos pasos de configuración son ligeramente distintos. Consulte las notas de estas secciones.

1. Licencias

Nota:

En un entorno de Citrix DaaS, omita este paso porque no hay licencias que instalar. La función de protección de aplicaciones se incluye como parte de ciertos paquetes de Citrix Cloud Services, y las licencias se proporcionan directamente en Citrix Cloud.

La protección de aplicaciones requiere la instalación de una licencia adicional en Citrix License Server. También debe haber presente una licencia válida para Citrix Virtual Apps and Desktops 1912 o una versión posterior. Contacte con un representante de ventas de Citrix para adquirir la licencia adicional de protección de aplicaciones.

1. Descargue el archivo de licencia e impórtelo en el servidor de licencias Citrix, junto con una licencia existente de Citrix Virtual Desktops.
2. Utilice Citrix Licensing Manager para importar el archivo de licencia (método preferido) o copie el archivo de licencia en C:\Program Files (x86)\Citrix\Licensing\MyFiles, en el servidor de licencias y reinicie el servicio Citrix Licensing. Para obtener más información, consulte Instalar licencias.

2. Aplicación Citrix Workspace

Configure la protección de aplicaciones en la aplicación Citrix Workspace.

Aplicación Citrix Workspace para Windows

Puede incluir el componente de protección de aplicaciones con la aplicación Citrix Workspace con estos métodos:

• Durante la instalación de la aplicación Citrix Workspace.
• Mediante la interfaz de línea de comandos después de instalar la aplicación Citrix Workspace.

Asegúrese de que la aplicación Citrix Workspace se ha instalado con el modificador /includeappprotection habilitado.

Para obtener más información, consulte Protección de aplicaciones.

Aplicación Citrix Workspace para Mac

La protección de aplicaciones no requiere una configuración específica en la aplicación Citrix Workspace para Mac.

Aplicación Citrix Workspace para Linux

La protección de aplicaciones está disponible cuando la aplicación Citrix Workspace se instala mediante los paquetes tarball, Debian y Red Hat Package Manager (RPM). Las arquitecturas compatibles son x64 y armhf.

Para obtener más información, consulte Protección de aplicaciones.

3. Grupos de entrega

Nota:

En un entorno de Citrix DaaS, utilice los cmdlets del SDK de PowerShell remoto de Citrix Virtual Apps and Desktops en cualquier máquina (aparte de las máquinas con Citrix Cloud Connectors) para ejecutar los comandos de esta sección.

Habilite estas propiedades para el grupo de entrega con protección de aplicaciones mediante el SDK de Citrix Virtual Apps and Desktops en cualquier máquina con un Delivery Controller instalado o en una máquina con una versión autónoma de Studio que tenga instalados los complementos FMA de PowerShell.

• AppProtectionKeyLoggingRequired: True
• AppProtectionScreenCaptureRequired: True

Puede habilitar cada una de estas directivas individualmente por grupo de entrega. Por ejemplo: puede configurar la protección contra el registro de tecleo solo para DG1 y la protección contra capturas de pantalla solo para DG2. Puede habilitar ambas directivas para DG3.

Ejemplo

Para habilitar ambas directivas para un grupo de entrega denominado DG3, ejecute el siguiente comando en cualquier Delivery Controller del sitio:

Set-BrokerDesktopGroup -Name DG3 -AppProtectionKeyLoggingRequired $true -AppProtectionScreenCaptureRequired $true

Para validar la configuración, ejecute este cmdlet:

Get-BrokerDesktopGroup -Property Name, AppProtectionKeyLoggingRequired, AppProtectionScreenCaptureRequired | Format-Table -AutoSize

Habilite también la confianza en XML:

Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true

Debe proteger la red entre StoreFront y el intermediario. Para obtener más información, consulte los artículos CTX236929 y Securing the XenApp and XenDesktop XML Service de Knowledge Center.

Recomendación

Las directivas de protección de aplicaciones se centran en mejorar la seguridad y la protección de los dispositivos de punto final. Revise todas las demás recomendaciones y directivas de seguridad de su entorno. Puede utilizar una plantilla de directiva de Seguridad y control para la configuración recomendada en entornos con baja tolerancia al riesgo. Para obtener más información, consulte Plantillas de directiva.

Protección contextual de aplicaciones

La protección contextual de aplicaciones ofrece la posibilidad de aplicar directivas de protección de aplicaciones de forma condicional a un subconjunto de usuarios, en función de sus características, sus dispositivos y la estrategia de red. Para obtener más información, consulte estos artículos:

• Protección contextual de aplicaciones para StoreFront
• Protección contextual de aplicaciones para Workspace

Protección de aplicaciones para el inicio híbrido

El inicio híbrido de Citrix Virtual Apps and Desktops tiene lugar al iniciar sesión en la aplicación Citrix Workspace a través del explorador (Citrix Workspace para Web) y utilizar las aplicaciones a través de la aplicación Citrix Workspace nativa. El término híbrido hace referencia al uso combinado de la aplicación Citrix Workspace para Web y la aplicación Citrix Workspace nativa para conectar y usar los recursos. La Protección de aplicaciones admite el inicio híbrido en Workspace y StoreFront. Para obtener más información, consulte estos artículos:

• Protección de aplicaciones para el inicio híbrido con Workspace.
• Protección de aplicaciones para el inicio híbrido con StoreFront.