ICA File Signing para proteger ante el inicio de aplicaciones y escritorios desde servidores que no son de confianza

Este tema solo es aplicable a implementaciones con Interfaz Web que usan Plantillas administrativas.

La función ICA File Signing (firma de archivos ICA) permite proteger a los usuarios ante inicios de escritorios y aplicaciones no autorizados. Citrix Receiver para Windows verifica si el inicio de la aplicación o del escritorio fue generado desde una fuente de confianza (para ello, se basa en una directiva de administración), y protege al usuario frente a inicios originados en servidores que no son de confianza. Esta directiva de seguridad de Citrix Receiver para Windows para la verificación de firmas de inicio de aplicaciones o escritorios se puede configurar mediante objetos de directiva de grupo, StoreFront o Citrix Merchandising Server. La función ICA File Signing no está habilitada de forma predeterminada. Para obtener más información sobre cómo habilitar ICA File Signing para StoreFront, consulte la documentación de StoreFront.

En los entornos con Interfaz Web, la Interfaz Web habilita y configura los inicios de escritorios y aplicaciones para incluir una firma durante el proceso de inicio mediante el servicio Citrix ICA File Signing. Este servicio permite firmar los archivos ICA con un certificado del almacén de certificados personal del equipo.

Citrix Merchandising Server con Citrix Receiver para Windows permite configurar e iniciar la verificación de firmas mediante el asistente de la consola de administración Citrix Merchandising Server Administrator Console > Deliveries para agregar sellos de certificados de confianza.

Para usar objetos de directiva de grupo para habilitar y configurar la verificación de firmas de inicio de aplicaciones o escritorios, siga este procedimiento:

  1. Como administrador, abra el Editor de directivas de grupo mediante la ejecución de gpedit.msc localmente desde el menú Inicio si va a aplicar directivas para un solo equipo, o bien, mediante la Consola de administración de directivas de grupo si va a aplicar directivas de dominio. Nota: Si ya importó la plantilla ica-file-signing.adm al Editor de directivas de grupo, puede omitir los pasos 2 a 5.
  2. En el panel izquierdo del Editor de directivas de grupo, seleccione la carpeta Plantillas administrativas.
  3. En el menú Acción, seleccione Agregar o quitar plantillas.
  4. Seleccione Agregar y vaya a la carpeta de configuración de Citrix Receiver para Windows (normalmente C:\Archivos de programa\Citrix\ICA Client\Configuration) y seleccione ica-file-signing.adm.
  5. Seleccione Abrir para agregar la plantilla y luego, haga clic en Cerrar para regresar al Editor de directivas de grupo.
  6. Desde el Editor de directivas de grupo, vaya a Plantillas administrativas > Plantillas administrativas clásicas (ADM) > Componentes de Citrix > Citrix Receiver y vaya a Habilitar ICA File Signing.
  7. Si elige Habilitada, podrá agregar sellos de certificados con firma a la lista blanca de certificados de confianza, o bien quitar los sellos de certificados con firma de la lista blanca haciendo clic en Mostrar y luego use la ventana Mostrar contenido. Puede copiar y pegar los sellos de certificados con firma desde las propiedades de los certificados. Use el menú desplegable Directiva para seleccionar Permitir inicios con firma solamente (más seguro) o Preguntar al usuario en inicios sin firma (menos seguro).
Opción Descripción
Permitir inicios con firma solamente (más seguro) Permite inicios de escritorios o aplicaciones con firma solamente desde servidores de confianza. Si un inicio de escritorio o aplicación no dispone de una firma válida, se mostrará al usuario un mensaje de advertencia de seguridad en Citrix Receiver para Windows. El usuario no podrá continuar y se bloqueará el inicio no autorizado.
Preguntar al usuario en inicios sin firma (menos seguro) Pregunta al usuario cada vez que se realizan intentos de inicio de aplicación o escritorio sin firma o con una firma no válida. El usuario tiene la opción de continuar el inicio de la aplicación o cancelar el inicio (valor predeterminado).

Para seleccionar y distribuir un certificado de firma digital

Cuando se seleccione un certificado de firma digital, Citrix recomienda elegir a partir de la lista siguiente, en el orden siguiente:

  1. Adquiera un certificado con firma de código o un certificado con firma SSL a partir de una entidad de certificados (CA) pública.
  2. Si su empresa dispone de una entidad de certificados privada, cree un certificado con firma de código o un certificado con firma SSL a través de la entidad de certificados privada.
  3. Utilice un certificado SSL existente, como el certificado del servidor de la Interfaz Web.
  4. Cree un certificado raíz nuevo y distribúyalo a los dispositivos de usuario mediante un objeto de directiva de grupo o una instalación manual.

ICA File Signing para proteger ante el inicio de aplicaciones y escritorios desde servidores que no son de confianza