Proteja su implementación de StoreFront
Este artículo destaca las áreas que pueden tener un impacto en la seguridad del sistema al implementar y configurar StoreFront.
Autenticación de usuarios finales
Normalmente, los usuarios finales deben autenticarse directamente en StoreFront o en un Citrix Gateway delante de StoreFront. Para obtener más información sobre los métodos de autenticación disponibles, consulte Autenticación.
Comunicación con los usuarios finales
Citrix recomienda proteger las comunicaciones entre los dispositivos de los usuarios y StoreFront mediante HTTPS. Esto garantiza que las contraseñas y otros datos enviados entre el cliente y StoreFront estén cifrados. Además, las conexiones HTTP simples pueden verse comprometidas por varios ataques, como los ataques de intermediario (man-in-the-middle), especialmente cuando las conexiones se realizan desde ubicaciones inseguras como puntos de acceso Wi-Fi públicos. Si no se dispone de la configuración de IIS adecuada, StoreFront utiliza HTTP para las comunicaciones.
Según su configuración, los usuarios pueden acceder a StoreFront a través de una puerta de enlace o un equilibrador de carga. Puede finalizar la conexión HTTPS en la puerta de enlace o el equilibrador de carga. Sin embargo, en este caso, Citrix sigue recomendando que proteja las conexiones entre la puerta de enlace o el equilibrador de carga y StoreFront mediante HTTPS.
Para habilitar HTTPS, deshabilitar HTTP y habilitar HSTS, consulte Protección de StoreFront con HTTPS.
En su servidor virtual NetScaler Gateway o equilibrador de carga, puede configurar qué versiones de TLS están habilitadas. Se recomienda deshabilitar las versiones de TLS anteriores a la 1.2.
En los servidores StoreFront, Windows e IIS determinan qué versiones de TLS están permitidas para las conexiones entrantes. Se recomienda deshabilitar las versiones de TLS anteriores a la 1.2. En Windows Server 2022, puede configurar IIS para deshabilitar TLS 1.0 y 1.1 para las conexiones de cliente; consulte Protección de StoreFront con HTTPS. En todas las versiones de servidor de Windows, puede deshabilitar TLS 1.0 y 1.1 mediante la Directiva de grupo o la configuración del Registro de Windows; consulte la documentación de Microsoft.
Las versiones anteriores de Citrix Receiver no pueden conectarse mediante TLS 1.2; consulte CTX232266 para obtener más detalles.
Comunicación con los Delivery Controllers
Citrix recomienda utilizar el protocolo HTTPS para proteger los datos que pasan entre StoreFront y sus Delivery Controllers de Citrix Virtual Apps and Desktops. Para obtener más información, consulte Habilitar HTTPS en los Delivery Controllers. Para configurar StoreFront para usar HTTPS, consulte Agregar fuentes de recursos para Citrix Virtual Apps and Desktops y Agregar dispositivo Citrix Gateway. En caso de que los certificados se vean comprometidos, puede utilizar la comprobación de la lista de revocación de certificados (CRL). StoreFront utiliza TLS 1.2 o superior para comunicarse con los Delivery Controllers.
Se recomienda configurar el Delivery Controller y StoreFront para garantizar que solo los servidores StoreFront de confianza puedan comunicarse con el Delivery Controller; consulte Administrar claves de seguridad.
Comunicación con Cloud Connectors
Citrix recomienda usar el protocolo HTTPS para proteger los datos que pasan entre StoreFront y sus Cloud Connectors. Consulte Configuración de HTTPS. Para configurar StoreFront, consulte Agregar fuentes de recursos para Citrix Desktops as a Service y Agregar dispositivo Citrix Gateway. En caso de que los certificados se vean comprometidos, puede usar Comprobación de la lista de revocación de certificados (CRL). StoreFront utiliza TLS 1.2 o superior para comunicarse con los Cloud Connectors.
Se recomienda configurar DaaS y StoreFront para garantizar que solo los servidores StoreFront de confianza puedan comunicarse con los Cloud Connectors. Para obtener más información, consulte Administrar claves de seguridad.
Comunicación con el Servicio de autenticación federada
Para obtener información sobre la comunicación entre StoreFront y los servidores del Servicio de autenticación federada (FAS), consulte Servicio de autenticación federada - Configuración de seguridad y red.
Acceso remoto
Citrix no recomienda exponer su servidor StoreFront directamente a Internet. Citrix recomienda usar un Citrix Gateway para proporcionar autenticación y acceso a los usuarios remotos.
Refuerzo de Microsoft Internet Information Services (IIS)
Puede configurar StoreFront con una configuración de IIS restringida. Tenga en cuenta que esta no es la configuración predeterminada de IIS.
Extensiones de nombre de archivo
Puede usar el filtrado de solicitudes para configurar listas de extensiones de archivo permitidas y denegar las extensiones de nombre de archivo no listadas. Consulte documentación de IIS.
StoreFront requiere las siguientes extensiones de nombre de archivo:
- . (extensión en blanco)
- .appcache
- .aspx
- .cr
- el .css
- el .dtd
- .gif
- .htm
- .html
- .ica®
- Extensión .ico
- Extensión .jpg
- .js
- .png
- .svg
- Texto
- XML
Si la descarga o actualización de la aplicación Citrix Workspace está habilitada para un sitio web de la tienda, StoreFront también requiere estas extensiones de nombre de archivo:
- .dmg
- .exe
Si la aplicación Citrix Workspace para HTML5 está habilitada, StoreFront también requiere estas extensiones de nombre de archivo:
- .eot
- .ttf
- .woff
- .wasm
Verbos
Puede usar el filtrado de solicitudes para configurar una lista de verbos permitidos y denegar los verbos no listados. Consulte la documentación de IIS.
- GET
- POST
- HEAD
Caracteres no ASCII en las URL
Si se asegura de que el nombre del almacén y el nombre del sitio web solo utilicen caracteres ASCII, las URL de StoreFront no contendrán caracteres ASCII. Puede usar el filtrado de solicitudes para denegar los caracteres no ASCII. Consulte la documentación de IIS.
Tipos MIME
Puede eliminar los tipos MIME del shell del sistema operativo correspondientes a las siguientes extensiones de archivo:
- .exe
- .dll
- .comercial
- .lote
- Extensión .csh
Consulte la documentación de IIS.
Eliminar el encabezado X-Powered-By
De forma predeterminada, IIS incluye un encabezado X-Powered-By con el valor ASP.NET a nivel de servidor. StoreFront elimina este encabezado en todos los sitios web de StoreFront. También puede eliminar el encabezado a nivel de servidor, lo que se aplica a todos los sitios web del servidor; consulte la documentación de encabezados personalizados de IIS.
Eliminar el encabezado Server con la versión de IIS
De forma predeterminada, IIS informa de la versión de IIS agregando un encabezado Server. Puede configurar IIS para eliminar este encabezado. Consulte la documentación de filtrado de solicitudes de IIS.
Mover el sitio web de StoreFront a una partición independiente
Puede alojar los sitios web de StoreFront en una partición independiente de los archivos del sistema. En IIS, debe mover el sitio web predeterminado o crear un sitio independiente en la partición adecuada antes de crear su implementación de StoreFront.
Funciones de IIS
Para obtener la lista de funciones de IIS instaladas y utilizadas por StoreFront, consulte Requisitos del sistema. Puede eliminar otras funciones de IIS.
Aunque StoreFront no utiliza filtros ISAPI directamente, la función es necesaria para ASP.NET, por lo que no se puede desinstalar.
Asignaciones de controlador
StoreFront requiere las siguientes asignaciones de controlador. Puede quitar otras asignaciones de controlador.
- ExtensionlessUrlHandler-Integrated-4.0
- PageHandlerFactory-Integrated-4.0
- StaticFile
Consulte la documentación de controladores de IIS.
Filtros ISAPI
StoreFront no requiere ningún filtro ISAPI. Puede quitar todos los filtros ISAPI. Sin embargo, ASP.NET requiere la función de Windows ISAPI. Consulte la documentación de filtros ISAPI de IIS.
Reglas de autorización de .NET
De forma predeterminada, los servidores IIS tienen la “Regla de autorización de .NET” establecida en Permitir a todos los usuarios. De forma predeterminada, el sitio web utilizado por StoreFront hereda esta configuración.
Si quita o cambia la regla de autorización de .NET en el nivel del servidor, debe anular las reglas del sitio web utilizado por StoreFront para agregar una regla de permiso para “Todos los usuarios” y quitar cualquier otra regla.
Modo de venta al público
Puede habilitar el modo de venta al público; consulte la documentación de IIS.
Grupos de aplicaciones
StoreFront crea los siguientes grupos de aplicaciones:
- API de configuración de Citrix
- Autenticación de servicios de entrega de Citrix
- Recursos de servicios de entrega de Citrix
- y Citrix Receiver™ para Web
No cambie los grupos de aplicaciones utilizados por cada aplicación IIS ni la identidad de cada grupo. Si utiliza varios sitios, no es posible configurar cada sitio para que utilice grupos de aplicaciones separados.
En la configuración de Reciclaje, puede establecer el tiempo de espera de inactividad del grupo de aplicaciones y el Límite de memoria virtual. Tenga en cuenta que cuando el grupo de aplicaciones de “Citrix Receiver para Web” se recicla, hace que los usuarios que han iniciado sesión a través de un navegador web cierren la sesión; por lo tanto, está configurado por defecto para reciclarse a las 02:00 cada día para minimizar las interrupciones. Si cambia cualquiera de las configuraciones de reciclaje, esto puede provocar que los usuarios cierren la sesión en otros momentos del día.
Página de inicio predeterminada de IIS
Puede eliminar los archivos iisstart.htm, welcome.png de c:\inetpub\wwwroot.
Configuración requerida
- No cambie la configuración de autenticación de IIS. StoreFront gestiona la autenticación y configura los directorios del sitio de StoreFront con la configuración de autenticación adecuada.
- Para el servidor de StoreFront, en Configuración SSL, no seleccione Certificados de cliente: Requerir. La instalación de StoreFront configura las páginas adecuadas del sitio de StoreFront con esta configuración.
- StoreFront requiere cookies para el estado de sesión y otras funcionalidades. En ciertos directorios, en Estado de sesión, Configuración de cookies, Modo debe establecerse en Usar cookies.
- StoreFront requiere que el Nivel de confianza de .NET se establezca en Confianza total. No establezca el nivel de confianza de .NET en ningún otro valor.
Servicios
La instalación de StoreFront crea los siguientes servicios de Windows:
- Replicación de configuración de Citrix (NT SERVICE\CitrixConfigurationReplication)
- Unión de clúster de Citrix (NT SERVICE\CitrixClusterService)
- Resolución de pares de Citrix (NT SERVICE\Citrix Peer Resolution Service)
- Cartera de credenciales de Citrix (NT SERVICE\CitrixCredentialWallet)
- Almacén de suscripciones de Citrix (NT SERVICE\CitrixSubscriptionsStore)
- Servicios de dominio predeterminados de Citrix (NT SERVICE\CitrixDefaultDomainService)
Estas cuentas inician sesión como Network Service. No cambie esta configuración.
Si configura la delegación restringida de Kerberos de StoreFront para XenApp 6.5, esto crea además el servicio de transición de protocolo de Citrix StoreFront (NT SERVICE\CitrixStoreFrontProtocolTransition). Este servicio se ejecuta como NT AUTHORITY\SYSTEM. No cambie esta configuración.
Asignación de derechos de usuario
La modificación de la asignación de derechos de usuario predeterminada puede causar problemas con StoreFront. En particular:
-
Microsoft IIS se habilita como parte de la instalación de StoreFront. Microsoft IIS concede el derecho de inicio de sesión Iniciar sesión como un trabajo por lotes y el privilegio Suplantar a un cliente después de la autenticación al grupo integrado IIS_IUSRS. Este es el comportamiento normal de instalación de Microsoft IIS. No cambie estos derechos de usuario. Consulte la documentación de Microsoft para obtener más detalles.
-
Al instalar StoreFront, se crean grupos de aplicaciones a los que IIS concede los derechos de usuario Iniciar sesión como servicio, Ajustar las cuotas de memoria para un proceso, Generar auditorías de seguridad y Reemplazar un token de nivel de proceso.
-
Para crear o cambiar una implementación, el administrador debe tener los derechos Restaurar archivos y directorios.
-
Para que un servidor se una a un grupo de servidores, el grupo de administradores debe tener los derechos Restaurar archivos y directorios, Acceder a este equipo desde la red y Administrar el registro de auditoría y seguridad.
-
Para que los usuarios inicien sesión con autenticación de nombre de usuario y contraseña (directamente o a través de una puerta de enlace), deben tener derechos para Permitir el inicio de sesión local, a menos que haya configurado StoreFront para validar contraseñas a través del controlador de entrega.
Esta no es una lista exhaustiva y es posible que se requieran otros derechos de acceso de usuario.
Configurar pertenencias a grupos
Al configurar un grupo de servidores de StoreFront, los siguientes servicios se agregan al grupo de seguridad de Administradores:
- Replicación de configuración de Citrix (NT SERVICE\CitrixConfigurationReplication)
- Unión de clúster de Citrix (NT SERVICE\CitrixClusterService). Este servicio solo se ve en servidores que forman parte de un grupo y solo se ejecuta mientras la unión está en curso.
Estas pertenencias a grupos son necesarias para que StoreFront funcione correctamente, para:
- Crear, exportar, importar y eliminar certificados, y establecer permisos de acceso en ellos
- Leer y escribir el registro de Windows
- Agregar y quitar ensamblados de Microsoft .NET Framework en la Caché global de ensamblados (GAC)
- Acceder a la carpeta Program Files\Citrix\<StoreFrontLocation>
- Agregar, modificar y quitar identidades de grupos de aplicaciones de IIS y aplicaciones web de IIS
- Agregar, modificar y quitar grupos de seguridad locales y reglas de firewall
- Agregar y quitar servicios de Windows y complementos de PowerShell
- Registrar puntos de conexión de Microsoft Windows Communication Framework (WCF)
En las actualizaciones de StoreFront, esta lista de operaciones podría cambiar sin previo aviso.
La instalación de StoreFront también crea los siguientes grupos de seguridad locales:
- CitrixClusterMembers
- CitrixCWServiceReadUsers
- CitrixCWServiceWriteUsers
- CitrixDelegatedAuthenticatorUsers
- CitrixDelegatedDirectoryClaimFactoryUsers
- CitrixPNRSReplicators
- CitrixPNRSUsers
- CitrixStoreFrontAdministrators
- CitrixSubscriptionServerUsers
- CitrixSubscriptionsStoreServiceUsers
- CitrixSubscriptionsSyncUsers
StoreFront mantiene la pertenencia a estos grupos de seguridad. Se utilizan para el control de acceso dentro de StoreFront y no se aplican a recursos de Windows como archivos y carpetas. No modifique la pertenencia a estos grupos.
NTLM
Si tiene los favoritos habilitados mediante la base de datos ESENT local, StoreFront utiliza NTLM al sincronizar los favoritos entre servidores de un grupo de servidores. Si deshabilita NTLM, los favoritos no se sincronizarán. Esto podría resolverse con StoreFront 2402 CU3 o superior. Como alternativa, puede utilizar una base de datos de SQL Server.
StoreFront utiliza NTLM al sincronizar credenciales entre servidores en un grupo de servidores. Si NTLM está deshabilitado, es posible que los usuarios deban volver a autenticarse si el balanceador de carga cambia el servidor al que está conectado el usuario. Esto podría resolverse utilizando StoreFront CU3 o superior. Esto se puede mitigar utilizando el balanceo de carga persistente. Tenga en cuenta que para el acceso a través de un navegador web, el balanceo de carga persistente siempre es necesario.
Si los usuarios se autentican mediante autenticación de paso a través de dominio, de forma predeterminada IIS utiliza Kerberos si es posible; de lo contrario, recurre a NTLM. Si hay un balanceador de carga delante de StoreFront, siempre recurre a NTLM.
Puede configurar el servidor para que solo use NTLMv2 y rechace NTLMv1; consulte la documentación de Microsoft. En Windows Server 2025 y versiones posteriores, NTLMv1 se ha eliminado, por lo que siempre se utiliza NTLMv2.
Certificados en StoreFront
Certificados de servidor
Los certificados de servidor se utilizan para la identificación de máquinas y la seguridad de transporte de la Seguridad de la capa de transporte (TLS) en StoreFront. Si decide habilitar la firma de archivos ICA, StoreFront también puede utilizar certificados para firmar digitalmente los archivos ICA.
Para obtener más información, consulte Comunicación entre usuarios finales y StoreFront y Firma de archivos ICA.
Certificados de gestión de tokens
Los servicios de autenticación y los almacenes requieren certificados para la gestión de tokens. StoreFront genera un certificado autofirmado cuando se crea un servicio de autenticación o un almacén. Los certificados autofirmados generados por StoreFront no deben utilizarse para ningún otro fin.
Certificados de Citrix Delivery Services
StoreFront guarda varios certificados en un almacén de certificados de Windows personalizado (Citrix Delivery Services). Los servicios Citrix Configuration Replication, Citrix Credential Wallet y Citrix Subscriptions Store utilizan estos certificados. Cada servidor StoreFront de un clúster tiene una copia de estos certificados. Estos servicios no dependen de TLS para las comunicaciones seguras, y estos certificados no se utilizan como certificados de servidor TLS. Estos certificados se crean cuando se crea un almacén de StoreFront o se instala StoreFront. No modifique el contenido de este almacén de certificados de Windows.
Certificados de firma de código
StoreFront incluye varios scripts de PowerShell (.ps1) en la carpeta <InstallDirectory>\Scripts. La instalación predeterminada de StoreFront no utiliza estos scripts. Simplifican los pasos de configuración para tareas específicas y poco frecuentes. Estos scripts están firmados, lo que permite a StoreFront admitir la política de ejecución de PowerShell. Recomendamos la política AllSigned. (La política Restricted no es compatible, ya que impide la ejecución de scripts de PowerShell). StoreFront no altera la política de ejecución de PowerShell.
Aunque StoreFront no instala un certificado de firma de código en el almacén de editores de confianza, Windows puede añadir automáticamente el certificado de firma de código allí. Esto ocurre cuando el script de PowerShell se ejecuta con la opción Always run. (Si selecciona la opción Never run, el certificado se añade al almacén de certificados no confiables y los scripts de PowerShell de StoreFront no se ejecutarán). Una vez que el certificado de firma de código se ha añadido al almacén de editores de confianza, Windows ya no comprueba su caducidad. Puede eliminar este certificado del almacén de editores de confianza una vez que se hayan completado las tareas de StoreFront.
Separación de seguridad de StoreFront
Si implementa alguna aplicación web en su servidor StoreFront en el mismo dominio web (nombre de dominio y puerto) que StoreFront, cualquier riesgo de seguridad en esas aplicaciones web podría reducir potencialmente la seguridad de su implementación de StoreFront. Cuando se requiere un mayor grado de separación de seguridad, Citrix recomienda implementar StoreFront en un dominio web separado.
Descargas de ICA
Los archivos ICA contienen la información para conectarse a los VDA y, a menudo, para iniciar sesión única en ellos sin autenticación adicional. Por lo tanto, asegúrese de que los archivos ICA estén protegidos. Para los lanzamientos híbridos, según la configuración, los archivos ICA pueden descargarse en el dispositivo del usuario. Se recomienda deshabilitar las descargas de ICA. Para obtener más información, consulte Implementación de la aplicación Workspace.
Firma de archivos ICA
StoreFront ofrece la opción de firmar digitalmente los archivos ICA mediante un certificado especificado en el servidor para que las versiones de la aplicación Citrix Workspace que admiten esta función puedan verificar que el archivo procede de una fuente de confianza. Los archivos ICA se pueden firmar utilizando cualquier algoritmo hash compatible con el sistema operativo que se ejecuta en el servidor StoreFront, incluidos SHA-1 y SHA-256. Para obtener más información, consulte Habilitar la firma de archivos ICA.
Protección de aplicaciones
Puede usar Protección de aplicaciones para evitar la captura de pantalla y los registradores de pantalla. Para los lanzamientos híbridos, la Protección de aplicaciones está deshabilitada de forma predeterminada. Para habilitarla, consulte Protección de aplicaciones.
Cambio de contraseña de usuario
Puede permitir que los usuarios que inician sesión a través de un navegador web con credenciales de dominio de Active Directory cambien sus contraseñas, ya sea en cualquier momento o solo cuando hayan caducado. Sin embargo, esto expone funciones de seguridad sensibles a cualquiera que pueda acceder a cualquiera de los almacenes que utilizan el servicio de autenticación. Si su organización tiene una política de seguridad que reserva las funciones de cambio de contraseña de usuario solo para uso interno, asegúrese de que ninguno de los almacenes sea accesible desde fuera de su red corporativa. Al crear el servicio de autenticación, la configuración predeterminada impide que los usuarios cambien sus contraseñas, incluso si han caducado. Para obtener más información, consulte Permitir que los usuarios cambien sus contraseñas.
Personalizaciones
Para reforzar la seguridad, no escriba personalizaciones que carguen contenido o scripts de servidores que no estén bajo su control. Copie el contenido o el script en la carpeta personalizada del sitio web donde esté realizando las personalizaciones. Si StoreFront está configurado para conexiones HTTPS, asegúrese de que cualquier enlace a contenido o scripts personalizados también utilice HTTPS.
Encabezados de seguridad
Al ver un sitio web de almacén a través de un navegador web, StoreFront devuelve los siguientes encabezados relacionados con la seguridad que imponen restricciones al navegador web.
| Nombre del encabezado | Valor | Descripción |
|---|---|---|
content-security-policy |
frame-ancestors 'none' |
Esto evita que otros sitios incrusten sitios web de StoreFront dentro de un marco, lo que previene ataques de click-jacking. StoreFront utiliza scripts y estilos en línea, por lo que no es posible usar una política de seguridad de contenido que los bloquee. Los sitios web de StoreFront solo muestran contenido configurado por los administradores y no muestran ningún contenido introducido por el usuario, por lo tanto, no es necesario bloquear los scripts en línea. |
X-Content-Type-Options |
nosniff |
Esto evita la detección de tipo MIME. |
X-Frame-Options |
deny |
Esto evita que otros sitios incrusten sitios web de StoreFront dentro de un marco, lo que previene ataques de click-jacking. Está obsoleto por content-security-policy a frame-ancestors 'none', pero es entendido por algunos navegadores antiguos que no son compatibles con content-security-policy. |
X-XSS-Protection |
1; mode=block |
Utilizado por algunos navegadores para mitigar ataques XSS (cross-site-scripting) |
Cookies
StoreFront utiliza varias cookies. Algunas de las cookies utilizadas en el funcionamiento del sitio web son las siguientes:
| Cookie | Descripción |
|---|---|
ASP.NET_SessionId |
Rastrea la sesión del usuario, incluido el estado de autenticación. Tiene HttpOnly establecido. |
CtxsAuthId |
Para evitar ataques de fijación de sesión, StoreFront también rastrea si el usuario está autenticado utilizando esta cookie. Tiene HttpOnly establecido. |
CsrfToken |
Se utiliza para evitar la falsificación de solicitudes entre sitios mediante el patrón estándar token de Cookie a encabezado. El servidor establece un token en la cookie. El cliente lee el token de la cookie e incluye el token en la cadena de consulta o en un encabezado en las solicitudes posteriores. Esta cookie debe tener HttpOnly no establecido para que el JavaScript del cliente pueda leerla. |
CtxsDeviceId |
Identifica el dispositivo. Tiene HttpOnly establecido. |
StoreFront establece otras cookies para rastrear el estado del usuario, algunas de las cuales deben ser leídas por JavaScript, por lo que no tienen HttpOnly establecido. Estas cookies no contienen ninguna información relacionada con la autenticación u otra información confidencial.
Si el cliente se conecta a través de HTTPS, establece el atributo secure al crear o actualizar cookies.
Información de seguridad adicional
Nota:
Esta información puede cambiar en cualquier momento, sin previo aviso.
Es posible que su organización desee realizar análisis de seguridad de StoreFront por motivos normativos. Las opciones de configuración anteriores pueden ayudar a eliminar algunos hallazgos en los informes de análisis de seguridad.
Si hay una puerta de enlace entre el escáner de seguridad y StoreFront, es posible que algunos hallazgos se relacionen con la puerta de enlace en lugar de con StoreFront. Los informes de análisis de seguridad no suelen distinguir estos hallazgos (por ejemplo, la configuración de TLS). Debido a esto, las descripciones técnicas en los informes de análisis de seguridad pueden ser engañosas.
En este artículo
- Autenticación de usuarios finales
- Comunicación con los usuarios finales
- Comunicación con los Delivery Controllers
- Comunicación con Cloud Connectors
- Comunicación con el Servicio de autenticación federada
- Acceso remoto
- Refuerzo de Microsoft Internet Information Services (IIS)
- Servicios
- Asignación de derechos de usuario
- Configurar pertenencias a grupos
- NTLM
- Certificados en StoreFront
- Separación de seguridad de StoreFront
- Descargas de ICA
- Firma de archivos ICA
- Protección de aplicaciones
- Cambio de contraseña de usuario
- Personalizaciones
- Encabezados de seguridad
- Cookies
- Información de seguridad adicional