Product Documentation

Protección de la implementación de StoreFront

Dec 12, 2016

En esta sección se muestran las áreas que pueden afectar la seguridad del sistema durante la implementación y la configuración de StoreFront.   

Configuración de Microsoft Internet Information Services (IIS)

StoreFront puede configurarse con una configuración restringida de IIS.  Esta no es la configuración predeterminada de IIS.

Extensiones de nombres de archivo
Puede prohibir extensiones de nombre de archivo no incluidas en la lista.

StoreFront requiere estas extensiones de nombre de archivo en la opción Filtro de solicitudes:

. (extensión en blanco)

.appcache

.aspx

.cr

.css

.dtd

.gif

.htm

.html

.ica

.ico

.jpg

.js

.png

.svg

archivo

.xml

Si la descarga/actualización de Citrix Receiver está habilitada para Citrix Receiver para Web, StoreFront también requiere estas extensiones de nombre de archivo:

 

.dmg

.exe

Si Citrix Receiver para HTML5 está habilitado, StoreFront también requiere estas extensiones de nombre de archivo:

 

.eot

.ttf

.woff

StoreFront requiere los siguientes verbos de HTTP en Filtro de solicitudes. Puede prohibir los verbos que no se encuentren en la lista.

  • GET
  • POST
  • HEAD

StoreFront no requiere:

  • Filtros de ISAPI
  • Extensiones ISAPI
  • Programas CGI
  • Programas FastCGI

Important

  • StoreFront requiere Plena confianza. No configure el nivel de confianza de .NET con un nivel Alto o inferior.
  • StoreFront no da respaldo al uso de grupos de aplicaciones separados para cada sitio. No modifique estos parámetros de sitio.

Configuración de derechos de usuario

Cuando se instala StoreFront, sus grupos de aplicaciones reciben el derecho de Iniciar sesión como un servicio, y los privilegios siguientes: Ajustar las cuotas de la memoria para un proceso, Generar auditorías de seguridad y Reemplazar un símbolo (token) de nivel de proceso. Este es el comportamiento normal de instalación cuando se crean los grupos de aplicaciones. 

No es necesario que cambie estos derechos de usuario. Estos privilegios no se usan en StoreFront y están inhabilitados automáticamente. 

La instalación de StoreFront crea los siguientes servicios de Windows:

  • Citrix Configuration Replication (NT SERVICE\CitrixConfigurationReplication)
  • Citrix Cluster Join (NT SERVICE\CitrixClusterService)
  • Citrix Peer Resolution (NT SERVICE\Citrix Peer Resolution Service)
  • Citrix Credential Wallet (NT SERVICE\CitrixCredentialWallet)
  • Citrix Subscriptions Store (NT SERVICE\CitrixSubscriptionsStore)
  • Citrix Default Domain Services (NT SERVICE\CitrixDefaultDomainService)

Si configura la delegación restringida de Kerberos en StoreFront para XenApp 6.5, esto crea el servicio Citrix StoreFront Protocol Transition (NT SERVICE\SYSTEM). Este servicio requiere un privilegio que normalmente no se concede a servicios Windows.

Configuración de parámetros de servicios

Los servicios Windows de StoreFront enumerados arriba en la sección "Configuración de derechos de usuario" están configurados para iniciar sesión con la identidad NETWORK SERVICE (Servicio de red). El servicio Citrix StoreFront Protocol Transition inicia sesión como SYSTEM (Sistema). No cambie esta configuración.

Configuración de la pertenencia a grupos

La instalación de StoreFront agrega los siguientes servicios al grupo de seguridad de Administradores:

  • Citrix Configuration Replication (NT SERVICE\CitrixConfigurationReplication)
  • Citrix Cluster Join (NT SERVICE\CitrixClusterService)

La pertenencia de estos grupos es necesaria para que StoreFront funcione correctamente, para:

  • Crear, exportar, importar y eliminar certificados y definir permisos de acceso en ellos
  • Leer y escribir en el Registro de Windows
  • Agregar y quitar ensamblados de Microsoft .NET Framework en la caché Global Assembly Cache (GAC)
  • Acceder a la carpeta Archivos de programa\Citrix\<Ubicación de StoreFront>
  • Agregar, modificar y quitar identidades de grupos de aplicaciones de IIS y aplicaciones Web de IIS
  • Agregar, modificar y quitar grupos de seguridad local y reglas de firewall
  • Agregar y quitar servicios de Windows y complementos de PowerShell
  • Registrar puntos finales de Microsoft Windows Communication Framework (WCF)

En actualizaciones de StoreFront, esta lista de operaciones puede cambiarse sin previo aviso.

La instalación de StoreFront también crea los siguientes grupos de seguridad locales:

  • CitrixClusterMembers
  • CitrixCWServiceReadUsers
  • CitrixCWServiceWriteUsers
  • CitrixDelegatedAuthenticatorUsers
  • CitrixDelegatedDirectoryClaimFactoryUsers
  • CitrixPNRSUsers
  • CitrixStoreFrontPTServiceUsers
  • CitrixSubscriptionServerUsers
  • CitrixSubscriptionsStoreServiceUsers
  • CitrixSubscriptionsSyncUsers

StoreFront mantiene la pertenencia de los miembros de estos grupos de seguridad. Se utilizan para el control de acceso dentro de StoreFront y no se aplican a recursos de Windows tales como archivos y carpetas. No modifique los miembros de estos grupos.

Certificados en StoreFront

Certificados de servidor

Los certificados de servidor se usan para identificar las máquinas y para aplicar seguridad TLS (Transport Layer Security) al transporte de datos en StoreFront. Si decide habilitar ICA File Signing, StoreFront también puede utilizar los certificados para firmar los archivos ICA de forma digital.

Para habilitar la detección de cuentas basada en direcciones de correo electrónico en caso de usuarios que instalan por primera vez Citrix Receiver en un dispositivo, debe instalar un certificado de servidor válido en el servidor StoreFront. También es necesario que la cadena completa al certificado raíz sea válida. Para una experiencia de usuario óptima, instale un certificado con una entrada del tipo Sujeto o Nombre alternativo del sujeto con el texto discoverReceiver.dominio, donde dominio es el dominio de Microsoft Active Directory que contiene las cuentas de correo electrónico de los usuarios. Aunque se puede usar un certificado comodín para el dominio que contiene las cuentas de correo electrónico de los usuarios, primero es necesario asegurarse de que la implementación de dichos certificados está permitida por las directivas de seguridad de la empresa. También se pueden usar otros certificados para el dominio de las cuentas de correo electrónico de los usuarios, pero los usuarios verán un cuadro de diálogo de advertencia acerca de los certificados cuando Citrix Receiver se conecte por primera vez al servidor StoreFront. La detección de cuentas basada en direcciones de correo electrónico no se puede utilizar con ninguna otra identidad de certificado. Para obtener más información, consulte Configuración de la detección de cuentas basada en direcciones de correo electrónico.

Si los usuarios configuran sus cuentas introduciendo las direcciones URL del almacén directamente en Citrix Receiver y no usan la detección de cuentas basada en direcciones de correo electrónico, el certificado del servidor StoreFront tiene que ser válido solamente para ese servidor y debe tener una cadena válida hasta el certificado raíz.

Certificados de administración de tokens

Tanto los servicios de autenticación como los almacenes requieren certificados para la administración de tokens. StoreFront genera un certificado autofirmado cuando se crean servicios de autenticación o almacenes. Los certificados autofirmados que genera StoreFront no deben utilizarse para otros fines.

Certificados de Citrix Delivery Services

StoreFront guarda una serie de certificados en un almacén de certificados de Windows personalizado (Citrix Delivery Services).  Los siguientes servicios usan estos certificados: Citrix Configuration Replication Service, Citrix Credential Wallet Service, y Citrix Subscriptions Store Service. Cada servidor StoreFront de un clúster tiene una copia de estos certificados.  Estos servicios no dependen de TLS para las comunicaciones seguras y no se usan como certificados TLS.  Estos certificados se crean cuando se crea un almacén de StoreFront o cuando se instala StoreFront.  No modifique el contenido de este almacén de certificados de Windows.

Certificados de firma de código

StoreFront incluye una serie de scripts de PowerShell (.ps1) en la carpeta <directorio de instalación>\Scripts. La instalación predeterminada de StoreFront no hace uso de estos scripts. Con ellos se pueden simplificar los pasos de configuración para tareas específicas que se llevan a cabo con poca frecuencia. Estos scripts están firmados, lo que permite que StoreFront respalde la directiva de ejecución de PowerShell. Recomendamos usar la directiva AllSigned. (La directiva Restricted no recibe respaldo, porque impide la ejecución de los scripts de PowerShell). StoreFront no modifica la directiva de ejecución de PowerShell.

Aunque StoreFront no instala un certificado de firma de código en el almacén Editores de confianza, Windows puede agregar automáticamente el certificado de firma de código ahí. Esto ocurre cuando el script de PowerShell se ejecuta con la opción Ejecutar siempre. (Si selecciona la opción No ejecutar nunca, el certificado se agrega al almacén de Certificados en los que no se confía, y los scripts de PowerShell de StoreFront no se ejecutarán). Una vez que el certificado de firma de código ha sido agregado al almacén Editores de confianza, Windows ya no comprueba su caducidad. Puede quitar este certificado del almacén Editores de confianza después de que las tareas de StoreFront se hayan completado.

Comunicaciones de StoreFront

En un entorno de producción, Citrix recomienda el uso del protocolo de seguridad de Internet (IPsec) o protocolos HTTPS para proteger la transferencia de los datos entre StoreFront y los servidores. IPsec es un conjunto de extensiones estándar para el protocolo de Internet. Proporciona comunicaciones autenticadas y cifradas con integridad de datos y protección contra reproducción. Como IPsec es un conjunto de protocolos de capa de red, los protocolos con niveles más elevados pueden utilizarlo sin realizar ninguna modificación. HTTPS utiliza protocolos SSL y TLS para proporcionar un cifrado de datos avanzado.

El Traspaso SSL se puede usar para proteger el tráfico de datos entre StoreFront y los servidores de XenApp. El Traspaso SSL es un componente predeterminado de XenApp que lleva a cabo la autenticación del host y el cifrado de datos.

Citrix recomienda proteger la comunicación entre los dispositivos de los usuarios y StoreFront mediante NetScaler Gateway y HTTPS. Para utilizar HTTPS, StoreFront requiere que la sesión de Microsoft Internet Information Services (IIS) que aloja el servicio de autenticación y los almacenes asociados esté configurada para HTTPS. Sin una configuración de IIS adecuada, StoreFront utiliza HTTP para las comunicaciones. Citrix recomienda encarecidamente no habilitar conexiones de usuario no seguras a StoreFront en un entorno de producción.

Separación de seguridad de StoreFront

Si implementa aplicaciones Web en el mismo dominio Web (nombre de dominio y puerto) que StoreFront, cualquier posible problema de seguridad de esas aplicaciones Web podrían afectar a su vez a la seguridad de la implementación de StoreFront. Cuando se necesita un mayor nivel de seguridad es necesario separarlos: Citrix recomienda implementar StoreFront en un dominio Web aparte.

ICA File Signing

StoreFront ofrece la opción de firmar de forma digital los archivos ICA mediante un certificado especificado en el servidor, para que las versiones de Citrix Receiver que admiten esta función puedan verificar que el archivo proviene de una fuente de confianza. Los archivos ICA se pueden firmar con cualquier algoritmo hash que admita el sistema operativo que se ejecuta en el servidor StoreFront, incluidos SHA-1 y SHA-256. Para obtener más información, consulte Habilitación de la firma de archivos ICA.

Cambio de contraseña del usuario

Puede permitir el cambio de contraseñas por parte de los usuarios de los sitios de Receiver para Web que inicien sesión con credenciales de dominio de Active Directory. Una vez concedido el permiso, los usuarios podrán cambiarlas en cualquier momento o solo cuando hayan caducado. No obstante, esto deja funciones de seguridad importantes al alcance de cualquier persona que pueda acceder a los almacenes que utilizan el servicio de autenticación. Si su organización cuenta con una directiva de seguridad que solo permite utilizar las funciones de cambio de contraseñas de los usuarios para uso interno, asegúrese de que no se pueda acceder a los almacenes desde fuera de la red corporativa. Al crear el servicio de autenticación, la configuración predeterminada impide que los usuarios de los sitios de Receiver para Web cambien sus contraseñas, incluso aunque hayan caducado. Para obtener más información, consulte Mejora de la experiencia de usuario.

Personalizaciones

Para reforzar la seguridad, no escriba personalizaciones que carguen contenido o scripts desde servidores que no estén bajo su control. Copie el contenido o el script en la carpeta de personalización del sitio de Citrix Receiver para Web que está personalizando. Si StoreFront está configurado para conexiones HTTPS, asegúrese de que todos los enlaces con el contenido o scripts personalizados usan también HTTPS.