Documentación de productos
StoreFront
Current Release 2402 LTSR 2203 LTSR 1912 LTSR 3.12
Ver PDF

Protege tu implementación de StoreFront

March 9, 2026
Contribución de: 
C C

Este artículo destaca las áreas que pueden afectar la seguridad del sistema al implementar y configurar StoreFront.

Autenticación de usuarios finales

Normalmente, los usuarios finales deben autenticarse directamente en StoreFront o en un Citrix Gateway que se encuentre delante de StoreFront. Para obtener más información sobre los métodos de autenticación disponibles, consulta Autenticación.

Comunicación con los usuarios finales

Citrix recomienda proteger las comunicaciones entre los dispositivos de los usuarios y StoreFront mediante HTTPS. Esto garantiza que las contraseñas y otros datos enviados entre el cliente y StoreFront estén cifrados. Además, las conexiones HTTP simples pueden verse comprometidas por varios ataques, como los ataques de intermediario (man-in-the-middle), especialmente cuando las conexiones se realizan desde ubicaciones inseguras como puntos de acceso Wi-Fi públicos. Si no se dispone de la configuración de IIS adecuada, StoreFront utiliza HTTP para las comunicaciones.

Según tu configuración, los usuarios pueden acceder a StoreFront a través de un gateway o un equilibrador de carga. Puedes finalizar la conexión HTTPS en el gateway o en el equilibrador de carga. Sin embargo, en este caso, Citrix sigue recomendando que protejas las conexiones entre el gateway o el equilibrador de carga y StoreFront mediante HTTPS.

Para habilitar HTTPS, deshabilita HTTP y habilita HSTS. Consulta Protege StoreFront con HTTPS.

En tu servidor virtual de NetScaler Gateway o equilibrador de carga, puedes configurar qué versiones de TLS están habilitadas. Se recomienda que deshabilites las versiones de TLS anteriores a la 1.2.

En los servidores de StoreFront, Windows e IIS determinan qué versiones de TLS están permitidas para las conexiones entrantes. Se recomienda que deshabilites las versiones de TLS anteriores a la 1.2. En Windows Server 2025, TLS 1.0 y 1.1 están deshabilitados de forma predeterminada. En Windows Server 2022, puedes configurar IIS para deshabilitar TLS 1.0 y 1.1 para las conexiones de cliente; consulta Protege StoreFront con HTTPS. En todas las versiones de servidor de Windows, puedes deshabilitar TLS 1.0 y 1.1 mediante la directiva de grupo o la configuración del registro de Windows; consulta la documentación de Microsoft.

Las versiones anteriores de Citrix Receiver no pueden conectarse mediante TLS 1.2; consulta CTX232266 para obtener más detalles.

Comunicación con los Delivery Controllers

Citrix recomienda usar el protocolo HTTPS para proteger los datos que pasan entre StoreFront y tus Delivery Controllers de Citrix Virtual Apps and Desktops. Para obtener más información, consulta Habilitar HTTPS en Delivery Controllers. Para configurar StoreFront para que use HTTPS, consulta Agregar sitios para Citrix Virtual Apps and Desktops y Agregar dispositivo Citrix Gateway. En caso de que los certificados se vean comprometidos, puedes usar la comprobación de la lista de revocación de certificados (CRL). StoreFront usa TLS 1.2 o superior para comunicarse con los Delivery Controllers.

Se recomienda que configures el Delivery Controller y StoreFront para garantizar que solo los servidores de StoreFront de confianza puedan comunicarse con el Delivery Controller; consulta Administrar claves de seguridad.

Comunicación con los Cloud Connectors

Citrix recomienda usar el protocolo HTTPS para proteger los datos que pasan entre StoreFront y tus Cloud Connectors. Consulta Configuración de HTTPS. Para configurar StoreFront, consulta Agregar sitios para Citrix Desktops as a Service y Agregar dispositivo Citrix Gateway. En caso de que los certificados se vean comprometidos, puedes usar la comprobación de la lista de revocación de certificados (CRL). StoreFront usa TLS 1.2 o superior para comunicarse con los Cloud Connectors.

Se recomienda que configures DaaS y StoreFront para garantizar que solo los servidores de StoreFront de confianza puedan comunicarse con los Cloud Connectors. Para obtener más información, consulta Administrar claves de seguridad.

Comunicación con Federated Authentication Service

Para obtener información sobre la comunicación entre StoreFront y los servidores de Federated Authentication Service (FAS), consulta Federated Authentication Service - Configuración de seguridad y red.

Acceso remoto

Citrix no recomienda exponer tu servidor de StoreFront directamente a Internet. Citrix recomienda usar un Citrix Gateway para proporcionar autenticación y acceso a los usuarios remotos.

Refuerzo de Microsoft Internet Information Services (IIS)

Puedes configurar StoreFront con una configuración de IIS restringida. Ten en cuenta que esta no es la configuración predeterminada de IIS.

Extensiones de nombre de archivo

Puedes usar el filtrado de solicitudes para configurar una lista de extensiones de archivo permitidas y denegar las extensiones de nombre de archivo no listadas. Consulta la documentación de IIS.

StoreFront requiere las siguientes extensiones de nombre de archivo:

  • . (extensión en blanco)
  • .appcache
  • .aspx
  • .cr
  • .css
  • .dtd
  • .gif
  • .htm
  • .html
  • .ica®
  • .ico
  • .jpg
  • .js
  • .png
  • .svg
  • .txt
  • .xml

Si la descarga o actualización de la aplicación Citrix Workspace está habilitada para un sitio web de la tienda, StoreFront también requiere estas extensiones de nombre de archivo:

  • .dmg
  • .exe

Si la aplicación Citrix Workspace para HTML5 está habilitada, StoreFront también requiere estas extensiones de nombre de archivo:

  • .eot
  • .ttf
  • .woff
  • .wasm

Verbos

Puedes usar el filtrado de solicitudes para configurar una lista de verbos permitidos y denegar los verbos no listados. Consulta la documentación de IIS.

  • GET
  • POST
  • HEAD

Caracteres no ASCII en las URL

Si te aseguras de que el nombre de la tienda y el nombre del sitio web solo usen caracteres ASCII, las URL de StoreFront no contendrán caracteres ASCII. Puedes usar el filtrado de solicitudes para denegar los caracteres no ASCII. Consulta la documentación de IIS.

Tipos MIME

Puedes quitar los tipos MIME de shell del sistema operativo correspondientes a las siguientes extensiones de archivo:

  • .exe
  • .dll
  • .com
  • .bat
  • .csh

Consulta la documentación de IIS.

Quitar el encabezado X-Powered-By

De forma predeterminada, IIS incluye un encabezado X-Powered-By con el valor ASP.NET. Puedes configurar IIS para quitar este encabezado. Consulta la documentación de encabezados personalizados de IIS.

Quitar el encabezado Server con la versión de IIS

De forma predeterminada, IIS informa la versión de IIS agregando un encabezado Server. Puedes configurar IIS para quitar este encabezado. Consulta la documentación de filtrado de solicitudes de IIS.

Mover el sitio web de StoreFront a una partición separada

Puedes alojar los sitios web de StoreFront en una partición separada de los archivos del sistema. Dentro de IIS, debes mover el Sitio web predeterminado o crear un sitio separado en la partición adecuada antes de crear tu implementación de StoreFront.

Funciones de IIS

Para obtener la lista de funciones de IIS instaladas y utilizadas por StoreFront, consulta Requisitos del sistema. Puedes quitar otras funciones de IIS.

Aunque StoreFront no usa filtros ISAPI directamente, la función es requerida por ASP.NET, por lo que no se puede desinstalar.

Asignaciones de controladores

StoreFront requiere las siguientes asignaciones de controladores. Puedes quitar otras asignaciones de controladores.

  • ExtensionlessUrlHandler-Integrated-4.0
  • PageHandlerFactory-Integrated-4.0
  • StaticFile

Consulta la documentación de controladores de IIS.

Filtros ISAPI

StoreFront no requiere ningún filtro ISAPI. Puedes quitar todos los filtros ISAPI. Sin embargo, ASP.NET requiere la función de Windows ISAPI. Consulta la documentación de filtros ISAPI de IIS.

Reglas de autorización de .NET

De forma predeterminada, los servidores IIS tienen la “Regla de autorización de .NET” configurada para permitir a todos los usuarios. De forma predeterminada, el sitio web utilizado por StoreFront hereda esta configuración.

Si quitas o modificas la regla de autorización de .NET a nivel de servidor, debes anular las reglas del sitio web utilizado por StoreFront para agregar una regla de permiso para “Todos los usuarios” y quitar cualquier otra regla.

Modo minorista

Puedes habilitar el modo minorista; consulta la documentación de IIS.

Grupos de aplicaciones

StoreFront crea los siguientes grupos de aplicaciones:

  • Citrix Configuration Api
  • Citrix Delivery Services Authentication
  • Citrix Delivery Services Resources
  • y Citrix Receiver™ for Web

No cambies los grupos de aplicaciones utilizados por cada aplicación IIS ni la identidad de cada grupo. Si usas varios sitios, no es posible configurar cada sitio para que use grupos de aplicaciones separados.

En la configuración de reciclaje, puedes establecer el tiempo de inactividad del grupo de aplicaciones y el límite de memoria virtual. Ten en cuenta que cuando el grupo de aplicaciones “Citrix Receiver for Web” se recicla, provoca que los usuarios que han iniciado sesión a través de un navegador web cierren la sesión, por lo que se configura de forma predeterminada para reciclarse a las 02:00 cada día para minimizar las interrupciones. Si modificas cualquiera de las configuraciones de reciclaje, esto puede provocar que los usuarios cierren la sesión en otros momentos del día.

Página de inicio predeterminada de IIS

Puedes eliminar los archivos iisstart.htm y welcome.png de c:\inetpub\wwwroot.

Configuración requerida

  • No modifiques la configuración de autenticación de IIS. StoreFront gestiona la autenticación y configura los directorios del sitio de StoreFront con la configuración de autenticación adecuada.
  • Para el servidor de StoreFront, en Configuración SSL, no selecciones Certificados de cliente: Requerir. La instalación de StoreFront configura las páginas adecuadas del sitio de StoreFront con esta configuración.
  • StoreFront requiere cookies para el estado de la sesión y otras funcionalidades. En ciertos directorios, en Estado de sesión, Configuración de cookies, Modo debe establecerse en Usar cookies.
  • StoreFront requiere que el Nivel de confianza de .NET se establezca en Confianza total. No establezcas el nivel de confianza de .NET en ningún otro valor.

Servicios

La instalación de StoreFront crea los siguientes servicios de Windows:

  • Citrix Configuration Replication (NT SERVICE\CitrixConfigurationReplication)
  • Citrix Cluster Join (NT SERVICE\CitrixClusterService)
  • Citrix Peer Resolution (NT SERVICE\Citrix Peer Resolution Service)
  • Citrix Credential Wallet (NT SERVICE\CitrixCredentialWallet)
  • Citrix Subscriptions Store (NT SERVICE\CitrixSubscriptionsStore)
  • Citrix Default Domain Services (NT SERVICE\CitrixDefaultDomainService)

Estas cuentas inician sesión como Network Service. No modifiques esta configuración.

Si configuras la delegación restringida de Kerberos de StoreFront para XenApp 6.5, esto crea además el servicio de transición de protocolo de Citrix StoreFront (NT SERVICE\CitrixStoreFrontProtocolTransition). Este servicio se ejecuta como NT AUTHORITY\SYSTEM. No modifiques esta configuración.

Asignación de derechos de usuario

Modificar la asignación de derechos de usuario de los valores predeterminados puede causar problemas con StoreFront. En particular:

  • Microsoft IIS se habilita como parte de la instalación de StoreFront. Microsoft IIS concede el derecho de inicio de sesión Iniciar sesión como un trabajo por lotes y el privilegio Suplantar a un cliente después de la autenticación al grupo integrado IIS_IUSRS. Este es el comportamiento normal de la instalación de Microsoft IIS. No modifiques estos derechos de usuario. Consulta la documentación de Microsoft para obtener más detalles.

  • Cuando instalas StoreFront, crea Grupos de aplicaciones a los que IIS concede los derechos de usuario Iniciar sesión como servicio, Ajustar cuotas de memoria para un proceso, Generar auditorías de seguridad y Reemplazar un token de nivel de proceso.

  • Para crear o modificar una implementación, el administrador debe tener los derechos Restaurar archivos y directorios.

  • Para que un servidor se una a un grupo de servidores, el grupo Administradores debe tener los derechos Restaurar archivos y directorios, Acceder a este equipo desde la red y Administrar el registro de auditoría y seguridad.

  • Para que los usuarios inicien sesión con autenticación de nombre de usuario y contraseña (directamente o a través de una puerta de enlace), deben tener derechos para Permitir el inicio de sesión localmente, a menos que hayas configurado StoreFront para validar contraseñas a través del controlador de entrega.

Esta no es una lista exhaustiva y es posible que se requieran otros derechos de acceso de usuario.

Configurar las pertenencias a grupos

Cuando configuras un grupo de servidores de StoreFront, los siguientes servicios se agregan al grupo de seguridad Administradores:

  • Citrix Configuration Replication (NT SERVICE\CitrixConfigurationReplication)
  • Citrix Cluster Join (NT SERVICE\CitrixClusterService). Este servicio solo se ve en servidores que forman parte de un grupo y solo se ejecuta mientras la unión está en curso.

Estas pertenencias a grupos son necesarias para que StoreFront funcione correctamente, para:

  • Crear, exportar, importar y eliminar certificados, y establecer permisos de acceso en ellos
  • Leer y escribir el registro de Windows
  • Agregar y quitar ensamblados de Microsoft .NET Framework en la caché global de ensamblados (GAC)
  • Acceder a la carpeta Archivos de programa\Citrix\<UbicaciónDeStoreFront>
  • Agregar, modificar y quitar identidades de grupos de aplicaciones de IIS y aplicaciones web de IIS
  • Agregar, modificar y quitar grupos de seguridad locales y reglas de firewall
  • Agregar y quitar servicios de Windows y complementos de PowerShell
  • Registrar puntos finales de Microsoft Windows Communication Framework (WCF)

En las actualizaciones de StoreFront, esta lista de operaciones podría cambiar sin previo aviso.

La instalación de StoreFront también crea los siguientes grupos de seguridad locales:

  • CitrixClusterMembers
  • CitrixCWServiceReadUsers
  • CitrixCWServiceWriteUsers
  • CitrixDelegatedAuthenticatorUsers
  • CitrixDelegatedDirectoryClaimFactoryUsers
  • CitrixPNRSReplicators
  • CitrixPNRSUsers
  • CitrixStoreFrontAdministrators
  • CitrixSubscriptionServerUsers
  • CitrixSubscriptionsStoreServiceUsers
  • CitrixSubscriptionsSyncUsers

StoreFront mantiene la pertenencia a estos grupos de seguridad. Se utilizan para el control de acceso dentro de StoreFront y no se aplican a recursos de Windows como archivos y carpetas. No modifiques estas pertenencias a grupos.

NTLM

Si tienes los favoritos habilitados mediante la base de datos ESENT local, StoreFront podría usar NTLM al sincronizar los favoritos en un grupo de servidores. Si deshabilitas NTLM, es posible que los favoritos no se sincronicen. Como alternativa, puedes usar una base de datos de SQL Server.

Si los usuarios se autentican mediante la autenticación de paso de dominio, IIS usa Kerberos de forma predeterminada si es posible; de lo contrario, recurre a NTLM. Si hay un equilibrador de carga delante de StoreFront, siempre recurre a NTLM.

Puedes configurar el servidor para que solo use NTLMv2 y rechace NTLMv1; consulta la documentación de Microsoft. En Windows Server 2025 y versiones posteriores, NTLMv1 se ha eliminado, por lo que siempre se usa NTLMv2.

Certificados en StoreFront

Certificados de servidor

Los certificados de servidor se utilizan para la identificación de la máquina y la seguridad de transporte de Transport Layer Security (TLS) en StoreFront. Si decides habilitar la firma de archivos ICA, StoreFront también puede usar certificados para firmar digitalmente los archivos ICA.

Para obtener más información, consulta Comunicación entre usuarios finales y StoreFront y Firma de archivos ICA.

Certificados de gestión de tokens

Los servicios de autenticación y los almacenes requieren certificados para la gestión de tokens. StoreFront genera un certificado autofirmado cuando se crea un servicio de autenticación o un almacén. Los certificados autofirmados generados por StoreFront no deben usarse para ningún otro propósito.

Certificados de Citrix Delivery Services

StoreFront almacena varios certificados en un almacén de certificados de Windows personalizado (Citrix Delivery Services). El servicio de replicación de configuración de Citrix, el servicio de cartera de credenciales de Citrix y el servicio de almacén de suscripciones de Citrix utilizan estos certificados. Cada servidor de StoreFront en un clúster tiene una copia de estos certificados. Estos servicios no dependen de TLS para comunicaciones seguras, y estos certificados no se utilizan como certificados de servidor TLS. Estos certificados se crean cuando se crea un almacén de StoreFront o se instala StoreFront. No modifiques el contenido de este almacén de certificados de Windows.

Certificados de firma de código

StoreFront incluye varios scripts de PowerShell (.ps1) en la carpeta <DirectorioDeInstalación>\Scripts. La instalación predeterminada de StoreFront no utiliza estos scripts. Simplifican los pasos de configuración para tareas específicas y poco frecuentes. Estos scripts están firmados, lo que permite a StoreFront admitir la política de ejecución de PowerShell. Recomendamos la política AllSigned. (La política Restricted no es compatible, ya que impide la ejecución de scripts de PowerShell). StoreFront no altera la política de ejecución de PowerShell.

Aunque StoreFront no instala un certificado de firma de código en el almacén de editores de confianza, Windows puede agregar automáticamente el certificado de firma de código allí. Esto ocurre cuando el script de PowerShell se ejecuta con la opción Ejecutar siempre. (Si seleccionas la opción Nunca ejecutar, el certificado se agrega al almacén de certificados no confiables y los scripts de PowerShell de StoreFront no se ejecutarán). Una vez que el certificado de firma de código se ha agregado al almacén de editores de confianza, Windows ya no comprueba su caducidad. Puedes quitar este certificado del almacén de editores de confianza una vez que se hayan completado las tareas de StoreFront.

Separación de seguridad de StoreFront

Si implementas alguna aplicación web en tu servidor de StoreFront en el mismo dominio web (nombre de dominio y puerto) que StoreFront, cualquier riesgo de seguridad en esas aplicaciones web podría reducir potencialmente la seguridad de tu implementación de StoreFront. Cuando se requiere un mayor grado de separación de seguridad, Citrix recomienda que implementes StoreFront en un dominio web separado.

Descargas de ICA

Los archivos ICA contienen la información para conectarse a los VDA y, a menudo, para iniciar sesión única en ellos sin autenticación adicional. Por lo tanto, asegúrate de que los archivos ICA estén protegidos. Para lanzamientos híbridos, dependiendo de la configuración, los archivos ICA pueden descargarse en el dispositivo del usuario. Se recomienda que deshabilites las descargas de ICA. Para obtener más información, consulta Preferencias de lanzamiento.

Firma de archivos ICA

StoreFront ofrece la opción de firmar digitalmente archivos ICA utilizando un certificado especificado en el servidor para que las versiones de la aplicación Citrix Workspace que admiten esta función puedan verificar que el archivo proviene de una fuente de confianza. Los archivos ICA se pueden firmar utilizando cualquier algoritmo hash compatible con el sistema operativo que se ejecuta en el servidor de StoreFront, incluidos SHA-1 y SHA-256. Para obtener más información, consulta Habilitar la firma de archivos ICA.

Protección de aplicaciones

Puedes usar Protección de aplicaciones para evitar la captura de pantalla y los registradores de pantalla. Para lanzamientos híbridos, la Protección de aplicaciones está deshabilitada de forma predeterminada. Para habilitarla, consulta Protección de aplicaciones.

Cambio de contraseña de usuario

Puedes permitir que los usuarios que inician sesión a través de un navegador web con credenciales de dominio de Active Directory cambien sus contraseñas, ya sea en cualquier momento o solo cuando hayan caducado. Sin embargo, esto expone funciones de seguridad sensibles a cualquiera que pueda acceder a cualquiera de los almacenes que utilizan el servicio de autenticación. Si tu organización tiene una política de seguridad que reserva las funciones de cambio de contraseña de usuario solo para uso interno, asegúrate de que ninguno de los almacenes sea accesible desde fuera de tu red corporativa. Cuando creas el servicio de autenticación, la configuración predeterminada impide que los usuarios cambien sus contraseñas, incluso si han caducado. Para obtener más información, consulta Permitir que los usuarios cambien sus contraseñas.

Personalizaciones

Para reforzar la seguridad, la política de seguridad de contenido bloquea los scripts de otros servidores. Al escribir personalizaciones, coloca los scripts en la carpeta custom del sitio web. Si StoreFront está configurado para conexiones HTTPS, asegúrate de que cualquier enlace a contenido o scripts personalizados también utilice HTTPS.

Encabezados de seguridad

Al ver un sitio web de un almacén a través de un navegador web, StoreFront devuelve los siguientes encabezados relacionados con la seguridad que imponen restricciones al navegador web.

Nombre del encabezado Valor Descripción
content-security-policy frame-ancestors 'none' Esto evita que otros sitios incrusten sitios web de StoreFront dentro de un marco, lo que previene ataques de click-jacking. Además, la página HTML incluye una etiqueta meta que contiene una content-security-policy que restringe las fuentes de scripts para mitigar los ataques XSS.
X-Content-Type-Options nosniff Esto evita la detección de tipos MIME.
X-Frame-Options deny Esto evita que otros sitios incrusten sitios web de StoreFront dentro de un marco, lo que previene ataques de click-jacking. Está obsoleto por content-security-policy a frame-ancestors 'none', pero es entendido por algunos navegadores más antiguos que no admiten content-security-policy.
X-XSS-Protection 1; mode=block Utilizado por algunos navegadores para mitigar los ataques XSS (cross-site-scripting).

Cookies

StoreFront establece varias cookies. Algunas de las cookies utilizadas en el funcionamiento del sitio web son las siguientes:

Cookie Descripción
ASP.NET_SessionId Rastrea la sesión del usuario, incluido el estado de autenticación. Tiene HttpOnly establecido.
CtxsAuthId Para evitar ataques de fijación de sesión, StoreFront también rastrea si el usuario está autenticado utilizando esta cookie. Tiene HttpOnly establecido.
CsrfToken Se utiliza para prevenir la falsificación de solicitudes entre sitios mediante el patrón estándar de token de cookie a encabezado. El servidor establece un token en la cookie. El cliente lee el token de la cookie y lo incluye en la cadena de consulta o en un encabezado en solicitudes posteriores. Esta cookie requiere que HttpOnly no esté establecido para que el JavaScript del cliente pueda leerla.
CtxsDeviceId Identifica el dispositivo. Tiene HttpOnly establecido.

StoreFront establece otras cookies para rastrear el estado del usuario, algunas de las cuales deben ser leídas por JavaScript, por lo que no tienen HttpOnly establecido. Estas cookies no contienen ninguna información relacionada con la autenticación u otra información confidencial.

Si el cliente se conecta a través de HTTPS, establece el atributo secure al crear o actualizar cookies.

Información de seguridad adicional

Nota:

Esta información puede cambiar en cualquier momento, sin previo aviso.

Es posible que tu organización desee realizar análisis de seguridad de StoreFront por razones regulatorias. Las opciones de configuración anteriores pueden ayudar a eliminar algunos hallazgos en los informes de análisis de seguridad.

Si hay una puerta de enlace entre el escáner de seguridad y StoreFront, ciertos hallazgos pueden estar relacionados con la puerta de enlace en lugar de con el propio StoreFront. Los informes de análisis de seguridad generalmente no distinguen estos hallazgos (por ejemplo, la configuración de TLS). Debido a esto, las descripciones técnicas en los informes de análisis de seguridad pueden ser engañosas.

Protege tu implementación de StoreFront
March 9, 2026
Contribución de: 
C C
March 9, 2026
Contribución de: 
C C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.