Proteger la implementación de StoreFront

En este artículo se muestran las áreas que pueden afectar la seguridad del sistema durante la implementación y la configuración de StoreFront.

Configurar Microsoft Internet Information Services (IIS)

StoreFront puede configurarse con una configuración restringida de IIS. Esta no es la configuración predeterminada de IIS.

Extensiones de nombre de archivo

Puede prohibir extensiones de nombre de archivo no incluidas en la lista.

StoreFront requiere las siguientes extensiones de nombre de archivo en la opción Filtro de solicitudes:

  • . (extensión en blanco)
  • .appcache
  • .aspx
  • .cr
  • .css
  • .dtd
  • .gif
  • .htm
  • .html
  • .ica
  • .ico
  • .jpg
  • .js
  • .png
  • .svg
  • .txt
  • .xml

Si la descarga o la actualización de la aplicación Citrix Workspace está habilitada para Citrix Receiver para Web, StoreFront también requiere estas extensiones de nombre de archivo:

  • .dmg
  • .exe

Si la aplicación Citrix Workspace para HTML5 está habilitada, StoreFront también requiere estas extensiones de nombre de archivo:

  • .eot
  • .ttf
  • .woff

Tipos MIME

Puede quitar tipos MIME que correspondan a los siguientes tipos de archivo:

  • .exe
  • .dll
  • .com
  • .bat
  • .csh

Filtrado de solicitudes

StoreFront requiere los siguientes verbos de HTTP en Filtro de solicitudes. Puede prohibir los verbos que no se encuentren en la lista.

  • GET
  • POST
  • HEAD

Otros parámetros de Microsoft IIS

StoreFront no requiere:

  • Filtros de ISAPI
  • Extensiones ISAPI
  • Programas CGI
  • Programas FastCGI

Importante:

  • No configure reglas de autorización de IIS. StoreFront admite la autenticación directamente y no utiliza ni respalda la autenticación de IIS.
  • No seleccione Certificados de cliente: Requerir, en los parámetros de SSL para el sitio de StoreFront. La instalación de StoreFront configura las páginas apropiadas del sitio de StoreFront con este parámetro.
  • StoreFront requiere cookies. Debe seleccionar el parámetro Usar cookies. No seleccione el Modo sin cookies/Usar URI.
  • StoreFront requiere Plena confianza. No configure el nivel de confianza de .NET con un nivel Alto o inferior.
  • StoreFront no da respaldo al uso de grupos de aplicaciones separados para cada sitio. No modifique estos parámetros de sitio. No obstante, puede establecer el tiempo de espera de inactividad y la cantidad de memoria virtual que usa la agrupación de aplicaciones.

Configurar derechos de usuario

Nota:

Microsoft IIS está habilitado como parte de la instalación de StoreFront. Microsoft IIS concede el derecho de inicio de sesión Iniciar sesión como proceso por lotes y el privilegio Suplantar un cliente después de la autenticación en el grupo integrado IIS_IUSRS. Este es el comportamiento normal de instalación de Microsoft IIS. No cambie estos derechos de usuario. Consulte la documentación de Microsoft para obtener más información.

Cuando se instala StoreFront, sus grupos de aplicaciones reciben el derecho de Iniciar sesión como un servicio, y los privilegios siguientes: Ajustar las cuotas de la memoria para un proceso, Generar auditorías de seguridad y Reemplazar un símbolo (token) de nivel de proceso. Este es el comportamiento normal de instalación cuando se crean los grupos de aplicaciones. Los grupos de aplicaciones son Citrix Configuration API, Citrix Delivery Services Resources, Citrix Delivery Services Authentication, y Citrix Receiver para Web.

No es necesario que cambie estos derechos de usuario. Estos privilegios no se usan en StoreFront y están inhabilitados automáticamente.

La instalación de StoreFront crea los siguientes servicios de Windows:

  • Citrix Configuration Replication (NT SERVICE\CitrixConfigurationReplication)
  • Citrix Cluster Join (NT SERVICE\CitrixClusterService)
  • Citrix Peer Resolution (NT SERVICE\Citrix Peer Resolution Service)
  • Citrix Credential Wallet (NT SERVICE\CitrixCredentialWallet)
  • Citrix Subscriptions Store (NT SERVICE\CitrixSubscriptionsStore)
  • Citrix Default Domain Services (NT SERVICE\CitrixDefaultDomainService)

Si configura la delegación restringida de Kerberos en StoreFront para XenApp 6.5, esto crea el servicio Citrix StoreFront Protocol Transition (NT SERVICE\SYSTEM). Este servicio requiere un privilegio que normalmente no se concede a servicios Windows.

Configurar parámetros de servicios

Los servicios Windows de StoreFront enumerados arriba en la sección “Configuración de derechos de usuario” están configurados para iniciar sesión con la identidad NETWORK SERVICE (Servicio de red). El servicio Citrix StoreFront Protocol Transition inicia sesión como SYSTEM (Sistema). No cambie esta configuración.

Configurar la pertenencia a grupos

Al configurar un grupo de servidores de StoreFront, se agregan los siguientes servicios al grupo de seguridad Administradores:

  • Citrix Configuration Replication (NT SERVICE\CitrixConfigurationReplication)
  • Citrix Cluster Join (NT SERVICE\CitrixClusterService). Este servicio solo es visible en servidores que forman parte de un grupo y solo se ejecuta mientras la unión está en curso.

La pertenencia de estos grupos es necesaria para que StoreFront funcione correctamente, para:

  • Crear, exportar, importar y eliminar certificados y definir permisos de acceso en ellos
  • Leer y escribir en el Registro de Windows
  • Agregar y quitar ensamblados de Microsoft .NET Framework en la caché Global Assembly Cache (GAC)
  • Acceder a la carpeta Archivos de programa\Citrix\<Ubicación de StoreFront>
  • Agregar, modificar y quitar identidades de grupos de aplicaciones de IIS y aplicaciones web de IIS
  • Agregar, modificar y quitar grupos de seguridad local y reglas de firewall
  • Agregar y quitar servicios de Windows y complementos de PowerShell
  • Registrar puntos finales de Microsoft Windows Communication Framework (WCF)

En actualizaciones de StoreFront, esta lista de operaciones puede cambiarse sin previo aviso.

La instalación de StoreFront también crea los siguientes grupos de seguridad locales:

  • CitrixClusterMembers
  • CitrixCWServiceReadUsers
  • CitrixCWServiceWriteUsers
  • CitrixDelegatedAuthenticatorUsers
  • CitrixDelegatedDirectoryClaimFactoryUsers
  • CitrixPNRSUsers
  • CitrixStoreFrontPTServiceUsers
  • CitrixSubscriptionServerUsers
  • CitrixSubscriptionsStoreServiceUsers
  • CitrixSubscriptionsSyncUsers

StoreFront mantiene la pertenencia de los miembros de estos grupos de seguridad. Se utilizan para el control de acceso dentro de StoreFront y no se aplican a recursos de Windows tales como archivos y carpetas. No modifique los miembros de estos grupos.

Certificados en StoreFront

Certificados de servidor

Los certificados de servidor se usan para identificar las máquinas y para aplicar seguridad TLS (Transport Layer Security) al transporte de datos en StoreFront. Si decide habilitar ICA File Signing, StoreFront también puede utilizar los certificados para firmar los archivos ICA de forma digital.

Para habilitar la detección de cuentas basada en direcciones de correo electrónico en caso de usuarios que instalan por primera vez la aplicación Citrix Workspace en un dispositivo, debe instalar un certificado de servidor válido en el servidor de StoreFront. También es necesario que la cadena completa al certificado raíz sea válida. Para una experiencia de usuario óptima, instale un certificado con una entrada del tipo Sujeto o Nombre alternativo del sujeto de discoverReceiver.dominio, donde dominio es el dominio de Microsoft Active Directory que contiene las cuentas de correo electrónico de los usuarios. Aunque se puede usar un certificado comodín para el dominio que contiene las cuentas de correo electrónico de los usuarios, primero es necesario asegurarse de que la implementación de dichos certificados está permitida por las directivas de seguridad de la empresa. También se pueden usar otros certificados para el dominio de las cuentas de correo electrónico de los usuarios, pero los usuarios verán un cuadro de diálogo de advertencia acerca de los certificados cuando la aplicación Citrix Workspace se conecte por primera vez al servidor de StoreFront. La detección de cuentas basada en direcciones de correo electrónico no se puede utilizar con ninguna otra identidad de certificado. Para obtener más información, consulte Configurar la detección de cuentas basada en direcciones de correo electrónico.

Si los usuarios configuran sus cuentas mediante las direcciones URL del almacén directamente en la aplicación Citrix Workspace y no usan la detección de cuentas basada en direcciones de correo electrónico, el certificado del servidor de StoreFront tiene que ser válido solamente para ese servidor y debe tener una cadena válida hasta el certificado raíz.

Certificados de administración de tokens

Tanto los servicios de autenticación como los almacenes requieren certificados para la administración de tokens. StoreFront genera un certificado autofirmado cuando se crean servicios de autenticación o almacenes. Los certificados autofirmados que genera StoreFront no deben utilizarse para otros fines.

Certificados de Citrix Delivery Services

StoreFront guarda una serie de certificados en un almacén de certificados de Windows personalizado (Citrix Delivery Services). Los siguientes servicios usan estos certificados: Citrix Configuration Replication Service, Citrix Credential Wallet Service, y Citrix Subscriptions Store Service. Cada servidor de StoreFront de un clúster tiene una copia de estos certificados. Estos servicios no dependen de TLS para las comunicaciones seguras y no se usan como certificados TLS. Estos certificados se crean cuando se crea un almacén de StoreFront o cuando se instala StoreFront. No modifique el contenido de este almacén de certificados de Windows.

Certificados de firma de código

StoreFront incluye una serie de scripts de PowerShell (.ps1) en la carpeta <directorio de instalación>\Scripts. La instalación predeterminada de StoreFront no hace uso de estos scripts. Con ellos se pueden simplificar los pasos de configuración para tareas específicas que se llevan a cabo con poca frecuencia. Estos scripts están firmados, lo que permite que StoreFront respalde la directiva de ejecución de PowerShell. Recomendamos usar la directiva AllSigned. (La directiva Restringida no se admite, ya que impide la ejecución de scripts de PowerShell.) StoreFront no altera la directiva de ejecución de PowerShell.

Aunque StoreFront no instala un certificado de firma de código en el almacén Editores de confianza, Windows puede agregar automáticamente el certificado de firma de código ahí. Esto ocurre cuando el script de PowerShell se ejecuta con la opción Ejecutar siempre. (Si selecciona la opción No ejecutar nunca, el certificado se agrega al almacén de Certificados en los que no se confía, y los scripts de PowerShell de StoreFront no se ejecutarán.) Una vez que el certificado de firma de código haya sido agregado al almacén Editores de confianza, Windows ya no comprueba su caducidad. Puede quitar este certificado del almacén Editores de confianza después de que las tareas de StoreFront se hayan completado.

Comunicaciones de StoreFront

En un entorno de producción, Citrix recomienda el uso del protocolo de seguridad de Internet (IPsec) o protocolos HTTPS para proteger la transferencia de los datos entre StoreFront y los servidores. IPsec es un conjunto de extensiones estándar para el protocolo de Internet. Proporciona comunicaciones autenticadas y cifradas con integridad de datos y protección contra reproducción. Como IPsec es un conjunto de protocolos de capa de red, los protocolos con niveles más elevados pueden utilizarlo sin realizar ninguna modificación. HTTPS utiliza protocolos SSL y TLS para proporcionar un cifrado de datos avanzado.

El Traspaso SSL se puede usar para proteger el tráfico de datos entre StoreFront y los servidores Citrix Virtual Apps. El Traspaso SSL es un componente predeterminado de Citrix Virtual Apps que lleva a cabo la autenticación del host y el cifrado de datos.

Citrix recomienda inhabilitar la compatibilidad con TLS 1.0 y 1.1 en el servidor web que aloja StoreFront. Debe aplicarlo a través de objetos de directiva de grupo, que crean los parámetros del Registro necesarios en el servidor de StoreFront para inhabilitar protocolos anteriores, como TLS 1.0 y TLS 1.1. Consulte también el apartado Configuración de TLS/SSL de Microsoft como referencia.

Citrix recomienda proteger la comunicación entre los dispositivos de los usuarios y StoreFront mediante Citrix Gateway y HTTPS. Para utilizar HTTPS, StoreFront requiere que la sesión de Microsoft Internet Information Services (IIS) que aloja el servicio de autenticación y los almacenes asociados esté configurada para HTTPS. Sin una configuración de IIS adecuada, StoreFront utiliza HTTP para las comunicaciones. Citrix recomienda encarecidamente no habilitar conexiones de usuario no seguras a StoreFront en un entorno de producción.

Separar la seguridad de StoreFront

Si implementa aplicaciones web en el mismo dominio Web (nombre de dominio y puerto) que StoreFront, cualquier posible problema de seguridad de esas aplicaciones web podrían afectar a su vez a la seguridad de la implementación de StoreFront. Cuando se necesita un mayor nivel de seguridad es necesario separarlos: Citrix recomienda implementar StoreFront en un dominio Web aparte.

ICA File Signing

StoreFront ofrece la opción de firmar de forma digital los archivos ICA mediante un certificado especificado en el servidor, para que las versiones de la aplicación Citrix Workspace que admiten esta función puedan verificar que el archivo proviene de una fuente de confianza. Los archivos ICA se pueden firmar con cualquier algoritmo hash que admita el sistema operativo que se ejecuta en el servidor de StoreFront, incluidos SHA-1 y SHA-256. Para obtener más información, consulte Habilitar ICA File Signing.

Cambio de contraseña por parte de los usuarios

Puede permitir el cambio de contraseñas por parte de los usuarios de los sitios de Receiver para Web que inicien sesión con credenciales de dominio de Active Directory. Una vez concedido el permiso, los usuarios podrán cambiarlas en cualquier momento o solo cuando hayan caducado. No obstante, esto deja funciones de seguridad importantes al alcance de cualquier persona que pueda acceder a los almacenes que utilizan el servicio de autenticación. Si su organización cuenta con una directiva de seguridad que solo permite utilizar las funciones de cambio de contraseñas de los usuarios para uso interno, asegúrese de que no se pueda acceder a los almacenes desde fuera de la red corporativa. Al crear el servicio de autenticación, la configuración predeterminada impide que los usuarios de los sitios de Receiver para Web cambien sus contraseñas, incluso aunque hayan caducado. Para obtener más información, consulte Optimizar la experiencia de usuario.

Cambiar la dirección URL base del servidor de StoreFront de HTTP a HTTPS

Para utilizar HTTPS para proteger la comunicación entre StoreFront y los dispositivos de los usuarios, debe configurar Microsoft Internet Information Services (IIS) para HTTPS. Si instala y configura Citrix StoreFront sin instalar y configurar primero un certificado SSL, StoreFront utiliza HTTP para las comunicaciones.

Si instala y configura un certificado SSL más adelante, utilice el siguiente procedimiento para asegurarse de que StoreFront y sus servicios utilizan conexiones HTTPS.

Ejemplo:

Texto alternativo

Antes de cambiar la URL base a HTTPS:

Texto alternativo

Después de cambiar la URL base a HTTPS:

Texto alternativo

  1. Configure Microsoft Internet Information Services (IIS) para HTTPS en el servidor de StoreFront:

    1. Utilice la consola del administrador de Internet Information Services (IIS) para importar un certificado de servidor SSL firmado por la entidad de certificación del dominio de Microsoft Active Directory.
    2. Agregue un enlace de IIS sobre HTTPS (443) al sitio web predeterminado.

    Para obtener instrucciones detalladas, consulte CTX200292.

  2. En la consola de administración de Citrix StoreFront, en el panel izquierdo seleccione Grupo de servidores.
  3. En el panel Acciones, seleccione Cambiar URL base.
  4. Escriba la dirección URL base y haga clic en Aceptar.

Personalizaciones

Para reforzar la seguridad, no escriba personalizaciones que carguen contenido o scripts desde servidores que no estén bajo su control. Copie el contenido o el script en la carpeta de personalización del sitio de Citrix Receiver para Web que está personalizando. Si StoreFront está configurado para conexiones HTTPS, asegúrese de que todos los enlaces con el contenido o scripts personalizados usan también HTTPS.

Información adicional de seguridad

Nota:

Esta información puede cambiar en cualquier momento y sin previo aviso.

Es posible que su organización quiera realizar análisis de seguridad de StoreFront por motivos normativos. Las opciones de configuración anteriores pueden ayudar a eliminar algunos hallazgos en los informes de análisis de seguridad.

Si hay una puerta de enlace entre el analizador de seguridad y StoreFront, algunos hallazgos pueden estar relacionados con la puerta de enlace en lugar de con StoreFront. Los informes de análisis de seguridad generalmente no distinguen estos hallazgos (por ejemplo, la configuración de TLS). Debido a esto, las descripciones técnicas de los informes de análisis de seguridad pueden ser engañosas.

Al interpretar los informes de análisis de seguridad, tenga en cuenta lo siguiente:

  • Es posible que las páginas HTML de StoreFront no incluyan protección contra los secuestros de clics (por los encabezados de respuesta de Content Security Policy o X-Frame-Options). Sin embargo, estas páginas HTML consisten solo en contenido estático y, por lo tanto, los ataques por secuestro de clics no son relevantes.

  • La versión de Microsoft IIS y el uso de ASP.NET son visibles en los encabezados HTTP. Sin embargo, esta información ya se desprende de la presencia de StoreFront, ya que se basa en estas tecnologías.

  • Al iniciar aplicaciones y escritorios, StoreFront utiliza un token para protegerse de la falsificación de solicitudes entre sitios (CSRF). Este token se envía como una cookie en una respuesta sin marcarse como seguro o solo HTTP. Cuando, posteriormente, se envía en una solicitud, el token se incluye en la cadena de la consulta de una URL. Sin embargo, StoreFront no confía en este mecanismo para autenticar las solicitudes HTTP.

  • StoreFront utiliza el componente de código abierto jQuery. Una versión que se utiliza es jQuery 1.3.2. De acuerdo con el proyecto de código abierto jQuery, se realizó un cambio en jQuery 1.12.0 para mitigar posibles vulnerabilidades en una forma específica de solicitud entre dominios. Este cambio no mitigaba una vulnerabilidad en el propio jQuery; mitigaba el posible mal uso por lógica de aplicación. La lógica de aplicación de Citrix relevante, en la función de Receiver para Web compartida por NetScaler y StoreFront, no utiliza esta forma específica de solicitud entre dominios, no se ve afectada por esta vulnerabilidad y no se benefició de esta mitigación.

    Esta mitigación se eliminó posteriormente en jQuery 1.12.3 por razones de compatibilidad. Dado que la lógica de la aplicación de Citrix no se benefició de esta mitigación, esta eliminación no tiene ningún impacto material en las versiones de NetScaler y StoreFront con jQuery 1.12.4.