Prácticas recomendadas para Endpoint Security y antivirus

Información general

Este artículo proporciona directrices para configurar software antivirus en entornos de Citrix Virtual Apps and Desktops, así como recursos para configurar software antivirus en otras tecnologías y funciones de Citrix (por ejemplo, Cloud Connectors, Provisioning Services, etc.). La configuración incorrecta del antivirus es uno de los problemas más comunes que vemos en el campo. Puede dar lugar a varios problemas, que van desde problemas de rendimiento o experiencias de usuario degradadas hasta tiempos de espera y fallas de varios componentes.

En este documento técnico, cubrimos algunos temas importantes relevantes para implementaciones óptimas de antivirus en entornos virtualizados: Provisioning y desaprovisionamiento de agentes, actualizaciones de firmas, una lista de exclusiones recomendadas y optimizaciones de rendimiento. La implementación correcta de estas recomendaciones depende del proveedor de antivirus y del equipo de seguridad. Consúltelos para obtener recomendaciones más específicas.

¡Advertencia! Este artículo contiene exclusiones de antivirus. Es importante comprender que las exclusiones y optimizaciones antivirus aumentan la superficie de ataque de un sistema y pueden exponer los equipos a diversas amenazas de seguridad. Sin embargo, las siguientes directrices suelen representar la mejor compensación entre seguridad y rendimiento. Citrix no recomienda implementar ninguna de estas exclusiones u optimizaciones hasta que se lleven a cabo pruebas rigurosas en un entorno de laboratorio para comprender a fondo las ventajas entre seguridad y rendimiento. Citrix también recomienda que las organizaciones contraten a sus equipos antivirus y de seguridad para que revisen las siguientes directrices antes de continuar con cualquier tipo de implementación de producción.

Registros de agentes

El software del agente que se instala en todas las máquinas virtuales aprovisionadas normalmente necesita registrarse en un sitio central para la administración, la generación de informes sobre el estado y otras actividades. Para que el registro sea correcto, cada agente debe ser identificable de forma única.

Con las máquinas aprovisionadas desde una sola imagen que utilizan tecnologías como Provisioning Services (PVS) o Machine Creation Services (MCS), es importante comprender cómo se identifica cada agente y si se requieren instrucciones para entornos virtualizados. Algunos proveedores utilizan información dinámica como la dirección MAC o el nombre del equipo para la identificación del equipo. Otros usan el enfoque más tradicional de una cadena aleatoria generada durante la instalación. Para evitar registros conflictivos, cada máquina necesita generar un identificador único. El registro en entornos no persistentes a menudo se realiza mediante un script de inicio que restaura automáticamente los datos de identificación de la máquina desde una ubicación persistente.

En entornos más dinámicos, también es importante comprender cómo se comporta el desaprovisionamiento de máquinas, si la limpieza es una operación manual o si se realiza automáticamente. Algunos proveedores ofrecen integración con hipervisores o incluso Delivery Controllers donde las máquinas se pueden crear o eliminar automáticamente a medida que se aprovisionan.

Recomendación: Pregunte a su proveedor de seguridad cómo se implementa el registro/anulación del registro de sus agentes. Si el registro requiere más pasos para entornos con administración de imagen única, incluya estos pasos en las instrucciones de sellado de imágenes, preferiblemente como un script completamente automatizado.

Actualizaciones de firmas

Las firmas actualizadas constantemente son uno de los aspectos más importantes de las soluciones de seguridad de los dispositivos de punto final. La mayoría de los proveedores utilizan firmas almacenadas localmente en caché y actualizadas incrementalmente que se almacenan en cada uno de los dispositivos protegidos.

Con máquinas no persistentes, es importante comprender cómo se actualizan las firmas y dónde se almacenan. Esto le permite comprender y minimizar la ventana de oportunidad para que el malware infecte la máquina.

Especialmente en una situación en la que las actualizaciones no son incrementales y pueden alcanzar un tamaño significativo, puede considerar una implementación en la que el almacenamiento persistente esté conectado a cada uno de los equipos no persistentes para mantener intacta la caché de actualizaciones entre los restablecimientos y las actualizaciones de imágenes. Con este enfoque, se minimiza la ventana de oportunidad y el impacto en el rendimiento de una actualización de definiciones.

Aparte de las actualizaciones de firmas para cada una de las máquinas aprovisionadas, también es importante definir una estrategia para actualizar la imagen maestra. Se recomienda automatizar este proceso, por lo que se actualiza la imagen maestra regularmente con las firmas más recientes. Esto es especialmente importante para las actualizaciones incrementales en las que está minimizando la cantidad de tráfico requerido para cada máquina virtual.

Otro enfoque para administrar las actualizaciones de firmas en entornos virtualizados consiste en reemplazar completamente la naturaleza de las firmas descentralizadas con un motor de análisis centralizado. Aunque esto se hace principalmente para minimizar el impacto en el rendimiento de un antivirus, también tiene la ventaja de centralizar las actualizaciones de firmas.

Recomendación: Pregunte a su proveedor de seguridad cómo se actualizan las firmas en el antivirus. ¿Cuál es el tamaño y la frecuencia esperados, y las actualizaciones son incrementales? ¿Hay alguna recomendación para entornos no persistentes?

Optimización del rendimiento

Un antivirus, especialmente si está configurado incorrectamente, puede tener un impacto negativo en la escalabilidad y en la experiencia general del usuario. Por lo tanto, es importante comprender el impacto en el rendimiento para determinar qué lo está causando y cómo puede minimizarse.

Las estrategias y enfoques de optimización del rendimiento disponibles son diferentes para varios proveedores e implementaciones de antivirus. Uno de los enfoques más comunes y eficaces es proporcionar capacidades de análisis antivirus de descarga centralizada. En lugar de que cada máquina sea responsable de escanear muestras (a menudo idénticas), el escaneo se centraliza y se realiza una sola vez. Este enfoque está optimizado para entornos virtualizados; sin embargo, asegúrese de comprender su impacto en la alta disponibilidad.

Descarga de antivirus La descarga de exploraciones a un dispositivo dedicado puede ser muy eficaz en entornos virtualizados

Otro enfoque se basa en el análisis previo de partes de solo lectura de los discos, realizado en las imágenes maestras antes del Provisioning. Es importante comprender cómo esto afecta a la ventana de oportunidad (por ejemplo, ¿qué sucede si un disco ya contiene archivos infectados pero las firmas no están disponibles durante la fase previa al escaneo?). Esta optimización a menudo se combina con el análisis de eventos de solo escritura, ya que todas las lecturas se originarán de porciones de disco previamente escaneadas o de una caché de escritura/disco diferencial específica de la sesión que ya se analizó durante la operación de escritura. A menudo, un buen compromiso es combinar escaneos en tiempo real (optimizados) con escaneos programados (escaneos completos del sistema).

Análisis de escritura de antivirus La optimización de análisis más común es centrarse únicamente en las diferencias entre las máquinas virtuales

Recomendación: Las optimizaciones de rendimiento pueden mejorar en gran medida las experiencias de los usuarios. Sin embargo, también pueden considerarse como un riesgo para la seguridad. Por lo tanto, se recomienda consultar con su proveedor y su equipo de seguridad. La mayoría de los proveedores de antivirus con soluciones para entornos virtualizados ofrecen motores de análisis optimizados.

Exclusiones de antivirus

La optimización más común (y a menudo la más importante) para antivirus es la definición adecuada de exclusiones antivirus para todos los componentes. Aunque algunos proveedores pueden detectar automáticamente componentes de Citrix y aplicar exclusiones, en la mayoría de los entornos, se trata de una tarea manual que debe configurarse para el antivirus en la consola de administración.

Normalmente se recomiendan exclusiones para el análisis en tiempo real. Sin embargo, Citrix recomienda analizar regularmente los archivos y carpetas excluidos mediante análisis programados. Para mitigar cualquier posible impacto en el rendimiento, se recomienda realizar análisis programados durante las horas no comerciales o fuera de las horas punta.

La integridad de los archivos y carpetas excluidos debe mantenerse siempre. Las organizaciones pueden considerar la posibilidad de utilizar una solución comercial de supervisión de integridad de archivos o Host Intrusion Prevention para proteger la integridad de los archivos y carpetas excluidos del análisis en tiempo real o en tiempo real. Los archivos de base de datos y de registro se excluyen en este tipo de supervisión de integridad de datos porque se espera que estos archivos cambien. Si se debe excluir una carpeta completa del análisis en tiempo real o en tiempo real, Citrix recomienda supervisar estrechamente la creación de nuevos archivos en las carpetas excluidas.

Escanee solo unidades locales, o inhabilite el análisis de red. Se supone que todas las ubicaciones remotas que pueden incluir servidores de archivos que alojan perfiles de usuario y carpetas redirigidas están siendo supervisadas por antivirus y soluciones de integridad de datos. De lo contrario, se recomienda excluir los recursos compartidos de red a los que tienen acceso todas las máquinas aprovisionadas. Un ejemplo incluye los recursos compartidos que alojan carpetas redirigidas o perfiles de usuario.

Recomendación: Revise estas recomendaciones con su proveedor y equipo de seguridad.

  • Revise todos los archivos/carpetas para su exclusión y confirme que existen antes de crear una directiva de exclusión.
  • Implemente varias directivas de exclusión para diferentes componentes en lugar de crear una directiva grande para todos ellos.
  • Para minimizar la ventana de oportunidad, implemente una combinación de análisis en tiempo real y programados.

Virtual Apps and Desktops

Delivery Controllers

Archivos:

  • %SystemRoot%\ServiceProfiles\NetworkService\HaDatabaseName.mdf (7.12+)
  • %SystemRoot%\ServiceProfiles\NetworkService\HaImportDatabaseName.mdf (7.12+)
  • %SystemRoot%\ServiceProfiles\NetworkService\HaDatabaseName_log.ldf (7.12+)
  • %SystemRoot%\ServiceProfiles\NetworkService\HaImportDatabaseName_log.ldf (7.12+)

Carpetas:

  • %ProgramData%\Citrix\Broker\Cache (7.6+)

Procesos:

  • %ProgramFiles%\Citrix\Broker\Service\BrokerService.exe
  • %ProgramFiles%\Citrix\Broker\Service\HighAvailabilityService.exe (7.12+)
  • %ProgramFiles%\Citrix\ConfigSync\ConfigSyncService.exe (7.12+)

Agentes de entrega virtual

Archivos:

  • %UserProfile%\AppData\Local\Temp\Citrix\HDXRTConnector\*\*.txt

Procesos:

  • %ProgramFiles%\Citrix\User Profile Manager\UserProfileManager.exe
  • %ProgramFiles%\Citrix\Virtual Desktop Agent\BrokerAgent.exe
  • %SystemRoot%\System32\spoolsv.exe
  • %SystemRoot%\System32\winlogon.exe
  • %ProgramFiles%\Citrix\ICAService\picaSvc2.exe (solo SO de escritorio)
  • %ProgramFiles%\Citrix\ICAService\CpSvc.exe (solo SO de escritorio)

El archivo WebSocketService.exe se puede encontrar en diferentes ubicaciones en varias versiones de CVAD. A continuación se muestra una lista de las versiones LTSR compatibles y la versión CR más reciente. Si está ejecutando cualquier otra versión de CVAD, le recomendamos que confirme primero la ubicación del archivo.

  • %ProgramFiles%\Citrix\HTML5 Video Redirection\WebSocketService.exe (CVAD 7.15 LTSR: Sistema operativo de escritorio y servidor)
  • %ProgramFiles(x86)%\Citrix\System32\WebSocketService.exe (CVAD 1912 LTSR - Solo SO de servidor)
  • %ProgramFiles%\Citrix\ICAService\WebSocketService.exe (CVAD 1912 LTSR - Solo SO de escritorio)
  • %ProgramFiles(x86)%\Citrix\HDX\bin\WebSocketService.exe (CVAD 2003+: Sistema operativo de escritorio y servidor)

Agentes de entrega virtual - HDX RealTime Optimization Pack

Archivos:

  • %UserProfile%\AppData\Local\Temp\Citrix\RTMediaEngineSRV\MediaEngineSRVDebugLogs**.txt

Procesos:

  • %ProgramFiles(x86)%\Citrix\HDX RealTime Connector\AudioTranscoder.exe
  • %ProgramFiles(x86)%\Citrix\HDX RealTime Connector\MediaEngine.Net.Service.exe
  • %ProgramFiles(x86)%\Citrix\HDX RealTime Connector\MediaEngineService.exe

Aplicación Workspace/Receiver para Windows

Archivos:

  • %UserProfile%\AppData\Local\Temp\Citrix\RTMediaEngineSRV\MediaEngineSRVDebugLogs\*\*.txt

Procesos:

  • %ProgramFiles(x86)%\Citrix\ICA Client\MediaEngineService.exe (HDX RealTime Optimization Pack)
  • %ProgramFiles(x86)%\Citrix\ICA Client\CDViewer.exe
  • %ProgramFiles(x86)%\Citrix\ICA Client\concentr.exe
  • %ProgramFiles(x86)%\Citrix\ICA Client\wfica32.exe
  • %ProgramFiles(x86)%\Citrix\ICA Client\AuthManager\AuthManSvr.exe
  • %ProgramFiles(x86)%\Citrix\ICA Client\SelfServicePlugin\SelfService.exe
  • %ProgramFiles(x86)%\Citrix\ICA Client\SelfServicePlugin\SelfServicePlugin.exe
  • %ProgramFiles(x86)%\Citrix\ICA Client\HdxTeams.exe (Optimización para Microsoft Teams for Workspace aplicación 2009.5 o anterior)
  • %ProgramFiles(x86)%\Citrix\ICA Client\HdxRtcEngine.exe (Optimización para Microsoft Teams for Workspace aplicación 2009.6 o superior)

    Nota:

    Normalmente, estas exclusiones para la aplicación Citrix Workspace no son obligatorias. Solo hemos visto su necesidad en entornos cuando el antivirus está configurado con directivas más estrictas de lo habitual, o en situaciones en las que varios agentes de seguridad están en uso simultáneamente (AV, DLP, HIP, etc.).

Aprovisionamiento

Provisioning Server

Archivos:

  • *.vhd
  • *.avhd
  • *.vhdx
  • *.avhdx
  • *.pvp
  • *.lok
  • %SystemRoot%\System32\drivers\CvhdBusP6.sys (Windows Server 2008 R2)
  • %SystemRoot%\System32\drivers\CVhdMp.sys (Windows Server 2012 R2)
  • %SystemRoot%\System32\drivers\CfsDep2.sys
  • %ProgramData%\Citrix\Provisioning Services\Tftpboot\ARDBP32.BIN

Procesos:

  • %ProgramFiles%\Citrix\Provisioning Services\BNTFTP.EXE
  • %ProgramFiles%\Citrix\Provisioning Services\PVSTSB.EXE
  • %ProgramFiles%\Citrix\Provisioning Services\StreamService.exe
  • %ProgramFiles%\Citrix\Provisioning Services\StreamProcess.exe
  • %ProgramFiles%\Citrix\Provisioning Services\soapserver.exe
  • %ProgramFiles%\Citrix\Provisioning Services\Inventory.exe
  • %ProgramFiles%\Citrix\Provisioning Services\Notifier.exe
  • %ProgramFiles%\Citrix\Provisioning Services\MgmntDaemon.exe
  • %ProgramFiles%\Citrix\Provisioning Services\BNPXE.exe (solo si se utiliza PXE)

Aprovisionamiento del dispositivo de destino

Archivos:

  • .vdiskcache
  • vdiskdif.vhdx (7.x y versiones posteriores cuando se usa caché en RAM con desbordamiento)
  • %SystemRoot%\System32\drivers\bnistack6.sys
  • %SystemRoot%\System32\drivers\CfsDep2.sys
  • %SystemRoot%\System32\drivers\CVhdBusP6.sys
  • %SystemRoot%\System32\drivers\cnicteam.sys
  • %SystemRoot%\System32\drivers\CVhdMp.sys (solo 7.x)

Procesos:

  • %ProgramFiles%\Citrix\Provisioning Services\BNDevice.exe

StoreFront

Archivos:

  • %SystemRoot%\ServiceProfiles\NetworkService\AppData\Roaming\Citrix\SubscriptionsStore\**\PersistentDictionary.edb

Procesos:

  • %ProgramFiles%\Citrix\Receiver StoreFront\Services\SubscriptionsStoreService\Citrix.DeliveryServices.SubscriptionsStore.ServiceHost.exe
  • %ProgramFiles%\Citrix\Receiver StoreFront\Services\CredentialWallet\Citrix.DeliveryServices.CredentialWallet.ServiceHost.exe

Cloud Connector

Archivos:

  • %SystemRoot%\ServiceProfiles\NetworkService\HaDatabaseName.mdf
  • %SystemRoot%\ServiceProfiles\NetworkService\HaImportDatabaseName.mdf
  • %SystemRoot%\ServiceProfiles\NetworkService\HaDatabaseName_log.ldf
  • %SystemRoot%\ServiceProfiles\NetworkService\HaImportDatabaseName_log.ldf

Carpetas:

  • %SystemDrive%\Logs\CDF
  • %ProgramData%\Citrix\WorkspaceCloud\Logs

Procesos:

  • %ProgramFiles%\Citrix\XaXdCloudProxy\XaXdCloudProxy.exe
  • %ProgramFiles%\Citrix\Broker\Service\HighAvailabilityService.exe
  • %ProgramFiles%\Citrix\ConfigSync\ConfigSyncService.exe

Workspace Environment Management - Servidor

Procesos:

  • Norskale Broker Service.exe
  • Norskale Broker Service Configuration Utility.exe
  • Norskale Database Management Utility.exe

Workspace Environment Management - Agente

Procesos:

  • AgentGroupPolicyUtility.exe
  • Citrix.Wem.Agent.LogonService.exe
  • Citrix.Wem.Agent.Service.exe ( antes de la versión local 1909 y la versión en la nube 1903 se llamó a este proceso Norskale Agent Host Service.exe)
  • VUEMCmdAgent.exe
  • VUEMUIAgent.exe

Grabación de sesiones - Servidor

Procesos:

  • %ProgramFiles%\Citrix\SessionRecording\Server\Bin\SsRecStorageManager.exe
  • %ProgramFiles%\Citrix\SessionRecording\Server\Bin\SsRecAnalyticsService.exe
  • %ProgramFiles%\Citrix\SessionRecording\Server\Bin\SsRecWebSocketServer.exe
  • %ProgramFiles%\Citrix\SessionRecording\Server\Bin\icldb.exe
  • %ProgramFiles%\Citrix\SessionRecording\Server\Bin\iclstat.exe
  • %ProgramFiles%\Citrix\SessionRecording\Server\Bin\SsRecServerConsole.exe
  • %ProgramFiles%\Citrix\SessionRecording\Server\Bin\TestPolicyAdmin.exe

Archivos:

  • %ProgramFiles%\Citrix\SessionRecording\Server\App_Data*.xml

Carpetas:

  • C:\SessionRecordings
  • C:\SessionRecordingsRestored
  • %SystemRoot%\System32\msmq
  • %ProgramFiles%\Citrix\SessionRecording\Server\Bin\log

Grabación de sesiones - Agente

Procesos:

  • %ProgramFiles%\Citrix\SessionRecording\Agent\Bin\SsRecAgent.exe
  • %ProgramFiles%\Citrix\SessionRecording\Agent\Bin\SsRecAgentWrapper.exe

Archivos:

  • %SystemRoot%\System32\drivers\ssrecdrv.sys
  • %SystemRoot%\System32\drivers\srminifilterdrv.sys

Carpetas:

  • %SystemRoot%\System32\msmq

Grabación de sesiones - Reproductor

Procesos:

  • %ProgramFiles(x86)%\Citrix\SessionRecording\Player\Bin\SsRecPlayer.exe

Carpetas:

  • %UserProfile%\AppData\Local\Citrix\SessionRecording\Player\Cache

Proveedores de antivirus

Bitdefender - Implementación de prácticas recomendadas de seguridad en el centro de datos virtual

Microsoft - Windows Defender en entornos VDI

Microsoft - Exclusiones de antivirus de FSLogix

Trend Micro - Exclusiones recomendadas de seguridad profunda

Referencias

Programa de seguridad Citrix Ready Workspace

Directrices de Citrix para la configuración del software antivirus

Prácticas recomendadas del antivirus de Provisioning Services

Capas de antivirus con Citrix App Layering

Prácticas recomendadas para Endpoint Security y antivirus