Documento técnico: Guía de fortalecimiento del sistema operativo Citrix VDA

Introducción

Al implementar cualquier sistema operativo, la configuración siempre está orientada a la configuración más compatible para garantizar que el dispositivo funcione y sea la más compatible con versiones anteriores. El sistema operativo Windows no es diferente. Las últimas versiones de Windows tienen parámetros que permiten que funcione con versiones de hace más de 20 años, con pocas restricciones sobre lo que se puede hacer dentro del sistema operativo.

Windows tiene sus configuraciones integradas de firewall, antivirus y actualización que permiten algunas protecciones. Aun así, los usuarios pueden lanzar cualquier cosa a la que tengan acceso y, de forma predeterminada, tienen acceso a casi todo, excepto a lo que está protegido por el acceso administrativo local.

Se abordan las 10 áreas recomendadas en el siguiente documento técnico, desde cómo empezar a planificar, configurar algunas directivas recomendadas, controlar el acceso privilegiado e incluso configurar algunas funciones de Windows basadas en la seguridad. La mayoría de las secciones se dividen en tres secciones: mínima, recomendada y alta seguridad. Las recomendaciones mínimas son solo eso, un punto de partida en la configuración predeterminada o un poco más allá de la configuración predeterminada. Esta guía proporciona algunas protecciones y, al mismo tiempo, ofrece la máxima compatibilidad y usabilidad de las aplicaciones. La configuración recomendada comienza por proteger el sistema y evitar algunos métodos de ataque comunes, al tiempo que cumple con los requisitos más comunes de compatibilidad y usabilidad de las aplicaciones. Las recomendaciones de alta seguridad también proporcionan las opciones de implementación más seguras con la usabilidad más restrictiva y la compatibilidad de aplicaciones específica.

Implemente todos los parámetros en un escenario de prueba, validado por su equipo de TI y, a continuación, programe y promueva a sus usuarios de prueba antes de pasarlos a producción. Con cada nivel de recomendaciones, el riesgo de causar un problema de usabilidad o compatibilidad de las aplicaciones puede aumentar y requerir pruebas y parámetros adicionales.

Planificación

La planificación es uno de los pasos más importantes antes de reforzar el sistema operativo de los VDA. Los siguientes elementos se aplican a los tres niveles de recomendaciones (seguridad mínima, recomendada y alta), ya que la planificación es fundamental para cualquier implementación segura y satisfactoria.

¿Qué se publicará?

Hay tres opciones principales en Citrix para entregar recursos:

• Aplicaciones publicadas (aplicación única)
• Escritorios publicados (escritorio virtual)
• Conexiones de acceso remoto a PC (conexión segura a un VDA existente).

Con cada uno de estos métodos de publicación, se pueden aplicar las mismas directivas a cada sistema, ya que se accede a ellos de forma remota.

Se recomienda crear una lista de todos los recursos que deben publicarse e instalarse en el VDA para crear un sistema utilizable para los usuarios. Esta lista de recursos también le ayuda a recopilar la información que también es útil para fortalecer aún más el sistema.

Por ejemplo:

| Recurso publicado | Tipo/aplicaciones | | Aplicación publicada | EMR | | Escritorio publicado | EMR + Microsoft Office | Acceso remoto a PC | Aplicación de contabilidad |

¿Qué versión de sistema operativo?

Cada sistema operativo tiene recomendaciones de seguridad genéricas, pero también recomendaciones específicas basadas en funciones específicas solo en esas versiones específicas.

Se recomienda crear una lista de cada sistema operativo y el número de compilación de cada recurso publicado. Por lo general, hay cierta superposición, ya que la misma imagen de VDA se puede utilizar para varios casos de uso e incluso para varios métodos de publicación. Esta lista también le ayuda a recopilar la información que es útil para reforzar aún más el sistema.

Por ejemplo:

| Recurso publicado | Tipo de SO | | Aplicación publicada | Windows Server 2019, compilación 1809 (imagen EMR) | | Escritorio publicado | Windows Server 2019, compilación 1809 (imagen EMR) | | Acceso remoto a un PC | Windows 10, compilación 1909 (escritorios financieros) |

Requerimientos de software

La versión del software implementada en cualquier sistema operativo también afecta a la implementación recomendada y a la configuración de seguridad implementada.

¿El proveedor ofrece soporte para el software? La respuesta indica si hay soporte del proveedor, si hay algún problema y si se están publicando actualizaciones y actualizaciones de seguridad. Hay algunos casos en los que se debe utilizar software heredado y la empresa ya ha aceptado el riesgo de usarlo. ¿El software es compatible con su sistema operativo objetivo? Este es otro nivel de soporte que determina qué versión del sistema operativo debe utilizar y si ejecuta uno compatible. Tener un sistema operativo no compatible es uno de los elementos más riesgosos que puede tener una implementación. Si no cuenta con el soporte del proveedor del sistema operativo, es posible que no tenga acceso al soporte en caso de que surja algún problema. Aún así, lo más importante es que es posible que no tenga acceso a los parches de seguridad que pueden dejar al sistema vulnerable a los ataques. Esto podría permitir que un atacante ponga en peligro el sistema y el proveedor no asuma ninguna responsabilidad sin el soporte del sistema operativo. Esto también puede afectar a la eficacia del seguro de ciberseguridad y a otras implicaciones legales si se produce un ataque debido a esta debilidad.

Por ejemplo:

Imagen/Escritorio	Requisitos
EMR	Compatible con Windows Server 2019 de 1809 a Windows 10 1909 o posterior, con problemas conocidos con la versión 20H2 en la actualidad. Requiere Office 2016 o posterior. Requiere Internet Explorer.
Office	Compatible con Windows Server 2019 (1809), Windows 10 (1909 o posterior), sin problemas conocidos con la última versión de Windows 10 o Windows Server.

Requisitos del usuario

Estos incluyen las necesidades del usuario fuera de la aplicación y de la sesión remota de Citrix. Muchas de las configuraciones recomendadas pueden afectar a la usabilidad del sistema y a las aplicaciones necesarias en la sesión. Este nivel de planificación ayudará con las siguientes secciones, ya que determina qué parámetros se pueden configurar en función del posible impacto en el flujo de trabajo del usuario. Asegúrese de que estos elementos estén documentados para documentar los requisitos de los usuarios cuando sea necesaria una auditoría o una nueva implementación.

¿Qué debe hacer el usuario en esta aplicación para poder entrar en el sistema operativo? Esto incluye sistemas o aplicaciones principales de Windows, como el Explorador de Windows, que incluye unidades mapeadas, applets del panel de control, menú de inicio, atajos de escritorio y muchos otros.

¿La solicitud requiere derechos administrativos? Algunas aplicaciones requieren acceso a los archivos principales del sistema operativo o a los elementos del registro. Recomendamos que el proveedor audite estos requisitos o que realice una depuración con herramientas como Microsoft Promon para ver los programas, las DLL y los elementos de registro a los que se accede y qué recibe el “Acceso denegado”, de modo que se puedan ajustar los permisos. Se recomienda utilizar el mismo grupo de autorizaciones del grupo de entrega o crear grupos de AD para dar acceso a estos elementos específicos.

¿La aplicación abre otras aplicaciones? Muchas aplicaciones requieren que se inicien otras aplicaciones para poder utilizar el flujo de trabajo de la aplicación. Algunas requerirán elementos básicos del sistema operativo y otras abrirán otras aplicaciones instaladas. Documentar estas dependencias también ayudará a comprender los requisitos de esas relaciones de aplicación y las posibles implicaciones de soporte.

¿A qué canales de sesión tendrán que acceder? Los requisitos más comunes son el acceso a Print, Copy\ Pegar y otros dispositivos dentro de la sesión. Cada elemento de sesión tiene directivas relacionadas dentro de Citrix y algunas directivas del sistema operativo.

Por ejemplo:

Imagen/Escritorio	Requisitos
Imagen EMR de la aplicación publicada	Requisitos de aplicación: Microsoft Excel, Internet Explorer) Requisitos del sistema operativo Explorador de archivos para compartir archivos
Imagen EMR de escritorio publicada	Igual que el anterior
Acceso con Remote PC	Requisitos de aplicación: Microsoft Office, navegador web (no se requiere ninguna especificación) Requisitos del sistema operativo Explorador de archivos para compartir archivos

Requisitos de cumplimiento

Dependiendo de los organismos de cumplimiento, su empresa o aplicación pueden cambiar drásticamente la configuración recomendada, ya que algunos organismos de cumplimiento requieren muchos para sistemas operativos y aplicaciones específicos. Muchos organismos de cumplimiento se centran en los procedimientos de control de cambios, el registro, la respuesta a incidentes y otras operaciones empresariales de TI. Aun así, muchos también requerirán que se implementen configuraciones precisas y que esas mismas configuraciones puedan auditarse mediante directivas configuradas y posibles pruebas de esos controles por parte del Equipo Rojo.

| Organismos comunes de cumplimiento | | NIST | National Institute of Standards and Technology | | CIS Controls | Center for Internet Security Controls | | ISO | International Organization for Standardization | | HIPAA | Health Insurance Portability and Accountability Act / HITECH Omnibus Rule | | PCI-DSS | The Payment Card Industry Data Security Standard | | GDPR | General Data Protection Regulation | | CCPA | California Consumer Privacy Act | | AICPA | American Institute of Certified Public Accountants | | SOX | Sarbanes-Oxley Act | | COBIT | Control Objectives for Information and Related Technologies | | GLBA | Gramm-Leach-Bliley Act | | FISMA | Federal Information Security Modernization Act of 2014 | | FedRAMP | The Federal Risk and Authorization Management Program | | FERPA | The Family Educational Rights and Privacy Act of 1974 | | ITAR | International Traffic in Arms Regulations | | COPPA | Children’s Online Privacy Protection Rule | | NERC CIP Standards | NERC Critical Infrastructure Protection Standards |

Se recomienda seguir, como mínimo, las directrices de cada organismo de cumplimiento. Dependiendo de esos requisitos, evalúe otros marcos comunes de Microsoft, NIST e incluso de terceros, como CIS e HyTrust, para obtener recomendaciones específicas para dominios, escritorios, servidores y más. Estos marcos ofrecen muchas opciones para hacer que la implementación sea mucho más segura, reducir la superficie de ataque y ayudar a acelerar las auditorías y reducir los hallazgos.

Reducir la superficie de ataque

Uno de los primeros pasos para reducir la superficie de ataque es eliminar el software y los servicios innecesarios para ayudar a reducir la superficie de ataque. La forma más sencilla de lograrlo es mediante un enfoque doble. La optimización es excelente para el rendimiento de los usuarios y los recursos, pero también es fundamental para la seguridad, ya que cuanto menos software se ejecute, más seguro será el sistema.

Lo primero que hay que asegurarse es que solo esté instalado el software necesario. Cada pieza de software instalada en el sistema puede crear posibles vulnerabilidades que pueden explotarse.

A continuación, asegúrese de que la versión del software sea la más reciente, si es posible, admitida por ese proveedor. La mayoría de las piezas de software tienen vulnerabilidades de seguridad descubiertas y, finalmente, solucionadas con un parche o una revisión del software.

A continuación, asegúrese de que todos los servicios necesarios estén inhabilitados en el sistema operativo mediante un optimizador del sistema operativo. La mayoría de las optimizaciones ayudan a aumentar la densidad de usuarios al inhabilitar y configurar los elementos que no son necesarios en una implementación de VDI. La eliminación y la configuración de estos mismos componentes también ofrecen beneficios de seguridad. Los beneficios de mayor densidad son la eliminación de programas de Windows (UWP) y la desactivación de las tareas programadas del sistema operativo Windows 10. Utilice la herramienta Citrix Optimizer, que está optimizada para ofrecer la mayor cantidad de beneficios con un impacto insignificante en el flujo de trabajo del usuario. Citrix Optimizer está disponible aquí. Otros dos optimizadores populares de VMware y un proyecto comunitario llamado BIS-F también pueden satisfacer sus necesidades. Con cualquier optimizador, querrá realizar pruebas antes y después de la optimización para asegurarse de que los flujos de trabajo del usuario funcionan según lo esperado y no tienen efectos secundarios.

Directivas de Windows

La configuración de las directivas de Windows es fundamental para proteger cualquier sistema operativo Windows. Las directivas predeterminadas del sistema operativo se centran primero en la compatibilidad y la usabilidad, y los parámetros de seguridad se deben agregar a la configuración. Esta sección se centrará en los VDA de Windows en lugar de Linux, ya que Windows sigue siendo la mayoría de las implementaciones de Citrix Virtual Apps and Desktops. Hay miles de configuraciones de directivas de grupo, y trabajar en ellas en secciones en función de los requisitos de los usuarios es el mejor enfoque. A continuación se muestran algunos de los tipos de aplicaciones y áreas en las que hay que centrarse, pero también recomendamos tomar decisiones sobre cada una de estas configuraciones y comprobar que cumple con los requisitos de los usuarios. En las siguientes secciones se indican las áreas de la directiva de grupo que se deben evaluar con algunas recomendaciones, no cada directiva específica. Se recomienda un estándar para todos los escritorios y servidores para que todos los sistemas puedan tener una directiva efectiva similar. Habrá desviaciones que pueden deberse a otras directivas o a la ubicación de los dispositivos en OUs específicas. Es posible que se produzcan desviaciones administrativas si se utiliza un grupo de AD con permisos avanzados de “Directiva de denegación”, por lo que esta configuración no se aplica a los administradores.

Nivel de directiva	Tipo de directiva	Descripción
Mínimo	Explorador de archivos	Los administradores pueden evaluar las directivas del explorador de archivos para comprobar si no es necesario ocultar algunos de los menús, como los favoritos, las ubicaciones de red y otras ubicaciones de archivos, para el perfil de trabajo objetivo. Algunos elementos, como vídeos, imágenes y música, no suelen ser necesarios para un sistema operativo corporativo.
	Diseño del menú de inicio	Los administradores pueden esforzarse por garantizar que los usuarios tengan acceso únicamente a los atajos que necesitan en función de sus perfiles de trabajo. Asegúrese de que los accesos directos a los programas necesarios y a los elementos exclusivos para administradores se eliminen u oculten en la vista del menú Inicio. Copie todo el menú de inicio en un directorio seguro del sistema que los administradores puedan usar o use FSLogix para ocultar todos estos atajos solo para los usuarios, de modo que solo los administradores tengan un menú de inicio completo.
	Parámetros de escritorio	Permita modificar o crear atajos para garantizar que los usuarios tengan los atajos en los escritorios que necesitan, pero no puedan agregar ni crear elementos en ubicaciones no deseadas. Al controlar la adición y la edición de estos elementos en el escritorio, podemos evitar que eso suceda. Esto puede afectar a algunos usuarios si utilizan su escritorio para almacenar todos sus documentos u otros elementos. La carpeta Documentos es el lugar más adecuado para almacenar documentos para el usuario. Utilice las soluciones de redirección de carpetas o perfiles de Citrix, Microsoft FSLogix u otros para ayudar a los usuarios a mantener los elementos sin problemas. Esto también se puede lograr asegurándose de que los permisos NTFS del acceso directo no permitan que el usuario modifique, pero sí que le permitan agregar elementos, pero no modificarlos.
	Impedir el acceso a la edición del registro, a GPO u ocultar el acceso directo	Esto elimina el acceso al editor de registro, que la mayoría de los perfiles de trabajo no requieren. Esto también se puede lograr mediante Microsoft FSLogix para ocultar e impedir el acceso a regedit.exe como acceso directo y dentro del sistema de archivos.
	Configuración de auditoría: retención de registros locales	El diseño de la implementación de su VDA debe poder albergar cierta retención de registros locales para los registros de la aplicación, el sistema y la seguridad, independientemente del método de aprovisionamiento. La retención de registros locales para solucionar problemas es valiosa en cada VDA, pero puede resultar fundamental si no tiene instalado un reenvío de registros de eventos de Windows o un agente de SIEM. Tener registros durante un incidente de seguridad podría impedirle llevar a cabo una investigación y podría tener implicaciones legales según el organismo de cumplimiento o el seguro cibernético. Con el rápido aumento de las tecnologías de almacenamiento, los impactos de la retención de registros locales se han reducido considerablemente. Se recomienda utilizar entre 200 MB y 1 GB para cada tipo de registro para disponer de unas horas o unos días de retención de registros a nivel local en función del uso del sistema.
Recomendado	Sistema: oculte las unidades especificadas	Se recomienda ocultar todas las unidades en el Explorador de archivos . Los permisos predeterminados de un sistema Windows permiten a los usuarios acceder y escribir elementos en muchas ubicaciones del sistema de archivos. La mayoría de las implementaciones aún pueden tener las unidades ocultas y sus unidades mapeadas para acceder a los archivos necesarios.
	Menú Inicio: Eliminar Ejecutar del menú Inicio	Al eliminar Ejecutar del menú Inicio, se eliminan las posibilidades de ejecución de comandos para el Explorador de archivos, Internet Explorer/Edge y el Administrador de tareas y se elimina del menú Inicio. Esta configuración se puede probar con los flujos de trabajo de los usuarios, pero la mayoría de los perfiles de trabajo no necesitan acceder a la ejecución de comandos, ya que utilizan las aplicaciones y los atajos instalados para navegar e iniciarlos.
	Sistema: impide el acceso a la línea de comandos (GPO) u oculta el acceso directo	Esta configuración elimina el acceso a la línea de comando en el contexto de usuario desde el menú Inicio y dentro del sistema de archivos. Esto también impedirá que alguien abra un archivo.cmd o .bat y puede impedir que se ejecuten algunos scripts de inicio de sesión. Se recomienda utilizar la solución de gestión del entorno de usuario para ejecutar los scripts de personalización de usuarios, si es posible. Pruebe esta configuración con ellos, ya que puede causar problemas según el sistema. Esto también se puede lograr utilizando Microsoft FSLogix para ocultar e impedir el acceso a cmd.exe como acceso directo y dentro del sistema de archivos.
	Oculte los elementos especificados del panel de control o prohíba el acceso a la configuracióndel panel de controly del PC	Esta configuración elimina el acceso a applets específicos del Panel de control o puede ocultarlos todos según sus necesidades. A menudo, es posible que el usuario no tenga acceso al panel de control en absoluto o que haya applets demasiado específicos para ayudar a configurar o solucionar problemas de aplicaciones, especialmente si se trata de mapear dispositivos.
	Configuración del navegador: se requiere acceso a Internet\ Intranet	Se recomienda evaluar si se requiere acceso a Internet e Intranet para la aplicación o el escritorio publicados. Muchas implementaciones no requieren acceso a la web a nivel local o global, y se recomienda bloquearlo mediante un proxy o una solución de control de contenido para esos usuarios o esos catálogos de máquinas, según las opciones que estén configuradas. Hay opciones sencillas si no se necesita acceso a Internet o a la intranet. Luego, una sencilla configuración de proxy en el navegador para la dirección IP de bucle invertido local impide el acceso sin ningún otro sistema. Dado que la mayoría de los ataques se producen desde correos electrónicos y sitios web malintencionados, vale la pena investigar los requisitos de los usuarios para ayudar a eliminar o reducir el riesgo para algunos o todos sus usuarios.
	Configuración del navegador - Control de contenido	Se recomienda garantizar algún tipo de control del contenido con algunas listas básicas de permitidos y bloqueos o protección de DNS para las IP malintencionadas conocidas. Hay muchas opciones para esta opción. Sus capacidades se controlarán según la solución de control de contenido que tenga, las funciones de firewall y licencias que tenga y la protección de DNS que tenga disponible para su implementación. Según el proveedor y la ubicación de los VDA, cada opción puede facilitar o dificultar esta configuración. También se recomienda evaluar la configuración de seguridad para que los usuarios no puedan omitir esta configuración.
	Configuración del navegador - Configuración de cookies	Se recomienda evaluar los requisitos de cookie para las aplicaciones web de su empresa y ajustar la configuración del navegador a esos requisitos. Las cookies son símbolos útiles que utilizan los sitios web para la autenticación, pero también se utilizan para el seguimiento y se pueden utilizar de forma malintencionada. Si se establece un estándar de procesamiento de cookie, es posible que se generen errores o que no funcionen sitios web que no sean aplicaciones empresariales. El equipo de TI y la empresa deben crear conjuntamente una directiva de estándares de aplicaciones web no empresariales. Al hacerlo, aumenta el riesgo de errores al acceder a aplicaciones no empresariales, ya que pueden estar utilizando cookies de terceros. También se recomienda evaluar la configuración de seguridad para que los usuarios no puedan omitirla.
	Configuración del navegador - Configuración de TLS	Se recomienda evaluar el estándar de cifrado más bajo requerido para las aplicaciones web empresariales y ajustar la configuración del navegador a esa versión de TLS\ SSL. Hay versiones más nuevas de TLS\ SSL que salen casi todos los años, y cada una ofrece más protección criptográfica. Si se establece un estándar de versión TLS\ SSL, es posible que se generen errores o sitios web que no funcionen para aplicaciones no empresariales. El equipo de TI y la empresa deben crear conjuntamente una directiva de estándares de aplicaciones web no empresariales. Esto aumenta el riesgo de errores al acceder a aplicaciones no empresariales, ya que pueden estar utilizando versiones de TLS\ SSL inferiores. También se recomienda evaluar la configuración de seguridad para que los usuarios no puedan omitir esta configuración.
	Configuración del navegador - Configuración de seguridad	Evalúe la configuración de seguridad de su navegador en relación con la realización de cambios en la configuración. Al configurar cualquier ajuste del navegador, la mayoría de los navegadores tienen directivas que impiden cambiar esas directivas y otros parámetros. Si se crean estándares de navegación de seguridad web, no querrá que los usuarios puedan desviarse de estas directivas excepto de grupos de usuarios particulares.
	Configuración de seguridad y actualización de aplicaciones compatibles	Muchas aplicaciones compatibles pueden requerir configuraciones únicas en lo que respecta a las directivas y pueden requerir cargar archivos ADMX para controlarlas. La configuración de estas aplicaciones puede afectar drásticamente a la seguridad de su implementación, así como a su mantenimiento general.
	Adobe y Java: actualizar la configuración	Una de las primeras configuraciones que necesitan la mayoría de las implementaciones es inhabilitar las notificaciones de actualizaciones automáticas y configurar el proceso de actualización en función del ritmo de aplicación de los parches. Mantener estos productos actualizados suele estar directamente relacionado con su riesgo de seguridad.
	Adobe y Java: configuración de seguridad	Cada uno de estos productos tiene una configuración de seguridad que controla sus operaciones y se evalúa en función de los requisitos y el flujo de trabajo del usuario. Hay guías de directivas de cada uno de estos proveedores que pueden resultar útiles con los archivos ADMX para determinar qué configurar. Estos parámetros deben validarse con los usuarios para que no afecten al flujo de trabajo del usuario.
	Microsoft Office: configuración de macros	La configuración de Microsoft Office se encuentra entre los puntos de entrada de exploits más comunes de muchos ataques. Estas directivas pueden controlar muchos niveles en los que se pueden ejecutar macros. Hay soluciones alternativas y se encuentran nuevas vulnerabilidades al menos una vez al año. La recomendación es inhabilitarlo. Las macros son para todos los usuarios y solo las habilitan para esos usuarios específicos, ya que el riesgo de un posible compromiso es excesivo.
High Security (Nivel alto de seguridad)	Sistema: restrinja a los usuarios a la lista de complementos permitidos explícitamente	Esta configuración permite especificar los complementos de MMC permitidos. Si esa directiva se deja en blanco, no se puede cargar ningún MMC. Como usuarios, muchos MMC confidenciales pueden exponer información sobre el sistema y dar acceso a elementos no deseados.
	Sistema: restrinja el acceso a unidades especificadas	Ocultar las unidades especificadas es un excelente primer paso, pero si es posible, restrinja el acceso a las unidades del sistema especificadas para garantizar aún más la implementación. Los permisos predeterminados de un sistema Windows permiten a los usuarios acceder y escribir elementos en muchas ubicaciones del sistema de archivos. Se trata de una configuración del sistema más restrictiva que, según la aplicación y el flujo de trabajo, puede verse afectada y requerir más pruebas.
	Configuración de seguridad del explorador de archivos: barras de menú	Esta configuración puede permitirle manipular la configuración de File e Internet Explorer y otras áreas del sistema operativo para eliminar y ocultar las opciones dentro de estas áreas. Es necesario probar estos elementos con los usuarios, ya que esto limitará su capacidad para hacer ciertas cosas dentro del sistema operativo.
	Configuración de seguridad del explorador de archivos: menú de ayuda	Este es un punto de jailbreak común en muchas aplicaciones. La directiva de grupo permite introducir una lista de ejecutables separados por comas para impedir que se ejecute cualquier cosa que se inicie desde la ayuda. Se recomienda unir al menos estos ejecutables administrativos comunes para evitar su ejecución. Si tiene otros navegadores instalados en el sistema, le recomendamos que agregue esos nombres ejecutables. Con esta directiva se puede restringir el lanzamiento de ayuda de la mayoría de las aplicaciones sin problemas, ya que normalmente no son necesarias para el flujo de trabajo.
	Registro de Windows: reenvío del registro de eventos de Windows	La retención de registros locales es un buen punto de partida, pero depende de la cantidad de espacio asignado y de la cantidad de eventos, es posible que no proporcione suficiente tiempo o eventos para responder adecuadamente a los incidentes. Los buenos registros de eventos pueden resultar beneficiosos para la solución de problemas, principalmente para responder a los incidentes de seguridad. El reenvío del registro de eventos de Windows es una función integrada que requiere almacenamiento y los servidores y la lista de configuraciones que figuran en estas guías de Microsoft. A partir de ahí, con WEF, puede configurar una alerta de otros proveedores para recibir alertas cuando ocurran ciertos eventos. Muchos clientes ya cuentan con información de seguridad y gestión de eventos, lo que puede utilizar el WEF para alimentar los eventos o hacer que sus clientes recopilen los registros de cada sistema. La ventaja de un sistema SIEM son las alertas que se pueden configurar. Muchos sistemas tienen paneles de control y alertas integrados para identificadores de eventos incorrectos conocidos.
	Registro de Windows: registro y transcripción de PowerShell	PowerShell se ha convertido en el lenguaje de secuencias de comandos de Windows más utilizado y, con la misma popularidad entre los desarrolladores y los administradores, también es un método de ataque frecuente. Dependiendo de su SIEM, las alertas integradas pueden buscar comandos largos de más de 30 caracteres. Se recomienda configurar una alerta similar desde el sistema si no está integrada en el SIEM. Es posible que sea necesario ajustar o suprimir el número de caracteres necesarios para activar esta alerta en algunos de los scripts recurrentes que se ejecuten. Como ocurre con cualquier alerta, conviene ajustarlas para que, con suerte, solo se envíen alertas procesables.
	Registro de Windows — Configuración de registro avanzadaRegistro de Windows — Configuración de registro avanzada	Incluso con el reenvío del registro de eventos habilitado o un cliente SIEM instalado, los eventos no se registran sin que estos parámetros de registro avanzados estén configurados correctamente. Se recomienda consultar las recomendaciones de Microsoft aquí. Preste especial atención a esta configuración de Active Directory, ya que allí se centrarán muchos ciberataques y el registro y la detección son fundamentales.
	Microsoft Office: ubicación predeterminada para abrir y guardar archivos	Esta configuración controla el directorio desde el que Microsoft Office Documents abre los archivos y en el que los guarda. Esto también funciona bien con soluciones de retención de documentos, como la redirección de archivos o la solución de perfil. Si se utiliza Ocultar o restringir unidades especificadas y no se configura para el área designada al guardar un archivo, puede acceder a la unidad del sistema operativo fuera de las áreas que haya ocultado. Este acceso mediante estas acciones puede permitir que un usuario o un atacante accedan a áreas no deseadas del sistema operativo a través del sistema de archivos. También te recomendamos que consultes tus otras aplicaciones para asegurarte de que no tienen una ubicación predeterminada para abrir o guardar fuera del perfil del usuario o de la ubicación especificada para la retención de documentos.
	Microsoft Office: otras configuraciones de seguridad	También se recomienda evaluar las muchas otras configuraciones de seguridad dentro de la configuración de directivas de grupo de Office de la implementación.

Directivas de sesión

Se recomienda crear una matriz de requisitos de sesión para cada caso de uso para controlar qué directivas de sesión deben configurarse por perfil de trabajo. Cree una directiva de confianza cero para todas las directivas de sesión mediante la plantilla de directivas de seguridad y control para iniciar cualquier implementación de Citrix Virtual Apps and Desktops y garantizar que todos los canales de sesión estén bloqueados de forma predeterminada. Supongamos que es necesario ajustar cualquier directiva de sesión. En ese caso, cree una directiva para cada desviación de la directiva y utilice los grupos de Active Directory para anidar los grupos de autorizaciones del grupo de entrega a fin de crear una autorización de grupo único sin problemas para los usuarios.

Como referencia, puede encontrar las directivas predeterminadas de Citrix y la lista de directivas en las que se centrarán las recomendaciones de seguridad aquí.

Directiva predeterminada	Configuración
Redirección del portapapeles	Se permite
Formatos de portapapeles	Sin restricción
Salida de audio	Se permite
Micrófono	Se permite
Unidades de cliente de conexión automática	Se permite
Redirección de unidad de cliente	Se permite
Unidades fijas para clientes	Se permite
Unidades de disquete para clientes	Se permite
Unidades de red de clientes	Se permite
Unidades ópticas para clientes	Se permite
Unidades extraíbles del cliente	Se permite
LPT de conexión automática	Prohibida
Conexión automática COM	Prohibida
Impresión de clientes	Se permite
Cliente TWAIN Devices	Se permite
Dispositivos USB del cliente	Prohibida

Utilice el siguiente cuestionario detallado sobre directivas de sesión para determinar qué perfiles de trabajo requieren qué canales virtuales. Los requisitos más comunes son el acceso a Print, Copy\ Pegar y otros dispositivos dentro de la sesión. Cada uno de estos elementos de sesión tiene las directivas correspondientes en Citrix y algunas directivas del sistema operativo.

Área de directivas	Pregunta de directiva	Notas
Directiva de sesión de alto nivel	¿Qué necesitas además del teclado y el ratón en la aplicación X/Desktop Y?	Esta pregunta debería hacer que los usuarios piensen en su flujo de trabajo más allá de hacer preguntas para cada canal virtual de la lista.
Portapapeles	¿Necesitas copiar y pegar cosas dentro o fuera de la sesión? Si se requiere el portapapeles, ¿necesita solo texto u otros tipos de formato y, entonces, qué direccionalidad es necesaria para entrar y salir de la sesión o solo dentro de la sesión? ¿Fuera de la sesión?
Mapeos de unidades	¿Necesita copiar o mover algo de su equipo y sus unidades dentro o fuera de la sesión? ¿Necesita acceso a la unidad C local, a las unidades de red asignadas al equipo, a los medios extraíbles, a los dispositivos ópticos o a los disquetes?
Dispositivos USB	¿Tienes que usar algún dispositivo USB durante la sesión?	¿Tienes que usar algún dispositivo USB durante la sesión? Si necesita un dispositivo USB, recopile el VID y el PID de esos dispositivos en lugar de habilitar todos los tipos de dispositivos USB.
Impresión	¿Necesitas imprimir?	La mayoría de los usuarios finales necesitan poder imprimir. Sin embargo, hay casos en los que es necesario inhabilitarlo para contratistas, terceros o diferentes unidades de negocio.
Audio	¿Necesita una salida de audio o una entrada de micrófono?	El canal virtual de audio solo es confidencial cuando desempeña la función de dictado médico o cuando hay grabaciones confidenciales de reuniones que puedan tener implicaciones para la SEC u otras implicaciones de cumplimiento.
Miscelánea. Puertos	¿Necesita puertos COM o LPT?	Cada vez son menos frecuentes, pero aún se necesitan en industrias específicas.

Por ejemplo:

Imagen/Escritorio	Requisitos de sesión
Imagen EMR de la aplicación publicada	Copiar y pegar solo dentro de la sesión, impresión en el cliente (configuración de impresora predeterminada sin necesidad del panel de control)
Imagen EMR de escritorio publicada	Copiar y pegar solo en la sesión, impresión en el cliente (configuración de impresora predeterminada sin necesidad del panel de control)
Acceso con Remote PC	Copiar y pegar en la sesión, impresión del cliente (configuración de impresora predeterminada sin necesidad del panel de control)

Operaciones

La falta de parches del sistema operativo es uno de los hallazgos más prolíficos en las auditorías de seguridad. Por lo general, hay dos razones por las que los parches no se colocan con regularidad. En primer lugar, no se les asigna un horario ni una hora determinados cada mes, y en el pasado se han producido problemas de compatibilidad de aplicaciones con los parches.

Calendario de parcheo de aplicaciones y sistemas operativos

Según el ciclo de lanzamiento de Windows, podemos esperar actualizar el sistema operativo al menos una vez al mes. Aproximadamente dos veces al año, se debe aplicar un parche crítico y ahora será necesario actualizar el sistema operativo cada 30 a 60 meses, según la versión elegida. Planifique entonces al menos 12 actualizaciones al año y establezca un proceso para implementar al menos otro parche por día. Con estas actualizaciones previstas para el sistema operativo, puede resultar beneficioso proporcionar a los propietarios de las aplicaciones acceso a ese mismo período de tiempo para probar y promover estos cambios. Trabajar con su equipo de TI para crear un proceso y un tiempo aumentará la seguridad de su implementación.

Diseño de imagen actualizable especialmente diseñado

Se recomienda crear un proceso para implementar y promover las actualizaciones de imágenes que pueda reducir el riesgo y el impacto en caso de que surjan problemas. Dependiendo de su catálogo de máquinas, el grupo de entrega y el diseño del alojamiento determinarán lo que será posible. Recomendamos tener un catálogo de máquinas de prueba y un grupo de entrega para las actualizaciones iniciales, aplicarlas y, luego, ascenderlas a un catálogo y un grupo de control de calidad (QA) para las pruebas y la validación de los propietarios de la aplicación. A continuación, puede tener un catálogo de máquinas de preproducción en un grupo de entrega de producción para reducir el impacto en el mismo grupo de entrega de producción. El uso de varios catálogos de máquinas dentro de un solo grupo de entrega permite asignar una cierta proporción de VDA a la versión más reciente, mientras que otros se asignan a la versión actual. La viabilidad de este enfoque puede variar en función de las necesidades de actualización de la aplicación, pero no se vería afectada por las actualizaciones del sistema operativo. Se han producido problemas con las actualizaciones del sistema operativo que no se detectan hasta que se implementan y tienen más de un usuario, o se deben a problemas basados en la carga, por lo que si puede permitirse tener capacidad adicional, esto ayuda a reducir el riesgo y, al mismo tiempo, a aumentar la seguridad.

Control de aplicaciones

Tener una solución de control de aplicaciones es imperativo en el actual clima de ciberamenazas. Garantizar que no se pueda lanzar ninguna aplicación es una piedra angular de la seguridad del sistema operativo. Es arriesgado que un usuario pueda ejecutar cualquier cosa a la que pueda acceder, por lo que se recomienda implementar una solución de control de aplicaciones. Windows incluye muchas opciones para una solución de control de aplicaciones o son complementos de pago. Cuando publicamos una aplicación o un escritorio específicos para acceder a una aplicación o aplicación en particular, la mayoría de los usuarios solo necesitan ejecutar ese programa o programa específico. Algunas aplicaciones lanzan otras aplicaciones de soporte y deben incluirse en una solución de control de aplicaciones. En la fase de planificación, disponga de una lista de los ejecutables principales y de los ejecutables compatibles para empezar a probar la solución indicada.

Opciones para la configuración del control de aplicaciones

Opción	Descripción
AppLocker de Microsoft Windows	Basado en directivas con listas de permitidos y listas de bloqueo. La directiva de grupo se utiliza para crear, modificar y aplicar estas directivas a las unidades organizativas o filtrar en función de los grupos de AD para cumplir con las necesidades de control de las aplicaciones.
Control de aplicaciones de Windows Defender	Esto requiere que Windows Defender ejecute el script que se ejecuta en el sistema para marcar los archivos de confianza e instalados, y solo se permite la ejecución de esos archivos.
Citrix Workspace Environment Management	WEM usa el sistema AppLocker nativo de Microsoft Windows, pero le permite configurar estas opciones en el mismo contexto.
Antivirus (de terceros)	La mayoría de las soluciones antivirus pueden controlar el lanzamiento de aplicaciones. Esto puede resultar beneficioso en función de quién administre el sistema; también se puede utilizar la misma consola para administrar estas directivas.
PolicyPak, Invati, etc. (de terceros)	Estas soluciones también se pueden utilizar como una solución de control de aplicaciones y ofrecen otros beneficios.

Elección de una solución

El primer paso es elegir qué solución de control de aplicaciones funciona mejor para su equipo. Hay muchas diferencias entre estas soluciones según la experiencia de su equipo, la forma en que está configurada la delegación de administración de cuentas con privilegios, la cantidad de aplicaciones que debe definir y las soluciones que ya posee.

Implementación en modo de solo auditoría

Si su solución admite un modo de solo auditoría, le recomendamos que lo implemente en los VDA existentes para comprender qué debe figurar en la lista de permitidos. Esto a menudo puede afectar a otros ejecutables que no se anotaron en la fase de planificación. Esto puede requerir el reenvío del registro de eventos de Windows, según la solución seleccionada. La lista de ejecutables que pueden descubrirse también puede cambiar la solución que quiere implementar en función de la cantidad de aplicaciones que se deben definir o de la cantidad de grupos en los que se debe delegar cada una.

**Habilitar la solución: Bloquear aplicaciones de administración

Habilite la capacidad de bloqueo desde su solución de control de aplicaciones para programas administrativos.

Aplicaciones de administración recomendadas para bloquear

La mayoría de las implementaciones no requieren que los usuarios tengan acceso a la línea de comandos de PowerShell (PowerShell.exe, PowerShell_ISE.exe) ni al editor. Actualmente, no hay un solo GPO que prohíba el acceso a PowerShell que sea equivalente a la línea de comandos. Si hay otros programas en uso, recomendamos inhabilitarlos también.

Permitir solo listas

Tras las pruebas y la validación, configure la solución para permitir la ejecución de las aplicaciones definidas solo en el contexto del usuario. Este proceso puede ser largo, según el número de solicitudes, el número de desviaciones en la delegación y la solución seleccionada. Recomendamos trabajar primero con las imágenes más simples, si es posible, con el menor número de aplicaciones instaladas. No se recomienda restringir todos los inicios de aplicaciones en todas las imágenes a la vez. Se recomienda utilizar los mismos grupos que se utilizan para las autorizaciones de los grupos de entrega para ayudar a filtrar las directivas y controlar qué aplicaciones pueden iniciar en la misma imagen varios grupos o varias imágenes.

Por ejemplo:

Imagen/Escritorio	Requisitos
Solicitud publicada	EMR (solo, filtrado por grupo de entrega)
Escritorio publicado	EMR + Microsoft office (filtrado por grupo de entrega)
Acceso con Remote PC	Aplicación de contabilidad (solo, filtrada por grupo de entrega)

Protección de terminales

La protección de los terminales es fundamental en cualquier sistema operativo. La cantidad de malware que crece día a día pone a cualquier sistema sin protección de terminales de ningún proveedor en un nivel de riesgo mayor. Hay muchos proveedores en este ámbito y, ahora, con la creación de sistemas de detección y respuesta de terminales, hay aún más opciones con sistemas más tradicionales y basados en EDR.

Mínimo

Implemente una solución en todos los VDA, los servidores de infraestructura Citrix y todos los demás sistemas, si es posible. También se recomienda asegurarse de que es el último cliente emparejado para la versión de su sistema operativo. Asegúrese de que también se apliquen las exclusiones y las mejores prácticas .

High Security (Nivel alto de seguridad)

Implemente una solución basada en EDR, si es posible, para obtener algunas de las funciones que tienen la mayoría de los EDR. La mayoría de las soluciones de EDR buscan archivos y procesos maliciosos conocidos, pero también pueden detectar movimientos de datos inusuales en la red y a nivel local, incluso a través de USB.

Por ejemplo:

Imagen/Escritorio	Requisitos
Imagen EMR de la aplicación publicada	Antivirus Microsoft Defender
Imagen EMR de escritorio publicada	Antivirus Microsoft Defender
Acceso con Remote PC	Antivirus Microsoft Defender

Registros

No puede proporcionar una respuesta adecuada a un incidente sin un registro adecuado. Este problema se agrava en una implementación no persistente, ya que el sistema, al igual que los registros, a menudo se pierden durante el reinicio si no se mantienen en un almacenamiento persistente o se reenvían a un SIEM. Debe haber un enfoque escalonado para el registro. Además, no se olvide de los otros sistemas enumerados. La siguiente es una lista de prioridades de registro típica que recomienda garantizar la retención, el reenvío y las alertas de los registros en caso de eventos críticos. Muchos de estos sistemas se basan en los registros de eventos de Windows y otros requieren Syslog, por lo que necesita una solución para cada tipo de evento. El registro también puede ser útil para solucionar problemas y correlacionar eventos cuando hay un problema o una interrupción.

1. Redes
   • a. Firewall
   • b. Conmutadores
   • c. inalámbrico
   • d. Control de contenido\ Proxy
   • e. Balanceadores de carga\ Puertas de enlace
   • f. Servidores VPN
2. Controladores de dominio
3. Servidores de archivos
4. servidores de bases de datos
5. Servidores web
6. Servidores de respaldo
7. Sistemas de hipervisor
8. Sistemas VDI (intermediarios)
9. Otros servidores de aplicaciones
10. Computadoras clave para empleados
    • a. C-Suite
    • b. Finanzas
    • c. HORA
    • d. TI
    • e. Estaciones de trabajo con cuentas privilegiadas
11. Managers y líderes de equipos
12. Todos los demás sistemas

Eventos básicos de registro de eventos relacionados con AD Security para monitorear y alertar

La siguiente tabla muestra los identificadores de eventos de Windows conocidos que normalmente se asocian a las alertas, ya que pueden indicar que los sistemas están en peligro a través de las rutas de ataque típicas que la mayoría elige. Consulte lo siguiente para obtener más detalles.

ID de evento	Descripción	Impacto
1102/517	Registro de eventos borrado	Los atacantes pueden borrar los registros de eventos de Windows para cubrir sus huellas. Esto también se refiere al reenvío del registro de eventos de Windows.
4610, 4611, 4614, 4622, 4697	Modificación de la autoridad de seguridad local	Los atacantes pueden modificar el LSA para aumentar o persistir en muchos métodos de ataque comunes.
4648	Inicio de sesión con credenciales explícito	Normalmente, cuando un usuario que ha iniciado sesión proporciona diferentes credenciales para acceder a un recurso. Requiere filtrar la palabra “normal”.
4661	Se solicitó un identificador para un objeto	Acceso SAM/DSA. Requiere un filtrado de “normal” para no sobrecargar la cantidad de eventos registrados.
4672	Privilegios especiales asignados al nuevo inicio de sesión	Supervise cuándo alguien con derechos de administrador inicia sesión. ¿Es esta una cuenta que debería tener derechos de administrador? Saber cuándo alguien o algo está recibiendo nuevos privilegios es motivo de preocupación.
4723	Se intentó cambiar la contraseña de la cuenta	¿Quién o qué intentó cambiar la contraseña de este usuario?
4964	Seguimiento personalizado de inicio de sesión de grupos especiales	Realice un seguimiento de los inicios de sesión de los administradores y de los “usuarios de interés”. Esto se refiere a la administración de cuentas con privilegios para las cuentas de servicio y las cuentas con privilegios normales para saber cuándo se utilizan.
7045, 4697	Se instaló un nuevo servicio	Los atacantes suelen instalar un nuevo servicio por motivos de persistencia, y si alguien instala algo como servicio, es algo que hay que saber.
4698, 4699, 4702	Creación/modificación de tareas programadas	Los atacantes suelen crear o modificar tareas programadas para que persistan. Extraiga todos los eventos de Microsoft-Windows-TaskScheduler/Operational.
4719, 612	Se cambió una directiva de auditoría del sistema	Los atacantes pueden modificar la directiva de auditoría del sistema.
4732	Se agregó un miembro a un grupo local (con seguridad habilitada)	Los atacantes pueden crear una nueva cuenta local y agregarla al grupo de administradores local. Los grupos restringidos entran en juego aquí para garantizar que su elevación no dure más allá de la actualización de un GPO.
4720	Se creó una cuenta de usuario (local)	Los atacantes pueden crear una nueva cuenta local para persistir.
3065, 3066	Auditoría LSASS: comprobación de integridad del código	Esto monitorea los controladores y complementos de LSA. ¡Pruébelo exhaustivamente antes de implementarlo!
3033, 3063	Protección LSA: error al cargar los controladores y complementos	Esto monitorea los controladores y complementos de LSA y bloquea los que no estén firmados correctamente.
4798	Se enumeró la pertenencia a un grupo de usuarios	Esto puede detectar la actividad de reconocimiento de la enumeración de miembros de grupos locales, lo que puede provocar una escalada de privilegios típica de Bloodhound. Es posible que tenga que filtrar la actividad habitual.
4769,4771	Inicio de sesión de cuenta/Servicio de autenticación Kerberos	Dependiendo de las aplicaciones implementadas, esto puede ser lento o silencioso hasta que se desencadene un ataque o un evento específico. Esto se recomienda porque muchos métodos de ataque utilizan Kerberos como vehículo de autenticación.
4769	Inicio de sesión de cuenta/operaciones con tickets de servicio Kerberos	Dependiendo de las aplicaciones implementadas, esto puede ser lento o silencioso hasta que se desencadene un ataque o un evento específico. Esto se recomienda porque muchos métodos de ataque utilizan Kerberos como vehículo de autenticación.
4741, 4742	Administración de cuentas/Administración de cuentas informáticas	Es necesario registrar cuándo se crea o modifica algo en una cuenta de equipo de dominio para averiguar si se trata de un problema.
4728, 4732, 4756	Administración de cuentas/Administración de grupos de seguridad	Es necesario registrar cuándo se crea o modifica algo en un grupo de dominios para averiguar si se trata de un problema.
4720, 22, 23, 38, 65, 66, 80, 94	Administración de cuentas/Administración de cuentas de usuario	Para saber cuándo se crea o modifica algo en un dominio, el usuario debe iniciar sesión para determinar si se trata de un problema.
4962	Seguimiento detallado/actividad de DPAPI	Esto sirve para realizar un seguimiento de la exportación de la clave de respaldo de DPAPI utilizada para las copias de seguridad y las restauraciones de AD. Esto es necesario para desconectar la base de datos de AD y descifrar las contraseñas y otros ataques de AD relacionados con las contraseñas.
4688	Seguimiento detallado/creación de procesos	El seguimiento de lo que se está ejecutando puede resultar ruidoso, pero una vez filtrado, puede ser la mejor manera de rastrear lo que ocurre en equipos específicos. Esto puede resultar más difícil de hacer en las estaciones de trabajo, pero en los servidores habrá mucho menos ruido y, cuando se registre algo, lo más probable es que tengas que investigarlo.
4634	Recopile eventos para cerrar sesión en la cuenta	Dependiendo del panorama de amenazas, esto puede resultar ruidoso, pero vale la pena saber cuándo se cierran las cuentas, especialmente en servidores y estaciones de trabajo.
4624, 4625, 4648	Recopile eventos para iniciar sesión en la cuenta	Dependiendo del panorama de amenazas, esto puede resultar ruidoso, pero vale la pena saber cuándo las cuentas inician sesión, especialmente en servidores y estaciones de trabajo.
4964	Recopile eventos para grupos especiales atribuidos al iniciar sesión	Saber cuándo se inician sesión en cuentas especiales es un indicador vital del uso indebido de estas cuentas.
4713, 4716, 4739	Recopile eventos relacionados con las modificaciones de confianza	No hay confianza: configure o modifique una confianza existente de unidireccional a bidireccional sin que usted lo sepa.

Si también utiliza un NetScaler para el equilibrio de carga, el firewall de aplicaciones web, Citrix Gateway u otros servicios, le recomendamos que consulte la guía de syslog de NetScaler.

Delegación de privilegios

Es fundamental definir sus funciones de TI, los permisos para la implementación de la VDI y las cuentas con privilegios generales. El objetivo de cualquier delegación de privilegios es garantizar que los administradores tengan los permisos adecuados necesarios para cumplir con las funciones de trabajo que se les asignan. Según los productos implementados, es posible que tenga más o menos grupos según sus necesidades. Estos son solo ejemplos de algunos de los puntos comunes de delegación. Los elementos recomendados se realizan fuera de las tareas de refuerzo del sistema operativo VDA. Si no se implementan algunos de estos principios básicos, su empresa correrá un riesgo mayor. Visite Cuentas de acceso privilegiado de Microsoft para obtener información adicional.

Mínimo

Cuentas administrativas separadas Se recomienda asegurarse de que cualquier usuario con más derechos de usuario de dominio tenga una cuenta independiente. Se han iniciado o se han intensificado demasiados ataques debido a que los administradores utilizan sus cuentas para consultar el correo electrónico o navegar por la web. Recomendamos colocarlas en una unidad organizativa protegida con permisos delegados para evitar modificar las cuentas de estos usuarios que no sean unas pocas personas de su dominio en un grupo de delegación personalizado. También se recomienda tener un estándar de nomenclatura con un sufijo de prefijo común para facilitar la auditoría. Lo más común es usar prefijos como “adm-“, “admin-“, “sa-“ y “p”.

Norma de nomenclatura de cuentas de servicio Utilice normas de nomenclatura para todas las cuentas de servicio a fin de separarlas de las cuentas estándar al realizar revisiones de cuentas. Coloque estas cuentas en una unidad organizativa independiente para limitar el acceso a la edición de estas cuentas. Lo más común es usar prefijos como “svc-“, “service-“, “s-“ y “s”. También se recomienda incluir en la descripción de la cuenta o en un documento compartido una lista de lo que hace cada servicio para facilitar el restablecimiento de contraseñas.

Utilice grupos personalizados para cada delegación administrativa Recomendamos grupos de AD personalizados para delegar todas las funciones administrativas dentro de su implementación. No utilice grupos predeterminados, como los administradores de dominio, para dar acceso a sistemas de acceso remoto, administrar sistemas con privilegios, administrar cuentas en AD, administrar Citrix y otros sistemas. El uso de grupos con un estándar de nomenclatura también ayudará a organizar estos grupos para facilitar la auditoría y la aplicación en esos sistemas. Un prefijo común también es más común en otros estándares de nomenclatura para cada grupo de sistemas. Si los nombres comunes describen estas funciones, puede buscar todos los grupos de Service Desk, VDI, AD y otros sistemas. También puede resultar útil utilizar permisos específicos, como “Solo lectura” y “Control total”, para buscar y aplicar estas funciones en varios sistemas. Es posible que sea necesario que haya varios grupos dentro de cada sistema que se deban compartir para cada delegación de funciones principales. La complejidad de la delegación aumenta la cantidad de sistemas y permisos necesarios, pero también aumenta la seguridad y la flexibilidad de la implementación.

Ejemplo de grupos y delegaciones personalizados de Citrix ADM-VDI-Full-Admins: estos usuarios suelen ser administradores locales de todos los roles de servidor y VDA de Citrix Infrastructures, tienen el control total del perfil compartido y tienen derecho a las funciones de administrador en cada componente de Citrix. También tendrán al menos derechos de administrador de máquinas virtuales en el hipervisor que aloja las máquinas virtuales de Scope.

adm-vdi-image-admins Puede que solo sean los administradores locales de la imagen maestra y quizás los parches sean los responsables de las actualizaciones de la imagen. Si se trata de un equipo de aplicaciones, se recomienda que un grupo personalizado por equipo mantenga las aplicaciones por imagen. También pueden tener al menos derechos de usuario de máquina virtual en el hipervisor que aloja estas máquinas virtuales de imágenes.

ADM-VDI-ServiceDesk desempeñará las funciones de mesa de ayuda o mesa de servicio en Citrix Studio y Director. Esto les permite administrar las sesiones, solucionar problemas en Director y ver los parámetros de configuración en Citrix Studio. Para la mayoría de las implementaciones, es posible que el servicio de asistencia no necesite acceder a ningún otro componente del rol de Citrix Server, como StoreFront Server, License Server, SQL o FAS Servers. Los derechos de solo lectura para WEM y Provisioning Server pueden ayudar a solucionar o detectar problemas. La cantidad de privilegios que otorgue a su servicio de atención al cliente se basará únicamente en nuestras directivas y en su experiencia. También puede haber varios niveles de subpermisos para cada una de estas funciones.

ADM-VDI-Readonly-Director Permite a este usuario ver los elementos de Citrix Director. Esto puede resultar útil para que el propietario de una aplicación vea el uso de su sistema junto con el equipo directivo para realizar un seguimiento del uso del sistema.

ADM-VDI-Readonly-Studio Esto puede ser necesario para las validaciones de configuración de otros equipos o propietarios de aplicaciones.

Recomendado

Alejarse de los grupos con privilegios predeterminados de AD El uso de los grupos predeterminados para la elevación administrativa otorga más permisos de los que la mayoría necesita. Las personas y las cuentas de servicio a menudo solo se agregan a los administradores de dominio porque funciona y es fácil. Muchos grupos predeterminados han heredado derechos explícitos en todos los equipos y en toda la estructura del dominio. Audite los grupos con privilegios predeterminados para identificar a todos los usuarios, contratistas y cuentas de servicio que puedan residir en ellos. No se recomienda eliminar la cuenta de administrador de los grupos predeterminados, ya que puede causar problemas. En su lugar, trate la cuenta como una cuenta con privilegios altamente confidenciales y cambie la contraseña con regularidad y guárdela de forma segura.

Auditorías de revisión continua de cuentas Recomendamos programar revisiones periódicas de las cuentas con tu lista de empleados activos y tus listados de cuentas de AD para garantizar que solo los empleados activos tengan cuentas. Considere la posibilidad de comprobar las cuentas de terceros en función de los acuerdos activos con estos proveedores. Audite las cuentas del Servicio con regularidad para garantizar que sigan siendo necesarias y que tengan los permisos necesarios para esas funciones.

Defina los requisitos de la directiva de la cuenta Se recomienda establecer un estándar de directiva de cuentas de acuerdo con sus organismos de cumplimiento. Estas configuraciones desempeñan un papel crucial a la hora de garantizar la seguridad de la cuenta del dominio y deben lograr un equilibrio entre la máxima seguridad y la facilidad de uso. Existen muchos estándares sobre la antigüedad de las contraseñas, la complejidad de las contraseñas, los requisitos de longitud, el historial de contraseñas, los umbrales y la duración de los bloqueos, la configuración de los tickets de Kerberos, las restricciones de inicio de sesión y muchos más elementos. Por lo general, estas directivas se definen en la raíz del dominio para todos los usuarios y cuentas. Es posible que existan otras directivas para las cuentas con privilegios y los empleados clave a fin de garantizar un estándar más seguro.

Enlaces de referencia Directiva de cuentas Enlaces Requisitos de contraseña de dominio Directivas de contraseñas de Microsoft 365

Definir asignaciones de usuarios

Audite la asignación de derechos de usuario de sus directivas de dominio predeterminadas. Muchas de las configuraciones predeterminadas están diseñadas para ofrecer compatibilidad con versiones anteriores y facilitar su uso sin necesidad de implementar configuraciones personalizadas. Al igual que las directivas de Windows, es esencial conocer los sistemas más antiguos para garantizar que sigan funcionando. Vincule estas opciones a sus grupos con privilegios personalizados para garantizar que solo los usuarios especificados puedan unir equipos al dominio, acceder al sistema de forma remota, iniciar sesión en sistemas específicos y mucho más. Puede resultar útil asignar correctamente a los grupos de AD por usuario, de modo que puedan anidarse en un grupo privilegiado y permitir permisos específicos a usuarios específicos. Las decisiones de asignación de derechos de usuario se suelen tomar para la raíz del dominio, además de para la ubicación de los escritorios y servidores.

Descripción general y detalles de las asignaciones de derechos de usuario de Microsoft

Definir opciones de seguridad

Revise su directiva de dominio predeterminada para auditar estas opciones de seguridad. Estas opciones son fundamentales para la seguridad de cualquier dominio. Estos parámetros controlan el comportamiento de la máquina local con parámetros como cambiar el nombre de las cuentas de invitado y administrador, los permisos del sistema desde la instalación del controlador de impresión hasta las versiones SMB y muchos otros parámetros. Cada una de estas configuraciones tiene una configuración recomendada que va más allá de la predeterminada, pero también se basará en el sistema operativo más antiguo que deba admitir.

Descripción general de las opciones de seguridad

High Security (Nivel alto de seguridad)

Utilice estaciones de trabajo privilegiadas Se recomienda que todo el trabajo administrativo se realice desde máquinas dedicadas y no desde la estación de trabajo de cada administrador. Esto permite un registro más completo desde estos sistemas, lo que permite una mejor visibilidad de los cambios de la implementación. Existen sistemas de gestión de cuentas con privilegios de terceros que ayudan a desarrollar este sistema y a auditar y controlar el acceso a estas máquinas con una grabación de pantalla uniforme y una correlación de registros según el proveedor elegido. Si no puede pagar una solución PAM, trabaje en fases para implementar su sistema. Se recomienda implementar un conjunto de servidores y escritorios de alta disponibilidad al que solo los administradores definidos puedan acceder de forma remota y dedicar la VLAN con control de entrada y salida disponible. Exija la autenticación multifactorial para iniciar sesión en estos sistemas, si están disponibles. Una vez implementados estos sistemas, querrá instalar todas las herramientas administrativas para los administradores objetivo. Asegúrese de que los registros de estos sistemas se conserven localmente y se reenvíen a su SIEM para retenerlos y visitarlos, de modo que eventualmente se puedan configurar las alertas. Luego, los últimos pasos son implementar listas de control de acceso para limitar a los administradores de fuentes el acceso a los sistemas confidenciales de esta VLAN y otra VLAN altamente controlada en la que las máquinas podrían conectarse en caso de emergencia de forma virtual o física en caso de que se produjera una falla en estos sistemas. Audite las VLAN de la estación de trabajo con cuentas privilegiadas (PAW) principal y secundaria y envíe alertas a todos los miembros responsables del equipo si se agrega algún dispositivo. En esta última fase, solo puede administrar estos sistemas desde estas PAW, de modo que los usuarios normales ni siquiera puedan acceder a las interfaces de usuario de administración de estos sistemas en sus redes de clientes típicas o desde un VDA.

Descripción general de Microsoft sobre las estaciones de trabajo con cuentas privilegiadas

Ofuscación

Cuando su implementación recibe un ataque y ya tiene un punto de apoyo inicial, utilizar la ofuscación para ralentizar al atacante tiene ventajas, de modo que pueda registrar y alertar a los sistemas que, con suerte, puedan detectarlos antes de la siguiente transición. Es muy recomendable disponer de un gestor de contraseñas u otro sistema antes de iniciar cualquier ofuscación para poder rastrear la asociación. Esta ofuscación puede comenzar con cuentas privilegiadas que no tengan el mismo nombre que el usuario de AD. La ofuscación de las cuentas privilegiadas puede consistir en utilizar normalmente el mismo apellido único u otras combinaciones de nombres únicos para que puedan seguir auditándose. Las cuentas de servicio también pueden ocultarse mediante el uso de diferentes prefijos o nombres de personas. Además, recuerde que desea poder auditar estas cuentas. Los nombres de servidores confidenciales también pueden ocultarse con prefijos de prueba y desarrollo o nombres que no se correlacionen con la función. La ofuscación más potente es la ofuscación del usuario, en la que no se utilizan su nombre y apellidos para el nombre de la cuenta, que normalmente combina caracteres y números. La ofuscación de los usuarios es lo más perjudicial, pero también puede extenderse a nuevos usuarios e introducirse gradualmente. Este suele ser uno de los últimos pasos de un plan de corrección de seguridad.

Grupos locales Grupos de cuentas privilegiadas

Funciones de Windows

Windows incluye muchas funciones de seguridad que deben evaluarse para su implementación. Esta lista solo podrá resaltar una fracción de las funciones. Aun así, muestra las que tienen el mayor impacto en la seguridad de las implementaciones de Citrix Virtual Apps and Desktops.

Solución de contraseña de administrador local (LAPS)

En la mayoría de las implementaciones, la contraseña de administrador es la misma para todos los escritorios y servidores, ya que es posible que solo se haya definido en la “Directiva de dominio predeterminada”. A menudo, es posible que no haya un estándar de contraseña de administrador local, ya que los escritorios o servidores creados por diferentes personas o imágenes utilizan una contraseña diferente y no existe un estándar establecido. Con los LAP implementados, cada máquina bajo esa directiva tiene una contraseña única almacenada en Active Directory y protegida por una ACL. Disponer de cuentas privilegiadas dedicadas con la delegación adecuada entre funciones es fundamental al implementar esta solución para garantizar que solo los usuarios autorizados puedan ver y usar la contraseña. Esta solución se puede implementar en fases según la estructura de la unidad organizativa para garantizar que todo funcione según lo esperado y reducir el riesgo de ataques de repetición de credenciales de pase el hash (pTH).

Cómo cambiar la contraseña de un administrador local con la descarga de la[herramienta LAPs](https://www.microsoft.com/en-us/download/details.aspx?id=46899)de directivas de grupo

Reenvío del registro de eventos de Windows

Si no tiene que configurar un SIEM, configure Windows Event Log Forwarding, ya que esta solución es gratuita con una licencia de Windows. Según la cantidad de eventos por segundo, el requisito principal es el espacio en disco y algunos servidores de Windows Event Collector. Recomendamos habilitar primero el reenvío de registros en todos los controladores de dominio, ya que esta información es fundamental para investigar la respuesta a incidentes y solucionar problemas. Es posible que sea necesario realizar parámetros en función de la cantidad de servidores WEC para garantizar la disponibilidad y la estabilidad y de la cantidad de eventos, el espacio en disco y las E/S. Estos sistemas recopilan los registros especificados en las directivas de grupo para las directivas de auditoría y las directivas de auditoría avanzadas

Guía de configuración del WEF Directivasbásicas de auditoría de seguridad Directivas deauditoría avanzadas

Cuentas de servicio gestionadas

Las cuentas de servicio administradas están diseñadas para proporcionar a aplicaciones como SQL y Exchange una administración automática de contraseñas. Simplifica la administración de nombres principales de servicio para estas cuentas, lo que puede ayudar a mitigar los ataques de Kerberos.

¿Guía paso a paso sobre cuentas de servicio gestionadas? Redirigido desde = msdn)

Resumen

Este documento técnico analizó las 10 áreas recomendadas para proteger su Citrix VDA/OS, incluidas las etapas iniciales de planificación, la configuración de algunas directivas recomendadas, el control del acceso privilegiado y la configuración de algunas funciones de Windows basadas en la seguridad. Esta guía proporciona protecciones y configuraciones recomendadas para ayudar a proteger el sistema y prevenir algunos métodos de ataque comunes. Se recomienda implementar primero las configuraciones recomendadas en un escenario de prueba. Haga que su equipo de TI las valide, programe y las promueva entre sus usuarios de prueba, y solo entonces las promueva a producción. Con cada nivel de recomendaciones, aumenta el riesgo de que se produzcan problemas de usabilidad o compatibilidad de las aplicaciones, por lo que es necesario realizar más pruebas y parámetros.

Referencias

Mitigaciones de seguridad de Windows 10

Consideraciones de seguridad y prácticas recomendadas de Citrix