Documentación de productos
Workspace Environment Management
Service Current Release 2402 2311 2308 2305 2303 2212 2209 2206 2203
Ver PDF
Gracias por los comentarios

Este artículo ha sido traducido automáticamente. (Aviso legal)

  Leer en inglés

Seguridad

April 9, 2025
Contribución de: 
C

Seguridad de las aplicaciones

La función de seguridad de las aplicaciones le permite definir reglas para controlar qué aplicaciones y archivos pueden ejecutar los usuarios. Puede configurar las reglas de seguridad de las aplicaciones en la consola web y proporcionar una herramienta para recuperar la información necesaria para la configuración de las reglas. Además, puede usar esta función para crear grupos de asignación con reglas de seguridad. Cuando las reglas de aplicación de proceso y las reglas de DLL de proceso están habilitadas, el modo de sobrescritura está activado de forma predeterminada. En el modo de sobrescritura, las reglas que se procesan al final sobrescriben las reglas que se procesaron anteriormente. Se recomienda aplicar este modo solo a las máquinas de sesión única. Esta función también le permite crear las siguientes reglas:

  • Reglas ejecutables
  • Reglas del instalador de Windows
  • Reglas de script
  • Reglas de aplicaciones empaquetadas
  • Reglas de DLL

Nota:

Antes de crear reglas, le recomendamos que primero agregue las reglas predeterminadas para garantizar que los archivos importantes del sistema puedan ejecutarse.

Crear regla de instalación de Windows

Esto incluye dos elementos del menú: Información básica y Excepciones. Para crear una regla de Windows Installer, complete los pasos siguientes en Información básica y Excepciones:

  • Al seleccionar Crear regla, accederá a la página Crear regla del instalador de Windows.
  • Introduzca el nombre y una descripción opcional.
  • Seleccione la accióndeseada.
  • Seleccione el tipo de criterio ** como **Ruta, Editoro Hash de archivo de la lista desplegable.
  • Al seleccionar Abrir visor de información de archivos, se dirigirá al WEM Tool Hub. Utilice el WEM Tool Hub** para obtener rápidamente la información requerida. Para obtener más información, consulte Visor de información de archivos.
  • Opcionalmente, puede agregar excepciones para incluir archivos que normalmente se incluyen en la regla según los criterios principales. Para realizar esta tarea, seleccione Agregar excepción.
  • Vaya a WEM Tool Hub para copiar los datos de uno de los criterios especificados en el Visor de información de archivos y, a continuación, haga clic en Pegar desde el visor de información de archivos.
  • Haga clic en Listo.
  • Seleccione Continuar con la asignación para actualizar las asignaciones según sea necesario en la página Administrar asignaciones.
  • Seleccione Objetivos de asignación (usuarios y grupos) a los que asignar este elemento. Utilice filtros para contextualizar la tarea. Los filtros que especifique solo son efectivos en el modo de sobrescritura y solo se admiten en las versiones del agente 2406 o posteriores.
  • Introduzca un asterisco si necesita que se aplique una regla específica a todos los archivos.

Elevación de privilegios

Esta función define reglas para ejecutar ciertos programas con privilegios de administrador. Puede elevar los privilegios de usuarios no administrativos a un nivel de administrador necesario para algunos ejecutables. Como resultado, los usuarios pueden iniciar esos ejecutables como si fueran miembros del grupo de administradores.

Opciones de elevación de privilegios

  • Reglas de elevación de privilegios de proceso: cuando se selecciona, permite que los agentes procesen configuraciones de elevación de privilegios y otras opciones en la pestaña Elevación de privilegios se vuelven disponibles.

  • Aplicar a sistemas operativos Windows Server: controla si se deben aplicar configuraciones de elevación de privilegios a los sistemas operativos Windows Server. Si se selecciona, las reglas asignadas a los usuarios funcionarán en máquinas de Windows Server. De forma predeterminada, esta opción está inhabilitada.

  • Aplicar RunAsInvoker: controla si se debe forzar que todos los ejecutables se ejecuten bajo la cuenta de Windows actual. Si se selecciona, no se pide a los usuarios que ejecuten ejecutables como administradores.

Este panel también muestra la lista completa de reglas que ha configurado. Haga clic en Reglas ejecutables, Reglas del instalador de Windowso Autoelevación para filtrar la lista de reglas a un tipo de regla específico. Puede utilizar Buscar para filtrar la lista. La columna asignada muestra un icono de marca de verificación para los usuarios o grupos de usuarios asignados.

Reglas compatibles

Puede configurar la elevación de privilegios mediante dos tipos de reglas: reglas ejecutables y reglas del instalador de Windows.

  • Reglas ejecutables: Reglas que incluyen archivos con extensiones .exe y .com asociados a una aplicación.

  • Reglas del instalador de Windows: Reglas que incluyen archivos de instalación con extensiones .msi y .msp asociadas a una aplicación. Al agregar reglas de instalación de Windows, tenga en cuenta el siguiente escenario:

    • La elevación de privilegios solo se aplica a msiexec.exe de Microsoft. Asegúrese de que la herramienta que utiliza para implementar .msi y los archivos .msp del instalador de Windows sea msiexec.exe.
    • Supongamos que un proceso coincide con una regla del instalador de Windows especificada y que su proceso principal coincide con una regla ejecutable especificada. El proceso no puede obtener privilegios elevados a menos que la configuración Aplicar a procesos secundarios esté habilitada en la regla ejecutable especificada.

  • Autoelevación: cuando está habilitada, la opción Ejecutar con privilegios de administrador está disponible en el menú contextual cuando hace clic derecho en un archivo. Después de seleccionar esta opción, se le solicitará que proporcione un motivo para la elevación. Luego, se permite o deniega la elevación según los criterios que usted especifique. Para configurar la regla, puede utilizar el WEM Tool Hub > File Info Viewer para obtener rápidamente la información requerida, como ruta, editor y valores hash. También puede especificar el período de tiempo, elegir el día de la semana y, opcionalmente, establecer los criterios para determinar las máquinas en las que es efectiva la regla. Cuando el interruptor de autoelevación ** se habilita por primera vez en un conjunto de configuración, se crea la regla de autoelevación y se puede encontrar en la lista de reglas al administrar asignaciones para un objetivo de asignación. La regla nunca se elimina después de su creación.

Puede especificar el período de tiempo durante el cual la regla es efectiva. Además, puedes establecer opcionalmente los criterios para determinar en qué máquinas se aplica la regla. Puede elegir que coincidan todos o alguno de los siguientes criterios:

  • Nombre del catálogo de máquinas
  • Nombre del grupo de entrega
  • Nombre del dispositivo
  • Dirección IP
  • Tipo de plataforma de SO
  • Versión del sistema operativo
  • Estado persistente de la máquina

Después de seleccionar las Reglas ejecutables, las Reglas del instalador de Windowso las Reglas de autoelevación , la sección Acciones muestra las siguientes acciones disponibles para usted:

  • Modificar. Permite modificar una regla ejecutable existente.

  • Eliminar. Permite eliminar una regla ejecutable existente.

  • Crear regla. Le permite crear una regla ejecutable. Para crear una regla ejecutable, siga las instrucciones del asistente.

Control de jerarquía de procesos

La función de control de jerarquía de procesos controla si ciertos procesos secundarios pueden iniciarse desde sus procesos principales en escenarios padre-hijo. Para crear una regla, se definen los procesos principales y, a continuación, designar una lista de permitidos o una lista de bloques para sus procesos secundarios. Revise esta sección completa antes de utilizar la función.

Nota:

  • Esta función se aplica únicamente a Citrix Virtual Apps.

Para entender cómo funciona la regla, tenga en cuenta lo siguiente:

  • Un proceso está sujeto a una sola regla. Si define varias reglas para el mismo proceso, solo se aplicará la regla con mayor prioridad.

  • La regla que usted definió no se limita únicamente a la jerarquía original padre-hijo, sino que también se aplica a cada nivel de esa jerarquía. Las reglas aplicables a un proceso padre prevalecen sobre las reglas aplicables a sus procesos hijos, independientemente de la prioridad de las reglas. Por ejemplo, defina las dos reglas siguientes:

    • Regla 1: Word no puede abrir CMD.
    • Regla 2: El Bloc de notas puede abrir CMD.

    Con las dos reglas, no puedes abrir CMD desde el Bloc de notas abriendo primero Word y luego abriendo el Bloc de notas desde Word, independientemente de la prioridad de las reglas.

Esta función depende de ciertas relaciones padre-hijo basadas en procesos para funcionar. Para visualizar las relaciones padre-hijo en un escenario, utilice la función de árbol de procesos de la herramienta Explorador de procesos. Para obtener más información sobre Process Explorer, consulte https://docs.microsoft.com/en-us/sysinternals/downloads/procmon.

Para evitar posibles problemas, le recomendamos que agregue una ruta de archivo ejecutable que apunte a VUEMAppCmd.exe en la interfaz de administración de configuración completa. VUEMAppCmd.exe garantiza que el agente WEM termine de procesar las configuraciones antes de que se inicien las aplicaciones publicadas. Siga estos pasos:

  1. En el nodo Aplicación , seleccione la aplicación, haga clic en Propiedades en la barra de acciones y luego vaya a la página Ubicación .

    Página de configuración de la aplicación en Configuración completa

  2. Escriba la ruta de la aplicación local en el sistema operativo del usuario final.

    • En el campo Ruta al archivo ejecutable , escriba lo siguiente:

         <%ProgramFiles%>\Citrix\Workspace Environment Management Agent\VUEMAppCmd.exe

  3. Escriba el argumento de la línea de comandos para especificar una aplicación para abrir.

    • En el campo Argumento de línea de comandos ** , escriba la ruta completa a la aplicación que desea iniciar a través de **VUEMAppCmd.exe. Asegúrese de envolver la línea de comando de la aplicación entre comillas dobles si la ruta contiene espacios en blanco.
    • Por ejemplo, supongamos que desea iniciar iexplore.exe a través de VUEMAppCmd.exe. Puede hacerlo escribiendo lo siguiente: %ProgramFiles(x86)%\"Internet Explorer"\iexplore.exe.

Consideraciones

Para que la función funcione, debe utilizar la herramienta AppInfoViewer en cada máquina del agente para habilitar la función. Cada vez que utilice la herramienta para habilitar o inhabilitar la función, es necesario reiniciar la máquina. Con la función habilitada, tenga en cuenta las siguientes consideraciones:

  • Debe reiniciar la máquina del agente después de actualizar o desinstalar el agente.

  • La función de actualización automática del agente no funciona cuando la función está habilitada. Para utilizar la función de actualización automática del agente, utilice la herramienta AppInfoViewer para deshabilitar primero la función de control de jerarquía de procesos.

Para verificar que la función de control de jerarquía de procesos esté habilitada, abra el Editor del Registro en la máquina del agente. La función está habilitada si existe la siguiente entrada de registro:

  • Sistema operativo de 32 bits
    • HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_Dlls\WEM Hook
  • Sistema operativo de 64 bits
    • HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_Dlls\WEM Hook
    • HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\CtxHook\AppInit_Dlls\WEM Hook

Requisitos previos

Para utilizar esta función, asegúrese de que se cumplan los siguientes requisitos previos:

  • Una implementación de Citrix Virtual Apps.
  • El agente se ejecuta en Windows 10 o Windows Server.
  • El host del agente se ha reiniciado después de una actualización local o una instalación nueva.

Opciones de control de jerarquía de procesos

Cuando selecciona Control de jerarquía de procesos en Seguridad, aparecen las siguientes opciones:

Habilitar control de jerarquía de procesos: Controla si se habilitará la función de control de jerarquía de procesos. Cuando se selecciona, otras opciones en la pestaña Control de jerarquía de procesos se vuelven disponibles y las configuraciones entran en vigor. Puede utilizar esta función solo en una implementación de Citrix Virtual Apps.

Ocultar Abrir con del menú contextual: Controla si se muestra u oculta la opción Abrir con del menú contextual del botón derecho de Windows. Cuando está habilitada, la opción de menú se oculta en la interfaz. Cuando está deshabilitada, la opción es visible y los usuarios pueden usarla para iniciar un proceso. La función de control de jerarquía de procesos no se aplica a los procesos iniciados a través de la opción Abrir con . Le recomendamos que habilite esta configuración para evitar que las aplicaciones inicien procesos a través de servicios del sistema que no estén relacionados con la jerarquía de aplicaciones actual.

La pestaña Control de jerarquía de procesos ** también muestra la lista completa de reglas que ha configurado. Puede utilizar **Buscar para filtrar la lista. La columna asignada muestra un icono de marca de verificación para los usuarios o grupos de usuarios asignados.

La sección Acciones ** muestra las siguientes acciones:

  • Modificar. Le permite editar una regla.
  • Eliminar. Le permite eliminar una regla.
  • Crear regla. Le permite agregar una regla.

Crear regla

  1. Vaya a Control de jerarquía de procesos y haga clic en Crear regla. Aparece la página Crear regla .

  2. En la sección Pantalla , escriba lo siguiente:
    • Nombre. Escriba el nombre para mostrar de la regla. El nombre aparece en la lista de reglas.
    • Descripción. Escriba información adicional sobre la regla.

  3. En la sección Prioridad : establezca la prioridad para la regla. Al configurar la prioridad, tenga en cuenta lo siguiente: La prioridad determina el orden en que se procesan las reglas que configuró. Cuanto mayor sea el valor, mayor será la prioridad. Escriba un número entero. En caso de conflicto prevalecerá la regla con mayor prioridad.

  4. En la sección Tipo de criterio , seleccione una opción para agregar Proceso principal.
    • Ruta. La regla coincide con una ruta de archivo.
    • Apagado de la máquina Activa el disparador cuando las máquinas se apagan. La regla coincide con un editor seleccionado.
    • Hash. La regla coincide con un código hash específico.
  5. En la sección Modo ** , seleccione cualquiera de las siguientes opciones:
    • Lista de permitidos. Establecer criterios para los procesos secundarios que pueden abrirse desde el proceso principal. Todo lo demás se niega.
    • Lista de denegados. Establecer criterios para los procesos secundarios que no pueden abrirse desde el proceso principal. Todo lo demás está permitido.

  6. Criterios para procesos hijos.

  7. Especifique el período de tiempo durante el cual la regla es efectiva.

  8. Criterios de máquina: establece criterios para determinar en qué máquinas es efectiva la regla. Opcionalmente, puede establecer los criterios para determinar en qué máquinas se aplica la regla. Puede elegir que coincidan todos o alguno de los siguientes criterios:
    • Nombre del catálogo de máquinas
    • Nombre del grupo de entrega
    • Nombre del dispositivo
    • Dirección IP
    • Tipo de plataforma de SO
    • Versión del sistema operativo
    • Estado persistente de la máquina

Para asignar reglas a los usuarios

Seleccione una regla de la lista y luego haga clic en Administrar asignaciones en la sección Acciones .

Para eliminar reglas

Seleccione una o más reglas en la lista y luego haga clic en Eliminar en la sección Acciones .

La versión oficial de este contenido está en inglés. Para mayor comodidad, parte del contenido de la documentación de Cloud Software Group solo tiene traducción automática. Cloud Software Group no puede controlar el contenido con traducción automática, que puede contener errores, imprecisiones o un lenguaje inadecuado. No se ofrece ninguna garantía, ni implícita ni explícita, en cuanto a la exactitud, la fiabilidad, la idoneidad o la precisión de las traducciones realizadas del original en inglés a cualquier otro idioma, o que su producto o servicio de Cloud Software Group se ajusten a cualquier contenido con traducción automática, y cualquier garantía provista bajo el contrato de licencia del usuario final o las condiciones de servicio, o cualquier otro contrato con Cloud Software Group, de que el producto o el servicio se ajusten a la documentación no se aplicará en cuanto dicha documentación se ha traducido automáticamente. Cloud Software Group no se hace responsable de los daños o los problemas que puedan surgir del uso del contenido traducido automáticamente.
Seguridad
April 9, 2025
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999-2025 Cloud Software Group, Inc. All rights reserved.