Product Documentation

Planificación de la seguridad

Nov 18, 2015

En este tema se describen:

  • Recomendaciones de seguridad general para el uso de esta versión y todas las diferencias relacionadas con la seguridad que existen entre esta versión y un entorno de equipos convencionales
  • Las formas de administrar los privilegios del usuario
  • Los casos de implementación y sus implicaciones de seguridad
  • Acceso con Remote PC

Es posible que la organización deba cumplir con estándares de seguridad específicos para satisfacer requisitos normativos. Este documento no abarca este tema, dado que tales estándares de seguridad cambian con el tiempo. Para obtener información actualizada acerca de los estándares de seguridad y los productos de Citrix, consulte http://www.citrix.com/security/.

Recomendaciones referentes a la seguridad

Mantenga actualizadas todas las máquinas del entorno instalando las revisiones de seguridad que sean necesarias. Una de las ventajas es que se pueden utilizar clientes ligeros como terminales, lo cual simplifica esta tarea.

Proteja todas las máquinas del entorno con software antivirus.

Proteja todas las máquinas del entorno con firewalls perimetrales, incluido en los límites de enclave, según corresponda.

Si planea migrar un entorno convencional a esta versión, es posible que necesite cambiar la posición de un firewall perimetral existente o agregar firewalls perimetrales nuevos. Por ejemplo, supongamos que existe un firewall perimetral entre un cliente convencional y un servidor de base de datos en el centro de datos. Cuando se usa esta versión, ese firewall perimetral debe colocarse de modo que el escritorio virtual y el dispositivo del usuario queden de un lado, y los servidores de base de datos y Delivery Controllers del centro de datos queden del otro lado. Por lo tanto, considere la posibilidad de crear un enclave dentro del centro de datos que contenga los servidores y los Controllers que utiliza esta versión. Asimismo, debe contar con una protección entre el dispositivo de usuario y el escritorio virtual.

Todas las máquinas del entorno deben contar con la protección de un firewall personal. Al instalar un Virtual Delivery Agent (VDA), puede tener los puertos necesarios para la comunicación de funciones y componentes abiertos automáticamente si se detecta el servicio Firewall de Windows (incluso si el firewall no está habilitado). También puede configurar manualmente los puertos del firewall. Si utiliza otro firewall, debe configurarlo manualmente.

Nota: Los puertos TCP 1494 y 2598 se utilizan para ICA y CGP y por lo tanto es probable que estén abiertos en los firewalls para que los usuarios que están fuera del centro de datos puedan acceder a ellos. Citrix sugiere no utilizar estos puertos con otros fines para evitar la posibilidad de dejar accidentalmente las interfaces administrativas vulnerables al ataque. Los puertos 1494 y 2598 se han registrado oficialmente ante la Agencia de asignación de números de Internet (consulte http://www.iana.org/).

Todas las comunicaciones de red deben contar con la protección adecuada y deben cifrarse correctamente para que coincidan con las directivas de seguridad. Es posible proteger todas las comunicaciones entre los equipos con Microsoft Windows que utilicen IPSec; consulte la documentación de su sistema operativo para obtener información sobre la forma de hacerlo. Además, la comunicación entre los dispositivos de usuario y los escritorios se protege mediante Citrix SecureICA, el cual se configura de manera predeterminada con el cifrado de 128 bit. Es posible configurar SecureICA al crear o actualizar una asignación; consulte Protección de los grupos de entrega.

Las formas de administrar los privilegios del usuario

Otorgue a los usuarios únicamente las capacidades que necesiten. Los privilegios de Microsoft Windows continúan aplicándose a los escritorios de la forma habitual: se configuran los privilegios mediante la Asignación de derechos de usuario y la pertenencia a grupos a través de la directiva de grupo. Una de las ventajas de esta versión es que permite otorgar permisos administrativos a un usuario para un escritorio sin concederle también el control físico del equipo en el cual se almacena el escritorio.

Al planificar los privilegios de escritorio, tenga en cuenta que:

  • De forma predeterminada, cuando un usuario con privilegios reducidos se conecta a un escritorio, ve la zona horaria del sistema que ejecuta el escritorio en lugar de la zona horaria de su propio dispositivo de usuario. Para obtener información sobre cómo permitir que los usuarios vean la hora local al utilizar los escritorios, consulte Configuración de parámetros de zona horaria.
  • Un usuario que es administrador de un escritorio posee total control sobre ese escritorio. Si un escritorio es un escritorio agrupado en lugar de un escritorio dedicado, el usuario debe ser de confianza para todos los demás usuarios de ese escritorio, incluidos los futuros usuarios. Todos los usuarios de ese escritorio deben ser conscientes del riesgo potencial permanente que esta situación representa para la seguridad de sus datos. Esta consideración no se aplica a los escritorios dedicados, que sólo contienen un usuario; ese usuario no debe ser el administrador de ningún otro escritorio.
  • Un usuario que es administrador en un escritorio generalmente puede instalar software en ese escritorio, incluido software potencialmente malicioso. El usuario también puede supervisar o controlar el tráfico de cualquier red conectada al escritorio.

Implicaciones de seguridad de los casos de implementación

El entorno de usuario puede estar compuesto por dispositivos de usuario no administrados por la organización que estén bajo el total control del usuario, o dispositivos de usuario administrados por la organización. En general, las consideraciones de seguridad para estos dos entornos son diferentes.

Dispositivos del usuario administrados

Los dispositivos de usuario administrados permanecen bajo un control administrativo; se encuentran bajo su control, o bajo el control de otra organización de su confianza. Es posible configurar y suministrar dispositivos del usuario directamente a usuarios. También es posible proporcionar terminales en los que se ejecute un solo escritorio en modo solo de pantalla completa. Es necesario respetar las prácticas de seguridad recomendadas descritas anteriormente para todos los dispositivos de usuario administrados. La ventaja de esta versión es que presenta requisitos mínimos de software para un dispositivo del usuario.

Un dispositivo de usuario administrado puede configurarse para su uso en el modo de sólo pantalla completa o en el modo de ventana:

  • Si se configura un dispositivo de usuario para utilizarse en el modo de sólo pantalla completa, los usuarios inician sesión con la pantalla Iniciar sesión en Windows habitual. A continuación, se utilizan las mismas credenciales de usuario para iniciar sesión automáticamente en esta versión.
  • Si un dispositivo del usuario se configura para que el usuario vea su escritorio en una ventana, el usuario primero debe iniciar sesión en el dispositivo del usuario y luego en esta versión a través del sitio Web proporcionado con ella.

Dispositivos del usuario no administrados

Los dispositivos de usuario que no se encuentran bajo la administración de una organización fiable no pueden considerarse parte de un control administrativo. Por ejemplo, se puede permitir que los usuarios obtengan y configuren sus propios dispositivos, pero es posible que los usuarios no respeten las prácticas recomendadas de seguridad general descritas anteriormente. Esta versión presenta la ventaja de permitir la entrega de escritorios de forma segura a dispositivos del usuario no administrados. Aun así, estos dispositivos deben contar con una protección antivirus básica que anule los registradores de pulsaciones de teclas y los ataques de entrada similares.

Aspectos a tener en cuenta sobre el almacenamiento de datos

Al utilizar esta versión, es posible evitar que los usuarios almacenen datos en los dispositivos del usuario que se encuentren bajo su control físico. No obstante, es necesario tener en cuenta las implicaciones del almacenamiento de datos en los escritorios por parte de los usuarios. Almacenar datos en los escritorios no es una práctica recomendada para los usuarios; los datos deben conservarse en servidores de archivos, servidores de base de datos u otros repositorios donde se encuentren debidamente protegidos.

El entorno de escritorio puede estar compuesto por varios tipos de escritorios, como escritorios agrupados y dedicados:

  • Los usuarios no deben almacenar nunca sus datos en escritorios compartidos entre los usuarios, como es el caso de los escritorios agrupados.
  • Cuando los usuarios almacenan datos en escritorios dedicados, esos datos deben eliminarse si el escritorio posteriormente pasa a estar disponible para otros usuarios.
Entornos de versiones mixtas
 
En algunas actualizaciones, los entornos que contienen varias versiones son inevitables. Siga las prácticas recomendadas y minimice el tiempo de coexistencia para los componentes de Citrix de versiones distintas.
En entornos de varias versiones, es posible que las directivas de seguridad, por ejemplo, no se cumplan uniformemente.
 
Nota: Esta es una situación habitual en caso de otros productos de software. Una versión anterior de Active Directory solo aplica parcialmente la directiva de grupo con versiones posteriores de Windows.
 
En el siguiente caso, se describe un problema de seguridad que se puede dar en un entorno Citrix concreto que contenga varias versiones. Cuando se usa Citrix Receiver 1.7 para conectarse a un escritorio virtual con Virtual Delivery Agent en XenApp y XenDesktop 7.6 Feature Pack 2, la directiva Permitir transferencia de archivos entre escritorio y cliente se habilita en el sitio, pero un Delivery Controller que ejecute XenApp y XenDesktop 7.1 no puede inhabilitarla. No reconoce la directiva, la cual se publicó en la versión posterior del producto. Esta directiva permite a los usuarios cargar y descargar archivos en su escritorio virtual; de ahí el problema de seguridad. Para solucionarlo, actualice el Delivery Controller o una instancia independiente de Studio a la versión 7.6 Feature Pack 2 y, a continuación, use la directiva de grupo para inhabilitar la directiva. Si lo prefiere, puede usar la directiva local de todos los escritorios virtuales pertinentes.

Acceso con Remote PC

El acceso con Remote PC es una función que implementa las siguientes características de seguridad:

  • Compatible con la tarjeta inteligente.
  • Cuando se inicia una sesión remota, la pantalla del PC de la oficina aparece en blanco.
  • La función de acceso con Remote PC redirige todas las entradas del teclado y del puntero a la sesión remota, exceptoCTRL+ALT+SUPR y los dispositivos biométricos y tarjetas inteligentes con USB habilitado.
  • SmoothRoaming está respaldado para un solo usuario.
  • Cuando un usuario tiene una sesión remota conectada a un PC de la oficina, solo ese usuario puede reanudar el acceso local al PC de la oficina. Para reanudar el acceso local, el usuario debe presionarCtrl + Alt + Supr en el equipo local y, a continuación, iniciar sesión con las mismas credenciales que usa la sesión remota. El usuario también puede reanudar el acceso local mediante la inserción de una tarjeta inteligente o aprovechar la biometría, si el sistema tiene integrado un Proveedor de credenciales de terceros apropiado.
    Nota: Este comportamiento predeterminado se puede anular mediante la habilitación de Cambio rápido de usuario a través de objetos de directiva de grupo (GPO) o modificando el Registro.
  • De forma predeterminada, la función de acceso con Remote PC admite la asignación automática de varios usuarios a un VDA. En XenDesktop 5.6 Feature Pack 1, los administradores pueden invalidar este comportamiento mediante el script de PowerShell RemotePCAccess.ps1. Esta versión usa una entrada del Registro para permitir o prohibir varias asignaciones automáticas de Remote PC; este parámetro se aplica a todo el sitio.
    Advertencia: Si modifica el Registro de forma incorrecta, podrían generarse problemas graves que pueden provocar la reinstalación del sistema operativo. Citrix no puede garantizar que los problemas derivados de la utilización inadecuada del Editor del registro puedan resolverse. Si utiliza el Editor del Registro, será bajo su propia responsabilidad. Asegúrese de hacer una copia de seguridad del registro antes de modificarlo.
    Para restringir la asignación automática a un único usuario:
    1. Establezca la siguiente entrada del Registro en cada Controller del sitio:

      HKEY_LOCAL_MACHINE\Software\Citrix|DesktopServer

      Nombre: AllowMultipleRemotePCAssignments

      Tipo: REG_DWORD

      Datos: Consulta de gráfico

      Valor Comportamiento
      0 Inhabilita múltiples asignaciones de usuarios.
      1 Habilita múltiples asignaciones de usuarios. Este es el valor predeterminado.
    2. Si hay asignaciones de usuario, se pueden eliminar mediante comandos de XenDesktop SDK para que más adelante el VDA pueda sea apto para la asignación automática. Para obtener más información sobre cómo usar el SDK de XenDesktop, consulte Acerca del SDK de XenDesktop.
      1. Para quitar todos los usuarios asignados del VDA:$machine.AssociatedUserNames | %{ Remove-BrokerUser-Name $_ -Machine $machine
      2. Para quitar el VDA del grupo de escritorios:$machine | Remove-BrokerMachine -DesktopGroup $desktopGroup
    3. Reinicie el PC físico de la oficina.