Product Documentation

Seguridad y restricción del acceso a máquinas en un grupo de entrega

Nov 11, 2015

Cómo proteger grupos de entrega con SecureICA

Es posible ocultar todas las comunicaciones hacia y desde las máquinas de un grupo de entrega mediante la función SecureICA, que cifra el protocolo ICA.

Cuando se pasa por redes públicas, Citrix recomienda el uso de métodos de cifrado adicionales además de SecureICA. Citrix recomienda el uso del cifrado SSL/TLS para atravesar redes públicas. Asimismo, SecureICA no comprueba la integridad de los datos.

De forma predeterminada, el sistema inhabilita SecureICA. Si habilita esta función, el nivel de cifrado predeterminado es de 128 bits. Puede configurar el nivel usando el SDK. Para obtener más información, consulte Acerca del SDK de XenApp y XenDesktop.
  1. En Studio, seleccione el nodo Grupos de entrega y seleccione el grupo de entrega cuyas comunicaciones desea proteger.
  2. Haga clic en Modificar grupo de entrega y, a continuación, seleccione Configuración básica.
  3. Seleccione Habilitar Secure ICA.

Para restringir el acceso de los administradores mediante ámbitos

Puede restringir el acceso a máquinas de grupos de entrega. Todos los cambios que realice sustituyen los parámetros anteriores, independientemente del método que utilice.

  • Restrinja el acceso de los administradores mediante ámbitos para controlar el acceso de los administradores a grupos de objetos como catálogos de máquinas, grupos de entrega y recursos. Es posible crear y asignar un ámbito que permita el acceso de los administradores a todas las aplicaciones y otro que proporcione acceso solamente a ciertas aplicaciones.
  • Restrinja el acceso de los usuarios mediante:
    • Expresiones de directiva de SmartAccess para filtrar las conexiones de usuario realizadas a través de NetScaler Gateway. El administrador de directivas puede realizar esta tarea en el nodo Directiva de Studio o a través de configuraciones de directivas tal y como se describe en Tabla de referencia rápida.
    • Filtros de exclusión en las directivas de acceso que se pueden definir con el kit de desarrollo de software (SDK). Directivas de acceso que se aplican a grupos de entrega para precisar ciertos aspectos de las conexiones con escritorios virtuales. Por ejemplo, puede restringir el acceso a las máquinas a un subconjunto de usuarios en la página Configuración de usuario final del grupo de entrega y puede especificar los dispositivos de usuario autorizados que pueden conectarse a las máquinas. Las directivas de acceso logran resultados similares pero son diferentes de las directivas.

      El uso de filtros de exclusión permite definir más detalladamente las directivas de acceso. Por ejemplo, por razones empresariales o de seguridad, puede negar el acceso a un subconjunto de usuarios o dispositivos. De forma predeterminada, los filtros de exclusión se encuentran inhabilitados y se pueden configurar mediante el SDK.

  1. En Studio, en el nodo Grupos de entrega, seleccione el grupo de entrega que desea restringir.
  2. Haga clic en Modificar grupo de entrega y seleccione Ámbitos.
  3. Seleccione un ámbito existente.
  4. Agregue o quite objetos para incluirlos en el ámbito.
  5. Para seleccionar el subconjunto de un objeto, haga clic en la flecha izquierda para ver y seleccionar subobjetos y, a continuación, haga clic en Aceptar.

Para restringir el acceso de los usuarios mediante expresiones de directiva de SmartAccess

Utilice las expresiones de directiva de SmartAccess a través de NetScaler Gateway.
  1. En Studio, en Grupos de entrega, seleccione el grupo de entrega que desea restringir.
  2. Haga clic en Modificar grupo de entrega y, a continuación, seleccione Directiva de acceso.
  3. En la página Directiva de acceso, seleccione Conexiones a través de NetScaler Gateway. Solo se permiten conexiones a través de NetScaler Gateway.
  4. Para elegir un subconjunto de esas conexiones, seleccione Conexiones que cumplan cualquiera de estos filtros y:
    1. Defina el sitio de NetScaler Gateway.
    2. Agregue, edite o quite expresiones de directiva de SmartAccess que definen las situaciones de acceso autorizado del usuario para el grupo de entrega. Para obtener más información acerca de NetScaler Gateway y las expresiones de directiva de SmartAccess, consulte Configuración de SmartAccess en NetScaler Gateway.

Para restringir el acceso de los usuarios mediante filtros de exclusión

Puede utilizar filtros de exclusión a través del SDK.

En este ejemplo, hay un laboratorio de aprendizaje en una subred dentro de la red de la empresa y usted desea evitar el acceso desde ese laboratorio a un grupo de entrega determinado, independientemente del usuario que utilice las máquinas del laboratorio. Para ello, ejecute el siguiente comando del SDK:

 Set-BrokerAccessPolicy -Name VPDesktops_Direct -ExcludedClientIPFilterEnabled $True - 
Nota: También puede utilizar el asterisco (*) como comodín para hacer coincidir todas las etiquetas que comienzan con la misma expresión de directiva. Por ejemplo, si se ha agregado la etiqueta VPDesktops_Direct a una máquina y VPDesktops_Test a otra, la configuración de la etiqueta en el script Set-BrokerAccessPolicy como VPDesktops_* aplica el filtro a las dos máquinas.

Consulte Acerca del SDK de XenApp y XenDesktop para obtener más información sobre cómo usar el SDK.

Cómo quitar el comando Apagar

Citrix recomienda aplicar esta directiva de Microsoft para todos los usuarios que acceden a máquinas de SO de escritorio. Esto evita que los usuarios seleccionen Apagar dentro de una sesión y apaguen el escritorio, lo que requeriría la intervención manual del administrador del sistema.

Busque esta directiva en Configuración de usuario\Plantillas administrativas\Menú Inicio y Barra de tareas\Quitar el comando Apagar e impedir el acceso al mismo, y defínala como Habilitada.