Product Documentation

Recomendaciones de seguridad

Jul 07, 2016

La funcionalidad de grabación de sesiones está diseñada para ser implementada dentro de una red segura y para que los administradores accedan a ella. La instalación estándar se diseñó para que sea simple y las funciones de seguridad tal como la firma digital y el cifrado son configuraciones opcionales.

La comunicación entre los componentes de grabación de sesiones se logra a través de Internet Information Services (IIS) y Microsoft Message Queuing (MSMQ). IIS proporciona el vínculo de comunicación de servicios Web entre cada componente de la grabación de sesiones. MSMQ ofrece un mecanismo fiable de transporte de datos para enviar los datos de sesiones grabadas desde el Agente de grabación de sesiones al servidor de grabación de sesiones.

Considere estas recomendaciones de seguridad cuando planee la instalación:

  • Debe aislar adecuadamente los diferentes roles de administrador en la red de la empresa, en el sistema de Grabación de sesiones o en máquinas individuales. De no hacerlo, es posible que existan riesgos de seguridad que pueden afectar al funcionamiento del sistema o producir malos usos en el mismo. Citrix recomienda asignar roles de administrador distintos a personas o cuentas diferentes. Asimismo, recomienda no permitir que usuarios generales de sesión tengan privilegios de administrador en el sistema de VDA.
    • Los administradores de XenApp y XenDesktop no deben conceder el rol de administrador local de VDA a usuarios de escritorios o aplicaciones publicadas.  Si el rol de administrador local es un requisito, proteja los componentes del Agente de grabación de sesiones con mecanismos de Windows o soluciones de terceros.
    • Asigne por separado al administrador de la Base de datos de grabación de sesiones y al administrador de directivas de Grabación de sesiones.
    • Citrix recomienda no asignar privilegios de administrador de VDA a usuarios generales de sesión, sobre todo cuando se utiliza el acceso con Remote PC.
    • Es crucial proteger la cuenta del administrador local del Servidor de grabación de sesiones.
    • Controle el acceso a las máquinas donde se instaló el Reproductor de grabación de sesiones. Si un usuario no está autorizado (con el rol Reproductor), no conceda a ese usuario el rol de administrador local para máquinas del Reproductor. Inhabilite el acceso anónimo.
    • Citrix recomienda usar una máquina física como servidor de almacenamiento para la Grabación de sesiones.
  • La funcionalidad Grabación de sesiones graba actividades de gráficos de sesión sin tener en cuenta el carácter confidencial de los datos. En ciertos casos, pueden grabarse accidentalmente datos confidenciales (como las credenciales de usuario, la información confidencial y las pantallas de terceros, entre otros). Lleve a cabo las siguientes medidas para evitar riesgos:

+  Inhabilite el volcado de la memoria principal de las máquinas VDA, a menos que sea para la solución de problemas concretos.

Para inhabilitar el volcado de memoria principal:

1. Haga clic con el botón secundario en Mi PC y, a continuación, haga clic en Propiedades.
2. Haga clic en la ficha de propiedades avanzadas, y, a continuación, en Inicio y recuperación, haga clic en Configuración.
3. En Escribir información de depuración, seleccione (ninguno).

Consulte el artículo de Microsoft https://support.microsoft.com/en-us/kb/307973.

+  Compruebe que no aparece ninguna información de seguridad ni credenciales de inicio de sesión en las aplicaciones Web ni locales publicadas o utilizadas dentro de la empresa. De lo contrario, se grabarán mediante la Grabación de sesiones.

+  Los usuarios deben cerrar las aplicaciones que puedan exponer información confidencial antes de cambiar a una sesión remota de ICA.

+  Los propietarios de la sesión deben notificar a los asistentes que las reuniones en línea y el software de asistencia remota pueden grabarse si se está grabando una sesión de escritorio.

+  Permita solo métodos de autenticación automática (por ejemplo, el inicio de sesión Single Sign-On, tarjetas inteligentes) para acceder a las aplicaciones o los escritorios publicados.

  • La funcionalidad Grabación de sesiones necesita cierto hardware e infraestructura de hardware (por ejemplo, dispositivos de red empresarial, sistema operativo) para funcionar correctamente y para satisfacer las necesidades de seguridad. Tome medidas en las infraestructuras para impedir daños o mal uso de ellas y haga de la Grabación de sesiones una función segura y fiable.
    • Proteja apropiadamente la infraestructura de red que respalda la Grabación de sesiones y manténgala disponible.
    • Citrix recomienda usar una solución de seguridad externa o un mecanismo de Windows para proteger los componentes de Grabación de sesiones. Los componentes de Grabación de sesiones son:
      • En el Servidor de grabación de sesiones
        • Procesos: SsRecStoragemanager.exe y SsRecAnalyticsService.exe
        • Servicios: CitrixSsRecStorageManager y CitrixSsRecAnalyticsService
        • Todos los archivos de la carpeta de instalación del Servidor de grabación de sesiones
        • Las claves del Registro de HKLM\Software\Citrix\SmartAuditor\Server
      • En el Agente de grabación de sesiones
        • Proceso: SsRecAgent.exe
        • Servicio: CitrixSmAudAgent
        • Todos los archivos de la carpeta de instalación del Agente de grabación de sesiones
        • Las claves del Registro de HKLM\Software\Citrix\SmartAuditor\Agent
  • Defina la lista de control de acceso (ACL) para Message Queuing (MSMQ) en el Servidor de grabación de sesiones para restringir las máquinas VDA o VDI que pueden enviar datos de MSMQ al Servidor de grabación de sesiones y evitar que máquinas no autorizadas envíen datos al Servidor de grabación de sesiones. 

1)  Instale la funcionalidad de servidor Directory Service Integration (Integración del servicio de directorios) en cada Servidor de grabación de sesiones y máquina VDA o VDI donde esté habilitada la funcionalidad Grabación de sesiones y, a continuación, reinicie el servicio Message Queuing Server.

2)  Desde el menú Inicio de Windows en cada servidor de grabación de sesiones, abra Herramientas administrativas > Administración del equipo.

3)  Abra Servicios y aplicaciones > Cola de mensajes > Colas privadas.

4)  Haga clic en la cola privada citrixsmauddata para abrir la página Propiedades y seleccione la ficha Seguridad.

localized image

5) Agregue los equipos o grupos de seguridad de las máquinas VDA que van a enviar datos de MSMQ a ese servidor y concédales el permiso Enviar mensaje.

localized image
  • Proteja adecuadamente el registro de eventos del Servidor de grabación de sesiones y de los Agentes de grabación de sesiones. Citrix recomienda utilizar una solución de captura de registros remota de Windows o de terceros para proteger el registro de eventos o redirigirlo al servidor remoto. 
  • Asegúrese de que los servidores que ejecutan los componentes de grabación de sesiones están protegidos físicamente. Si es posible, coloque estos componentes bajo llave en una habitación segura a la cual solamente personal autorizado tenga acceso.
  • Aísle los servidores que ejecutan los componentes de grabación de sesiones en un dominio o una subred diferente.
  • Proteja los datos de las sesiones grabadas frente al posible acceso de usuarios que acceden a otros servidores mediante la instalación de un firewall entre el servidor de grabación de sesiones y los demás servidores.
  • Mantenga actualizados el servidor de administración de grabación de sesiones y la base de datos SQL con las actualizaciones de seguridad más recientes de Microsoft.
  • Restrinja el inicio de sesión de usuarios no administradores a la máquina de administración.
  • Limite quién puede autorizar cambios de directivas de grabación y puede ver sesiones grabadas.
  • Instale certificados digitales, utilice la función de firma de archivos de la grabación de sesiones y configure comunicaciones TLS en IIS.
  • Configure MSMQ para usar HTTPS como transporte estableciendo con el valor HTTPS el protocolo de MSMQ listado en el cuadro de diálogo Propiedades del Agente de grabación de sesiones. Para obtener más información, consulte Solución de problemas de MSMQ.
  • Use TLS 1.0 e inhabilite SSLv2, SSLv3 y el cifrado RC4 en el servidor de grabación de sesiones y la base de datos de grabación de sesiones. Para obtener más información, consulte los artículos de Microsoft http://support.microsoft.com/default.aspx?scid=kb;en-us;187498 y https://support.microsoft.com/es-es/kb/245030.
  • Utilice la protección de la reproducción. La protección de la reproducción es una función de grabación de sesiones que cifra los archivos grabados antes de que se descarguen al reproductor de grabación de sesiones. De forma predeterminada, esta opción está habilitada y se encuentra en las Propiedades del servidor de grabación de sesiones.
  • No implemente la funcionalidad de grabación de sesiones en una nube pública como Amazon Web Services (AWS).
  • Siga las instrucciones de NSIT para la longitud de claves y los algoritmos de cifrado.

Para obtener información sobre cómo configurar las funciones de la grabación de sesiones, consulte http://support.citrix.com/article/CTX200868.