Product Documentation

Recomendaciones y consideraciones de seguridad

Sep 02, 2016

Este documento describe:

Es posible que la organización deba cumplir con estándares de seguridad específicos para satisfacer requisitos normativos. Este documento no abarca este tema, dado que tales estándares de seguridad cambian con el tiempo. Para obtener información actualizada acerca de los estándares de seguridad y los productos de Citrix, consulte http://www.citrix.com/security/.

Recomendaciones referentes a la seguridad

Mantenga actualizadas todas las máquinas del entorno instalando las revisiones de seguridad que sean necesarias. Una de las ventajas es que se pueden utilizar clientes ligeros como terminales, lo cual simplifica esta tarea.

Proteja todas las máquinas del entorno con software antivirus.

Considere la opción de usar software anti-malware específico para la plataforma, como el Enhanced Mitigation Experience Toolkit (EMET) de Microsoft para máquinas Windows. Algunos organismos recomiendan usar la versión más reciente de EMET respaldada por Microsoft dentro de sus entornos regulados. Tenga en cuenta que, según Microsoft, EMET puede no ser compatible con algunos programas de software, de modo que debe probarlo extensivamente con sus aplicaciones antes de implementarlo en el entorno de producción. XenApp y XenDesktop han sido probados con EMET 5.5 en su configuración predeterminada. En estos momentos, no se recomienda usar EMET en una máquina que tenga instalado el Virtual Delivery Agent (VDA).

Proteja todas las máquinas del entorno con firewalls perimetrales, incluido en los límites de enclave, según corresponda.

Si planea migrar un entorno convencional a esta versión, es posible que necesite cambiar la posición de un firewall perimetral existente o agregar firewalls perimetrales nuevos. Por ejemplo, supongamos que existe un firewall perimetral entre un cliente convencional y un servidor de base de datos en el centro de datos. Cuando se usa esta versión, ese firewall perimetral debe colocarse de modo que el escritorio virtual y el dispositivo del usuario queden de un lado, y los servidores de base de datos y Delivery Controllers del centro de datos queden del otro lado. Por lo tanto, considere la posibilidad de crear un enclave dentro del centro de datos que contenga los servidores y los Controllers. Asimismo, debe contar con una protección entre el dispositivo del usuario y el escritorio virtual.

Todas las máquinas del entorno deben contar con la protección de un firewall personal. Al instalar componentes principales y agentes VDA puede elegir que los puertos necesarios para la comunicación de funciones y componentes se abran automáticamente si se detecta el servicio Firewall de Windows (incluso aunque el firewall no esté habilitado). También puede configurar manualmente los puertos del firewall. Si utiliza otro firewall, debe configurarlo manualmente.

Nota: Los puertos TCP 1494 y 2598 se utilizan para ICA y CGP y por lo tanto es probable que estén abiertos en los firewalls para que los usuarios que están fuera del centro de datos puedan acceder a ellos. Citrix sugiere no utilizar estos puertos con otros fines para evitar la posibilidad de dejar accidentalmente las interfaces administrativas vulnerables al ataque. Los puertos 1494 y 2598 se han registrado oficialmente ante la Agencia de asignación de números de Internet (consulte http://www.iana.org/).

Todas las comunicaciones de red deben contar con la protección adecuada y deben cifrarse correctamente de acuerdo con las directivas de seguridad. Es posible proteger todas las comunicaciones entre los equipos con Microsoft Windows que utilicen IPSec; consulte la documentación de su sistema operativo para obtener información sobre la forma de hacerlo. Además, la comunicación entre los dispositivos de usuario y los escritorios se protege mediante Citrix SecureICA, el cual se configura de manera predeterminada con el cifrado de 128 bit. Es posible configurar SecureICA al crear o actualizar un grupo de entrega.

Aplique los procedimientos recomendados de Windows para la administración de cuentas. No cree cuentas en una plantilla o imagen antes de duplicarlas mediante Machine Creation Services o Provisioning Services. No programe tareas mediante cuentas de dominio almacenadas con privilegios. No cree manualmente cuentas de equipo compartidas de Active Directory. Estos consejos ayudan a evitar ataques a la máquina que se pueden dar por haber obtenido contraseñas persistentes de cuentas locales y usarlas para iniciar sesión en las imágenes de Machine Creation Services o Provisioning Services compartidas que pertenecen a los usuarios.

Administración de cuentas de usuario

Si la opción para instalar componentes de publicación de App-V está seleccionada al instalar un Virtual Delivery Agent (VDA), o si esta función se agrega más tarde, la cuenta administrativa local CtxAppVCOMAdmin se agrega al VDA. Si desea usar la característica de publicación de App-V, no modifique esta cuenta. Si no necesita usar la característica de publicación de App-V, no seleccione en el momento de la instalación. Si más adelante decide no usar la característica de publicación de App-V, puede inhabilitar o eliminar esta cuenta.

Administración de los privilegios del usuario

Sólo conceda a los usuarios las capacidades que necesitan. Los privilegios de Microsoft Windows continúan aplicándose a los escritorios de la forma habitual: se configuran los privilegios mediante la Asignación de derechos de usuario y la pertenencia a grupos a través de la directiva de grupo. Una de las ventajas de esta versión es que permite otorgar permisos administrativos a un usuario para un escritorio sin concederle también el control físico del equipo en el cual se almacena el escritorio.

Tenga en cuenta lo siguiente cuando planifique privilegios de escritorio:

  • De forma predeterminada, cuando un usuario con privilegios reducidos se conecta a un escritorio, ve la zona horaria del sistema que ejecuta el escritorio en lugar de la zona horaria de su propio dispositivo de usuario. Para obtener información sobre cómo permitir que los usuarios vean su hora local al utilizar escritorios, consulte Administración de grupos de entrega.
  • Un usuario que es administrador de un escritorio posee total control sobre ese escritorio. Si un escritorio es un escritorio agrupado en lugar de un escritorio dedicado, el usuario debe ser de confianza para todos los demás usuarios de ese escritorio, incluidos los futuros usuarios. Todos los usuarios de ese escritorio deben ser conscientes del riesgo potencial permanente que esta situación representa para la seguridad de sus datos. Esta consideración no se aplica a los escritorios dedicados, que sólo contienen un usuario; ese usuario no debe ser el administrador de ningún otro escritorio.
  • Un usuario que es administrador en un escritorio generalmente puede instalar software en ese escritorio, incluido software potencialmente malicioso. El usuario también puede supervisar o controlar el tráfico de cualquier red conectada al escritorio.

Administración de derechos de inicio de sesión

Solo conceda a los usuarios los derechos de inicio de sesión estrictamente necesarios.  Al igual que los privilegios de Microsoft Windows, los derechos de inicio de sesión continúan aplicándose a los escritorios de la forma habitual: configure los derechos de inicio de sesión a través de la Asignación de derechos de usuario y la pertenencia a grupos a través de Directiva de grupo.

Los derechos de inicio de sesión de Windows son: iniciar sesión localmente, inicio de sesión con Servicios de Escritorio remoto, iniciar sesión en la red, iniciar sesión como trabajo por lotes e iniciar sesión como servicio.

Según Microsoft, de manera predeterminada el grupo Usuarios de escritorio remoto tienen el derecho de inicio de sesión "Permitir inicio de sesión a través de Servicios de Escritorio remoto" (excepto en controladores de dominio).

Las directivas de seguridad de su organización pueden establecer explícitamente que se quite este derecho de inicio de sesión para este grupo.  Considere el enfoque siguiente:

  • El Virtual Delivery Agent (VDA) para SO de servidor usa Servicios de Escritorio remoto de Microsoft.  Puede configurar el grupo de Usuarios de escritorio remoto como un grupo restringido, y controlar la pertenencia al grupo mediante directivas de grupo de Active Directory.  Para obtener más información, consulte la documentación de Microsoft.
  • Para los demás componentes de XenApp y XenDesktop, incluido el VDA para SO de escritorio el grupo Usuarios de escritorio remoto no es necesario.  Por tanto, para esos componentes, el grupo Usuarios de escritorio remoto no requiere el derecho de inicio de sesión "Permitir inicio de sesión a través de Servicios de Escritorio remoto" y puede quitarlo. Además:
    • Si administra esos equipos a través de Servicios de Escritorio remoto asegúrese de que esos administradores ya son miembros del grupo Administradores.
    • Si no administra esos equipos mediante Servicios de Escritorio remoto, considere la posibilidad de inhabilitar los propios Servicios de Escritorio remoto en esos equipos.

Aunque es posible agregar usuarios y grupos al derecho de inicio de sesión "Denegar inicio de sesión a través de Servicios de Escritorio remoto", en general no se recomienda el uso de derechos de denegar inicios de sesión.  Para obtener más información, consulte la documentación de Microsoft.

Configuración de derechos de usuario

La instalación de Delivery Controller crea los siguientes servicios de Windows:

  • Citrix AD Identity Service (NT SERVICE\CitrixADIdentityService): Administra las cuentas de equipo de Microsoft Active Directory para las VM.
  • Citrix Analytics (NT SERVICE\CitrixAnalytics): Recopila información de uso de la configuración de sitios para que Citrix pueda utilizarla, si dicha recopilación de datos fue aprobada por el administrador del sitio. A continuación, esta información se envía a Citrix, para ayudar a mejorar el producto.
  • Citrix App Library (NT SERVICE\CitrixAppLibrary): Da respaldo a la administración y aprovisionamiento de AppDisks, la integración con AppDNA y la administración de App-V.
  • Citrix Broker Service (NT SERVICE\servicio CitrixBrokerService): Selecciona los escritorios virtuales o las aplicaciones que están disponibles para los usuarios.
  • Citrix Configuration Logging Service (NT SERVICE\CitrixConfigurationLogging): Registra todos los cambios de configuración y otros cambios de estado realizados por los administradores del sitio.
  • Citrix Configuration Service (NT SERVICE\CitrixConfigurationService): Repositorio de la configuración compartida para todo el sitio.
  • Citrix Delegated Administration Service (NT SERVICE\CitrixDelegatedAdmin): Administra los permisos concedidos a los administradores.
  • Citrix Environment Test Service (NT SERVICE\CitrixEnvTest): Administra pruebas automáticas de los demás servicios de Delivery Controller.
  • Citrix Host Service (NT SERVICE\CitrixHostService): Almacena información sobre las infraestructuras de hipervisor utilizadas en una implementación de XenApp o XenDesktop, y también ofrece la funcionalidad utilizada por la consola para enumerar los recursos de una agrupación de hipervisores.
  • Citrix Machine Creation Service (NT SERVICE\CitrixMachineCreationService): Organiza la creación de las máquinas virtuales de escritorio.
  • Citrix Monitor Service (NT SERVICE\CitrixMonitor): Recopila mediciones de XenApp o XenDesktop, almacena información histórica y proporciona una interfaz de consultas para la solución de problemas y herramientas para la generación de informes.
  • Citrix StoreFront Service (NT SERVICE\CitrixStorefront): Da respaldo a la administración de StoreFront.  (No es parte del componente de StoreFront en sí).
  • Citrix Storefront Privileged Administration Service (NT SERVICE\CitrixPrivilegedService): Da respaldo a las operaciones de administración con privilegios de StoreFront. (No es parte del componente de StoreFront en sí).

La instalación de Delivery Controller también crea los siguientes servicios de Windows.  Estos también se crean al instalarlo con otros componentes de Citrix:

  • Citrix Diagnostic Facility COM Server (NT SERVICE\CdfSvc): Da respaldo a la recopilación de información de diagnóstico para la asistencia técnica de Citrix.
  • Citrix Telemetry Service (NT SERVICE\CitrixTelemetryService): Recopila información de diagnóstico para ser analizada por Citrix, de forma que los administradores pueden ver los resultados del análisis y las recomendaciones, para ayudarles a diagnosticar problemas con el sitio.

La instalación de Delivery Controller también crea los siguientes servicios de Windows. Estos servicios no se utilizan actualmente y se han inhabilitado.  No los habilite:

  •  Citrix Config Synchronizer Service (NT SERVICE\CitrixConfigSyncService)
  •  Citrix High Availability Service (NT SERVICE\CitrixHighAvailabilityService)           

Excepto Citrix Storefront Privileged Administration Service, estos servicios tienen concedido el derecho de Iniciar sesión como servicio y los privilegios de Ajustar las cuotas de la memoria para un proceso, Generar auditorías de seguridad y Reemplazar un símbolo (token) de nivel de proceso. No es necesario que cambie estos derechos de usuario. Delivery Controller no utiliza estos privilegios y están inhabilitados automáticamente.

Configuración de parámetros de servicios

Excepto Citrix Storefront Privileged Administration Service y Citrix Telemetry Service, los servicios de Windows de Delivery Controller enumerados arriba en la sección Configuración de derechos de usuario están configurados para iniciar la sesión como la identidad NETWORK SERVICE. No modifique estos parámetros de servicio.  

Citrix Storefront Privileged Administration está configurado para iniciar la sesión de sistema local (NT AUTHORITY\SYSTEM).  Esto es necesario para las operaciones de StoreFront con Delivery Controller que no están normalmente disponible para los servicios (incluida la creación de sitios de IIS de Microsoft).  No modifique estos parámetros de servicio.  

Citrix Telemetry Service está configurado para iniciar sesión como su propia identidad específica de servicio.

Si quiere, puede inhabilitar Citrix Telemetry Service. Aparte de este servicio y de los servicios que ya están inhabilitados, no inhabilite ninguno de los otros servicios de Windows de Delivery Controller.

Configuración de los parámetros de Registro

Ya no es necesario habilitar la creación de carpetas y nombres de archivo 8.3 en el sistema de archivos del VDA. La clave de Registro NtfsDisable8dot3NameCreation se puede configurar para inhabilitar la creación de carpetas y nombres de archivo 8.3.  También puede configurar este comportamiento mediante el comando fsutil.exe behavior set disable8dot3.

Implicaciones de seguridad de los casos de implementación

El entorno de usuario puede contener dispositivos de usuario que la empresa no administra y, por tanto, están bajo el control total del usuario, o bien, dispositivos de usuario que administra totalmente la empresa. En general, las consideraciones de seguridad para estos dos entornos son diferentes.

Dispositivos del usuario administrados

Los dispositivos de usuario administrados permanecen bajo un control administrativo; se encuentran bajo el control del usuario o de otra organización de su confianza. Es posible configurar y suministrar dispositivos del usuario directamente a usuarios. También es posible proporcionar terminales en los que se ejecute un solo escritorio en modo solo de pantalla completa. Es necesario respetar las recomendaciones de seguridad descritas anteriormente para todos los dispositivos de usuario administrados. La ventaja de esta versión es que presenta requisitos mínimos de software para un dispositivo del usuario.

Un dispositivo de usuario administrado puede configurarse para su uso solo en el modo de pantalla completa o en el modo de ventana:

  • Modo solo de pantalla completa. Los usuarios inician sesión en la pantalla habitual de Iniciar sesión en Windows. A continuación, se utilizan las mismas credenciales de usuario para iniciar sesión automáticamente en esta versión.
  • Los usuarios ven su escritorio en una ventana. Primero deben iniciar sesión en el dispositivo del usuario y luego en esta versión a través del sitio Web proporcionado con ella.

Dispositivos del usuario no administrados

Los dispositivos de usuario que no se encuentran bajo la administración de una organización fiable no pueden considerarse parte de un control administrativo. Por ejemplo, se puede permitir que los usuarios obtengan y configuren sus propios dispositivos, pero es posible que los usuarios no respeten las prácticas recomendadas de seguridad general descritas anteriormente. Esta versión presenta la ventaja de permitir la entrega de escritorios de forma segura a dispositivos del usuario no administrados. Aun así, estos dispositivos deben contar con una protección antivirus básica que anule los registradores de pulsaciones de teclas y los ataques de entrada similares.

Aspectos a tener en cuenta sobre el almacenamiento de datos

Al utilizar esta versión, es posible evitar que los usuarios almacenen datos en los dispositivos del usuario que se encuentren bajo su control físico. No obstante, es necesario tener en cuenta las implicaciones del almacenamiento de datos en los escritorios por parte de los usuarios. Almacenar datos en los escritorios no es una práctica recomendada para los usuarios; los datos deben conservarse en servidores de archivos, servidores de base de datos u otros repositorios donde se encuentren debidamente protegidos.

El entorno de escritorio puede estar compuesto por varios tipos de escritorios, como escritorios agrupados y dedicados. Los usuarios no deben almacenar nunca sus datos en escritorios compartidos entre los usuarios, como es el caso de los escritorios agrupados. Cuando los usuarios almacenan datos en escritorios dedicados, esos datos deben eliminarse si el escritorio posteriormente pasa a estar disponible para otros usuarios.

Entornos de versiones mixtas

En algunas actualizaciones, los entornos que contienen varias versiones son inevitables. Siga las prácticas recomendadas y minimice el tiempo de coexistencia para los componentes de Citrix de versiones distintas. En entornos de varias versiones, es posible que las directivas de seguridad, por ejemplo, no se cumplan uniformemente.

Nota: Esta es una situación habitual en caso de otros productos de software. Una versión anterior de Active Directory solo aplica parcialmente la directiva de grupo con versiones posteriores de Windows.

En el siguiente caso, se describe un problema de seguridad que se puede dar en un entorno Citrix concreto que contenga varias versiones. Cuando se usa Citrix Receiver 1.7 para conectarse a un escritorio virtual que ejecuta un VDA en XenApp y XenDesktop 7.6 Feature Pack 2, la configuración de directiva Permitir transferencia de archivos entre escritorio y cliente se habilita en el sitio, pero un Delivery Controller que ejecute XenApp y XenDesktop 7.1 no puede inhabilitarla. No reconoce la configuración de directiva, que se publicó en la versión posterior del producto. Esta configuración de directiva permite a los usuarios cargar y descargar archivos en su escritorio virtual; de ahí el problema de seguridad. Para solucionarlo, actualice el Delivery Controller (o una instancia independiente de Studio) a la versión 7.6 Feature Pack 2 y, a continuación, use la directiva de grupo para inhabilitar la directiva. Si lo prefiere, puede usar la directiva local de todos los escritorios virtuales pertinentes.

Consideraciones de seguridad respecto a acceso con Remote PC

El acceso con Remote PC es una función que implementa las siguientes características de seguridad:

  • Compatible con la tarjeta inteligente.
  • Cuando se inicia una sesión remota, la pantalla del PC de la oficina aparece en blanco.
  • La función de acceso con Remote PC redirige todas las entradas del teclado y puntero a la sesión remota, excepto CTRL+ALT+SUPR, las tarjetas inteligentes con USB habilitado y los dispositivos biométricos.
  • SmoothRoaming está respaldado para un solo usuario.
  • Cuando un usuario tiene una sesión remota conectada a un PC de la oficina, solo ese usuario puede reanudar el acceso local al PC de la oficina. Para reanudar el acceso local, el usuario debe pulsar CTRL+ALT+SUPR en el equipo local y, a continuación, iniciar sesión con las mismas credenciales que usa la sesión remota. El usuario también puede reanudar el acceso local mediante la inserción de una tarjeta inteligente o aprovechar la biometría, si el sistema tiene integrado un Proveedor de credenciales de terceros apropiado. Este comportamiento predeterminado se puede anular mediante la habilitación de Cambio rápido de usuario a través de objetos de directiva de grupo (GPO) o modificando el Registro.

Nota: Citrix recomienda no asignar privilegios de administrador de VDA a usuarios generales de sesión.

Asignaciones automáticas

De forma predeterminada, la función de acceso con Remote PC admite la asignación automática de varios usuarios a un agente VDA. En XenDesktop 5.6 Feature Pack 1, los administradores pueden invalidar este comportamiento mediante el script de PowerShell RemotePCAccess.ps1. Esta versión usa una entrada del Registro para permitir o prohibir varias asignaciones automáticas de Remote PC; este parámetro se aplica a todo el sitio.

Precaución: Si modifica el Registro de forma incorrecta, podrían generarse problemas graves que pueden provocar la reinstalación del sistema operativo. Citrix no puede garantizar que los problemas derivados de la utilización inadecuada del Editor del registro puedan resolverse. Si utiliza el Editor del Registro, será bajo su propia responsabilidad. Asegúrese de hacer una copia de seguridad del registro antes de modificarlo.

Para restringir la asignación automática a un único usuario:

En cada Controller del sitio, configure la siguiente entrada del Registro:

HKEY_LOCAL_MACHINE\Software\Citrix|DesktopServer

Nombre: AllowMultipleRemotePCAssignments

Tipo: REG_DWORD

Datos: 0 = Inhabilitar asignaciones múltiples de usuarios, 1 = (Opción predeterminada) Habilitar asignaciones múltiples de usuarios.

Si hay asignaciones de usuario, se pueden eliminar mediante comandos de SDK para que más adelante el VDA pueda sea apto para una asignación automática.

  • Eliminar a todos los usuarios asignados del VDA: $machine.AssociatedUserNames | %{ Remove-BrokerUser-Name $_ -Machine $machine
  • Eliminar el VDA del grupo de entrega: $machine | Remove-BrokerMachine -DesktopGroup $desktopGroup

Reinicie el PC físico de la oficina.