Citrix Virtual Apps and Desktops

Considerazioni sulla sicurezza e procedure consigliate

Nota:

L’organizzazione potrebbe dover soddisfare standard di sicurezza specifici per soddisfare i requisiti normativi. Questo documento non copre questo argomento, perché tali norme di sicurezza cambiano nel tempo. Per informazioni aggiornate sugli standard di sicurezza e sui prodotti Citrix, vedere http://www.citrix.com/security/.

Procedure consigliate per la sicurezza

Tenere aggiornati tutti i computer dell’ambiente con le patch di sicurezza. Un vantaggio è che è possibile utilizzare i thin client come terminali, il che semplifica questo compito.

Proteggere tutte le macchine del proprio ambiente con software antivirus.

Prendere in considerazione l’utilizzo di software antimalware specifico per la piattaforma.

Quando si installa il software, installarlo nei percorsi predefiniti forniti.

  • Se si installa il software in una posizione di file diversa dal percorso predefinito fornito, valutare la possibilità di aggiungere al percorso del file ulteriori misure di sicurezza, quali autorizzazioni limitate.

Tutte le comunicazioni di rete devono essere adeguatamente protette e crittografate in conformità con i criteri di sicurezza. È possibile proteggere tutte le comunicazioni tra i computer con Microsoft Windows utilizzando IPSec. Per ulteriori informazioni su come eseguire questa operazione, vedere la documentazione del sistema operativo. Inoltre, la comunicazione tra dispositivi utente e desktop è protetta tramite Citrix SecureICA, che è configurato per impostazione predefinita per la crittografia a 128 bit. È possibile configurare SecureICA durante la creazione o l’aggiornamento di un gruppo di consegna.

Nota:

Citrix SecureICA fa parte del protocollo ICA/HDX ma non è un protocollo di sicurezza di rete conforme agli standard come Transport Layer Security (TLS). È inoltre possibile proteggere le comunicazioni di rete tra dispositivi utente e desktop utilizzando TLS. Per configurare TLS, vedere Transport Layer Security (TLS).

Applicare le procedure consigliate di Windows per la gestione degli account. Non creare un account su un modello o un’immagine prima che venga duplicato da Machine Creation Services o Provisioning Services. Non pianificare le attività utilizzando account di dominio con privilegi archiviati. Non creare manualmente account computer di Active Directory condivisi. Queste pratiche aiuteranno a impedire a un attacco mediante computer di ottenere password di account persistenti locali e quindi utilizzarle per accedere a immagini condivise MCS/PVS appartenenti ad altri utenti.

Firewall

Proteggere tutte le macchine del proprio ambiente con firewall perimetrali, anche ai confini delle enclave, a seconda dei casi.

Tutte le macchine dell’ambiente devono essere protette da un firewall personale. Quando si installano componenti di base e i VDA, è possibile decidere che le porte necessarie per la comunicazione di componenti e funzionalità vengano automaticamente aperte se viene rilevato il servizio Windows Firewall (anche se il firewall non è abilitato). È inoltre possibile scegliere di configurare manualmente tali porte firewall. Se si utilizza un firewall diverso, è necessario configurarlo manualmente.

Se si esegue la migrazione di un ambiente convenzionale a questa release, potrebbe essere necessario riposizionare un firewall perimetrale esistente o aggiungere nuovi firewall perimetrali. Supponiamo, ad esempio, che vi sia un firewall perimetrale tra un client convenzionale e un server database ubicato nel centro dati. Quando si utilizza questa versione, il firewall perimetrale deve essere posizionato in modo che il desktop virtuale e il dispositivo utente si trovino su un lato e i server del database e i controller di consegna nel data center si trovino dall’altro lato. Pertanto, è consigliabile creare un’enclave all’interno del data center per contenere i server di database e i controller. Prendere inoltre in considerazione di predisporre protezione tra il dispositivo utente e il desktop virtuale.

Nota:

Le porte TCP 1494 e 2598 vengono utilizzate per ICA e CGP ed è pertanto probabile che siano aperte in corrispondenza dei firewall in modo che gli utenti esterni al data center possano accedervi. Citrix consiglia di non utilizzare queste porte per qualsiasi altra cosa, per evitare la possibilità di lasciare inavvertitamente aperte agli attacchi delle interfacce amministrative. Le porte 1494 e 2598 sono ufficialmente registrate presso la Internet Assigned Number Authority (http://www.iana.org/).

Sicurezza delle applicazioni

Per impedire agli utenti non amministratori di eseguire azioni dannose, è consigliabile configurare le regole di Windows AppLocker per programmi di installazione, applicazioni, eseguibili e script sull’host VDA e sul client Windows locale.

Gestire i privilegi utente

Concedere agli utenti solo le funzionalità di cui hanno bisogno. I privilegi di Microsoft Windows continuano ad essere applicati ai desktop nel modo consueto: configurare i privilegi tramite Assegnazione diritti utente e le appartenenze ai gruppi tramite Criteri di gruppo. Un vantaggio di questa versione è che è possibile concedere a un utente diritti amministrativi su un desktop senza concedere anche il controllo fisico sul computer su cui è memorizzato il desktop.

Quando si pianificano i privilegi dei desktop, tenere presente quanto segue:

  • Per impostazione predefinita, quando gli utenti non privilegiati si connettono a un desktop, vedono il fuso orario del sistema che esegue il desktop anziché il fuso orario del proprio dispositivo utente. Per informazioni su come consentire agli utenti di visualizzare l’ora locale durante l’utilizzo dei desktop, vedere l’articolo Gestire i gruppi di consegna.
  • Un utente che è amministratore di un desktop ha il controllo completo su tale desktop. Se un desktop è in pool anziché dedicato, l’utente deve essere attendibile rispetto a tutti gli altri utenti del desktop, inclusi gli utenti futuri. Tutti gli utenti del desktop devono essere consapevoli del potenziale rischio permanente per la sicurezza dei loro dati presentato da questa situazione. Questa considerazione non si applica ai desktop dedicati, che hanno un solo utente; tale utente non deve essere amministratore su nessun altro desktop.
  • Un utente amministratore di un desktop in genere può installare software su quel desktop, incluso software potenzialmente dannoso. L’utente può inoltre monitorare o controllare il traffico su qualsiasi rete connessa al desktop.

Gestire i diritti di accesso

I diritti di accesso sono necessari sia per gli account utente che per gli account computer. Come per i privilegi di Microsoft Windows, i diritti di accesso continuano ad essere applicati ai desktop nel modo consueto: configurare i diritti di accesso tramite Assegnazione diritti utente e le appartenenze ai gruppi tramite Criteri di gruppo.

I diritti di accesso a Windows sono: accedere locale, accesso tramite Servizi Desktop remoto, accesso in rete (accesso al computer dalla rete), accesso come processo batch e accesso come servizio.

Per gli account computer, concedere ai computer solo i diritti di accesso necessari. È richiesto il diritto di accesso “Accedi al computer dalla rete”:

Per gli account utente, concedere agli utenti solo i diritti di accesso necessari.

Secondo Microsoft, per impostazione predefinita al gruppo Utenti Desktop remoto viene concesso il diritto di accesso “Consenti accesso tramite Servizi Desktop remoto” (ad eccezione dei controller di dominio).

I criteri di protezione dell’organizzazione potrebbero indicare esplicitamente che il gruppo deve essere rimosso da tale diritto di accesso. Considerare il seguente approccio:

  • Virtual Delivery Agent (VDA) per il sistema operativo multisessione utilizza Servizi Desktop remoto Microsoft. È possibile configurare il gruppo Utenti Desktop remoto come gruppo con restrizioni e controllare l’appartenenza al gruppo tramite i criteri di gruppo di Active Directory. Per ulteriori informazioni, vedere la documentazione di Microsoft.
  • Per altri componenti di Citrix Virtual Apps and Desktops, incluso il VDA per il sistema operativo a sessione singola, il gruppo Utenti Desktop remoto non è richiesto. Pertanto, per questi componenti, il gruppo Utenti Desktop remoto non richiede il diritto di accesso “Consenti accesso tramite Servizi Desktop remoto”; è possibile rimuoverlo. Inoltre:
    • Se si amministrano tali computer tramite Servizi Desktop remoto, assicurarsi che i corrispondenti amministratori siano già membri del gruppo Amministratori.
    • Se non si amministrano tali computer tramite Servizi Desktop remoto, è consigliabile disabilitare Servizi Desktop remoto in tali computer.

Sebbene sia possibile aggiungere utenti e gruppi al diritto di accesso “Nega accesso tramite Servizi Desktop remoto”, l’utilizzo dei diritti di negazione accesso non è generalmente raccomandato. Per ulteriori informazioni, vedere la documentazione di Microsoft.

Configurare i diritti utente

L’installazione di Delivery Controller crea i seguenti servizi di Windows:

  • Citrix AD Identity Service (NT SERVICE\CitrixADIdentityService): gestisce gli account computer Microsoft Active Directory per le macchine virtuali.
  • Citrix Analytics (NT SERVICE\CitrixAnalytics): raccoglie informazioni sull’utilizzo della configurazione del sito ad uso di Citrix, se tale raccolta è stata approvata dall’amministratore del sito. Invia quindi queste informazioni a Citrix, per contribuire a migliorare il prodotto.
  • Citrix App Library (NT SERVICE\CitrixAppLibrary): supporta la gestione e il provisioning di AppDisks, l’integrazione AppDNA e la gestione di App-V.
  • Citrix Broker Service (NT SERVICE\CitrixBrokerService): seleziona i desktop virtuali o le applicazioni disponibili per gli utenti.
  • Citrix Configuration Logging Service (NT SERVICE\CitrixConfigurationLogging): registra tutte le modifiche della configurazione e altre modifiche di stato apportate al sito dagli amministratori.
  • Citrix Configuration Service (NT SERVICE\CitrixConfigurationService): repository a livello di sito per la configurazione condivisa.
  • Citrix Delegated Administration Service (NT SERVICE\CitrixDelegatedAdmin): gestisce le autorizzazioni concesse agli amministratori.
  • Citrix Environment Test Service (NT SERVICE\CitrixEnvTest): gestisce gli autotest degli altri servizi dei Delivery Controller.
  • Citrix Host Service (NT SERVICE\CitrixHostService): archivia le informazioni sulle infrastrutture hypervisor utilizzate in una distribuzione Citrix Virtual Apps o Citrix Virtual Desktops e offre anche funzionalità utilizzate dalla console per enumerare le risorse in un pool di hypervisor.
  • Citrix Machine Creation Service (NT SERVICE\CitrixMachineCreationService): orchestra la creazione di macchine virtuali desktop.
  • Citrix Monitor Service (NT SERVICE\CitrixMonitor): raccoglie le metriche per Citrix Virtual Apps o Citrix Virtual Desktops, archivia le informazioni cronologiche e fornisce un’interfaccia di query per la risoluzione dei problemi e gli strumenti di reporting.
  • Citrix Storefront Service (NT SERVICE\ CitrixStorefront): supporta la gestione di StoreFront. (Non fa parte del componente StoreFront stesso.)
  • Citrix Storefront Privileged Administration Service (NT SERVICE\CitrixPrivilegedService): supporta le operazioni di gestione privilegiata di StoreFront. (Non fa parte del componente StoreFront stesso.)
  • Citrix Config Synchronizer Service (NT SERVICE\CitrixConfigSyncService): propaga i dati di configurazione dal database del sito principale alla cache host locale.
  • Citrix High Availability Service (NT SERVICE\CitrixHighAvailabilityService): seleziona i desktop virtuali o le applicazioni disponibili per gli utenti, quando il database del sito principale non è disponibile.

L’installazione di Delivery Controller crea anche i seguenti servizi di Windows. Questi vengono creati anche quando vengono installati con altri componenti Citrix:

  • Citrix Diagnostic Facility COM Server (NT SERVICE\CdfSvc): supporta la raccolta di informazioni diagnostiche che saranno utilizzate dal supporto Citrix.
  • Citrix Telemetry Service (NT SERVICE\CitrixTelemetryService): raccoglie informazioni diagnostiche per che saranno analizzate da Citrix, in modo che i risultati dell’analisi e le relative raccomandazioni possano essere visualizzati dagli amministratori per facilitare la diagnosi dei problemi del sito.

L’installazione di Delivery Controller crea anche il seguente servizio Windows. Questo non è attualmente utilizzato. Se è stato abilitato, disabilitarlo.

  • Citrix Remote Broker Provider (NT SERVICE\XaXdCloudProxy)

L’installazione di Delivery Controller crea anche i servizi di Windows seguenti. Questi non sono attualmente utilizzati, ma devono essere abilitati. Non disabilitarli.

  • Citrix Orchestration Service (NT SERVICE\CitrixOrchestration)
  • Citrix Trust Service (NT SERVICE\CitrixTrust)

Ad eccezione di Citrix Storefront Privileged Administration Service, a questi servizi viene concesso il diritto Accedi come servizio e i privilegi Regolazione limite risorse memoria per un processo, Generazione di controlli di protezione e Sostituzione di token a livello di processo. Non è necessario modificare questi diritti utente. Questi privilegi non vengono utilizzati dal Delivery Controller e sono disattivati automaticamente.

Configurare le impostazioni del servizio

Ad eccezione del servizio Citrix Storefront Privileged Administration e del servizio Citrix Telemetry, i servizi Windows Delivery Controller elencati sopra nella sezione Configurare i diritti utente sono configurati per l’accesso come identità del SERVIZIO DI RETE. Non modificare queste impostazioni di servizio.

Citrix Config Synchronizer Service necessita dell’account NETWORK SERVICE per appartenere al gruppo Local Administrator sul Delivery Controller. Ciò consente alla cache host locale di funzionare correttamente.

Il servizio Citrix Storefront Privileged Administration è configurato per accedere al sistema locale (NT AUTHORITY\SYSTEM). Questo è necessario per le operazioni di Delivery Controller StoreFront che normalmente non sono disponibili per i servizi (inclusa la creazione di siti Microsoft IIS). Non modificare le impostazioni del servizio.

Citrix Telemetry Service è configurato per l’accesso con la propria identità specifica del servizio.

È possibile disattivare il Citrix Telemetry Service. A eccezione di questo servizio e dei servizi che sono già disabilitati, non disabilitare alcun altro di questi servizi Windows di Delivery Controller.

Configurare le impostazioni del registro

Non è più necessario abilitare la creazione di nomi di file e cartelle 8.3 sul file system VDA. La chiave del Registro di sistema NtfsDisable8dot3NameCreation può essere configurata per disabilitare la creazione di nomi di file e cartelle 8.3. È inoltre possibile configurarla utilizzando il comando fsutil.exe behavior set disable8dot3.

Implicazioni per la sicurezza dello scenario di distribuzione

L’ambiente utente può contenere dispositivi utente non gestiti dall’organizzazione e completamente sotto il controllo dell’utente oppure dispositivi utente gestiti e amministrati dall’organizzazione. Le considerazioni sulla sicurezza per questi due ambienti sono generalmente diverse.

Dispositivi utente gestiti

I dispositivi utente gestiti sono sotto il controllo amministrativo; sono sotto il controllo dell’utente o il controllo di un’altra organizzazione attendibile. È possibile configurare e fornire dispositivi utente direttamente agli utenti; in alternativa, è possibile fornire terminali su cui viene eseguito un singolo desktop in modalità a schermo intero. Seguire le procedure consigliate generali per la sicurezza descritte sopra per tutti i dispositivi utente gestiti. Questa versione ha il vantaggio che il software installato sul dispositivo utente è minimo.

Un dispositivo utente gestito può essere configurato per essere utilizzato in modalità a schermo intero o in modalità finestra:

  • Modalità a schermo intero: gli utenti accedono ad esso con la solita schermata di accesso a Windows. Le stesse credenziali utente vengono quindi utilizzate per accedere automaticamente a questa versione.
  • Gli utenti visualizzano il proprio desktop in una finestra: gli utenti accedono innanzitutto al dispositivo utente, quindi accedono a questa versione tramite un sito Web fornito con la release.

Dispositivi utente non gestiti

Non si può presumere che i dispositivi utente non gestiti e amministrati da un’organizzazione attendibile siano sotto il controllo amministrativo. Ad esempio, è possibile consentire agli utenti di ottenere e configurare i propri dispositivi, ma gli utenti potrebbero non seguire le procedure di sicurezza generali consigliate sopra descritte. Questa versione ha il vantaggio di consentire la distribuzione di desktop in modo sicuro ai dispositivi utente non gestiti. Questi dispositivi dovrebbero comunque ancora una protezione antivirus di base che sconfigga i keylogger e altri attacchi di input simili.

Considerazioni sull’archiviazione dei dati

Quando si utilizza questa versione, è possibile impedire agli utenti di archiviare i dati sui dispositivi utente che sono fisicamente sotto il loro controllo. Tuttavia, è comunque necessario considerare le implicazioni dell’archiviazione dei dati degli utenti sui desktop. Non è buona norma per gli utenti archiviare i dati sui desktop; i dati devono essere conservati su file server, server di database o altri repository in cui possono essere adeguatamente protetti.

L’ambiente desktop può essere costituito da vari tipi di desktop, ad esempio desktop in pool e dedicati. Gli utenti non devono mai archiviare dati su desktop condivisi tra utenti, ad esempio desktop in pool. Se gli utenti archiviano dati su desktop dedicati, tali dati devono essere rimossi se il desktop viene successivamente reso disponibile ad altri utenti.

Ambienti in versione mista

Gli ambienti in versione mista sono inevitabili durante alcuni aggiornamenti. Seguire le procedure consigliate e ridurre al minimo il tempo di coesistenza di componenti Citrix di versioni diverse. Negli ambienti con versioni miste, i criteri di protezione, ad esempio, potrebbero non essere applicati in modo uniforme.

Nota:

Questo è tipico di altri prodotti software; l’utilizzo di una versione precedente di Active Directory applica solo parzialmente i Criteri di gruppo alle versioni successive di Windows.

Lo scenario seguente descrive un problema di protezione che può verificarsi in uno specifico ambiente Citrix in versioni miste. Quando Citrix Receiver 1.7 viene utilizzato per connettersi a un desktop virtuale che esegue VDA in XenApp e XenDesktop 7.6 Feature Pack 2, l’impostazione Allow file transfer between desktop and client (Consenti trasferimento file fra desktop e client) è abilitata nel sito ma non può essere disattivata da un Delivery Controller che esegue XenApp e XenDesktop 7.1. Non riconosce l’impostazione del criterio, che è stata rilasciata nella versione successiva del prodotto. Questa impostazione di criterio consente agli utenti di caricare e scaricare file sul proprio desktop virtuale, presentando un problema di sicurezza. Per ovviare a questo problema, aggiornare il Delivery Controller (o un’istanza autonoma di Studio) alla versione 7.6 Feature Pack 2 e quindi utilizzare Criteri di gruppo per disattivare l’impostazione dei criteri. In alternativa, utilizzare i criteri locali su tutti i desktop virtuali interessati.

Considerazioni sulla sicurezza di Accesso remoto PC

Accesso remoto PC implementa le seguenti funzionalità di sicurezza:

  • L’utilizzo delle smart card è supportato.
  • Quando una sessione remota si connette, il monitor del PC dell’ufficio appare vuoto.
  • Accesso remoto PC reindirizza tutti gli input da tastiera e mouse alla sessione remota, ad eccezione di CTRL+ALT+CANC e delle smart card e dei dispositivi biometrici USB.
  • SmoothRoaming è supportato solo per un singolo utente.
  • Quando un utente dispone di una sessione remota connessa a un PC dell’ufficio, solo tale utente può riprendere l’accesso locale al PC dell’ufficio. Per riprendere l’accesso locale, l’utente preme Ctrl-Alt-Canc sul PC locale e quindi accede con le stesse credenziali utilizzate dalla sessione remota. L’utente può anche riprendere l’accesso locale inserendo una smart card o sfruttando la biometria, se il sistema dispone di un’integrazione appropriata di provider di credenziali di terze parti. Questo comportamento predefinito può essere ignorato attivando il cambio rapido utente tramite oggetti Criteri di gruppo (GPO) o modificando il Registro di sistema.

Nota:

Citrix consiglia di non assegnare privilegi di amministratore VDA agli utenti di sessione generali.

Assegnazioni automatiche

Per impostazione predefinita, Accesso remoto PC supporta l’assegnazione automatica di più utenti a un VDA. In XenDesktop 5.6 Feature Pack 1, gli amministratori possono ignorare questo comportamento utilizzando lo script RemotePCAccess.ps1 di PowerShell. Questa versione utilizza una voce del Registro di sistema per consentire o vietare più assegnazioni automatiche di PC remoti; questa impostazione si applica all’intero sito.

Attenzione:

La modifica non corretta del Registro di sistema può causare seri problemi che potrebbero richiedere la reinstallazione del sistema operativo. Citrix non può garantire che i problemi derivanti dall’uso non corretto dell’Editor del Registro di sistema possano essere risolti. Utilizzare l’Editor del Registro di sistema a proprio rischio. Assicurarsi di eseguire il backup del Registro di sistema prima di modificarlo.

Per limitare le assegnazioni automatiche a un singolo utente:

In ogni controller del sito, impostare la seguente voce del Registro di sistema:

HKEY\_LOCAL\_MACHINE\Software\Citrix|DesktopServer
Name: AllowMultipleRemotePCAssignments
Type: REG_DWORD
Data: 0 = Disable multiple user assignment, 1 = (Default) Enable multiple user assignment.

Se sono presenti assegnazioni utente esistenti, rimuoverle utilizzando i comandi SDK affinché il VDA sia successivamente idoneo per una singola assegnazione automatica.

  • Rimuovere tutti gli utenti assegnati dal VDA: $machine.AssociatedUserNames | %{ Remove-BrokerUser-Name $_ -Machine $machine
  • Rimuovere il VDA dal gruppo di consegna: $machine | Remove-BrokerMachine -DesktopGroup $desktopGroup

Riavviare il PC dell’ufficio fisico.

Attendibilità XML

L’impostazione di attendibilità XML si applica alle distribuzioni che utilizzano:

  • StoreFront locale.
  • Tecnologia di autenticazione degli abbonati (utenti) che non richiede password. Esempi di tali tecnologie sono le soluzioni mediante pass-through di dominio, smart card, SAML e Veridium.

L’attivazione dell’impostazione di attendibilità XML consente agli utenti di autenticare e quindi avviare correttamente le applicazioni. Il Delivery Controller considera attendibili le credenziali inviate da StoreFront. Attivare questa impostazione solo quando sono state protette le comunicazioni tra i controller di consegna e StoreFront (utilizzando firewall, IPsec o altri sistemi di protezione consigliati).

Questa impostazione è disabilitata per impostazione predefinita.

Utilizzare l’SDK PowerShell per Citrix Virtual Apps and Desktops per controllare, abilitare o disabilitare l’impostazione di attendibilità XML.

  • Per verificare il valore corrente dell’impostazione di attendibilità XML, eseguire Get-BrokerSite ed esaminare il valore di TrustRequestsSentToTheXMLServicePort.
  • Per abilitare l’attendibilità XML, eseguire Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true.
  • Per disattivare l’attendibilità XML, eseguire Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $false.
Considerazioni sulla sicurezza e procedure consigliate