Seguridad
App Protection
App Protection es una función complementaria que proporciona una mayor seguridad al usar Citrix Virtual Apps and Desktops y Citrix DaaS (antes denominado Citrix Virtual Apps and Desktops Service). La función restringe la posibilidad de que los clientes puedan verse amenazados por malware de registro de pulsaciones de teclas y malware de capturas de pantalla. App Protection evita la exfiltración de información confidencial, como credenciales de usuario e información confidencial en pantalla. La función evita que los usuarios y los atacantes hagan capturas de pantalla y usen registradores de pulsaciones de teclas para obtener y explotar información confidencial. Para obtener más información, consulte App Protection.
Renuncia de responsabilidades
Las directivas de App Protection filtran el acceso a las funciones requeridas del sistema operativo subyacente (llamadas a API específicas necesarias para capturar pantallas o pulsaciones de teclas). Las directivas de App Protection proporcionan protección incluso contra herramientas de piratas informáticos personalizadas y con un diseño específico. Sin embargo, a medida que los sistemas operativos evolucionan, es posible que surjan nuevas formas de capturar pantallas y registrar pulsaciones de teclas. Si bien seguimos identificándolas y abordándolas, no podemos garantizar una protección completa en configuraciones e implementaciones específicas.
Para configurar App Protection en la aplicación Citrix Workspace para Windows, consulte la sección Aplicación Citrix Workspace para Windows del artículo Configuración.
Nota:
App Protection solo se ofrece en la actualización que hay a partir de la versión 1912.
Seguridad de archivos ICA mejorada
Esta función proporciona una mayor seguridad al gestionar archivos ICA durante el inicio de sesiones de aplicaciones y escritorios virtuales.
Ahora, la aplicación Citrix Workspace le permite almacenar el archivo ICA en la memoria del sistema en lugar de hacerlo en el disco local al iniciar sesiones de aplicaciones y escritorios virtuales.
Esta función tiene como objetivo eliminar los ataques de superficie y cualquier malware que pueda utilizar incorrectamente el archivo ICA al almacenarlo localmente. Esta función también se puede aplicar a las sesiones de aplicaciones y escritorios virtuales que se inician en Workspace para Web
Configuración
La seguridad de archivos ICA también se ofrece al acceder a Citrix Workspace o a StoreFront desde la web. La detección de clientes es un requisito previo para que la función esté operativa si se accede a través de la web. Si accede a StoreFront mediante un explorador, habilite estos atributos en el archivo web.config de las implementaciones de StoreFront:
Versión de StoreFront | Atributo |
---|---|
2.x | pluginassistant |
3.x | protocolHandler |
Cuando inicie sesión en el almacén a través del explorador web, haga clic en Detectar la aplicación Workspace. Si no aparece la solicitud, borre las cookies del explorador web e inténtelo de nuevo.
Si se trata de una implementación de Workspace, los parámetros de detección de clientes se encuentran en Parámetros de cuenta > Avanzado > Preferencia de inicio de aplicaciones y escritorios.
Puede tomar medidas adicionales para que las sesiones se inicien solo con el archivo ICA almacenado en la memoria del sistema. Utilice cualquiera de estos métodos:
- Plantilla administrativa de objetos de directiva de grupo (GPO) en el cliente.
- Global App Config Service.
- Workspace para Web.
Mediante el GPO:
Para bloquear los inicios de sesión desde archivos ICA almacenados en el disco local, haga lo siguiente:
- Abra la plantilla administrativa de GPO de la aplicación Citrix Workspace; para ello, ejecute
gpedit.msc
. - En el nodo Configuración del equipo, vaya a Plantillas administrativas > Componentes de Citrix > Citrix Workspace > Motor de cliente.
- Seleccione la directiva Proteger inicio de sesiones con archivos ICA y habilítela.
- Haga clic en Aplicar y Aceptar.
Mediante Global App Config Service:
Puede usar Global App Config Service desde la aplicación Citrix Workspace 2106.
Para bloquear los inicios de sesión desde archivos ICA almacenados en el disco local, haga lo siguiente:
Establezca el atributo Bloquear el inicio directo del archivo ICA en True.
Para obtener más información sobre Global App Config Service, consulte la documentación de Global App Config Service.
Con Workspace para Web:
Para no permitir la descarga de archivos ICA en el disco local al usar Workspace para Web, haga lo siguiente:
Ejecute el módulo de PowerShell. Consulte Configure DisallowICADownload.
Nota:
La directiva DisallowICADownload no está disponible para implementaciones de StoreFront.
Tiempo de espera por inactividad para sesiones de Workspace
Los administradores pueden configurar el valor del tiempo de espera por inactividad para especificar el tiempo de inactividad permitido antes de que se cierre automáticamente la sesión de los usuarios de Citrix Workspace. Se cierra su sesión de Workspace automáticamente si el mouse, el teclado o la función táctil están inactivos durante el intervalo de tiempo especificado. El tiempo de espera por inactividad no afecta a las sesiones de aplicaciones y escritorios virtuales ni a almacenes de Citrix StoreFront que estén activos.
El valor del tiempo de espera por inactividad se puede establecer desde 1 minuto a 1440 minutos. De forma predeterminada, el tiempo de espera por inactividad no está configurado. Los administradores pueden configurar la propiedad inactivityTimeoutInMinutes mediante un módulo de PowerShell. Haga clic aquí para descargar los módulos de PowerShell de la configuración de Citrix Workspace.
La experiencia del usuario final es la siguiente:
- Aparecerá una notificación en la ventana de la sesión tres minutos antes de que se le cierre la sesión, con la opción de mantener la sesión abierta o cerrar la sesión.
- La notificación aparece solamente si el valor del tiempo de espera por inactividad configurado es mayor o igual a cinco minutos.
- Los usuarios pueden hacer clic en Mantener sesión abierta para descartar la notificación y seguir utilizando la aplicación. En ese caso, el temporizador de inactividad se restablece a su valor configurado. También puede hacer clic en Cerrar sesión para finalizar la sesión del almacén actual.
Nota:
Los administradores pueden configurar el tiempo de espera por inactividad solamente para sesiones de Workspace (nube).