Seguridad
App Protection
App Protection es una función complementaria que proporciona una mayor seguridad al usar Citrix Virtual Apps and Desktops y Citrix DaaS (antes denominado Citrix Virtual Apps and Desktops Service). La función restringe la posibilidad de que los clientes puedan verse amenazados por malware de registro de pulsaciones de teclas y malware de capturas de pantalla. App Protection evita la exfiltración de información confidencial, como credenciales de usuario e información confidencial en pantalla. La función evita que los usuarios y los atacantes hagan capturas de pantalla y usen registradores de pulsaciones de teclas para obtener y explotar información confidencial. Para obtener más información, consulte App Protection.
Renuncia de responsabilidades
Las directivas de App Protection filtran el acceso a las funciones requeridas del sistema operativo subyacente (llamadas a API específicas necesarias para capturar pantallas o pulsaciones de teclas). Las directivas de App Protection proporcionan protección incluso contra herramientas de piratas informáticos personalizadas y con un diseño específico. Sin embargo, a medida que los sistemas operativos evolucionan, es posible que surjan nuevas formas de capturar pantallas y registrar pulsaciones de teclas. Si bien seguimos identificándolas y abordándolas, no podemos garantizar una protección completa en configuraciones e implementaciones específicas.
Para configurar App Protection en la aplicación Citrix Workspace para Windows, consulte la sección Aplicación Citrix Workspace para Windows del artículo Configuración.
Nota:
App Protection solo se ofrece en la actualización que hay a partir de la versión 1912.
Seguridad ICA
Cuando un usuario inicia una aplicación o un escritorio, StoreFront genera información de ICA, que contiene instrucciones para el cliente sobre cómo conectarse al VDA.
Inicios híbridos en memoria
Cuando el usuario inicia un recurso, StoreFront genera un archivo ICA que contiene instrucciones sobre cómo conectarse al recurso. Cuando se inicia en la aplicación Citrix Workspace para Windows, el archivo ICA se gestiona en la memoria y nunca se guarda en el disco. Cuando el usuario abre su almacén en un explorador web y usa la aplicación Citrix Workspace para Windows para conectarse al recurso, esto se conoce como inicio híbrido. Dependiendo de la configuración, el inicio puede realizarse de diferentes maneras; consulte las opciones de acceso de usuarios de StoreFront. La aplicación Citrix Workspace para Windows admite Citrix Workspace Launcher y las extensiones web de Citrix Workspace para los inicios ICA en memoria desde el explorador de los usuarios. Se recomienda inhabilitar la opción del usuario de descargar archivos ICA para eliminar los ataques de superficie y todo malware que pueda hacer un mal uso del archivo ICA cuando se almacena localmente. Para hacerlo en StoreFront 2402 y versiones posteriores, consulte la documentación de StoreFront. Para hacerlo en Workspace, consulte la documentación de Workspace PowerShell.
Impedir el inicio de archivos ICA desde disco
Una vez que se haya asegurado de que su propio sistema siempre utilice inicios en memoria, Citrix recomienda inhabilitar el inicio de archivos ICA desde disco. Esto garantiza que los usuarios no puedan abrir los archivos ICA que han recibido de fuentes malintencionadas mediante métodos como el correo electrónico. Utilice cualquiera de estos métodos:
- Global App Config Service.
- Plantilla administrativa de objetos de directiva de grupo (GPO) en el cliente.
Global App Config Service
Puede usar Global App Config Service desde la aplicación Citrix Workspace 2106. En Seguridad y autenticación > Preferencias de seguridad, habilite la directiva Bloquear el inicio directo del archivo ICA.
Directiva de grupo
Para bloquear los inicios de sesión desde archivos ICA almacenados en el disco local mediante una directiva de grupo, haga lo siguiente:
- Abra la plantilla administrativa de GPO de la aplicación Citrix Workspace; para ello, ejecute
gpedit.msc
. - En el nodo Configuración del equipo, vaya a Plantillas administrativas > Componentes de Citrix > Citrix Workspace > Motor de cliente.
- Seleccione la directiva Proteger inicio de sesiones con archivos ICA y habilítela.
- Haga clic en Aplicar y en Aceptar.
ICA File Signing
La función ICA File Signing (firma de archivos ICA) permite protegerse ante inicios no autorizados de escritorios y aplicaciones. La aplicación Citrix Workspace verifica si el inicio de la aplicación o del escritorio fue generado desde una fuente de confianza, basándose en una directiva de administración, y protege al usuario frente a inicios originados en servidores que no son de confianza. Puede configurar ICA File Signing mediante la plantilla administrativa de objetos de directiva de grupo o StoreFront. La función de firma de archivos ICA no está habilitada de forma predeterminada.
Para obtener información sobre cómo habilitar ICA File Signing para StoreFront, consulte ICA File Signing en la documentación de StoreFront.
Configurar la firma del archivo ICA
Nota:
Si no se agrega CitrixBase.admx\adml al objeto de directiva de grupo (GPO) local, la directiva Habilitar ICA File Signing puede no estar presente.
- Abra la plantilla administrativa de GPO de la aplicación Citrix Workspace; para ello, ejecute gpedit.msc.
- En el nodo Configuración del equipo, vaya a Plantillas administrativas > Componentes de Citrix.
- Seleccione la directiva Habilitar ICA File Signing y seleccione una de las opciones según sea necesario:
- Habilitada: Indica que puede agregar el sello del certificado con firma a la lista de sellos de certificados de confianza permitidos.
- Certificados de confianza: Haga clic en Mostrar para quitar el sello del certificado con firma existente en la lista de permitidos. Puede copiar y pegar los sellos de certificados con firma desde las propiedades de los certificados.
- Directiva de seguridad: Seleccione una de las siguientes opciones en el menú.
- Permitir inicios con firma solamente (más seguro): Permite los inicios de solamente escritorios o aplicaciones con firma desde servidores de confianza. Aparece una advertencia de seguridad en caso de una firma no válida. No se puede iniciar la sesión por la falta de autorización.
- Preguntar al usuario en inicios sin firma (menos seguro): Aparece un mensaje cuando se inicia una sesión sin firma o sin firma válida. Puede optar por continuar el inicio o cancelarlo (opción predeterminada).
- Haga clic en Aplicar y Aceptar para guardar la directiva.
- Reinicie la sesión de la aplicación Citrix Workspace para que los cambios surtan efecto.
Al seleccionar un certificado de firma digital, recomendamos elegirlo a partir de esta lista de prioridades:
- Adquiera un certificado con firma de código o un certificado con firma SSL a partir de una entidad de certificados (CA) pública.
- Si su empresa dispone de una entidad de certificados privada, cree un certificado con firma de código o un certificado con firma SSL a través de la entidad de certificados privada.
- Utilice un certificado SSL existente.
- Cree un certificado raíz y distribúyalo a los dispositivos de usuario mediante un objeto de directiva de grupo o una instalación manual.
Tiempos de espera por inactividad
Tiempo de espera para sesiones de Workspace
Los administradores pueden configurar el valor del tiempo de espera por inactividad para especificar el tiempo de inactividad permitido antes de que se cierre automáticamente la sesión de los usuarios de Citrix Workspace. Se cierra su sesión de Workspace automáticamente si el mouse, el teclado o la función táctil están inactivos durante el intervalo de tiempo especificado. El tiempo de espera por inactividad no afecta a las sesiones de aplicaciones y escritorios virtuales ni a almacenes de Citrix StoreFront que estén activos.
Para configurar el tiempo de espera por inactividad, consulte la documentación de Workspace.
La experiencia del usuario final es la siguiente:
- Aparecerá una notificación en la ventana de la sesión tres minutos antes de que se le cierre la sesión, con la opción de mantener la sesión abierta o cerrar la sesión.
- La notificación aparece solamente si el valor del tiempo de espera por inactividad configurado es mayor o igual a cinco minutos.
- Los usuarios pueden hacer clic en Mantener sesión abierta para descartar la notificación y seguir utilizando la aplicación. En ese caso, el temporizador de inactividad se restablece a su valor configurado. También puede hacer clic en Cerrar sesión para finalizar la sesión del almacén actual.
Tiempo de espera para las sesiones de StoreFront
Cuando se conecta a un almacén de StoreFront, la aplicación Citrix Workspace no aplica un tiempo de espera por inactividad. Si utiliza un Citrix Gateway, puede configurar el tiempo de espera de la sesión de la puerta de enlace. Para obtener más información, consulte la documentación de StoreFront.