Profile Management

Protección

Aquí se describen recomendaciones importantes de seguridad para Profile Management. En general, deben protegerse los servidores en los que se ubica el almacén de usuarios para evitar que se infrinja el acceso a los datos de los perfiles de usuario de Citrix.

Encontrará recomendaciones sobre cómo crear almacenes de usuario seguros en el artículo Create a file share for roaming user profiles del sitio web de Microsoft TechNet. Estas recomendaciones mínimas aseguran un alto nivel de seguridad para un funcionamiento básico. Además, se debe incluir el grupo Administradores al configurar el acceso al almacén de usuarios, que es necesario para modificar o eliminar un perfil de usuario de Citrix.

Permisos

Citrix prueba y recomienda los siguientes permisos para el almacén de usuarios y el almacén de configuración multiplataforma:

  • Permisos del recurso compartido: Control total de la carpeta raíz del almacén de usuarios
  • Los permisos NTFS siguientes, tal como recomienda actualmente Microsoft:

    Nombre de usuario o grupo Permiso Aplicar a
    Propietario creador Control total Subcarpetas y archivos únicamente
    Mostrar lista de carpetas / Leer de datos y crear carpetas / Anexar datos Esta carpeta únicamente
    Sistema local Control total Esta carpeta, subcarpetas y archivos

Si la herencia no está inhabilitada, con estos permisos las cuentas pueden acceder a los almacenes. Además, permita a las cuentas crear subcarpetas para los perfiles de usuario y realizar todas las operaciones necesarias de lectura y escritura.

Además de estos requisitos de seguridad mínimos, también puede simplificar la administración mediante la creación de un grupo de administradores con control total de las subcarpetas y archivos únicamente. De ese modo, se facilita la tarea de eliminar perfiles (una tarea frecuente para la solución de problemas) para los miembros del grupo.

Si usa un perfil de plantilla, los usuarios necesitan tener acceso de lectura a éste.

Lista de control de acceso (ACL)

Si usa la función de configuración multiplataforma, defina listas de control de acceso en la carpeta que almacena los archivos de definición, de este modo: acceso de lectura para usuarios autenticados y acceso de lectura y escritura para administradores.

Con los perfiles itinerantes de Windows se eliminan automáticamente los privilegios de administrador en las carpetas que contienen datos de perfiles en la red. Profile Management no elimina automáticamente dichos privilegios de las carpetas del almacén de usuarios. Si lo permiten las directivas de seguridad en la organización, podrá hacerlo manualmente.

Nota: Si una aplicación modifica la lista de control de acceso (ACL) de un archivo en el perfil del usuario, Profile Management no duplica esos cambios en el almacén de usuarios. Es coherente con el comportamiento de los perfiles itinerantes de Windows.

Productos de software antivirus de empresa y streaming de perfiles

La función Perfiles de usuario de streaming de Citrix Profile Management usa las funciones NTFS avanzadas para simular la presencia de archivos inexistentes en los perfiles de los usuarios. En ese sentido, esta función es similar a la clase de productos conocidos como administradores de almacenamiento jerárquico (HSM). Los HSM se usan generalmente para almacenar archivos usados con poca frecuencia en dispositivos de almacenamiento masivo muy lentos, como cintas magnéticas o dispositivos ópticos regrabables. Cuando se necesita este tipo de archivos, las unidades HSM interceptan la primera solicitud de archivo, suspenden el proceso que realiza la solicitud, recuperan el archivo del almacenamiento masivo. Posteriormente, permiten que continúe la solicitud de archivo. Teniendo en cuenta esta similitud, el controlador de perfiles de usuario distribuidos por streaming, upmjit.sys, se define, en este caso, como un controlador HSM.

En entornos de este tipo, configure productos antivirus para detectar administradores HSM, dado que también es necesario para el controlador de perfiles de usuario distribuidos por streaming. Para disponer de toda la protección contra las amenazas más sofisticadas, los productos antivirus deben ejecutar algunas funciones a nivel del controlador del dispositivo. Y, al igual que los controladores HSM, su funcionamiento se basa en interceptar las solicitudes de archivo, suspender el proceso que las origina, examinar el archivo y continuar con el proceso de solicitud.

Es muy común llevar a cabo una configuración deficiente del programa antivirus para interrumpir un administrador HSM, como en el caso del controlador de perfiles de usuario distribuidos por streaming, evitando la obtención de los archivos del almacén de usuarios y bloqueando el inicio de sesión.

Gracias al desarrollo avanzado de los productos antivirus corporativos, existe la posibilidad de configurar los productos de almacenamiento sofisticado, como los administradores HSM. Pueden configurarse para que retrasen la detección hasta que el administrador HSM haya finalizado su proceso. Tenga en cuenta que los productos antivirus para el hogar suelen ser menos sofisticados en estos casos. Por eso, los perfiles de usuario distribuidos por streaming no admiten los productos antivirus para la oficina en el hogar.

La configuración del producto antivirus para el uso de perfiles de usuario se describe en una de las funciones de los productos siguientes. Los nombres son meramente representativos:

  • Lista de procesos de confianza. Identifica los administradores HSM para el producto antivirus, y permite al HSM completar el proceso de recuperación del archivo. El producto antivirus examina el archivo cuando un proceso que no es de confianza intenta acceder al mismo por primera vez.
  • Do not scan on open or status-check operations. Configura el producto antivirus para que solo examine un archivo cuando se accede a los datos (por ejemplo, cuando se ejecuta o crea un archivo). Otros tipos de acceso a archivo (por ejemplo, cuando se abre un archivo o se comprueba su estado) se ignoran en el producto antivirus. Los administradores HSM normalmente se activan cuando se detecta una operación de apertura o comprobación del estado de un archivo, de manera que la desactivación de la detección de virus en estas operaciones permite eliminar posibles conflictos.

Citrix ha llevado a cabo pruebas con los perfiles de usuario distribuidos por streaming y las versiones de los productos antivirus corporativos más conocidos, para asegurar que son compatibles con Profile Management. Estas versiones incluyen:

  • McAfee Virus Scan Enterprise 8.7
  • Symantec Endpoint Protection 11.0
  • Trend Micro OfficeScan 10

No se han realizado pruebas de las versiones anteriores de estos productos.

Si está utilizando un producto antivirus empresarial de otros proveedores, compruebe que sea compatible con HSM. Se puede configurar para permitir que las operaciones de HSM se completen antes de realizar sus detecciones.

Algunos productos antivirus ofrecen a los administradores la opción de detección de virus en la lectura o detección de virus en la escritura solamente. Esta selección permite equilibrar el rendimiento y la seguridad. La función de perfiles de usuario distribuidos por streaming no se ve afectada con esta selección.

Solucionar problemas técnicos de Profile Management en implementaciones de streaming y antivirus

Si surgen problemas, como inicios de sesión que se bloquean o tardan mucho tiempo, puede que exista una configuración incorrecta entre Profile Management y el producto antivirus de la empresa. Lleve a cabo los procedimientos siguientes, en este orden:

  1. Compruebe que tenga instalada la última versión de Profile Management. Es muy probable que el problema se haya localizado y solucionado.
  2. Agregue el servicio Profile Management (UserProfileManager.exe) a la lista de procesos de confianza de su producto antivirus corporativo.
  3. Desactiva la detección de virus en las operaciones de apertura, creación, restauración o comprobación del estado, en los controladores HSM. Lleve a cabo detecciones de virus en operaciones de lectura y escritura solamente.
  4. Desactive otras funciones sofisticadas de detección de virus. Por ejemplo, es posible que los productos antivirus ejecuten una detección rápida de los primeros bloques de un archivo para determinar el tipo de archivo en cuestión. Estas comprobaciones permiten realizar una correspondencia entre el contenido del archivo y el tipo de archivo declarado, pero pueden interferir con las operaciones del HSM.
  5. Desactive el servicio de indización de búsquedas de Windows, al menos para las carpetas cuyos perfiles se almacenan en unidades locales. Este servicio genera recuperaciones de HSM innecesarias, y se han manifestado problemas entre los perfiles de usuario distribuidos por streaming y los productos antivirus corporativos.

Si ninguno de los pasos anteriores funciona, desactive los perfiles de usuario distribuidos por streaming (inhabilite el parámetro Streaming de perfiles). Si esta acción funciona, vuelva a habilitar la función e inhabilite el producto antivirus de la empresa. Si también funciona, recopile la información de diagnóstico de Profile Management para el caso que no funciona y póngase en contacto con la asistencia técnica de Citrix. Deberá suministrarles la versión exacta del producto antivirus de la empresa.

Para continuar con Profile Management, no olvide de volver a habilitar el programa antivirus de la empresa e inhabilitar los perfiles distribuidos por streaming. Las demás funciones de Profile Management seguirán funcionando con esta configuración. Solo estará desactivada la distribución de perfiles por streaming.

Protección