Recomendaciones de seguridad
La Grabación de sesiones está diseñada para implementarse en una red segura y para que los administradores accedan a ella. La instalación estándar es simple y las funciones de seguridad (como la firma digital y el cifrado) son configuraciones opcionales.
La comunicación entre los componentes de grabación de sesiones se logra a través de Internet Information Services (IIS) y Microsoft Message Queuing (MSMQ). IIS proporciona el vínculo de comunicación de servicios Web entre cada componente de la Grabación de sesiones. MSMQ ofrece un mecanismo fiable de transporte de datos para enviar los datos de sesiones grabadas desde el agente de Grabación de sesiones al servidor de Grabación de sesiones.
Advertencia:
Si se modifica el Registro de forma incorrecta, pueden producirse problemas graves que obliguen a reinstalar el sistema operativo. Citrix no puede garantizar que los problemas derivados de la utilización inadecuada del Editor del Registro puedan resolverse. Si utiliza el Editor del Registro, será bajo su propia responsabilidad. Haga una copia de seguridad del Registro antes de modificarlo.
Considere estas recomendaciones de seguridad cuando planee la instalación:
- Debe aislar adecuadamente los diferentes roles de administrador en la red de la empresa, en el sistema de Grabación de sesiones o en máquinas individuales. De no hacerlo, es posible que existan riesgos de seguridad que pueden afectar al funcionamiento del sistema o producir malos usos en el mismo. Se recomienda que asigne diferentes roles de administrador a diferentes personas o cuentas. No permita que los usuarios de la sesión general tengan privilegios de administrador sobre el sistema VDA.
- Los administradores de Citrix Virtual Apps and Desktops no deben conceder el rol de administrador local de VDA a usuarios de aplicaciones o escritorios publicados. Si el rol de administrador local es un requisito, proteja los componentes del Agente de grabación de sesiones con mecanismos de Windows o soluciones de terceros.
- Asigne por separado al administrador de la base de datos de Grabación de sesiones y al administrador de directivas de Grabación de sesiones.
- Se recomienda no asignar privilegios de administrador de VDA a usuarios generales de sesión, sobre todo cuando se utiliza el acceso con Remote PC.
- Es crucial proteger la cuenta del administrador local del servidor de Grabación de sesiones.
- Controle el acceso a las máquinas donde está instalado el reproductor de Grabación de sesiones. Si un usuario no está autorizado (con el rol Reproductor), no conceda a ese usuario el rol de administrador local para máquinas del Reproductor. Inhabilite el acceso anónimo.
- Se recomienda usar una máquina física como servidor de almacenamiento para la Grabación de sesiones.
- La funcionalidad Grabación de sesiones graba actividades de gráficos de sesión sin tener en cuenta el carácter confidencial de los datos. En ciertos casos, pueden grabarse accidentalmente datos confidenciales (como las credenciales de usuario, la información confidencial y las pantallas de terceros, entre otros). Lleve a cabo las siguientes medidas para evitar riesgos:
- Inhabilite el volcado de la memoria de núcleo de los VDA, a menos que sea para solucionar problemas concretos.
Para inhabilitar el volcado de memoria de núcleo:
1. Haga clic con el botón secundario en Mi PC y, a continuación, seleccione Propiedades.
2. Haga clic en la ficha Avanzado, y, a continuación, en Inicio y recuperación, haga clic en Configuración.
3. En Escribir información de depuración, seleccione (ninguno).
Consulte el artículo de Microsoft en https://support.microsoft.com/en-us/kb/307973. - Los propietarios de la sesión deben notificar a los asistentes que las reuniones en línea y el software de asistencia remota pueden grabarse cuando se grabe una sesión de escritorio.
- Compruebe que no aparece ninguna información de seguridad ni credenciales de inicio de sesión en las aplicaciones web ni locales publicadas o utilizadas dentro de la empresa. De lo contrario, se grabarán mediante la Grabación de sesiones.
- Cierre las aplicaciones que puedan exponer información confidencial antes de cambiar a una sesión remota de ICA.
- Le recomendamos solo los métodos de autenticación automática (por ejemplo, tarjetas inteligentes o Single Sign-On) para acceder a los escritorios publicados o a aplicaciones de Software como servicio (SaaS).
- Inhabilite el volcado de la memoria de núcleo de los VDA, a menos que sea para solucionar problemas concretos.
Para inhabilitar el volcado de memoria de núcleo:
- La Grabación de sesiones necesita cierto hardware e infraestructura de hardware (por ejemplo, dispositivos de red empresarial, sistema operativo) para funcionar correctamente y para satisfacer las necesidades de seguridad. Tome medidas en las infraestructuras para impedir daños o mal uso de ellas y haga de la Grabación de sesiones una función segura y fiable.
- Proteja como es debido la infraestructura de red en que funciona la Grabación de sesiones y manténgala disponible.
- Se recomienda usar una solución de seguridad externa o un mecanismo de Windows para proteger los componentes de la Grabación de sesiones. Los componentes de la Grabación de sesiones son:
- En el servidor de Grabación de sesiones
- Procesos: SsRecStoragemanager.exe y SsRecAnalyticsService.exe
- Servicios: CitrixSsRecStorageManager y CitrixSsRecAnalyticsService
- Todos los archivos de la carpeta de instalación del servidor de Grabación de sesiones
- Valores del Registro en HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartAuditor\Server
- En el agente de Grabación de sesiones
- Proceso: SsRecAgent.exe
- Servicio: CitrixSmAudAgent
- Todos los archivos de la carpeta de instalación del Agente de grabación de sesiones
- Valores del Registro en HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartAuditor\Agent
- En el servidor de Grabación de sesiones
-
Defina la lista de control de acceso (ACL) para Message Queuing (MSMQ) en el servidor de Grabación de sesiones para restringir las máquinas VDA o VDI que pueden enviar datos de MSMQ al servidor de Grabación de sesiones y evitar que máquinas no autorizadas envíen datos al servidor de Grabación de sesiones.
- Instale la funcionalidad de servidor Directory Service Integration (Integración del servicio de directorios) en cada servidor de Grabación de sesiones y máquina VDA o VDI donde esté habilitada la funcionalidad Grabación de sesiones. A continuación, reinicie el servicio de Message Queuing.
- Desde el menú Inicio de Windows en cada servidor de Grabación de sesiones, abra Herramientas administrativas > Administración del equipo.
- Abra Servicios y aplicaciones > Cola de mensajes > Colas privadas.
-
Haga clic en la cola privada citrixsmauddata para abrir la página Propiedades y seleccione la ficha Seguridad.
-
Agregue los equipos o los grupos de seguridad de los VDA que van a enviar datos de MSMQ a ese servidor y concédales el permiso Enviar mensaje.
- Proteja adecuadamente el registro de eventos del servidor de Grabación de sesiones y de los Agentes de grabación de sesiones. Se recomienda utilizar una solución de registro remoto de Windows o de terceros para proteger el registro de eventos o redirigir ese registro de eventos al servidor remoto.
- Los servidores que ejecutan los componentes de Grabación de sesiones deben estar protegidos físicamente. Si es posible, coloque estos componentes bajo llave en una habitación segura a la cual solamente personal autorizado tenga acceso.
- Aísle los servidores que ejecutan los componentes de Grabación de sesiones en un dominio o una subred diferente.
- Proteja los datos de las sesiones grabadas frente al posible acceso de usuarios que acceden a otros servidores mediante la instalación de un firewall entre el servidor de Grabación de sesiones y los demás servidores.
- Mantenga actualizados el servidor de administración de Grabación de sesiones y la base de datos SQL con las actualizaciones de seguridad más recientes de Microsoft.
- Restrinja el inicio de sesión de usuarios no administradores en la máquina de administración.
- Limite quién puede autorizar cambios de directivas de grabación y puede ver sesiones grabadas.
- Instale certificados digitales, utilice la función de firma de archivos de la grabación de sesiones y configure comunicaciones TLS en IIS.
- Configure MSMQ para usar HTTPS como transporte. Para ello, establezca el protocolo de MSMQ de Propiedades del agente de Grabación de sesiones en HTTPS. Para obtener más información, consulte Solucionar problemas de MSMQ.
-
Use TLS 1.1 o TLS 1.2 (recomendado) e inhabilite SSLv2, SSLv3 y TLS 1.0 en el servidor de Grabación de sesiones y la base de datos de Grabación de sesiones.
-
Inhabilite los conjuntos de cifrado RC4 para TLS en el servidor de Grabación de sesiones y la base de datos de Grabación de sesiones:
- Desde el editor de directivas de grupo de Microsoft, vaya a Configuración del equipo > Plantillas administrativas > Red > Opciones de configuración SSL.
- Defina la directiva Orden de conjuntos de cifrado SSL como Habilitada. De manera predeterminada, esta directiva está establecida en No configurada.
- Quite todos los conjuntos de cifrado RC4.
- Utilice la protección de reproducción. La protección de la reproducción es una función de grabación de sesiones que cifra los archivos grabados antes de que se descarguen en el reproductor de Grabación de sesiones. De forma predeterminada, esta opción está habilitada y se encuentra en las Propiedades del servidor de Grabación de sesiones.
- Siga las instrucciones de NSIT para la longitud de claves y los algoritmos de cifrado.
-
Configure TLS 1.2 para ofrecer la funcionalidad Grabación de sesiones.
Se recomienda TLS 1.2 como protocolo de comunicación para garantizar la seguridad de extremo a extremo de los componentes de la Grabación de sesiones.
Para configurar TLS 1.2 y, así, ofrecer la funcionalidad Grabación de sesiones:
- Inicie sesión en la máquina donde se encuentra el servidor de Grabación de sesiones. Instale el componente y el controlador cliente de la base de datos de SQL Server y establezca una criptografía segura para .NET Framework (4 y versiones posteriores).
- Instale el controlador ODBC 11 (o una versión posterior) para Microsoft SQL Server.
- Aplique el último parche rápido consolidado de .NET Framework.
- Instale
ADO.NET - SqlClient
basado en la versión de .NET Framework. Para obtener más información, consulte https://support.microsoft.com/en-us/kb/3135244. - Agregue un valor DWORD SchUseStrongCrypto = 1 en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NetFramework\v4.0.30319 y HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NetFramework\v4.0.30319.
- Reinicie la máquina.
- Inicie sesión en la máquina donde se encuentra la Consola de directivas de grabación de sesiones. Aplique el último parche rápido gradual de .NET Framework y establezca una criptografía segura para .NET Framework (4 y versiones posteriores). El método para establecer una criptografía segura es el mismo que en los subpasos 1-4 y 1-5. No es necesario realizar estos pasos si decide instalar la Consola de directivas de grabación de sesiones en el mismo equipo que el servidor de Grabación de sesiones.
- Inicie sesión en la máquina donde se encuentra el servidor de Grabación de sesiones. Instale el componente y el controlador cliente de la base de datos de SQL Server y establezca una criptografía segura para .NET Framework (4 y versiones posteriores).
Para configurar la compatibilidad con TLS 1.2 en SQL Server con versiones anteriores a 2016, consulte https://support.microsoft.com/en-us/kb/3135244. Para usar TLS 1.2, configure HTTPS como el protocolo de comunicación de los componentes de Grabación de sesiones.