Recomendaciones de seguridad
Grabación de sesiones está diseñada para implementarse en una red segura y para que los administradores accedan a ella. La instalación estándar es simple y las funciones de seguridad (como la firma digital y el cifrado) son configuraciones opcionales.
La comunicación entre los componentes de grabación de sesiones se logra a través de Internet Information Services (IIS) y Microsoft Message Queuing (MSMQ). IIS proporciona el vínculo de comunicación de servicios Web entre cada componente de Grabación de sesiones. MSMQ ofrece un mecanismo fiable de transporte de datos para enviar los datos de sesiones grabadas desde el agente de Grabación de sesiones al servidor de Grabación de sesiones.
Advertencia:
Si se modifica el Registro de forma incorrecta, pueden producirse problemas graves que obliguen a reinstalar el sistema operativo. Citrix no puede garantizar que los problemas derivados del uso inadecuado del Editor del Registro puedan resolverse. Si usa el Editor del Registro, será bajo su propia responsabilidad. Haga una copia de seguridad del Registro antes de modificarlo.
Considere estas recomendaciones de seguridad cuando planee la instalación:
-
Configure Microsoft Internet Information Services (IIS).
Puede configurar Grabación de sesiones con una configuración restringida de IIS. En cada servidor de Grabación de sesiones, abra el Administrador de IIS y establezca estos límites de reciclaje para cada grupo de aplicaciones de IIS:
- Virtual Memory Limit: Establezca el valor en 4294967295.
- Private Memory Limit: Defina el valor de la memoria física del servidor de Grabación de sesiones. Por ejemplo, si la memoria física es de 4 GB, establezca el valor en 4194304.
- Request Limit: Le recomendamos dejar este parámetro sin especificar. O puede establecer el valor en 4000000000.
Consejo:
Para acceder a los parámetros anteriores, resalte cada grupo de aplicaciones, seleccione Advanced Settings en el panel Actions y, a continuación, desplácese hacia abajo hasta la sección Recycling en el cuadro de diálogo Advanced Settings.
- Debe aislar adecuadamente los diferentes roles de administrador en la red de la empresa, en el sistema de Grabación de sesiones o en máquinas individuales. De no hacerlo, es posible que existan riesgos de seguridad que pueden afectar al funcionamiento del sistema o producir malos usos en el mismo. Se recomienda que asigne diferentes roles de administrador a diferentes personas o cuentas. No permita que los usuarios de la sesión general tengan privilegios de administrador sobre el sistema VDA.
- No otorgue la función de administrador local de VDA a ningún usuario de aplicaciones o escritorios publicados. Si el rol de administrador local es un requisito, proteja los componentes del agente de Grabación de sesiones con mecanismos de Windows o soluciones de terceros.
- Asigne por separado al administrador de la base de datos de Grabación de sesiones y al administrador de directivas de Grabación de sesiones.
- No asigne privilegios de administrador de VDA a usuarios generales de sesión, sobre todo cuando se utiliza el acceso con Remote PC.
- Es crucial proteger la cuenta del administrador local del servidor de Grabación de sesiones.
- Controle el acceso a las máquinas donde está instalado el reproductor de Grabación de sesiones. Si un usuario no está autorizado (con el rol Reproductor), no conceda a ese usuario el rol de administrador local para máquinas del Reproductor. Inhabilite el acceso anónimo.
- Se recomienda usar una máquina física como servidor de almacenamiento para Grabación de sesiones.
- La funcionalidad Grabación de sesiones graba actividades de gráficos de sesión sin tener en cuenta el carácter confidencial de los datos. En ciertos casos, pueden grabarse accidentalmente datos confidenciales (como las credenciales de usuario, la información confidencial y las pantallas de terceros, entre otros). Lleve a cabo las siguientes medidas para evitar riesgos:
- Inhabilite el volcado de la memoria de núcleo de los VDA, a menos que sea para solucionar problemas concretos.
Para inhabilitar el volcado de memoria principal:
- Haga clic con el botón secundario en Mi PC y, a continuación, seleccione Propiedades.
- Haga clic en la ficha Avanzado, y, a continuación, en Inicio y recuperación, haga clic en Configuración.
- En Escribir información de depuración, seleccione (ninguno).
Consulte el artículo de Microsoft en https://support.microsoft.com/en-us/kb/307973.
- Los propietarios de la sesión deben notificar a los asistentes que las reuniones en línea y el software de asistencia remota pueden grabarse cuando se grabe una sesión de escritorio.
- Compruebe que no aparece ninguna información de seguridad ni credenciales de inicio de sesión en las aplicaciones web ni locales publicadas o utilizadas dentro de la empresa. De lo contrario, se grabarán mediante Grabación de sesiones.
- Cierre las aplicaciones que puedan exponer información confidencial antes de cambiar a una sesión remota de ICA.
- Le recomendamos solo los métodos de autenticación automática (por ejemplo, tarjetas inteligentes o Single Sign-On) para acceder a los escritorios publicados o a aplicaciones de Software como servicio (SaaS).
- Inhabilite el volcado de la memoria de núcleo de los VDA, a menos que sea para solucionar problemas concretos.
Para inhabilitar el volcado de memoria principal:
- Grabación de sesiones necesita cierto hardware e infraestructura de hardware (por ejemplo, dispositivos de red empresarial, sistemas operativos) para funcionar correctamente y para satisfacer las necesidades de seguridad. Tome medidas en la infraestructura para impedir daños o mal uso de ella y haga de Grabación de sesiones una función segura y fiable.
- Proteja como es debido la infraestructura de red en que funciona Grabación de sesiones y manténgala disponible.
- Se recomienda usar una solución de seguridad externa o un mecanismo de Windows para proteger los componentes de Grabación de sesiones. Los componentes de Grabación de sesiones son:
- En el servidor de Grabación de sesiones
- Procesos: SsRecStoragemanager.exe y SsRecAnalyticsService.exe
- Servicios: CitrixSsRecStorageManager y CitrixSsRecAnalyticsService
- Todos los archivos de la carpeta de instalación del servidor de Grabación de sesiones
- Valores del Registro en HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartAuditor\Server
- En el agente de Grabación de sesiones
- Proceso: SsRecAgent.exe
- Servicio: CitrixSmAudAgent
- Todos los archivos de la carpeta de instalación del agente de Grabación de sesiones
- Valores de Registro en
HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartAuditor\Agent
- En el servidor de Grabación de sesiones
-
Configure la lista de control de acceso (ACL) para Message Queueing Server (MSMQ) en el servidor de grabación de sesiones. De este modo, se restringen las máquinas VDA o VDI que pueden enviar datos MSMQ al servidor de grabación de sesiones y se evita que las máquinas no autorizadas envíen datos al servidor de grabación de sesiones.
- Instale la funcionalidad de servidor Directory Service Integration (Integración del servicio de directorios) en cada servidor de Grabación de sesiones y máquina VDA o VDI donde esté habilitada la funcionalidad Grabación de sesiones. A continuación, reinicie el servicio de Message Queuing.
- Desde el menú Inicio de Windows, en cada servidor de Grabación de sesiones, abra Herramientas administrativas > Administración del equipo.
- Abra Servicios y aplicaciones > Cola de mensajes > Colas privadas.
-
Haga clic en la cola privada citrixsmauddata para abrir la página Propiedades y seleccione la ficha Seguridad.
-
Agregue los equipos o los grupos de seguridad de los VDA que van a enviar datos de MSMQ a ese servidor y concédales el permiso Enviar mensaje.
- Proteja adecuadamente el registro de eventos del servidor de Grabación de sesiones y de los agentes de grabación de sesiones. Se recomienda utilizar una solución de registro remoto de Windows o de terceros para proteger el registro de eventos o redirigir ese registro de eventos al servidor remoto.
- Los servidores que ejecutan los componentes de Grabación de sesiones deben estar protegidos físicamente. Si es posible, coloque estos componentes bajo llave en una habitación segura a la cual solamente personal autorizado tenga acceso.
- Aísle los servidores que ejecutan los componentes de Grabación de sesiones en un dominio o una subred diferente.
- Proteja los datos de las sesiones grabadas frente al posible acceso de usuarios que acceden a otros servidores mediante la instalación de un firewall entre el servidor de Grabación de sesiones y los demás servidores.
- Mantenga actualizados el servidor de administración de Grabación de sesiones y la base de datos SQL con las actualizaciones de seguridad más recientes de Microsoft.
- Restrinja el inicio de sesión de usuarios no administradores en la máquina de administración.
- Limite quién puede autorizar cambios de directivas de grabación y puede ver sesiones grabadas.
- Instale certificados digitales, utilice la función de firma de archivos de la grabación de sesiones y configure comunicaciones TLS en IIS.
- Configure MSMQ para usar HTTPS como transporte. Para ello, establezca el protocolo de MSMQ de Propiedades del agente de Grabación de sesiones en HTTPS. Para obtener más información, consulte Solucionar problemas de MSMQ.
-
Use TLS 1.1 o TLS 1.2 (recomendado) e inhabilite SSLv2, SSLv3 y TLS 1.0 en el servidor de Grabación de sesiones y la base de datos de Grabación de sesiones.
-
Inhabilite los conjuntos de cifrado RC4 para TLS en el servidor de Grabación de sesiones y la base de datos de Grabación de sesiones:
- Desde el editor de directivas de grupo de Microsoft, vaya a Configuración del equipo > Plantillas administrativas > Red > Opciones de configuración SSL.
- Defina la directiva Orden de conjuntos de cifrado SSL como Habilitada. De manera predeterminada, esta directiva está establecida en No configurada.
- Quite todos los conjuntos de cifrado RC4.
- Utilice la protección de reproducción. La protección de la reproducción es una función de grabación de sesiones que cifra los archivos grabados antes de que se descarguen en el reproductor de Grabación de sesiones. De forma predeterminada, esta opción está habilitada y se encuentra en las Propiedades del servidor de Grabación de sesiones.
- Siga las instrucciones de NSIT para la longitud de claves y los algoritmos de cifrado.
-
Configure TLS 1.2 para ofrecer la funcionalidad Grabación de sesiones.
Se recomienda TLS 1.2 como protocolo de comunicación para garantizar la seguridad de extremo a extremo de los componentes de Grabación de sesiones.
Para configurar TLS 1.2 y, así, ofrecer la funcionalidad Grabación de sesiones:
- Inicie sesión en la máquina donde se encuentra el servidor de Grabación de sesiones. Instale el componente y el controlador del cliente de SQL Server y establezca una criptografía segura para
.NET Framework
(versión 4 o una posterior).- Instale el controlador ODBC 11 (o una versión posterior) para Microsoft SQL Server.
- Aplique el parche rápido gradual más reciente de
.NET Framework
. - Instale
ADO.NET - SqlClient
basado en la versión de .NET Framework. Para obtener más información, consulte https://support.microsoft.com/en-us/kb/3135244. - Agregue un valor DWORD SchUseStrongCrypto = 1 en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NetFramework\v4.0.30319 y HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NetFramework\v4.0.30319.
- Reinicie la máquina.
- Inicie sesión en la máquina donde se encuentra la consola de directivas de grabación de sesiones. Aplique el último parche rápido gradual de .NET Framework y establezca una criptografía segura para .NET Framework (4 y versiones posteriores). El método para establecer una criptografía segura es el mismo que en los subpasos 1-4 y 1-5. Puede omitir estos pasos si decide instalar la consola de directivas de grabación de sesiones en el mismo equipo que el servidor de Grabación de sesiones.
- Inicie sesión en la máquina donde se encuentra el servidor de Grabación de sesiones. Instale el componente y el controlador del cliente de SQL Server y establezca una criptografía segura para
Para configurar la compatibilidad con TLS 1.2 en SQL Server con versiones anteriores a 2016, consulte https://support.microsoft.com/en-us/kb/3135244. Para usar TLS 1.2, configure HTTPS como el protocolo de comunicación de los componentes de Grabación de sesiones.