Asegura tu implementación de StoreFront

Este artículo destaca las áreas que pueden afectar la seguridad del sistema al implementar y configurar StoreFront.

Autenticación de usuarios finales

Normalmente, los usuarios finales deben autenticarse directamente en StoreFront o en un Citrix Gateway situado delante de StoreFront. Para obtener más información sobre los métodos de autenticación disponibles, consulta Autenticación.

Comunicación con los usuarios finales

Citrix recomienda proteger las comunicaciones entre los dispositivos de los usuarios y StoreFront mediante HTTPS. Esto garantiza que las contraseñas y otros datos enviados entre el cliente y StoreFront estén cifrados. Además, las conexiones HTTP simples pueden verse comprometidas por varios ataques, como los ataques de intermediario (man-in-the-middle), especialmente cuando las conexiones se realizan desde ubicaciones inseguras, como puntos de acceso Wi-Fi públicos. Si no se dispone de la configuración de IIS adecuada, StoreFront utiliza HTTP para las comunicaciones.

Según tu configuración, los usuarios pueden acceder a StoreFront a través de un gateway o un equilibrador de carga. Puedes finalizar la conexión HTTPS en el gateway o en el equilibrador de carga. Sin embargo, en este caso, Citrix sigue recomendando que protejas las conexiones entre el gateway o el equilibrador de carga y StoreFront mediante HTTPS.

Para habilitar HTTPS, deshabilitar HTTP y habilitar HSTS, consulta Protección de StoreFront con HTTPS.

En tu servidor virtual de NetScaler Gateway o equilibrador de carga, puedes configurar qué versiones de TLS están habilitadas. Se recomienda que deshabilites las versiones de TLS heredadas anteriores a la 1.2.

En los servidores StoreFront, Windows e IIS determinan qué versiones de TLS están permitidas para las conexiones entrantes. Se recomienda que deshabilites las versiones de TLS heredadas anteriores a la 1.2. En Windows Server 2022, puedes configurar IIS para deshabilitar TLS 1.0 y 1.1 para las conexiones de cliente; consulta Protección de StoreFront con HTTPS. En todas las versiones de servidor de Windows, puedes deshabilitar TLS 1.0 y 1.1 mediante la Directiva de grupo o la configuración del Registro de Windows; consulta la documentación de Microsoft.

Las versiones anteriores de Citrix Receiver no pueden conectarse mediante TLS 1.2; consulta CTX232266 para obtener más detalles.

Comunicación con los Delivery Controllers

Citrix recomienda usar el protocolo HTTPS para proteger los datos que pasan entre StoreFront y tus Delivery Controllers de Citrix Virtual Apps and Desktops. Para obtener más información, consulta Habilitar HTTPS en los Delivery Controllers. Para configurar StoreFront para que use HTTPS, consulta Agregar fuentes de recursos para Citrix Virtual Apps and Desktops y Agregar dispositivo Citrix Gateway. En caso de que los certificados se vean comprometidos, puedes usar la comprobación de la lista de revocación de certificados (CRL). StoreFront usa TLS 1.2 o superior para comunicarse con los Delivery Controllers.

Se recomienda que configures el Delivery Controller y StoreFront para garantizar que solo los servidores StoreFront de confianza puedan comunicarse con el Delivery Controller; consulta Administrar claves de seguridad.

Comunicación con los Cloud Connectors

Citrix recomienda usar el protocolo HTTPS para proteger los datos que pasan entre StoreFront y tus Cloud Connectors. Consulta Configuración de HTTPS. Para configurar StoreFront, consulta Agregar fuentes de recursos para Citrix Desktops as a Service y Agregar dispositivo Citrix Gateway. En caso de que los certificados se vean comprometidos, puedes usar la comprobación de la lista de revocación de certificados (CRL). StoreFront usa TLS 1.2 o superior para comunicarse con los Cloud Connectors.

Se recomienda que configures DaaS y StoreFront para garantizar que solo los servidores StoreFront de confianza puedan comunicarse con los Cloud Connectors. Para obtener más información, consulta Administrar claves de seguridad.

Comunicación con el Federated Authentication Service

Para obtener información sobre la comunicación entre StoreFront y los servidores de Federated Authentication Service (FAS), consulta Federated Authentication Service - Configuración de seguridad y red.

Acceso remoto

Citrix no recomienda exponer tu servidor StoreFront directamente a Internet. Citrix recomienda usar un Citrix Gateway para proporcionar autenticación y acceso a los usuarios remotos.

Refuerzo de Microsoft Internet Information Services (IIS)

Puedes configurar StoreFront con una configuración de IIS restringida. Ten en cuenta que esta no es la configuración predeterminada de IIS.

Extensiones de nombre de archivo

Puedes usar el filtrado de solicitudes para configurar listas de extensiones de archivo permitidas y denegar las extensiones de nombre de archivo no listadas. Consulta la documentación de IIS.

StoreFront requiere las siguientes extensiones de nombre de archivo:

• . (extensión en blanco)
• .appcache
• .aspx
• .cr
• .css
• .dtd
• .gif
• .htm
• .html
• .ica®
• .ico
• .jpg
• .js
• .png
• .svg
• .txt
• .xml

Si la descarga o actualización de la aplicación Citrix Workspace está habilitada para un sitio web de la tienda, StoreFront también requiere estas extensiones de nombre de archivo:

• .dmg
• .exe

Si la aplicación Citrix Workspace para HTML5 está habilitada, StoreFront también requiere estas extensiones de nombre de archivo:

• .eot
• .ttf
• .woff
• .wasm

Verbos

Puedes usar el filtrado de solicitudes para configurar una lista de verbos permitidos y denegar los verbos no listados. Consulta la documentación de IIS.

• GET
• POST
• HEAD

Caracteres no ASCII en las URL

Si te aseguras de que el nombre de la tienda y el nombre del sitio web solo usen caracteres ASCII, las URL de StoreFront no contendrán caracteres ASCII. Puedes usar el filtrado de solicitudes para denegar los caracteres no ASCII. Consulta la documentación de IIS.

Tipos MIME

Puedes quitar los tipos MIME de shell del sistema operativo correspondientes a las siguientes extensiones de archivo:

• .exe
• .dll
• .com
• .bat
• .csh

Consulta la documentación de IIS.

Quitar el encabezado X-Powered-By

De forma predeterminada, IIS incluye un encabezado X-Powered-By con el valor ASP.NET. Puedes configurar IIS para quitar este encabezado. Consulta la documentación de encabezados personalizados de IIS.

Quitar el encabezado Server con la versión de IIS

De forma predeterminada, IIS informa de la versión de IIS agregando un encabezado Server. Puedes configurar IIS para quitar este encabezado. Consulta la documentación de filtrado de solicitudes de IIS.

Mover el sitio web de StoreFront a una partición separada

Puedes alojar los sitios web de StoreFront en una partición separada de los archivos del sistema. Dentro de IIS, debes mover el Sitio web predeterminado o crear un sitio separado en la partición adecuada antes de crear tu implementación de StoreFront.

Funciones de IIS

Para obtener la lista de funciones de IIS instaladas y utilizadas por StoreFront, consulta Requisitos del sistema. Puedes quitar otras funciones de IIS.

Aunque StoreFront no usa filtros ISAPI directamente, la función es requerida por ASP.NET, por lo que no se puede desinstalar.

Asignaciones de controladores

StoreFront requiere las siguientes asignaciones de controladores. Puedes quitar otras asignaciones de controladores.

• ExtensionlessUrlHandler-Integrated-4.0
• PageHandlerFactory-Integrated-4.0
• StaticFile

Consulta la documentación de controladores de IIS.

Filtros ISAPI

StoreFront no requiere ningún filtro ISAPI. Puedes quitar todos los filtros ISAPI. Sin embargo, ASP.NET requiere la función de Windows ISAPI. Consulta la documentación de filtros ISAPI de IIS.

Reglas de autorización de .NET

De forma predeterminada, los servidores IIS tienen la “Regla de autorización de .NET” establecida en Permitir a todos los usuarios. De forma predeterminada, el sitio web utilizado por StoreFront hereda esta configuración.

Si quitas o cambias la regla de autorización de .NET a nivel de servidor, debes anular las reglas en el sitio web utilizado por StoreFront para agregar una regla de permiso para “Todos los usuarios” y quitar cualquier otra regla.

Modo minorista

Puedes habilitar el modo minorista; consulta la documentación de IIS.

Grupos de aplicaciones

StoreFront crea los siguientes grupos de aplicaciones:

• Citrix Configuration Api
• Citrix Delivery Services Authentication
• Citrix Delivery Services Resources
• y Citrix Receiver™ para Web

No cambies los grupos de aplicaciones utilizados por cada aplicación IIS ni la identidad de cada grupo. Si estás utilizando varios sitios, no es posible configurar cada sitio para que use grupos de aplicaciones separados.

En la configuración de Reciclaje, puedes establecer el tiempo de inactividad del grupo de aplicaciones y el límite de memoria virtual. Ten en cuenta que cuando el grupo de aplicaciones “Citrix Receiver para Web” se recicla, los usuarios que han iniciado sesión a través de un navegador web se cierran la sesión, por lo que, de forma predeterminada, se configura para reciclarse a las 02:00 cada día para minimizar las interrupciones. Si cambias cualquiera de las configuraciones de reciclaje, esto puede provocar que los usuarios cierren la sesión en otros momentos del día.

Página de aterrizaje predeterminada de IIS

Puedes quitar los archivos iisstart.htm y welcome.png de c:\inetpub\wwwroot.

Configuración requerida

• No cambies la configuración de autenticación de IIS. StoreFront gestiona la autenticación y configura los directorios del sitio de StoreFront con la configuración de autenticación adecuada.
• Para el servidor StoreFront, en Configuración SSL, no selecciones Certificados de cliente: Requerir. La instalación de StoreFront configura las páginas adecuadas del sitio de StoreFront con esta opción.
• StoreFront requiere cookies para el estado de la sesión y otras funcionalidades. En ciertos directorios, en Estado de sesión, Configuración de cookies, Modo debe establecerse en Usar cookies.
• StoreFront requiere que el Nivel de confianza de .NET se establezca en Confianza total. No establezcas el nivel de confianza de .NET en ningún otro valor.

Servicios

La instalación de StoreFront crea los siguientes servicios de Windows:

• Citrix Configuration Replication (NT SERVICE\CitrixConfigurationReplication)
• Citrix Cluster Join (NT SERVICE\CitrixClusterService)
• Citrix Peer Resolution (NT SERVICE\Citrix Peer Resolution Service)
• Citrix Credential Wallet (NT SERVICE\CitrixCredentialWallet)
• Citrix Subscriptions Store (NT SERVICE\CitrixSubscriptionsStore)
• Citrix Default Domain Services (NT SERVICE\CitrixDefaultDomainService)

Estas cuentas inician sesión como Network Service. No cambies esta configuración.

Si configuras la delegación restringida de Kerberos de StoreFront para XenApp 6.5, esto crea además el servicio Citrix StoreFront Protocol Transition (NT SERVICE\CitrixStoreFrontProtocolTransition). Este servicio se ejecuta como NT AUTHORITY\SYSTEM. No cambies esta configuración.

Asignación de derechos de usuario

Modificar la asignación de derechos de usuario de los valores predeterminados puede causar problemas con StoreFront. En particular:

• Microsoft IIS se habilita como parte de la instalación de StoreFront. Microsoft IIS concede el derecho de inicio de sesión Iniciar sesión como trabajo por lotes y el privilegio Suplantar a un cliente después de la autenticación al grupo integrado IIS_IUSRS. Este es el comportamiento normal de la instalación de Microsoft IIS. No cambies estos derechos de usuario. Consulta la documentación de Microsoft para obtener más detalles.

• Cuando instalas StoreFront, crea grupos de aplicaciones a los que IIS concede los derechos de usuario Iniciar sesión como servicio, Ajustar cuotas de memoria para un proceso, Generar auditorías de seguridad y Reemplazar un token de nivel de proceso.

• Para crear o cambiar una implementación, el administrador debe tener los derechos Restaurar archivos y directorios.

• Para que un servidor se una a un grupo de servidores, el grupo Administradores debe tener los derechos Restaurar archivos y directorios, Acceder a este equipo desde la red y Administrar el registro de auditoría y seguridad.

• Para que los usuarios inicien sesión con autenticación de nombre de usuario y contraseña (directamente o a través de una puerta de enlace), deben tener derechos para Permitir el inicio de sesión localmente, a menos que hayas configurado StoreFront para validar las contraseñas a través del controlador de entrega.

Esta no es una lista exhaustiva y es posible que se requieran otros derechos de acceso de usuario.

Configurar las pertenencias a grupos

Cuando configuras un grupo de servidores de StoreFront, los siguientes servicios se agregan al grupo de seguridad Administradores:

• Citrix Configuration Replication (NT SERVICE\CitrixConfigurationReplication)
• Citrix Cluster Join (NT SERVICE\CitrixClusterService). Este servicio solo se ve en servidores que forman parte de un grupo y solo se ejecuta mientras la unión está en curso.

Estas pertenencias a grupos son necesarias para que StoreFront funcione correctamente, para:

• Crear, exportar, importar y quitar certificados, y establecer permisos de acceso en ellos
• Leer y escribir el registro de Windows
• Agregar y quitar ensamblados de Microsoft .NET Framework en la caché global de ensamblados (GAC)
• Acceder a la carpeta Program Files\Citrix\<StoreFrontLocation>
• Agregar, modificar y quitar identidades de grupos de aplicaciones de IIS y aplicaciones web de IIS
• Agregar, modificar y quitar grupos de seguridad locales y reglas de firewall
• Agregar y quitar servicios de Windows y complementos de PowerShell
• Registrar puntos finales de Microsoft Windows Communication Framework (WCF)

En las actualizaciones de StoreFront, esta lista de operaciones podría cambiar sin previo aviso.

La instalación de StoreFront también crea los siguientes grupos de seguridad locales:

• CitrixClusterMembers
• CitrixCWServiceReadUsers
• CitrixCWServiceWriteUsers
• CitrixDelegatedAuthenticatorUsers
• CitrixDelegatedDirectoryClaimFactoryUsers
• CitrixPNRSReplicators
• CitrixPNRSUsers
• CitrixStoreFrontAdministrators
• CitrixSubscriptionServerUsers
• CitrixSubscriptionsStoreServiceUsers
• CitrixSubscriptionsSyncUsers

StoreFront mantiene la pertenencia a estos grupos de seguridad. Se usan para el control de acceso dentro de StoreFront y no se aplican a recursos de Windows como archivos y carpetas. No modifiques estas pertenencias a grupos.

NTLM

Si tienes favoritos habilitados usando la base de datos ESENT local, StoreFront usa NTLM al sincronizar favoritos entre servidores en un grupo de servidores. Si deshabilitas NTLM, los favoritos no se sincronizarán. Esto podría resolverse usando StoreFront 2203 CU7 o superior. Como alternativa, puedes usar una base de datos de SQL Server.

StoreFront usa NTLM al sincronizar credenciales entre servidores en un grupo de servidores. Si NTLM está deshabilitado, es posible que los usuarios necesiten volver a autenticarse si el equilibrador de carga cambia el servidor al que está conectado el usuario. Esto podría resolverse usando StoreFront CU7 o superior. Esto se puede mitigar usando el equilibrio de carga persistente. Ten en cuenta que para el acceso al navegador web, el equilibrio de carga persistente siempre es necesario.

Si los usuarios se autentican usando la autenticación de paso a través de dominio, por defecto IIS usa Kerberos si es posible; de lo contrario, recurre a NTLM. Si hay un equilibrador de carga delante de StoreFront, siempre recurre a NTLM.

Puedes configurar el servidor para que solo use NTLMv2 y rechace NTLMv1; consulta la documentación de Microsoft. En Windows Server 2025 y versiones posteriores, NTLMv1 se ha quitado, por lo que siempre se usa NTLMv2.

Certificados en StoreFront

Certificados de servidor

Los certificados de servidor se usan para la identificación de la máquina y la seguridad de transporte de Transport Layer Security (TLS) en StoreFront. Si decides habilitar la firma de archivos ICA, StoreFront también puede usar certificados para firmar digitalmente los archivos ICA.

Para obtener más información, consulta Comunicación entre usuarios finales y StoreFront y Firma de archivos ICA.

Certificados de gestión de tokens

Los servicios de autenticación y los almacenes requieren certificados para la gestión de tokens. StoreFront genera un certificado autofirmado cuando se crea un servicio de autenticación o un almacén. Los certificados autofirmados generados por StoreFront no deben usarse para ningún otro propósito.

Certificados de Citrix Delivery Services

StoreFront guarda varios certificados en un almacén de certificados de Windows personalizado (Citrix Delivery Services). El servicio Citrix Configuration Replication, el servicio Citrix Credential Wallet y el servicio Citrix Subscriptions Store usan estos certificados. Cada servidor StoreFront en un clúster tiene una copia de estos certificados. Estos servicios no dependen de TLS para comunicaciones seguras, y estos certificados no se usan como certificados de servidor TLS. Estos certificados se crean cuando se crea un almacén de StoreFront o se instala StoreFront. No modifiques el contenido de este almacén de certificados de Windows.

Certificados de firma de código

StoreFront incluye varios scripts de PowerShell (.ps1) en la carpeta <InstallDirectory>\Scripts. La instalación predeterminada de StoreFront no usa estos scripts. Simplifican los pasos de configuración para tareas específicas e infrecuentes. Estos scripts están firmados, lo que permite a StoreFront admitir la política de ejecución de PowerShell. Recomendamos la política AllSigned. (La política Restricted no es compatible, ya que impide la ejecución de scripts de PowerShell). StoreFront no altera la política de ejecución de PowerShell.

Aunque StoreFront no instala un certificado de firma de código en el almacén de editores de confianza, Windows puede agregar automáticamente el certificado de firma de código allí. Esto sucede cuando el script de PowerShell se ejecuta con la opción Ejecutar siempre. (Si seleccionas la opción Nunca ejecutar, el certificado se agrega al almacén de certificados no confiables, y los scripts de PowerShell de StoreFront no se ejecutarán). Una vez que el certificado de firma de código se ha agregado al almacén de editores de confianza, Windows ya no verifica su caducidad. Puedes quitar este certificado del almacén de editores de confianza una vez que se hayan completado las tareas de StoreFront.

Separación de seguridad de StoreFront

Si implementas aplicaciones web en tu servidor StoreFront en el mismo dominio web (nombre de dominio y puerto) que StoreFront, cualquier riesgo de seguridad en esas aplicaciones web podría reducir potencialmente la seguridad de tu implementación de StoreFront. Cuando se requiere un mayor grado de separación de seguridad, Citrix recomienda que implementes StoreFront en un dominio web separado.

Descargas de ICA

Los archivos ICA contienen la información para conectarse a los VDA y, a menudo, para iniciar sesión en ellos sin autenticación adicional. Por lo tanto, asegúrate de que los archivos ICA estén protegidos. Para lanzamientos híbridos, dependiendo de la configuración, los archivos ICA pueden descargarse en el dispositivo del usuario. Se recomienda que deshabilites las descargas de ICA. Para obtener más información, consulta Implementación de la aplicación Workspace.

Firma de archivos ICA

StoreFront ofrece la opción de firmar digitalmente archivos ICA usando un certificado especificado en el servidor para que las versiones de la aplicación Citrix Workspace que admiten esta función puedan verificar que el archivo proviene de una fuente confiable. Los archivos ICA se pueden firmar usando cualquier algoritmo hash compatible con el sistema operativo que se ejecuta en el servidor StoreFront, incluidos SHA-1 y SHA-256. Para obtener más información, consulta Habilitar la firma de archivos ICA.

Cambio de contraseña de usuario

Puedes permitir que los usuarios que inician sesión a través de un navegador web con credenciales de dominio de Active Directory cambien sus contraseñas, ya sea en cualquier momento o solo cuando hayan caducado. Sin embargo, esto expone funciones de seguridad sensibles a cualquiera que pueda acceder a cualquiera de los almacenes que usan el servicio de autenticación. Si tu organización tiene una política de seguridad que reserva las funciones de cambio de contraseña de usuario solo para uso interno, asegúrate de que ninguno de los almacenes sea accesible desde fuera de tu red corporativa. Cuando creas el servicio de autenticación, la configuración predeterminada impide que los usuarios cambien sus contraseñas, incluso si han caducado. Para obtener más información, consulta Permitir que los usuarios cambien sus contraseñas.

Personalizaciones

Para fortalecer la seguridad, no escribas personalizaciones que carguen contenido o scripts de servidores que no estén bajo tu control. Copia el contenido o el script en la carpeta personalizada del sitio web donde estás realizando las personalizaciones. Si StoreFront está configurado para conexiones HTTPS, asegúrate de que cualquier enlace a contenido o scripts personalizados también use HTTPS.

Encabezados de seguridad

Al ver un sitio web de almacén a través de un navegador web, StoreFront devuelve los siguientes encabezados relacionados con la seguridad que imponen restricciones al navegador web.

Cookies

StoreFront usa varias cookies. Algunas de las cookies usadas en el funcionamiento del sitio web son las siguientes:

StoreFront establece otras cookies para rastrear el estado del usuario, algunas de las cuales deben ser leídas por JavaScript, por lo que no tienen HttpOnly establecido. Estas cookies no contienen ninguna información relacionada con la autenticación u otra información confidencial.

Si el cliente se conecta a través de HTTPS, establece el atributo secure al crear o actualizar cookies.

Información de seguridad adicional

Nota:

Esta información puede cambiar en cualquier momento, sin previo aviso.

Tu organización puede querer realizar escaneos de seguridad de StoreFront por razones regulatorias. Las opciones de configuración anteriores pueden ayudar a eliminar algunos hallazgos en los informes de escaneo de seguridad.

Si hay una puerta de enlace entre el escáner de seguridad y StoreFront, los hallazgos particulares pueden relacionarse con la puerta de enlace en lugar de con StoreFront en sí. Los informes de escaneo de seguridad generalmente no distinguen estos hallazgos (por ejemplo, la configuración de TLS). Debido a esto, las descripciones técnicas en los informes de escaneo de seguridad pueden ser engañosas.