Documentación de productos
XenApp and XenDesktop
7.15 LTSR
Ver PDF

Recomendaciones de seguridad

May 20, 2026
Contribución de: 
C C

Session Recording se implementa dentro de una red segura y es accesible por los administradores, por lo que es seguro. La implementación predeterminada es sencilla y las funciones de seguridad, como la firma digital y el cifrado, se pueden configurar opcionalmente.

La comunicación entre los componentes de Session Recording se logra a través de Internet Information Services (IIS) y Microsoft Message Queuing (MSMQ). IIS proporciona el enlace de comunicación de servicios web entre los componentes de Session Recording. MSMQ proporciona un mecanismo de transporte de datos fiable para enviar los datos de sesión grabados desde el Agente de Session Recording al Servidor de Session Recording.

Advertencia:

La edición incorrecta del registro puede causar problemas graves que podrían requerir la reinstalación del sistema operativo. Citrix® no puede garantizar que los problemas resultantes del uso incorrecto del Editor del Registro puedan resolverse. Utilice el Editor del Registro bajo su propia responsabilidad. Asegúrese de hacer una copia de seguridad del registro antes de editarlo.

Tenga en cuenta estas recomendaciones de seguridad al planificar su implementación:

  • Asegúrese de aislar correctamente los diferentes roles de administrador en la red corporativa, en el sistema de Session Recording o en máquinas individuales. Si no lo hace, podrían producirse amenazas de seguridad que afecten a la funcionalidad del sistema o abusen de él. Le recomendamos que asigne diferentes roles de administrador a diferentes personas o cuentas. No permita que los usuarios de sesión generales tengan privilegios de administrador en el sistema VDA.
    • Los administradores de XenApp and XenDesktop® no conceden el rol de administrador local de VDA a ningún usuario de aplicaciones o escritorios publicados. Si el rol de administrador local es un requisito, proteja los componentes del Agente de Session Recording utilizando mecanismos de Windows o soluciones de terceros.
    • Asigne por separado el administrador de la base de datos de Session Recording y el administrador de directivas de Session Recording.
    • Le recomendamos que no asigne privilegios de administrador de VDA a los usuarios de sesión generales, especialmente cuando utilice Acceso con PC remoto.
    • La cuenta de administración local del Servidor de Session Recording debe protegerse estrictamente.
    • Controle el acceso a las máquinas donde está instalado el Reproductor de Session Recording. Si un usuario no está autorizado para el rol de Reproductor, no le conceda el rol de administrador local para ninguna máquina de reproductor. Deshabilite el acceso anónimo.
    • Recomendamos utilizar una máquina física como servidor de almacenamiento para Session Recording.

  • Session Recording registra las actividades gráficas de la sesión sin tener en cuenta la confidencialidad de los datos. En determinadas circunstancias, los datos confidenciales (incluidas, entre otras, las credenciales de usuario, la información de privacidad y las pantallas de terceros) podrían grabarse de forma involuntaria. Tome las siguientes medidas para evitar riesgos:

    • Deshabilite el volcado de memoria principal para los VDA, a menos que sea para casos específicos de solución de problemas.

      Para deshabilitar el volcado de memoria principal:

      1. Haga clic con el botón secundario en Mi PC y, a continuación, seleccione Propiedades.
      2. Haga clic en la ficha Opciones avanzadas y, a continuación, en Inicio y recuperación, haga clic en Configuración.
      3. En Escribir información de depuración, seleccione (ninguno).

      Consulte el artículo de Microsoft en https://support.microsoft.com/es-es/kb/307973.

    • Los propietarios de las sesiones deben notificar a los asistentes que las reuniones en línea y el software de asistencia remota podrían grabarse si se está grabando una sesión de escritorio.

    • Asegúrese de que las credenciales de inicio de sesión o la información de seguridad no aparezcan en todas las aplicaciones locales y web publicadas o utilizadas dentro de la empresa. De lo contrario, serán grabadas por Session Recording.

    • Cierre cualquier aplicación que pueda exponer información confidencial antes de cambiar a una sesión ICA® remota.

    • Recomendamos únicamente métodos de autenticación automática (por ejemplo, inicio de sesión único, tarjeta inteligente) para acceder a escritorios publicados o aplicaciones de Software como servicio (SaaS).

  • Session Recording se basa en cierto hardware y en la infraestructura de hardware (por ejemplo, dispositivos de red corporativos, sistema operativo) para funcionar correctamente y satisfacer las necesidades de seguridad. Tome medidas a nivel de infraestructura para evitar daños o abusos a esas infraestructuras y para que la función de Session Recording sea segura y fiable.
    • Proteja y mantenga disponible la infraestructura de red que admite Session Recording.
    • Recomendamos usar una solución de seguridad de terceros o un mecanismo de Windows para proteger los componentes de Session Recording. Los componentes de Session Recording incluyen:
      • En el servidor de Session Recording
        • Procesos: SsRecStoragemanager.exe y SsRecAnalyticsService.exe
        • Servicios: CitrixSsRecStorageManager y CitrixSsRecAnalyticsService
        • Todos los archivos de la carpeta de instalación del servidor de grabación de sesiones
        • Valores de clave del Registro en HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartAuditor\Server
      • En el agente de grabación de sesiones
        • Proceso: SsRecAgent.exe
        • Servicio: CitrixSmAudAgent
        • Todos los archivos de la carpeta de instalación del agente de grabación de sesiones
        • Valores de clave del Registro en HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartAuditor\Agent
  • Establezca la lista de control de acceso (ACL) para Message Queuing (MSMQ) en el servidor de grabación de sesiones para restringir las máquinas VDA o VDI que pueden enviar datos MSMQ al servidor de grabación de sesiones e impedir que máquinas no autorizadas envíen datos al servidor de grabación de sesiones.

  1. Instale la función de servidor Integración de servicios de directorio en cada servidor de grabación de sesiones y máquina VDA o VDI donde la grabación de sesiones esté habilitada. A continuación, reinicie el servicio Message Queuing.

  2. En el menú Inicio de Windows de cada servidor de grabación de sesiones, abra Herramientas administrativas > Administración de equipos.

  3. Abra Servicios y aplicaciones > Message Queuing > Colas privadas.

  4. Haga clic en la cola privada citrixsmauddata para abrir la página Propiedades y seleccione la ficha Seguridad.

    Imagen localizada

  5. Agregue los equipos o grupos de seguridad de los VDA que envían datos MSMQ a este servidor y concédales el permiso Enviar mensaje.

    Imagen localizada

  • Proteja adecuadamente el registro de eventos del servidor de grabación de sesiones y de los agentes de grabación de sesiones. Recomendamos usar una solución de registro remoto de Windows o de terceros para proteger el registro de eventos o redirigirlo al servidor remoto.
  • Asegúrese de que los servidores que ejecutan los componentes de grabación de sesiones estén físicamente seguros. Si es posible, bloquee estos equipos en una sala segura a la que solo el personal autorizado pueda acceder directamente.
  • Aísle los servidores que ejecutan los componentes de grabación de sesiones en una subred o dominio independiente.
  • Proteja los datos de las sesiones grabadas de los usuarios que acceden a otros servidores instalando un firewall entre el servidor de grabación de sesiones y otros servidores.
  • Mantenga el servidor de administración de grabación de sesiones y la base de datos SQL actualizados con las últimas actualizaciones de seguridad de Microsoft.
  • Restrinja el inicio de sesión de los no administradores en la máquina de administración.
  • Limite estrictamente quién está autorizado para realizar cambios en la directiva de grabación y ver las sesiones grabadas.
  • Instale certificados digitales, use la función de firma de archivos de grabación de sesiones y configure las comunicaciones TLS en IIS.
  • Configure MSMQ para usar HTTPS como su transporte. La forma de hacerlo es establecer el protocolo MSMQ que aparece en Propiedades del agente de grabación de sesiones en HTTPS. Para obtener más información, consulte Solucionar problemas de MSMQ.

  • Utilice TLS 1.1 o TLS 1.2 (recomendado) y deshabilite SSLv2, SSLv3, TLS 1.0 en el Servidor de grabación de sesiones y la Base de datos de grabación de sesiones. Para obtener más información, consulte el artículo de Microsoft en https://support.microsoft.com/default.aspx?scid=kb;en-us;187498.

    Deshabilite los conjuntos de cifrado RC4 para TLS en el servidor de grabación de sesiones y la base de datos de grabación de sesiones:

  1. Con el Editor de directivas de grupo de Microsoft, vaya a Configuración del equipo > Plantillas administrativas > Red > Configuración de SSL.
  2. Establezca la directiva Orden de conjuntos de cifrado SSL en Habilitado. De forma predeterminada, esta directiva está establecida en No configurado.
  3. Elimine cualquier conjunto de cifrado RC4.
  • Use la protección de reproducción. La protección de reproducción es una función de grabación de sesiones que cifra los archivos grabados antes de que se descarguen en el reproductor de grabación de sesiones. De forma predeterminada, esta opción está habilitada y se encuentra en Propiedades del servidor de grabación de sesiones.
  • Siga las directrices de NSIT para las longitudes de clave criptográfica y los algoritmos criptográficos.
  • Configure la compatibilidad con TLS 1.2 para Grabación de sesiones.
    • Recomendamos usar TLS 1.2 como protocolo de comunicación para garantizar la seguridad de extremo a extremo de los componentes de Grabación de sesiones. Para configurar la compatibilidad con TLS 1.2 de Grabación de sesiones:
      1. Inicie sesión en la máquina que aloja el servidor de Grabación de sesiones. Instale el componente cliente y el controlador de SQL Server adecuados, y configure una criptografía segura para .NET Framework (versión 4 o posterior).
      1. Instale el controlador ODBC 11 de Microsoft (o una versión posterior) para SQL Server.
      2. Aplique el paquete acumulativo de revisiones más reciente de .NET Framework.
      3. Instale ADO.NET - SqlClient según su versión de .NET Framework. Para obtener más información, consulte https://support.microsoft.com/es-es/kb/3135244.
      4. Agregue un valor DWORD SchUseStrongCrypto = 1 en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NetFramework\v4.0.30319 y HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NetFramework\v4.0.30319.
      5. Reinicie la máquina. 2. Inicie sesión en la máquina que aloja la Consola de directivas de Grabación de sesiones. Aplique el paquete acumulativo de revisiones más reciente de .NET Framework y configure una criptografía segura para .NET Framework (versión 4 o posterior). El método para configurar una criptografía segura es el mismo que en los subpasos 1-d y 1-e. Puede omitir estos pasos si decide instalar la Consola de directivas de Grabación de sesiones en el mismo equipo que el servidor de Grabación de sesiones.

Para configurar la compatibilidad con TLS 1.2 para SQL Server con versiones anteriores a 2016, consulte https://support.microsoft.com/es-es/kb/3135244. Para usar TLS 1.2, configure HTTPS como protocolo de comunicación para los componentes de Grabación de sesiones.

Para obtener información sobre cómo configurar las funciones de seguridad de Grabación de sesiones, consulte Configuring Security Features of Session Recording.

Recomendaciones de seguridad
May 20, 2026
Contribución de: 
C C
May 20, 2026
Contribución de: 
C C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.