Documentazione dei prodotti
Citrix Virtual Apps and Desktops
Service Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912 LTSR
Visualizza PDF

Considerazioni sulla sicurezza e best practice

January 23, 2026
Grazie al contributo di: 
C

Nota:

La vostra organizzazione potrebbe dover soddisfare specifici standard di sicurezza per conformarsi ai requisiti normativi. Questo documento non tratta tale argomento, poiché gli standard di sicurezza cambiano nel tempo. Per informazioni aggiornate sugli standard di sicurezza e sui prodotti Citrix, consultare http://www.citrix.com/security/.

Best practice di sicurezza

Mantenere tutte le macchine nell’ambiente aggiornate con le patch di sicurezza. Un vantaggio è che è possibile utilizzare thin client come terminali, il che semplifica questa attività.

Proteggere tutte le macchine nell’ambiente con software antivirus.

Considerare l’utilizzo di software anti-malware specifico per la piattaforma.

Quando si installa il software, installarlo nei percorsi predefiniti forniti.

  • Se si installa il software in una posizione diversa dal percorso predefinito fornito, considerare l’aggiunta di misure di sicurezza aggiuntive, come autorizzazioni limitate, alla posizione del file.

Tutte le comunicazioni di rete devono essere adeguatamente protette e crittografate per corrispondere alla propria policy di sicurezza. È possibile proteggere tutte le comunicazioni tra computer Microsoft Windows utilizzando IPSec; fare riferimento alla documentazione del sistema operativo per i dettagli su come farlo. Inoltre, la comunicazione tra i dispositivi utente e i desktop è protetta tramite Citrix SecureICA, che è configurato per impostazione predefinita con crittografia a 128 bit. È possibile configurare SecureICA durante la creazione o l’aggiornamento di un Delivery Group.

Nota:

Citrix SecureICA fa parte del protocollo ICA/HDX ma non è un protocollo di sicurezza di rete conforme agli standard come Transport Layer Security (TLS). È anche possibile proteggere le comunicazioni di rete tra dispositivi utente e desktop utilizzando TLS. Per configurare TLS, vedere Transport Layer Security (TLS).

Applicare le best practice di Windows per la gestione degli account. Non creare un account su un modello o un’immagine prima che venga duplicato da Machine Creation Services o Provisioning Services. Non pianificare attività utilizzando account di dominio privilegiati archiviati. Non creare manualmente account macchina di Active Directory condivisi. Queste pratiche aiuteranno a prevenire che un attacco alla macchina ottenga password di account persistenti locali e le utilizzi per accedere a immagini condivise MCS/PVS appartenenti ad altri.

Firewall

Proteggere tutte le macchine nell’ambiente con firewall perimetrali, anche ai confini dell’enclave, se appropriato.

Tutte le macchine nell’ambiente devono essere protette da un firewall personale. Quando si installano i componenti principali e i VDA, è possibile scegliere di aprire automaticamente le porte richieste per la comunicazione dei componenti e delle funzionalità se viene rilevato il servizio Windows Firewall (anche se il firewall non è abilitato). È anche possibile scegliere di configurare manualmente tali porte del firewall. Se si utilizza un firewall diverso, è necessario configurarlo manualmente.

Se si sta migrando un ambiente convenzionale a questa versione, potrebbe essere necessario riposizionare un firewall perimetrale esistente o aggiungere nuovi firewall perimetrali. Ad esempio, supponiamo che ci sia un firewall perimetrale tra un client convenzionale e un server di database nel data center. Quando viene utilizzata questa versione, quel firewall perimetrale deve essere posizionato in modo che il desktop virtuale e il dispositivo utente siano su un lato, e i server di database e i Delivery Controller nel data center siano sull’altro lato. Pertanto, considerare la creazione di un’enclave all’interno del data center per contenere i server di database e i Controller. Considerare anche di avere protezione tra il dispositivo utente e il desktop virtuale.

Nota:

Le porte TCP 1494 e 2598 sono utilizzate per ICA e CGP e sono quindi probabilmente aperte sui firewall in modo che gli utenti esterni al data center possano accedervi. Citrix raccomanda di non utilizzare queste porte per nient’altro, per evitare la possibilità di lasciare inavvertitamente interfacce amministrative aperte agli attacchi. Le porte 1494 e 2598 sono ufficialmente registrate presso l’Internet Assigned Number Authority (http://www.iana.org/).

Sicurezza delle applicazioni

Per impedire agli utenti non amministratori di eseguire azioni dannose, si consiglia di configurare le regole di Windows AppLocker per installatori, applicazioni, eseguibili e script sull’host VDA e sul client Windows locale.

Gestire i privilegi utente

Concedere agli utenti solo le funzionalità di cui hanno bisogno. I privilegi di Microsoft Windows continuano ad essere applicati ai desktop nel modo usuale: configurare i privilegi tramite l’assegnazione dei diritti utente e le appartenenze ai gruppi tramite Criteri di gruppo. Un vantaggio di questa versione è che è possibile concedere a un utente diritti amministrativi su un desktop senza concedere anche il controllo fisico sul computer in cui è archiviato il desktop.

Prendere nota di quanto segue quando si pianificano i privilegi del desktop:

  • Per impostazione predefinita, quando gli utenti non privilegiati si connettono a un desktop, vedono il fuso orario del sistema che esegue il desktop anziché il fuso orario del proprio dispositivo utente. Per informazioni su come consentire agli utenti di vedere l’ora locale quando utilizzano i desktop, consultare l’articolo Gestisci Delivery Group.
  • Un utente che è amministratore su un desktop ha il controllo completo su quel desktop. Se un desktop è un desktop in pool anziché un desktop dedicato, l’utente deve essere considerato affidabile rispetto a tutti gli altri utenti di quel desktop, inclusi gli utenti futuri. Tutti gli utenti del desktop devono essere consapevoli del potenziale rischio permanente per la sicurezza dei propri dati posto da questa situazione. Questa considerazione non si applica ai desktop dedicati, che hanno un solo utente; quell’utente non dovrebbe essere un amministratore su nessun altro desktop.
  • Un utente che è amministratore su un desktop può generalmente installare software su quel desktop, incluso software potenzialmente dannoso. L’utente può anche potenzialmente monitorare o controllare il traffico su qualsiasi rete connessa al desktop.

Gestire i diritti di accesso

I diritti di accesso sono richiesti sia per gli account utente che per gli account computer. Come per i privilegi di Microsoft Windows, i diritti di accesso continuano ad essere applicati ai desktop nel modo usuale: configurare i diritti di accesso tramite l’assegnazione dei diritti utente e le appartenenze ai gruppi tramite Criteri di gruppo.

I diritti di accesso di Windows sono: accesso locale, accesso tramite Servizi Desktop remoto, accesso tramite la rete (accesso a questo computer dalla rete), accesso come processo batch e accesso come servizio.

Per gli account computer, concedere ai computer solo i diritti di accesso di cui hanno bisogno. Il diritto di accesso “Accesso a questo computer dalla rete” è richiesto:

  • Sui VDA, per gli account computer dei Delivery Controller
  • Sui Delivery Controller, per gli account computer dei VDA. Vedere Rilevamento Controller basato su OU di Active Directory.
  • Sui server StoreFront™, per gli account computer di altri server nello stesso gruppo di server StoreFront

Per gli account utente, concedere agli utenti solo i diritti di accesso di cui hanno bisogno.

Secondo Microsoft, per impostazione predefinita al gruppo Utenti Desktop remoto viene concesso il diritto di accesso “Consenti accesso tramite Servizi Desktop remoto” (eccetto sui controller di dominio).

La policy di sicurezza della vostra organizzazione potrebbe stabilire esplicitamente che questo gruppo debba essere rimosso da tale diritto di accesso. Considerare il seguente approccio:

  • Il Virtual Delivery Agent (VDA) per OS multi-sessione utilizza i Servizi Desktop remoto di Microsoft. È possibile configurare il gruppo Utenti Desktop remoto come gruppo con restrizioni e controllare l’appartenenza al gruppo tramite i criteri di gruppo di Active Directory. Fare riferimento alla documentazione Microsoft per maggiori informazioni.
  • Per altri componenti di Citrix Virtual Apps and Desktops™, incluso il VDA per OS a sessione singola, il gruppo Utenti Desktop remoto non è richiesto. Quindi, per tali componenti, il gruppo Utenti Desktop remoto non richiede il diritto di accesso “Consenti accesso tramite Servizi Desktop remoto”; è possibile rimuoverlo. Inoltre:
    • Se si amministrano tali computer tramite Servizi Desktop remoto, assicurarsi che tutti tali amministratori siano già membri del gruppo Administrators.
    • Se non si amministrano tali computer tramite Servizi Desktop remoto, considerare di disabilitare i Servizi Desktop remoto stessi su tali computer.

Sebbene sia possibile aggiungere utenti e gruppi al diritto di accesso “Nega accesso tramite Servizi Desktop remoto”, l’uso dei diritti di accesso negati non è generalmente raccomandato. Fare riferimento alla documentazione Microsoft per maggiori informazioni.

Configurare i diritti utente

L’installazione di Delivery Controller™ crea i seguenti servizi Windows:

  • Citrix AD Identity Service (NT SERVICE\CitrixADIdentityService): Gestisce gli account computer di Microsoft Active Directory per le VM.
  • Citrix Analytics (NT SERVICE\CitrixAnalytics): Raccoglie le informazioni sull’utilizzo della configurazione del sito per l’uso da parte di Citrix, se questa raccolta è stata approvata dall’amministratore del sito. Invia quindi queste informazioni a Citrix, per aiutare a migliorare il prodotto.
  • Citrix App Library (NT SERVICE\CitrixAppLibrary): Supporta la gestione e il provisioning di AppDisks, l’integrazione di AppDNA e la gestione di App-V.
  • Citrix Broker Service (NT SERVICE\CitrixBrokerService): Seleziona i desktop virtuali o le applicazioni disponibili per gli utenti.
  • Citrix Configuration Logging Service (NT SERVICE\CitrixConfigurationLogging): Registra tutte le modifiche di configurazione e altri cambiamenti di stato apportati dagli amministratori al sito.
  • Citrix Configuration Service (NT SERVICE\CitrixConfigurationService): Repository a livello di sito per la configurazione condivisa.
  • Citrix Delegated Administration Service (NT SERVICE\CitrixDelegatedAdmin): Gestisce le autorizzazioni concesse agli amministratori.
  • Citrix Environment Test Service (NT SERVICE\CitrixEnvTest): Gestisce i test automatici degli altri servizi Delivery Controller.
  • Citrix Host Service (NT SERVICE\CitrixHostService): Archivia le informazioni sulle infrastrutture hypervisor utilizzate in una distribuzione di Citrix Virtual Apps o Citrix Virtual Desktops e offre anche funzionalità utilizzate dalla console per enumerare le risorse in un pool hypervisor.
  • Citrix Machine Creation Services (NT SERVICE\CitrixMachineCreationService): Orchesta la creazione di VM desktop.
  • Citrix Monitor Service (NT SERVICE\CitrixMonitor): Raccoglie metriche per Citrix Virtual Apps o Citrix Virtual Desktops, archivia informazioni storiche e fornisce un’interfaccia di query per strumenti di risoluzione dei problemi e di reporting.
  • Citrix Storefront Service (NT SERVICE\ CitrixStorefront): Supporta la gestione di StoreFront. (Non fa parte del componente StoreFront stesso.)
  • Citrix Storefront Privileged Administration Service (NT SERVICE\CitrixPrivilegedService): Supporta le operazioni di gestione privilegiata di StoreFront. (Non fa parte del componente StoreFront stesso.)
  • Citrix Config Synchronizer Service (NT SERVICE\CitrixConfigSyncService): Propaga i dati di configurazione dal database del sito principale alla Local Host Cache.
  • Citrix High Availability Service (NT SERVICE\CitrixHighAvailabilityService): Seleziona i desktop virtuali o le applicazioni disponibili per gli utenti, quando il database del sito principale non è disponibile.

L’installazione di Delivery Controller crea anche i seguenti servizi Windows. Questi vengono creati anche quando installati con altri componenti Citrix:

  • Citrix Diagnostic Facility COM Server (NT SERVICE\CdfSvc): Supporta la raccolta di informazioni diagnostiche per l’uso da parte del supporto Citrix.
  • Citrix Telemetry Service (NT SERVICE\CitrixTelemetryService): Raccoglie informazioni diagnostiche per l’analisi da parte di Citrix, in modo che i risultati dell’analisi e le raccomandazioni possano essere visualizzati dagli amministratori per aiutare a diagnosticare i problemi del sito.

L’installazione di Delivery Controller crea anche il seguente servizio Windows. Questo non è attualmente utilizzato. Se è stato abilitato, disabilitarlo.

  • Citrix Remote Broker Provider (NT SERVICE\XaXdCloudProxy)

L’installazione di Delivery Controller crea anche i seguenti servizi Windows. Questi non sono attualmente utilizzati, ma devono essere abilitati. Non disabilitarli.

  • Citrix Orchestration Service (NT SERVICE\CitrixOrchestration)
  • Citrix Trust Service (NT SERVICE\CitrixTrust)

Ad eccezione del Citrix Storefront Privileged Administration Service, a questi servizi vengono concessi il diritto di accesso “Accesso come servizio” e i privilegi “Regola quote di memoria per un processo”, “Genera audit di sicurezza” e “Sostituisci un token a livello di processo”. Non è necessario modificare questi diritti utente. Questi privilegi non sono utilizzati dal Delivery Controller e sono automaticamente disabilitati.

Configurare le impostazioni del servizio

Ad eccezione del servizio Citrix Storefront Privileged Administration e del servizio Citrix Telemetry, i servizi Windows del Delivery Controller elencati sopra nella sezione Configurare i diritti utente sono configurati per accedere come identità NETWORK SERVICE. Non modificare queste impostazioni del servizio.

Il servizio Citrix Config Synchronizer necessita che l’account NETWORK SERVICE appartenga al gruppo Local Administrator sul Delivery Controller. Ciò consente alla Local Host Cache di funzionare correttamente.

Il servizio Citrix Storefront Privileged Administration è configurato per accedere come Local System (NT AUTHORITY\SYSTEM). Ciò è richiesto per le operazioni di StoreFront del Delivery Controller che normalmente non sono disponibili per i servizi (inclusa la creazione di siti Microsoft IIS). Non modificare le sue impostazioni del servizio.

Il servizio Citrix Telemetry è configurato per accedere come propria identità specifica del servizio.

È possibile disabilitare il servizio Citrix Telemetry. A parte questo servizio e i servizi già disabilitati, non disabilitare nessun altro di questi servizi Windows del Delivery Controller.

Configurare le impostazioni del Registro di sistema

Non è più necessario abilitare la creazione di nomi e cartelle di file 8.3 sul file system VDA. La chiave di registro NtfsDisable8dot3NameCreation può essere configurata per disabilitare la creazione di nomi e cartelle di file 8.3. È anche possibile configurare questo utilizzando il comando fsutil.exe behavior set disable8dot3.

Implicazioni di sicurezza dello scenario di distribuzione

L’ambiente utente può contenere dispositivi utente non gestiti dalla vostra organizzazione e completamente sotto il controllo dell’utente, oppure dispositivi utente gestiti e amministrati dalla vostra organizzazione. Le considerazioni sulla sicurezza per questi due ambienti sono generalmente diverse.

Dispositivi utente gestiti

I dispositivi utente gestiti sono sotto controllo amministrativo; sono sotto il vostro controllo o il controllo di un’altra organizzazione di cui vi fidate. Potete configurare e fornire dispositivi utente direttamente agli utenti; in alternativa, potete fornire terminali su cui un singolo desktop viene eseguito in modalità solo a schermo intero. Seguire le best practice di sicurezza generali descritte sopra per tutti i dispositivi utente gestiti. Questa versione ha il vantaggio che è richiesto un software minimo su un dispositivo utente.

Un dispositivo utente gestito può essere configurato per essere utilizzato in modalità solo a schermo intero o in modalità finestra:

  • Modalità solo a schermo intero: Gli utenti accedono con la consueta schermata di accesso a Windows. Le stesse credenziali utente vengono quindi utilizzate per accedere automaticamente a questa versione.
  • Gli utenti vedono il loro desktop in una finestra: Gli utenti accedono prima al dispositivo utente, quindi accedono a questa versione tramite un sito web fornito con la versione.

Dispositivi utente non gestiti

I dispositivi utente non gestiti e amministrati da un’organizzazione fidata non possono essere considerati sotto controllo amministrativo. Ad esempio, potreste consentire agli utenti di ottenere e configurare i propri dispositivi, ma gli utenti potrebbero non seguire le best practice di sicurezza generali descritte sopra. Questa versione ha il vantaggio che è possibile fornire desktop in modo sicuro a dispositivi utente non gestiti. Questi dispositivi dovrebbero comunque avere una protezione antivirus di base che sconfiggerà keylogger e attacchi di input simili.

Considerazioni sull’archiviazione dei dati

Quando si utilizza questa versione, è possibile impedire agli utenti di archiviare dati su dispositivi utente che sono sotto il loro controllo fisico. Tuttavia, è necessario considerare comunque le implicazioni dell’archiviazione dei dati da parte degli utenti sui desktop. Non è una buona pratica per gli utenti archiviare dati sui desktop; i dati dovrebbero essere conservati su file server, database server o altri repository dove possono essere adeguatamente protetti.

L’ambiente desktop può essere costituito da vari tipi di desktop, come desktop in pool e dedicati. Gli utenti non dovrebbero mai archiviare dati su desktop condivisi tra utenti, come i desktop in pool. Se gli utenti archiviano dati su desktop dedicati, tali dati dovrebbero essere rimossi se il desktop viene successivamente reso disponibile ad altri utenti.

Ambienti con versioni miste

Gli ambienti con versioni miste sono inevitabili durante alcuni aggiornamenti. Seguire le best practice e ridurre al minimo il tempo in cui i componenti Citrix di diverse versioni coesistono. Negli ambienti con versioni miste, la policy di sicurezza, ad esempio, potrebbe non essere applicata in modo uniforme.

Nota:

Questo è tipico di altri prodotti software; l’uso di una versione precedente di Active Directory applica solo parzialmente i Criteri di gruppo con versioni successive di Windows.

Lo scenario seguente descrive un problema di sicurezza che può verificarsi in un ambiente Citrix specifico con versioni miste. Quando Citrix Receiver 1.7 viene utilizzato per connettersi a un desktop virtuale che esegue il VDA in XenApp e XenDesktop 7.6 Feature Pack 2, l’impostazione della policy Consenti trasferimento file tra desktop e client è abilitata nel sito ma non può essere disabilitata da un Delivery Controller che esegue XenApp e XenDesktop 7.1. Non riconosce l’impostazione della policy, che è stata rilasciata nella versione successiva del prodotto. Questa impostazione della policy consente agli utenti di caricare e scaricare file sul proprio desktop virtuale, il che rappresenta il problema di sicurezza. Per ovviare a questo, aggiornare il Delivery Controller (o un’istanza autonoma di Studio) alla versione 7.6 Feature Pack 2 e quindi utilizzare i Criteri di gruppo per disabilitare l’impostazione della policy. In alternativa, utilizzare la policy locale su tutti i desktop virtuali interessati.

Considerazioni sulla sicurezza di Remote PC Access

Remote PC Access implementa le seguenti funzionalità di sicurezza:

  • L’uso di smart card è supportato.
  • Quando si connette una sessione remota, il monitor del PC dell’ufficio appare vuoto.
  • Remote PC Access reindirizza tutti gli input da tastiera e mouse alla sessione remota, eccetto CTRL+ALT+CANC e smart card e dispositivi biometrici abilitati USB.
  • SmoothRoaming è supportato solo per un singolo utente.
  • Quando un utente ha una sessione remota connessa a un PC dell’ufficio, solo quell’utente può riprendere l’accesso locale al PC dell’ufficio. Per riprendere l’accesso locale, l’utente preme Ctrl-Alt-Canc sul PC locale e quindi accede con le stesse credenziali utilizzate dalla sessione remota. L’utente può anche riprendere l’accesso locale inserendo una smart card o sfruttando la biometria, se il sistema dispone di un’integrazione appropriata di un Credential Provider di terze parti. Questo comportamento predefinito può essere sovrascritto abilitando il cambio rapido utente tramite oggetti Criteri di gruppo (GPO) o modificando il Registro di sistema.

Nota:

Citrix raccomanda di non assegnare privilegi di amministratore VDA agli utenti di sessione generici.

Assegnazioni automatiche

Per impostazione predefinita, Remote PC Access supporta l’assegnazione automatica di più utenti a un VDA. In XenDesktop 5.6 Feature Pack 1, gli amministratori potevano sovrascrivere questo comportamento utilizzando lo script PowerShell RemotePCAccess.ps1. Questa versione utilizza una voce del Registro di sistema per consentire o proibire più assegnazioni automatiche di PC remoti; questa impostazione si applica all’intero sito.

Attenzione:

La modifica errata del Registro di sistema può causare seri problemi che potrebbero richiedere la reinstallazione del sistema operativo. Citrix non può garantire che i problemi derivanti dall’uso errato dell’Editor del Registro di sistema possano essere risolti. Utilizzare l’Editor del Registro di sistema a proprio rischio. Assicurarsi di eseguire il backup del Registro di sistema prima di modificarlo.

Per limitare le assegnazioni automatiche a un singolo utente:

Su ogni Controller nel sito, impostare la seguente voce del Registro di sistema:

HKEY\_LOCAL\_MACHINE\Software\Citrix|DesktopServer
Name: AllowMultipleRemotePCAssignments
Type: REG_DWORD
Data: 0 = Disabilita assegnazione multi-utente, 1 = (Predefinito) Abilita assegnazione multi-utente.

Se esistono assegnazioni utente, rimuoverle utilizzando i comandi SDK per il VDA affinché sia successivamente idoneo per una singola assegnazione automatica.

  • Rimuovere tutti gli utenti assegnati dal VDA: $machine.AssociatedUserNames | %{ Remove-BrokerUser-Name $_ -Machine $machine
  • Rimuovere il VDA dal Delivery Group: $machine | Remove-BrokerMachine -DesktopGroup $desktopGroup

Riavviare il PC fisico dell’ufficio.

Fiducia XML

L’impostazione di fiducia XML si applica alle distribuzioni che utilizzano:

  • Un StoreFront on-premises.
  • Una tecnologia di autenticazione dell’abbonato (utente) che non richiede password. Esempi di tali tecnologie sono il pass-through di dominio, le smart card, SAML e le soluzioni Veridium.

L’abilitazione dell’impostazione di fiducia XML consente agli utenti di autenticarsi con successo e quindi avviare le applicazioni. Il Delivery Controller si fida delle credenziali inviate da StoreFront. Abilitare questa impostazione solo quando sono state protette le comunicazioni tra i Delivery Controller e StoreFront (utilizzando firewall, IPsec o altre raccomandazioni di sicurezza).

Questa impostazione è disabilitata per impostazione predefinita.

Utilizzare l’SDK PowerShell di Citrix Virtual Apps and Desktops per controllare, abilitare o disabilitare l’impostazione di fiducia XML.

  • Per controllare il valore corrente dell’impostazione di fiducia XML, eseguire Get-BrokerSite e ispezionare il valore di TrustRequestsSentToTheXMLServicePort.
  • Per abilitare la fiducia XML, eseguire Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true.
  • Per disabilitare la fiducia XML, eseguire Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $false.
Considerazioni sulla sicurezza e best practice
January 23, 2026
Grazie al contributo di: 
C
January 23, 2026
Grazie al contributo di: 
C

In questo articolo

Feedback sito | Your privacy choices footer linkScelte di privacy | Privacy e condizioni legali | Preferenze cookie | Impostazioni di consenso | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.