Considerações de segurança e práticas recomendadas
Nota:
Sua organização talvez precise atender a padrões de segurança específicos para atender aos requisitos regulamentares. Este documento não cobre esse assunto, porque tais padrões de segurança mudam ao longo do tempo. Para obter informações atualizadas sobre padrões de segurança e produtos Citrix, consulte http://www.citrix.com/security/.
Práticas de segurança recomendadas
Mantenha todos os computadores em seu ambiente atualizados com os patches de segurança. Uma vantagem é que você pode usar thin clients como terminais, o que simplifica essa tarefa.
Proteja todos os computadores no seu ambiente com software antivírus.
Considere usar um software antimalware específico à plataforma.
Ao instalar o software, instale nos caminhos padrão fornecidos.
- Se você instalar o software em um local de arquivo diferente do caminho padrão fornecido, considere adicionar medidas de segurança adicionais, como permissões restritas, ao local do seu arquivo.
Todas as comunicações de rede devem ser devidamente protegidas e criptografadas para corresponder à sua política de segurança. Você pode proteger toda a comunicação entre computadores Microsoft Windows usando IPsec; consulte a documentação do seu sistema operacional para obter detalhes sobre como fazer isso. Além disso, a comunicação entre dispositivos de usuário e áreas de trabalho é protegida pelo Citrix SecureICA, que é configurado por padrão para criptografia de 128 bits. Você pode configurar o SecureICA quando estiver criando ou atualizando um grupo de entrega.
Nota:
O Citrix SecureICA faz parte do protocolo ICA/HDX, mas não é um protocolo de segurança de rede compatível com padrões, como Transport Layer Security (TLS). Você também pode proteger as comunicações de rede entre dispositivos de usuário e áreas de trabalho usando o TLS. Para configurar o TLS, consulte Transport Layer Security (TLS).
Aplique as práticas recomendadas do Windows para gerenciamento de contas. Não crie uma conta em um modelo ou imagem antes que sejam duplicados pelo Machine Creation Services ou Provisioning Services. Não agende tarefas usando contas de domínio privilegiado armazenadas. Não crie manualmente contas de computadores Active Directory compartilhados. Essas práticas ajudarão a evitar que um ataque ao computador obtenha senhas de contas persistentes locais e, em seguida, as utilize para fazer logon em imagens compartilhadas do MCS/PVS pertencentes a outras pessoas.
Firewalls
Proteja todos os computadores em seu ambiente com firewalls de perímetro, inclusive em limites de enclave conforme apropriado.
Todos os computadores do seu ambiente devem ser protegidos por um firewall pessoal. Ao instalar componentes principais e VDAs, você pode optar por ter as portas necessárias para a comunicação de componentes e recursos abertos automaticamente se o Serviço do Firewall do Windows for detectado (mesmo que o firewall não esteja ativado). Você também pode optar por configurar essas portas de firewall manualmente. Se você usar um firewall diferente, deverá configurá-lo manualmente.
Se você estiver migrando um ambiente convencional para esta versão, talvez seja necessário reposicionar um firewall de perímetro existente ou adicionar novos firewalls de perímetro. Por exemplo, suponha que haja um firewall de perímetro entre um cliente convencional e um servidor de banco de dados no data center. Quando você usa essa versão, o firewall de perímetro deve ser dispositivo de modo que a área de trabalho virtual e o dispositivo do usuário estejam de um lado, e os servidores de banco de dados e os Delivery Controllers no data center estejam do outro lado. Portanto, considere criar um enclave dentro do seu data center para conter os servidores do banco de dados e os Controllers. Considere também aplicar proteção entre o dispositivo do usuário e a área de trabalho virtual.
Nota:
As portas TCP 1494 e 2598 são usadas para ICA e CGP e, portanto, provavelmente estarão abertas em firewalls para que usuários fora do data center possam acessá-los. A Citrix recomenda que você não use essas portas para nenhuma outra coisa, para evitar a possibilidade de deixar inadvertidamente as interfaces administrativas abertas ao ataque. As portas 1494 e 2598 são oficialmente registradas na IANA (Internet Assigned Number Authority, http://www.iana.org/).
Segurança de aplicativos
Para evitar que usuários não administradores executem ações maliciosas, recomendamos que você configure as regras do Windows AppLocker para instaladores, aplicativos, executáveis e scripts no host VDA e no cliente Windows local.
Gerenciar privilégios de usuário
Conceda aos usuários apenas os recursos necessários. Os privilégios do Microsoft Windows continuam a ser aplicados às áreas de trabalho da maneira usual: configure privilégios por meio de Atribuição de Direitos de Usuário e filiações a grupos por meio da Política de Grupo. Uma vantagem desta versão é que é possível conceder a um usuário direitos administrativos a uma área de trabalho sem também conceder controle físico sobre o computador no qual a área de trabalho é armazenada.
Observe o seguinte ao planejar privilégios de área de trabalho:
- Por padrão, quando usuários não privilegiados se conectam a uma área de trabalho, eles veem o fuso horário do sistema que executa a área de trabalho em vez do fuso horário de seu próprio dispositivo de usuário. Para obter informações sobre como permitir que os usuários vejam a hora local de seus dispositivos ao usar áreas de trabalho, consulte o artigo Gerenciar grupos de entrega.
- Um usuário que é administrador em uma área de trabalho tem controle total sobre essa área de trabalho. Se uma área de trabalho for uma área de trabalho em pool em vez de uma área de trabalho dedicada, o usuário deve ser confiável em relação a todos os outros usuários da área de trabalho, incluindo usuários futuros. Todos os usuários da área de trabalho precisam estar cientes do risco potencial permanente à segurança de seus dados que essa situação representa. Essa consideração não se aplica a áreas de trabalho dedicadas, que têm apenas um único usuário, usuário esse que não deve ser um administrador em nenhuma outra área de trabalho.
- Um usuário que é um administrador em uma área de trabalho geralmente pode instalar software nessa área de trabalho, incluindo softwares potencialmente maliciosos. O usuário também pode monitorar ou controlar o tráfego em qualquer rede conectada à área de trabalho, se quiser.
Gerenciar direitos de logon
Os direitos de logon são necessários para contas de usuário e contas de computador. Os direitos de logon do Microsoft Windows continuam a ser aplicados às áreas de trabalho da maneira usual: configure direitos de logon por meio de Atribuição de Direitos de Usuário e filiações a grupos por meio da Política de Grupo.
Os direitos de logon do Windows são: efetuar logon localmente, efetuar logon através dos Serviços de Área de Trabalho Remota, efetuar logon na rede (acessar o computador a partir da rede), efetuar logon como um trabalho em lote e efetuar logon como serviço.
Para contas de computador, conceda aos computadores apenas os direitos de logon necessários. O direito de logon “Acesso a este computador pela rede” é necessário:
- Em VDAs, para as contas de computador dos Delivery Controllers
- Em Delivery Controllers, para as contas de computador dos VDAs. Consulte Detecção do Controller baseada em unidades organizacionais do Active Directory.
- Em servidores StoreFront, para as contas de computador de outros servidores no mesmo grupo de servidores StoreFront
Para contas de usuário, conceda aos usuários apenas os direitos de logon necessários.
De acordo com a Microsoft, por padrão, o grupo Usuários de Área de Trabalho Remota recebe o direito de logon “Permitir logon pelos Serviços de Área de Trabalho Remota” (exceto em controladores de domínio).
A política de segurança da sua organização pode indicar explicitamente que esse grupo deve ser removido desse direito de logon. Considere a seguinte abordagem:
- O Virtual Delivery Agent (VDA) para SO multissessão usa os Serviços de Área de Trabalho Remota da Microsoft. Você pode configurar o grupo Usuários de Área de Trabalho Remota como um grupo restrito e controlar a afiliação do grupo por meio das políticas de grupo do Active Directory. Consulte a documentação da Microsoft para obter mais informações.
- Para outros componentes do Citrix Virtual Apps and Desktops, incluindo o VDA para SO de sessão única, o grupo Usuários de Área de Trabalho Remota não é necessário. Sendo assim, para esses componentes, o grupo Usuários de Área de Trabalho Remota não requer o direito de logon “Permitir logon pelos Serviços de Área de Trabalho Remota”; você pode removê-lo. Adicionalmente:
- Se você administrar os computadores por meio dos Serviços de Área de Trabalho Remota, certifique-se de que todos os administradores já sejam membros do grupo Administradores.
- Se você não administrar os computadores por meio dos Serviços de Área de Trabalho Remota, considere desabilitar os Serviços de Área de Trabalho Remota nesses computadores.
Embora seja possível adicionar usuários e grupos ao direito de logon “Negar logon pelos Serviços de Área de Trabalho Remota”, o uso de direitos de logon de negação não é geralmente recomendado. Consulte a documentação da Microsoft para obter mais informações.
Configurar direitos de usuário
A instalação do Delivery Controller cria os seguintes serviços do Windows:
- Citrix AD Identity Service (NT SERVICE\CitrixADIdentityService): gerencia contas de computador do Microsoft Active Directory para VMs.
- Citrix Analytics (NT SERVICE\CitrixAnalytics): coleta informações de uso da configuração do site para uso pela Citrix, se a coleta tiver sido aprovada pelo administrador do site. Em seguida, envia as informações à Citrix, para ajudar a melhorar o produto.
- Citrix App Library (NT SERVICE\CitrixAppLibrary): oferece suporte ao gerenciamento e ao provisionamento de AppDisks, integração com AppDNA e gerenciamento de App-V.
- Citrix Broker Service (NT SERVICE\CitrixBrokerService): seleciona as áreas de trabalho ou aplicativos virtuais disponíveis para os usuários.
- Citrix Configuration Logging Service (NT SERVICE\CitrixConfigurationLogging): registra todas as alterações de configuração e outras alterações de estado feitas pelos administradores ao site.
- Citrix Configuration Service (NT SERVICE\CitrixConfigurationService): repositório de todo o site para configuração compartilhada.
- Citrix Delegated Administration Service (NT SERVICE\CitrixDelegatedAdmin): gerencia as permissões concedidas aos administradores.
- Citrix Environment Test Service (NT SERVICE\CitrixEnvTest): gerencia os autotestes dos outros serviços do Delivery Controller.
- Citrix Host Service (NT SERVICE\CitrixHostService): armazena informações sobre as infraestruturas de hipervisor usadas em uma implantação do Citrix Virtual Apps ou Citrix Virtual Desktops e também oferece a funcionalidade usada pelo console para enumerar recursos em um pool de hipervisores.
- Citrix Machine Creation Service (NT SERVICE\CitrixMachineCreationService): planeja a criação de VMs de área de trabalho.
- Citrix Monitor Service (NT SERVICE\CitrixMonitor): coleta métricas para Citrix Virtual Apps ou Citrix Virtual Desktops, armazena informações históricas e fornece uma interface de consulta para ferramentas de solução de problemas e relatórios.
- Citrix Storefront Service (NT SERVICE\ CitrixStorefront): oferece suporte ao gerenciamento do StoreFront. (Não faz parte do componente StoreFront em si.)
- Citrix Storefront Privileged Administration Service (NT SERVICE\CitrixPrivilegedService): oferece suporte a operações de gerenciamento privilegiadas do StoreFront. (Não faz parte do componente StoreFront em si.)
- Citrix Config Synchronizer Service (NT SERVICE\CitrixConfigSyncService): propaga dados de configuração do banco de dados do site principal para o cache de host local.
- Citrix High Availability Service (NT SERVICE\CitrixHighAvailabilityService): seleciona as áreas de trabalho ou aplicativos virtuais disponíveis para os usuários quando o banco de dados do site principal não está disponível.
A instalação do Delivery Controller também cria os seguintes serviços do Windows. Eles também são criados quando instalados com outros componentes Citrix:
- Citrix Diagnostic Facility COM Server (NT SERVICE\CdfSvc): oferece suporte à coleta de informações de diagnóstico para uso pelo Suporte Citrix.
- Citrix Telemetry Service (NT SERVICE\CitrixTelemetryService): coleta informações de diagnóstico para análise pela Citrix, de modo que os resultados e recomendações da análise possam ser visualizados pelos administradores para ajudar a diagnosticar problemas com o site.
A instalação do Delivery Controller também cria o seguinte serviço do Windows. Isso não é usado atualmente. Se tiver sido ativado, desative-o.
- Citrix Remote Broker Provider (NT SERVICE\XaXdCloudProxy)
A instalação do Delivery Controller também cria estes seguintes serviços do Windows. Eles não são usados atualmente, mas devem estar ativados. Não os desative.
- Citrix Orchestration Service (NT SERVICE\CitrixOrchestration)
- Citrix Trust Service (NT SERVICE\CitrixTrust)
Exceto para o Citrix Storefront Privileged Administration Service, esses serviços recebem o direito de logon Fazer logon como um serviço e os privilégios Ajustar cotas de memória para um processo, Gerar auditoria de segurança e Substituir um token no nível de processo. Você não precisa alterar esses direitos de usuário. Esses privilégios não são usados pelo Delivery Controller e são desativados automaticamente.
Configurar configurações de serviço
Exceto para o Citrix Storefront Privileged Administration Service e o Citrix Telemetry Service, os serviços do Delivery Controller Windows listados acima na seção Configurar direitos de usuário são configurados para fazer logon como a identidade NETWORK SERVICE. Não altere essas configurações de serviço.
O Citrix Config Synchronizer Service precisa que a conta NETWORK SERVICE pertença ao grupo Local Administrator no Delivery Controller. Isso permite que o cache de host local funcione corretamente.
O Citrix Storefront Privileged Administration Service é configurado para fazer logon no sistema local (NT AUTHORITY\SYSTEM). Isso é necessário para operações do Delivery Controller StoreFront que normalmente não estão disponíveis para serviços (incluindo a criação de sites do Microsoft IIS). Não altere suas configurações de serviço.
O Citrix Telemetry Service é configurado para fazer logon como sua própria identidade de serviço específica.
Você pode desativar o Citrix Telemetry Service. À parte desse serviço, e dos serviços que já estão desativados, não desative nenhum outro dos serviços Delivery Controller Windows.
Configurar configurações de registro
Não é mais preciso permitir a criação de pastas e nomes de arquivo 8.3 no sistema de arquivos VDA. A chave do registro NtfsDisable8dot3NameCreation pode ser configurada para desativar a criação de pastas e nomes de arquivo 8.3. Você também pode configurar isso usando o comando fsutil.exe behavior set disable8dot3.
Implicações de segurança no cenário de implantação
Seu ambiente de usuário pode conter dispositivos de usuário que não são gerenciados pela sua organização e estão completamente sob o controle do usuário, ou dispositivos de usuário que são gerenciados e administrados pela sua organização. As considerações de segurança para esses dois ambientes são geralmente diferentes.
Dispositivos de usuário gerenciados
Os dispositivos de usuário gerenciados estão sob controle administrativo; eles estão sob seu próprio controle ou sob o controle de outra organização em que você confia. Você pode configurar e fornecer dispositivos de usuário diretamente aos usuários; alternativamente, você pode fornecer terminais nos quais uma única área de trabalho é executada no modo somente tela inteira. Siga as práticas de segurança geral recomendadas descritas acima para todos os dispositivos de usuário gerenciados. Essa versão tem a vantagem de que um mínimo de softwares é necessário no dispositivo do usuário.
Um dispositivo de usuário gerenciado pode ser configurado para ser usado no modo somente tela inteira ou no modo de janela:
- Modo somente tela inteira: os usuários fazem logon com a tela usual de logon no Windows. As mesmas credenciais de usuário são usadas para fazer logon automaticamente nesta versão.
- Os usuários veem suas áreas de trabalho em uma janela: os usuários primeiro fazem logon no dispositivo do usuário e, em seguida, fazem logon nesta versão por meio de um site fornecido com a versão.
Dispositivos de usuário não gerenciados
Os dispositivos de usuário que não são gerenciados e administrados por uma organização confiável não podem ser considerados como sob controle administrativo. Por exemplo, você pode permitir que os usuários obtenham e configurem seus próprios dispositivos, mas os usuários podem não seguir as práticas recomendadas de segurança geral descritas acima. Esta versão tem a vantagem de que é possível entregar áreas de trabalho de forma segura para dispositivos de usuário não gerenciados. Esses dispositivos ainda devem ter proteção antivírus básica para a defesa contra registradores de pressionamento de teclas e ataques de entrada semelhantes.
Considerações sobre armazenamento de dados
Ao usar esta versão, você pode impedir que os usuários armazenem dados em dispositivos de usuário que estão sob o controle físico deles. No entanto, você ainda deve considerar as implicações dos usuários armazenando dados em áreas de trabalho. Não é uma boa prática para os usuários armazenar dados em áreas de trabalho; os dados devem ser mantidos em servidores de arquivos, servidores de bancos de dados ou outros repositórios onde possam ser adequadamente protegidos.
Seu ambiente de área de trabalho pode consistir em vários tipos de área de trabalho, como áreas de trabalho em poll e dedicadas. Os usuários nunca devem armazenar dados em áreas de trabalho compartilhadas entre usuários, como áreas de trabalho em poll. Se os usuários armazenarem dados em áreas de trabalho dedicadas, os dados devem ser removidos se a área de trabalho for disponibilizada posteriormente a outros usuários.
Ambientes de versões mistas
Os ambientes de versões mistas são inevitáveis durante algumas atualizações. Siga as práticas recomendadas e minimize o tempo de coexistência entre os componentes Citrix de diferentes versões. Em ambientes de versões mistas, a política de segurança, por exemplo, pode não ser aplicada uniformemente.
Nota:
Isso é típico de outros produtos de software; o uso de uma versão anterior do Active Directory apenas reforça parcialmente a Política de Grupo com versões posteriores do Windows.
O cenário a seguir descreve um problema de segurança que pode ocorrer em um ambiente Citrix específico de versões mistas. Quando o Citrix Receiver 1.7 é usado para se conectar a uma área de trabalho virtual executando o VDA no XenApp e XenDesktop 7.6 Feature Pack 2, a configuração de política Permitir transferência de arquivos entre área de trabalho e cliente é ativada no Site, mas não pode ser desativada por um Delivery Controller executando o XenApp e XenDesktop 7.1. Ele não reconhece a configuração de política, que foi lançada na versão posterior do produto. Essa configuração de política permite que os usuários façam upload e download de arquivos para sua área de trabalho virtual, que é o problema de segurança. Para solucionar isso, atualize o Delivery Controller (ou uma instância autônoma do Studio) para a versão 7.6 Feature Pack 2 e use a Política de Grupo para desativar a configuração de política. Alternativamente use uma política local em todas as áreas de trabalho virtuais afetadas.
Considerações de segurança do Remote PC Access
O Remote PC Access implementa os seguintes recursos de segurança:
- O uso do cartão inteligente é suportado.
- Quando uma sessão remota se conecta, o monitor do PC do escritório aparece em branco.
- O Remote PC Access redireciona todas as entradas de teclado e mouse para a sessão remota, exceto CTRL+ALT+DEL e cartões inteligentes habilitados por USB e dispositivos biométricos.
- O SmoothRoaming é suportado apenas para um único usuário.
- Quando um usuário tem uma sessão remota conectada a um PC de escritório, somente esse usuário pode retomar o acesso local do PC do escritório. Para retomar o acesso local, o usuário pressiona Ctrl-Alt-Del no PC local e, em seguida, faz logon com as mesmas credenciais usadas pela sessão remota. O usuário também pode retomar o acesso local inserindo um cartão inteligente ou usando a biometria, se o seu sistema tiver a integração apropriada do provedor de credenciais de terceiros. Esse comportamento padrão pode ser substituído ativando a Troca Rápida de Usuário por meio de Objetos de Política de Grupo (GPOs) ou editando o registro.
Nota:
A Citrix recomenda que você não atribua privilégios de administrador de VDA a usuários de sessão geral.
Atribuições automáticas
Por padrão, o Remote PC Access suporta a atribuição automática de vários usuários a um VDA. No XenDesktop 5.6 Feature Pack 1, os administradores podem substituir esse comportamento usando o script PowerShell RemotePCAccess.ps1. Essa versão usa uma entrada de registro para permitir ou proibir várias atribuições automáticas de PC remoto; essa configuração se aplica a todo o site.
Cuidado:
Editar o registro incorretamente pode causar sérios problemas e exigir que você reinstale seu sistema operacional. A Citrix não pode garantir que os problemas resultantes do uso incorreto do Editor do Registro possam ser resolvidos. Use o Editor do Registro por sua conta e risco. Tenha o cuidado de fazer backup do registro antes de editá-lo.
Para restringir atribuições automáticas a um único usuário:
Em cada Controller no site, defina a seguinte entrada do registro:
HKEY\_LOCAL\_MACHINE\Software\Citrix|DesktopServer
Name: AllowMultipleRemotePCAssignments
Type: REG_DWORD
Data: 0 = Disable multiple user assignment, 1 = (Default) Enable multiple user assignment.
Se houver atribuições de usuário existentes, remova-as usando comandos SDK para que o VDA seja posteriormente elegível para uma única atribuição automática.
- Remova todos os usuários atribuídos do VDA:
$machine.AssociatedUserNames | %{ Remove-BrokerUser-Name $_ -Machine $machine
- Remova o VDA do grupo de entrega:
$machine | Remove-BrokerMachine -DesktopGroup $desktopGroup
Reinicie o PC do escritório físico.
Confiança em XML
A configuração de confiança em XML se aplica a implantações que usam:
- Um StoreFront local.
- Uma tecnologia de autenticação de (usuário) assinante que não requer senhas. Exemplos de tais tecnologias são as soluções de passagem de domínio, cartões inteligentes, SAML e Veridium.
Habilitar a configuração de confiança em XML permite que os usuários autentiquem com êxito e iniciem aplicativos. O Delivery Controller confia nas credenciais enviadas do StoreFront. Ative essa configuração somente quando você tiver protegido as comunicações entre os Delivery Controllers e o StoreFront (usando firewalls, IPSec ou outras recomendações de segurança).
Essa configuração é desativada por padrão.
Use o Citrix Virtual Apps and Desktops PowerShell SDK para verificar, ativar ou desativar a configuração de confiança em XML.
- Para verificar o valor atual da configuração de confiança em XML, execute
Get-BrokerSite
e inspecione o valor deTrustRequestsSentToTheXMLServicePort
. - Para ativar a confiança em XML, execute
Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true
. - Para desativar a confiança em XML, execute
Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $false
.
Neste artigo
- Práticas de segurança recomendadas
- Gerenciar privilégios de usuário
- Gerenciar direitos de logon
- Configurar direitos de usuário
- Configurar configurações de serviço
- Configurar configurações de registro
- Implicações de segurança no cenário de implantação
- Considerações de segurança do Remote PC Access
- Confiança em XML