Documentação de produtos
Citrix Virtual Apps and Desktops
Service Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912 LTSR
Ver PDF

Considerações de segurança e melhores práticas

January 23, 2026
Contribuição de: 
C

Observação:

Sua organização pode precisar atender a padrões de segurança específicos para satisfazer requisitos regulatórios. Este documento não aborda esse assunto, pois tais padrões de segurança mudam com o tempo. Para obter informações atualizadas sobre padrões de segurança e produtos Citrix, consulte http://www.citrix.com/security/.

Melhores práticas de segurança

Mantenha todas as máquinas em seu ambiente atualizadas com patches de segurança. Uma vantagem é que você pode usar thin clients como terminais, o que simplifica essa tarefa.

Proteja todas as máquinas em seu ambiente com software antivírus.

Considere usar software antimalware específico da plataforma.

Ao instalar software, instale nos caminhos padrão fornecidos.

  • Se você instalar software em um local de arquivo diferente do caminho padrão fornecido, considere adicionar medidas de segurança adicionais, como permissões restritas, ao seu local de arquivo.

Todas as comunicações de rede devem ser adequadamente protegidas e criptografadas para corresponder à sua política de segurança. Você pode proteger todas as comunicações entre computadores Microsoft Windows usando IPSec; consulte a documentação do seu sistema operacional para obter detalhes sobre como fazer isso. Além disso, a comunicação entre dispositivos de usuário e desktops é protegida por meio do Citrix SecureICA, que é configurado por padrão com criptografia de 128 bits. Você pode configurar o SecureICA ao criar ou atualizar um Grupo de Entrega.

Observação:

O Citrix SecureICA faz parte do protocolo ICA/HDX, mas não é um protocolo de segurança de rede em conformidade com os padrões, como o Transport Layer Security (TLS). Você também pode proteger as comunicações de rede entre dispositivos de usuário e desktops usando TLS. Para configurar o TLS, consulte Transport Layer Security (TLS).

Aplique as melhores práticas do Windows para gerenciamento de contas. Não crie uma conta em um modelo ou imagem antes que ela seja duplicada pelo Machine Creation Services ou Provisioning Services. Não agende tarefas usando contas de domínio privilegiadas armazenadas. Não crie manualmente contas de máquina compartilhadas do Active Directory. Essas práticas ajudarão a evitar que um ataque de máquina obtenha senhas de contas persistentes locais e as use para fazer logon em imagens compartilhadas do MCS/PVS pertencentes a outras pessoas.

Firewalls

Proteja todas as máquinas em seu ambiente com firewalls de perímetro, incluindo em limites de enclave, conforme apropriado.

Todas as máquinas em seu ambiente devem ser protegidas por um firewall pessoal. Ao instalar componentes principais e VDAs, você pode optar por ter as portas necessárias para a comunicação de componentes e recursos abertas automaticamente se o Serviço de Firewall do Windows for detectado (mesmo que o firewall não esteja ativado). Você também pode optar por configurar manualmente essas portas de firewall. Se você usar um firewall diferente, deverá configurá-lo manualmente.

Se você estiver migrando um ambiente convencional para esta versão, pode ser necessário reposicionar um firewall de perímetro existente ou adicionar novos firewalls de perímetro. Por exemplo, suponha que haja um firewall de perímetro entre um cliente convencional e um servidor de banco de dados no data center. Quando esta versão é usada, esse firewall de perímetro deve ser posicionado de forma que o desktop virtual e o dispositivo do usuário estejam de um lado, e os servidores de banco de dados e os Delivery Controllers no data center estejam do outro lado. Portanto, considere criar um enclave dentro do seu data center para conter os servidores de banco de dados e os Controllers. Considere também ter proteção entre o dispositivo do usuário e o desktop virtual.

Observação:

As portas TCP 1494 e 2598 são usadas para ICA e CGP e, portanto, provavelmente estarão abertas em firewalls para que usuários fora do data center possam acessá-las. A Citrix recomenda que você não use essas portas para mais nada, para evitar a possibilidade de deixar interfaces administrativas abertas a ataques inadvertidamente. As portas 1494 e 2598 são oficialmente registradas na Internet Assigned Number Authority (http://www.iana.org/).

Segurança de aplicativos

Para evitar que usuários não administradores realizem ações maliciosas, recomendamos que você configure regras do Windows AppLocker para instaladores, aplicativos, executáveis e scripts no host VDA e no cliente Windows local.

Gerenciar privilégios de usuário

Conceda aos usuários apenas os recursos de que eles precisam. Os privilégios do Microsoft Windows continuam sendo aplicados aos desktops da maneira usual: configure os privilégios por meio da Atribuição de Direitos de Usuário e as associações de grupo por meio da Política de Grupo. Uma vantagem desta versão é que é possível conceder a um usuário direitos administrativos a um desktop sem também conceder controle físico sobre o computador no qual o desktop está armazenado.

Observe o seguinte ao planejar os privilégios de desktop:

  • Por padrão, quando usuários não privilegiados se conectam a um desktop, eles veem o fuso horário do sistema que executa o desktop em vez do fuso horário de seu próprio dispositivo de usuário. Para obter informações sobre como permitir que os usuários vejam sua hora local ao usar desktops, consulte o artigo Gerenciar Grupos de Entrega.
  • Um usuário que é administrador em um desktop tem controle total sobre esse desktop. Se um desktop for um desktop agrupado em vez de um desktop dedicado, o usuário deve ser confiável em relação a todos os outros usuários desse desktop, incluindo usuários futuros. Todos os usuários do desktop precisam estar cientes do risco potencial permanente à segurança de seus dados que essa situação representa. Essa consideração não se aplica a desktops dedicados, que têm apenas um único usuário; esse usuário não deve ser um administrador em nenhum outro desktop.
  • Um usuário que é administrador em um desktop geralmente pode instalar software nesse desktop, incluindo software potencialmente malicioso. O usuário também pode potencialmente monitorar ou controlar o tráfego em qualquer rede conectada ao desktop.

Gerenciar direitos de logon

Os direitos de logon são necessários para contas de usuário e contas de computador. Assim como os privilégios do Microsoft Windows, os direitos de logon continuam sendo aplicados aos desktops da maneira usual: configure os direitos de logon por meio da Atribuição de Direitos de Usuário e as associações de grupo por meio da Política de Grupo.

Os direitos de logon do Windows são: fazer logon localmente, fazer logon por meio dos Serviços de Área de Trabalho Remota, fazer logon pela rede (acessar este computador da rede), fazer logon como um trabalho em lote e fazer logon como um serviço.

Para contas de computador, conceda aos computadores apenas os direitos de logon de que eles precisam. O direito de logon “Acessar este computador da rede” é necessário:

  • Em VDAs, para as contas de computador dos Delivery Controllers
  • Em Delivery Controllers, para as contas de computador dos VDAs. Consulte descoberta de Controller baseada em OU do Active Directory.
  • Em servidores StoreFront™, para as contas de computador de outros servidores no mesmo grupo de servidores StoreFront.

Para contas de usuário, conceda aos usuários apenas os direitos de logon de que eles precisam.

De acordo com a Microsoft, por padrão, o grupo Usuários da Área de Trabalho Remota recebe o direito de logon “Permitir logon por meio dos Serviços de Área de Trabalho Remota” (exceto em controladores de domínio).

A política de segurança da sua organização pode declarar explicitamente que este grupo deve ser removido desse direito de logon. Considere a seguinte abordagem:

  • O Virtual Delivery Agent (VDA) para SO de Múltiplas Sessões usa os Serviços de Área de Trabalho Remota da Microsoft. Você pode configurar o grupo Usuários da Área de Trabalho Remota como um grupo restrito e controlar a associação do grupo por meio de políticas de grupo do Active Directory. Consulte a documentação da Microsoft para obter mais informações.
  • Para outros componentes do Citrix Virtual Apps and Desktops™, incluindo o VDA para SO de Sessão Única, o grupo Usuários da Área de Trabalho Remota não é necessário. Assim, para esses componentes, o grupo Usuários da Área de Trabalho Remota não requer o direito de logon “Permitir logon por meio dos Serviços de Área de Trabalho Remota”; você pode removê-lo. Além disso:
    • Se você administrar esses computadores por meio dos Serviços de Área de Trabalho Remota, certifique-se de que todos esses administradores já sejam membros do grupo Administradores.
    • Se você não administrar esses computadores por meio dos Serviços de Área de Trabalho Remota, considere desabilitar o próprio Serviços de Área de Trabalho Remota nesses computadores.

Embora seja possível adicionar usuários e grupos ao direito de logon “Negar logon por meio dos Serviços de Área de Trabalho Remota”, o uso de direitos de logon de negação geralmente não é recomendado. Consulte a documentação da Microsoft para obter mais informações.

Configurar direitos de usuário

A instalação do Delivery Controller™ cria os seguintes serviços do Windows:

  • Citrix AD Identity Service (NT SERVICE\CitrixADIdentityService): Gerencia contas de computador do Microsoft Active Directory para VMs.
  • Citrix Analytics (NT SERVICE\CitrixAnalytics): Coleta informações de uso da configuração do site para uso pela Citrix, se essa coleta tiver sido aprovada pelo administrador do site. Em seguida, envia essas informações à Citrix para ajudar a melhorar o produto.
  • Citrix App Library (NT SERVICE\CitrixAppLibrary): Suporta o gerenciamento e provisionamento de AppDisks, integração AppDNA e gerenciamento de App-V.
  • Citrix Broker Service (NT SERVICE\CitrixBrokerService): Seleciona os desktops virtuais ou aplicativos que estão disponíveis para os usuários.
  • Citrix Configuration Logging Service (NT SERVICE\CitrixConfigurationLogging): Registra todas as alterações de configuração e outras alterações de estado feitas pelos administradores no site.
  • Citrix Configuration Service (NT SERVICE\CitrixConfigurationService): Repositório de configuração compartilhada em todo o site.
  • Citrix Delegated Administration Service (NT SERVICE\CitrixDelegatedAdmin): Gerencia as permissões concedidas aos administradores.
  • Citrix Environment Test Service (NT SERVICE\CitrixEnvTest): Gerencia autotestes dos outros serviços do Delivery Controller.
  • Citrix Host Service (NT SERVICE\CitrixHostService): Armazena informações sobre as infraestruturas de hypervisor usadas em uma implantação do Citrix Virtual Apps ou Citrix Virtual Desktops, e também oferece funcionalidade usada pelo console para enumerar recursos em um pool de hypervisor.
  • Citrix Machine Creation Services (NT SERVICE\CitrixMachineCreationService): Orquestra a criação de VMs de desktop.
  • Citrix Monitor Service (NT SERVICE\CitrixMonitor): Coleta métricas para Citrix Virtual Apps ou Citrix Virtual Desktops, armazena informações históricas e fornece uma interface de consulta para ferramentas de solução de problemas e relatórios.
  • Citrix Storefront Service (NT SERVICE\ CitrixStorefront): Suporta o gerenciamento do StoreFront. (Não faz parte do próprio componente StoreFront.)
  • Citrix Storefront Privileged Administration Service (NT SERVICE\CitrixPrivilegedService): Suporta operações de gerenciamento privilegiado do StoreFront. (Não faz parte do próprio componente StoreFront.)
  • Citrix Config Synchronizer Service (NT SERVICE\CitrixConfigSyncService): Propaga dados de configuração do banco de dados principal do site para o Local Host Cache.
  • Citrix High Availability Service (NT SERVICE\CitrixHighAvailabilityService): Seleciona os desktops virtuais ou aplicativos que estão disponíveis para os usuários, quando o banco de dados principal do site está indisponível.

A instalação do Delivery Controller também cria os seguintes serviços do Windows. Estes também são criados quando instalados com outros componentes Citrix:

  • Citrix Diagnostic Facility COM Server (NT SERVICE\CdfSvc): Suporta a coleta de informações de diagnóstico para uso pelo Suporte Citrix.
  • Citrix Telemetry Service (NT SERVICE\CitrixTelemetryService): Coleta informações de diagnóstico para análise pela Citrix, de modo que os resultados da análise e as recomendações possam ser visualizados pelos administradores para ajudar a diagnosticar problemas com o site.

A instalação do Delivery Controller também cria o seguinte serviço do Windows. Este não é usado atualmente. Se tiver sido ativado, desative-o.

  • Citrix Remote Broker Provider (NT SERVICE\XaXdCloudProxy)

A instalação do Delivery Controller também cria os seguintes serviços do Windows. Estes não são usados atualmente, mas devem ser ativados. Não os desative.

  • Citrix Orchestration Service (NT SERVICE\CitrixOrchestration)
  • Citrix Trust Service (NT SERVICE\CitrixTrust)

Exceto pelo Citrix Storefront Privileged Administration Service, esses serviços recebem o direito de logon Fazer logon como um serviço e os privilégios Ajustar cotas de memória para um processo, Gerar auditorias de segurança e Substituir um token de nível de processo. Você não precisa alterar esses direitos de usuário. Esses privilégios não são usados pelo Delivery Controller e são automaticamente desabilitados.

Configurar configurações de serviço

Exceto pelo Citrix Storefront Privileged Administration service e pelo Citrix Telemetry Service, os serviços do Windows do Delivery Controller listados acima na seção Configurar direitos de usuário são configurados para fazer logon como a identidade NETWORK SERVICE. Não altere essas configurações de serviço.

O Citrix Config Synchronizer Service precisa que a conta NETWORK SERVICE pertença ao grupo Administradores Locais no Delivery Controller. Isso permite que o Local Host Cache funcione corretamente.

O Citrix Storefront Privileged Administration service é configurado para fazer logon como Sistema Local (NT AUTHORITY\SYSTEM). Isso é necessário para operações do StoreFront do Delivery Controller que normalmente não estão disponíveis para serviços (incluindo a criação de sites do Microsoft IIS). Não altere suas configurações de serviço.

O Citrix Telemetry Service é configurado para fazer logon com sua própria identidade específica de serviço.

Você pode desabilitar o Citrix Telemetry Service. Além deste serviço e dos serviços que já estão desabilitados, não desabilite nenhum outro desses serviços do Windows do Delivery Controller.

Configurar configurações de registro

Não é mais necessário habilitar a criação de nomes de arquivo e pastas 8.3 no sistema de arquivos VDA. A chave de registro NtfsDisable8dot3NameCreation pode ser configurada para desabilitar a criação de nomes de arquivo e pastas 8.3. Você também pode configurar isso usando o comando fsutil.exe behavior set disable8dot3.

Implicações de segurança do cenário de implantação

Seu ambiente de usuário pode conter dispositivos de usuário que não são gerenciados por sua organização e estão completamente sob o controle do usuário, ou dispositivos de usuário que são gerenciados e administrados por sua organização. As considerações de segurança para esses dois ambientes são geralmente diferentes.

Dispositivos de usuário gerenciados

Dispositivos de usuário gerenciados estão sob controle administrativo; eles estão sob seu próprio controle ou sob o controle de outra organização em que você confia. Você pode configurar e fornecer dispositivos de usuário diretamente aos usuários; alternativamente, você pode fornecer terminais nos quais um único desktop é executado no modo somente tela cheia. Siga as melhores práticas gerais de segurança descritas acima para todos os dispositivos de usuário gerenciados. Esta versão tem a vantagem de que software mínimo é necessário em um dispositivo de usuário.

Um dispositivo de usuário gerenciado pode ser configurado para ser usado no modo somente tela cheia ou no modo janela:

  • Modo somente tela cheia: Os usuários fazem logon nele com a tela usual de Logon no Windows. As mesmas credenciais de usuário são então usadas para fazer logon automaticamente nesta versão.
  • Os usuários veem seu desktop em uma janela: Os usuários primeiro fazem logon no dispositivo de usuário e, em seguida, fazem logon nesta versão por meio de um site fornecido com a versão.

Dispositivos de usuário não gerenciados

Dispositivos de usuário que não são gerenciados e administrados por uma organização confiável não podem ser considerados sob controle administrativo. Por exemplo, você pode permitir que os usuários obtenham e configurem seus próprios dispositivos, mas os usuários podem não seguir as melhores práticas gerais de segurança descritas acima. Esta versão tem a vantagem de que é possível entregar desktops com segurança a dispositivos de usuário não gerenciados. Esses dispositivos ainda devem ter proteção antivírus básica que combaterá keyloggers e ataques de entrada semelhantes.

Considerações sobre armazenamento de dados

Ao usar esta versão, você pode impedir que os usuários armazenem dados em dispositivos de usuário que estão sob seu controle físico. No entanto, você ainda deve considerar as implicações de os usuários armazenarem dados em desktops. Não é uma boa prática para os usuários armazenarem dados em desktops; os dados devem ser mantidos em servidores de arquivos, servidores de banco de dados ou outros repositórios onde possam ser adequadamente protegidos.

Seu ambiente de desktop pode consistir em vários tipos de desktops, como desktops agrupados e dedicados. Os usuários nunca devem armazenar dados em desktops que são compartilhados entre usuários, como desktops agrupados. Se os usuários armazenarem dados em desktops dedicados, esses dados devem ser removidos se o desktop for posteriormente disponibilizado para outros usuários.

Ambientes de versão mista

Ambientes de versão mista são inevitáveis durante algumas atualizações. Siga as melhores práticas e minimize o tempo em que componentes Citrix de diferentes versões coexistem. Em ambientes de versão mista, a política de segurança, por exemplo, pode não ser aplicada uniformemente.

Observação:

Isso é típico de outros produtos de software; o uso de uma versão anterior do Active Directory aplica apenas parcialmente a Política de Grupo com versões posteriores do Windows.

O cenário a seguir descreve um problema de segurança que pode ocorrer em um ambiente Citrix de versão mista específico. Quando o Citrix Receiver 1.7 é usado para conectar-se a um desktop virtual executando o VDA no XenApp e XenDesktop 7.6 Feature Pack 2, a configuração de política Permitir transferência de arquivo entre desktop e cliente é habilitada no Site, mas não pode ser desabilitada por um Delivery Controller executando o XenApp e XenDesktop 7.1. Ele não reconhece a configuração de política, que foi lançada em uma versão posterior do produto. Essa configuração de política permite que os usuários carreguem e baixem arquivos para seu desktop virtual, o que é o problema de segurança. Para contornar isso, atualize o Delivery Controller (ou uma instância autônoma do Studio) para a versão 7.6 Feature Pack 2 e, em seguida, use a Política de Grupo para desabilitar a configuração de política. Alternativamente, use a política local em todos os desktops virtuais afetados.

Considerações de segurança do Acesso Remoto ao PC

O Acesso Remoto ao PC implementa os seguintes recursos de segurança:

  • O uso de smart card é suportado.
  • Quando uma sessão remota se conecta, o monitor do PC do escritório aparece em branco.
  • O Acesso Remoto ao PC redireciona todas as entradas de teclado e mouse para a sessão remota, exceto CTRL+ALT+DEL e smart cards habilitados para USB e dispositivos biométricos.
  • O SmoothRoaming é suportado apenas para um único usuário.
  • Quando um usuário tem uma sessão remota conectada a um PC de escritório, somente esse usuário pode retomar o acesso local do PC do escritório. Para retomar o acesso local, o usuário pressiona Ctrl-Alt-Del no PC local e, em seguida, faz logon com as mesmas credenciais usadas pela sessão remota. O usuário também pode retomar o acesso local inserindo um smart card ou utilizando biometria, se o seu sistema tiver integração apropriada de Provedor de Credenciais de terceiros. Esse comportamento padrão pode ser substituído habilitando a Troca Rápida de Usuário via Objetos de Política de Grupo (GPOs) ou editando o registro.

Observação:

A Citrix recomenda que você não atribua privilégios de administrador de VDA a usuários de sessão geral.

Atribuições automáticas

Por padrão, o Acesso Remoto ao PC suporta a atribuição automática de múltiplos usuários a um VDA. No XenDesktop 5.6 Feature Pack 1, os administradores podiam substituir esse comportamento usando o script PowerShell RemotePCAccess.ps1. Esta versão usa uma entrada de registro para permitir ou proibir múltiplas atribuições automáticas de PC remoto; essa configuração se aplica a todo o Site.

Cuidado:

Editar o registro incorretamente pode causar problemas sérios que podem exigir a reinstalação do seu sistema operacional. A Citrix não pode garantir que problemas resultantes do uso incorreto do Editor do Registro possam ser resolvidos. Use o Editor do Registro por sua conta e risco. Certifique-se de fazer backup do registro antes de editá-lo.

Para restringir atribuições automáticas a um único usuário:

Em cada Controller no Site, defina a seguinte entrada de registro:

HKEY\_LOCAL\_MACHINE\Software\Citrix|DesktopServer
Name: AllowMultipleRemotePCAssignments
Type: REG_DWORD
Data: 0 = Desabilitar atribuição de múltiplos usuários, 1 = (Padrão) Habilitar atribuição de múltiplos usuários.

Se houver atribuições de usuário existentes, remova-as usando comandos SDK para que o VDA seja subsequentemente elegível para uma única atribuição automática.

  • Remova todos os usuários atribuídos do VDA: $machine.AssociatedUserNames | %{ Remove-BrokerUser-Name $_ -Machine $machine
  • Remova o VDA do Grupo de Entrega: $machine | Remove-BrokerMachine -DesktopGroup $desktopGroup

Reinicie o PC físico do escritório.

Confiança XML

A configuração de confiança XML se aplica a implantações que usam:

  • Um StoreFront local.
  • Uma tecnologia de autenticação de assinante (usuário) que não requer senhas. Exemplos de tais tecnologias são pass-through de domínio, smart cards, SAML e soluções Veridium.

Habilitar a configuração de confiança XML permite que os usuários se autentiquem com sucesso e, em seguida, iniciem aplicativos. O Delivery Controller confia nas credenciais enviadas do StoreFront. Habilite esta configuração somente quando você tiver comunicações seguras entre seus Delivery Controllers e StoreFront (usando firewalls, IPsec ou outras recomendações de segurança).

Esta configuração é desabilitada por padrão.

Use o SDK do Citrix Virtual Apps and Desktops PowerShell para verificar, habilitar ou desabilitar a configuração de confiança XML.

  • Para verificar o valor atual da configuração de confiança XML, execute Get-BrokerSite e inspecione o valor de TrustRequestsSentToTheXMLServicePort.
  • Para habilitar a confiança XML, execute Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true.
  • Para desabilitar a confiança XML, execute Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $false.
Considerações de segurança e melhores práticas
January 23, 2026
Contribuição de: 
C
January 23, 2026
Contribuição de: 
C

Neste artigo

Feedback do site | Your privacy choices footer linkSuas escolhas de privacidade | Privacidade e termos legais | Preferências de cookies | Configurações de consentimento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.