Documentação de produtos
Citrix Virtual Apps and Desktops
Service Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912 LTSR
Ver PDF

Considerações de segurança e melhores práticas

January 23, 2026
Contribuição de: 
C

Observação:

Sua organização pode precisar atender a padrões de segurança específicos para satisfazer requisitos regulatórios. Este documento não aborda este assunto, pois tais padrões de segurança mudam com o tempo. Para informações atualizadas sobre padrões de segurança e produtos Citrix, consulte http://www.citrix.com/security/.

Melhores práticas de segurança

Mantenha todas as máquinas em seu ambiente atualizadas com patches de segurança. Uma vantagem é que você pode usar thin clients como terminais, o que simplifica esta tarefa.

Proteja todas as máquinas em seu ambiente com software antivírus.

Considere usar software antimalware específico da plataforma.

Ao instalar software, instale nos caminhos padrão fornecidos.

  • Se você instalar o software em um local de arquivo diferente do caminho padrão fornecido, considere adicionar medidas de segurança adicionais, como permissões restritas, ao seu local de arquivo.

Todas as comunicações de rede devem ser apropriadamente protegidas e criptografadas para corresponder à sua política de segurança. Você pode proteger toda a comunicação entre computadores Microsoft Windows usando IPSec; consulte a documentação do seu sistema operacional para obter detalhes sobre como fazer isso. Além disso, a comunicação entre dispositivos de usuário e desktops é protegida por meio do Citrix SecureICA, que é configurado por padrão com criptografia de 128 bits. Você pode configurar o SecureICA ao criar ou atualizar um Grupo de Entrega.

Observação:

O Citrix SecureICA faz parte do protocolo ICA/HDX, mas não é um protocolo de segurança de rede em conformidade com os padrões, como o Transport Layer Security (TLS). Você também pode proteger as comunicações de rede entre dispositivos de usuário e desktops usando TLS. Para configurar o TLS, consulte Transport Layer Security (TLS).

Aplique as melhores práticas do Windows para gerenciamento de contas. Não crie uma conta em um modelo ou imagem antes que ela seja duplicada pelo Machine Creation Services ou Provisioning Services. Não agende tarefas usando contas de domínio privilegiadas armazenadas. Não crie manualmente contas de máquina compartilhadas do Active Directory. Essas práticas ajudarão a evitar que um ataque de máquina obtenha senhas de contas locais persistentes e as use para fazer logon em imagens compartilhadas do MCS/PVS pertencentes a outras pessoas.

Firewalls

Proteja todas as máquinas em seu ambiente com firewalls de perímetro, incluindo nas fronteiras de enclave, conforme apropriado.

Todas as máquinas em seu ambiente devem ser protegidas por um firewall pessoal. Ao instalar componentes principais e VDAs, você pode optar por ter as portas necessárias para a comunicação de componentes e recursos abertas automaticamente se o Serviço de Firewall do Windows for detectado (mesmo que o firewall não esteja habilitado). Você também pode optar por configurar manualmente essas portas de firewall. Se você usar um firewall diferente, deve configurá-lo manualmente.

Se você estiver migrando um ambiente convencional para esta versão, pode ser necessário reposicionar um firewall de perímetro existente ou adicionar novos firewalls de perímetro. Por exemplo, suponha que haja um firewall de perímetro entre um cliente convencional e um servidor de banco de dados no data center. Quando esta versão é usada, esse firewall de perímetro deve ser colocado de forma que o desktop virtual e o dispositivo do usuário estejam de um lado, e os servidores de banco de dados e os Delivery Controllers no data center estejam do outro lado. Portanto, considere criar um enclave dentro do seu data center para conter os servidores de banco de dados e os Controllers. Considere também ter proteção entre o dispositivo do usuário e o desktop virtual.

Observação:

As portas TCP 1494 e 2598 são usadas para ICA e CGP e, portanto, provavelmente estarão abertas nos firewalls para que usuários fora do data center possam acessá-las. A Citrix recomenda que você não use essas portas para qualquer outra coisa, para evitar a possibilidade de deixar inadvertidamente interfaces administrativas abertas a ataques. As portas 1494 e 2598 são oficialmente registradas na Internet Assigned Number Authority (http://www.iana.org/).

Segurança de aplicativos

Para evitar que usuários não administradores realizem ações maliciosas, recomendamos que você configure regras do Windows AppLocker para instaladores, aplicativos, executáveis e scripts no host VDA e no cliente Windows local.

Gerenciar privilégios de usuário

Conceda aos usuários apenas os recursos de que precisam. Os privilégios do Microsoft Windows continuam sendo aplicados aos desktops da maneira usual: configure os privilégios por meio da Atribuição de Direitos de Usuário e as associações de grupo por meio da Política de Grupo. Uma vantagem desta versão é que é possível conceder a um usuário direitos administrativos a um desktop sem também conceder controle físico sobre o computador onde o desktop está armazenado.

Observe o seguinte ao planejar os privilégios de desktop:

  • Por padrão, quando usuários não privilegiados se conectam a um desktop, eles veem o fuso horário do sistema que executa o desktop em vez do fuso horário do seu próprio dispositivo de usuário. Para obter informações sobre como permitir que os usuários vejam sua hora local ao usar desktops, consulte o artigo Gerenciar Grupos de Entrega.
  • Um usuário que é administrador em um desktop tem controle total sobre esse desktop. Se um desktop for um desktop agrupado em vez de um desktop dedicado, o usuário deve ser confiável em relação a todos os outros usuários desse desktop, incluindo futuros usuários. Todos os usuários do desktop precisam estar cientes do risco potencial permanente à segurança de seus dados que essa situação representa. Essa consideração não se aplica a desktops dedicados, que têm apenas um único usuário; esse usuário não deve ser um administrador em nenhum outro desktop.
  • Um usuário que é administrador em um desktop geralmente pode instalar software nesse desktop, incluindo software potencialmente malicioso. O usuário também pode potencialmente monitorar ou controlar o tráfego em qualquer rede conectada ao desktop.

Gerenciar direitos de logon

Os direitos de logon são necessários para contas de usuário e contas de computador. Assim como os privilégios do Microsoft Windows, os direitos de logon continuam sendo aplicados aos desktops da maneira usual: configure os direitos de logon por meio da Atribuição de Direitos de Usuário e as associações de grupo por meio da Política de Grupo.

Os direitos de logon do Windows são: fazer logon localmente, fazer logon por meio dos Serviços de Área de Trabalho Remota, fazer logon pela rede (acessar este computador pela rede), fazer logon como um trabalho em lote e fazer logon como um serviço.

Para contas de computador, conceda aos computadores apenas os direitos de logon de que precisam. O direito de logon “Acessar este computador pela rede” é necessário:

  • Nos VDAs, para as contas de computador dos Delivery Controllers
  • Nos Delivery Controllers, para as contas de computador dos VDAs. Consulte Descoberta de Controller baseada em OU do Active Directory.
  • Nos servidores StoreFront™, para as contas de computador de outros servidores no mesmo grupo de servidores StoreFront

Para contas de usuário, conceda aos usuários apenas os direitos de logon de que precisam.

De acordo com a Microsoft, por padrão, o grupo Usuários da Área de Trabalho Remota recebe o direito de logon “Permitir logon por meio dos Serviços de Área de Trabalho Remota” (exceto em controladores de domínio).

A política de segurança da sua organização pode declarar explicitamente que este grupo deve ser removido desse direito de logon. Considere a seguinte abordagem:

  • O Virtual Delivery Agent (VDA) para SO de Múltiplas Sessões usa os Serviços de Área de Trabalho Remota da Microsoft. Você pode configurar o grupo Usuários da Área de Trabalho Remota como um grupo restrito e controlar a associação do grupo por meio de políticas de grupo do Active Directory. Consulte a documentação da Microsoft para obter mais informações.
  • Para outros componentes do Citrix Virtual Apps and Desktops™, incluindo o VDA para SO de Sessão Única, o grupo Usuários da Área de Trabalho Remota não é necessário. Portanto, para esses componentes, o grupo Usuários da Área de Trabalho Remota não requer o direito de logon “Permitir logon por meio dos Serviços de Área de Trabalho Remota”; você pode removê-lo. Além disso:
    • Se você administrar esses computadores por meio dos Serviços de Área de Trabalho Remota, certifique-se de que todos esses administradores já sejam membros do grupo Administradores.
    • Se você não administrar esses computadores por meio dos Serviços de Área de Trabalho Remota, considere desabilitar o próprio Serviços de Área de Trabalho Remota nesses computadores.

Embora seja possível adicionar usuários e grupos ao direito de logon “Negar logon por meio dos Serviços de Área de Trabalho Remota”, o uso de direitos de logon de negação geralmente não é recomendado. Consulte a documentação da Microsoft para obter mais informações.

Configurar direitos de usuário

A instalação do Delivery Controller™ cria os seguintes serviços do Windows:

  • Citrix AD Identity Service (NT SERVICE\CitrixADIdentityService): Gerencia contas de computador do Microsoft Active Directory para VMs.
  • Citrix Analytics (NT SERVICE\CitrixAnalytics): Coleta informações de uso da configuração do site para uso pela Citrix, se esta coleta tiver sido aprovada pelo administrador do site. Em seguida, envia essas informações à Citrix, para ajudar a melhorar o produto.
  • Citrix App Library (NT SERVICE\CitrixAppLibrary): Suporta o gerenciamento e provisionamento de AppDisks, integração AppDNA e gerenciamento de App-V.
  • Citrix Broker Service (NT SERVICE\CitrixBrokerService): Seleciona os desktops virtuais ou aplicativos que estão disponíveis para os usuários.
  • Citrix Configuration Logging Service (NT SERVICE\CitrixConfigurationLogging): Registra todas as alterações de configuração e outras alterações de estado feitas pelos administradores no site.
  • Citrix Configuration Service (NT SERVICE\CitrixConfigurationService): Repositório em todo o site para configuração compartilhada.
  • Citrix Delegated Administration Service (NT SERVICE\CitrixDelegatedAdmin): Gerencia as permissões concedidas aos administradores.
  • Citrix Environment Test Service (NT SERVICE\CitrixEnvTest): Gerencia autotestes dos outros serviços do Delivery Controller.
  • Citrix Host Service (NT SERVICE\CitrixHostService): Armazena informações sobre as infraestruturas de hipervisor usadas em uma implantação do Citrix Virtual Apps ou Citrix Virtual Desktops e também oferece funcionalidade usada pelo console para enumerar recursos em um pool de hipervisor.
  • Citrix Machine Creation Services (NT SERVICE\CitrixMachineCreationService): Orquestra a criação de VMs de desktop.
  • Citrix Monitor Service (NT SERVICE\CitrixMonitor): Coleta métricas para Citrix Virtual Apps ou Citrix Virtual Desktops, armazena informações históricas e fornece uma interface de consulta para ferramentas de solução de problemas e relatórios.
  • Citrix Storefront Service (NT SERVICE\ CitrixStorefront): Suporta o gerenciamento do StoreFront. (Não faz parte do próprio componente StoreFront.)
  • Citrix Storefront Privileged Administration Service (NT SERVICE\CitrixPrivilegedService): Suporta operações de gerenciamento privilegiado do StoreFront. (Não faz parte do próprio componente StoreFront.)
  • Citrix Config Synchronizer Service (NT SERVICE\CitrixConfigSyncService): Propaga dados de configuração do banco de dados principal do site para o Local Host Cache.
  • Citrix High Availability Service (NT SERVICE\CitrixHighAvailabilityService): Seleciona os desktops virtuais ou aplicativos que estão disponíveis para os usuários, quando o banco de dados principal do site está indisponível.

A instalação do Delivery Controller também cria os seguintes serviços do Windows. Estes também são criados quando instalados com outros componentes Citrix:

  • Citrix Diagnostic Facility COM Server (NT SERVICE\CdfSvc): Suporta a coleta de informações de diagnóstico para uso pelo Suporte Citrix.
  • Citrix Telemetry Service (NT SERVICE\CitrixTelemetryService): Coleta informações de diagnóstico para análise pela Citrix, de modo que os resultados da análise e as recomendações possam ser visualizados pelos administradores para ajudar a diagnosticar problemas com o site.

A instalação do Delivery Controller também cria o seguinte serviço do Windows. Este não é usado atualmente. Se tiver sido habilitado, desabilite-o.

  • Citrix Remote Broker Provider (NT SERVICE\XaXdCloudProxy)

A instalação do Delivery Controller também cria os seguintes serviços do Windows. Estes não são usados atualmente, mas devem ser habilitados. Não os desabilite.

  • Citrix Orchestration Service (NT SERVICE\CitrixOrchestration)
  • Citrix Trust Service (NT SERVICE\CitrixTrust)

Exceto pelo Citrix Storefront Privileged Administration Service, esses serviços recebem o direito de logon “Fazer logon como um serviço” e os privilégios “Ajustar cotas de memória para um processo”, “Gerar auditorias de segurança” e “Substituir um token de nível de processo”. Você não precisa alterar esses direitos de usuário. Esses privilégios não são usados pelo Delivery Controller e são desabilitados automaticamente.

Configurar configurações de serviço

Exceto pelo serviço Citrix Storefront Privileged Administration e pelo Citrix Telemetry Service, os serviços do Windows do Delivery Controller listados acima na seção Configurar direitos de usuário são configurados para fazer logon como a identidade NETWORK SERVICE. Não altere essas configurações de serviço.

O Citrix Config Synchronizer Service precisa que a conta NETWORK SERVICE pertença ao grupo Administrador Local no Delivery Controller. Isso permite que o Local Host Cache funcione corretamente.

O serviço Citrix Storefront Privileged Administration é configurado para fazer logon como Sistema Local (NT AUTHORITY\SYSTEM). Isso é necessário para operações do StoreFront do Delivery Controller que normalmente não estão disponíveis para serviços (incluindo a criação de sites do Microsoft IIS). Não altere suas configurações de serviço.

O Citrix Telemetry Service é configurado para fazer logon como sua própria identidade específica de serviço.

Você pode desabilitar o Citrix Telemetry Service. Além deste serviço, e de serviços que já estão desabilitados, não desabilite nenhum outro desses serviços do Windows do Delivery Controller.

Configurar configurações de registro

Não é mais necessário habilitar a criação de nomes e pastas de arquivo 8.3 no sistema de arquivos VDA. A chave de registro NtfsDisable8dot3NameCreation pode ser configurada para desabilitar a criação de nomes e pastas de arquivo 8.3. Você também pode configurar isso usando o comando fsutil.exe behavior set disable8dot3.

Implicações de segurança do cenário de implantação

Seu ambiente de usuário pode conter dispositivos de usuário que não são gerenciados por sua organização e estão completamente sob o controle do usuário, ou dispositivos de usuário que são gerenciados e administrados por sua organização. As considerações de segurança para esses dois ambientes são geralmente diferentes.

Dispositivos de usuário gerenciados

Dispositivos de usuário gerenciados estão sob controle administrativo; eles estão sob seu próprio controle ou sob o controle de outra organização em que você confia. Você pode configurar e fornecer dispositivos de usuário diretamente aos usuários; alternativamente, você pode fornecer terminais nos quais um único desktop é executado no modo somente tela cheia. Siga as melhores práticas gerais de segurança descritas acima para todos os dispositivos de usuário gerenciados. Esta versão tem a vantagem de que um software mínimo é necessário em um dispositivo de usuário.

Um dispositivo de usuário gerenciado pode ser configurado para ser usado no modo somente tela cheia ou no modo janela:

  • Modo somente tela cheia: Os usuários fazem logon com a tela usual de “Log On To Windows”. As mesmas credenciais de usuário são então usadas para fazer logon automaticamente nesta versão.
  • Os usuários veem seu desktop em uma janela: Os usuários primeiro fazem logon no dispositivo de usuário e depois fazem logon nesta versão por meio de um site fornecido com a versão.

Dispositivos de usuário não gerenciados

Não se pode presumir que os dispositivos de usuário que não são gerenciados e administrados por uma organização confiável estejam sob controle administrativo. Por exemplo, você pode permitir que os usuários obtenham e configurem seus próprios dispositivos, mas os usuários podem não seguir as melhores práticas gerais de segurança descritas acima. Esta versão tem a vantagem de que é possível entregar desktops com segurança a dispositivos de usuário não gerenciados. Esses dispositivos ainda devem ter proteção antivírus básica que combata keyloggers e ataques de entrada semelhantes.

Considerações sobre armazenamento de dados

Ao usar esta versão, você pode impedir que os usuários armazenem dados em dispositivos de usuário que estão sob seu controle físico. No entanto, você ainda deve considerar as implicações de os usuários armazenarem dados em desktops. Não é uma boa prática para os usuários armazenarem dados em desktops; os dados devem ser mantidos em servidores de arquivos, servidores de banco de dados ou outros repositórios onde possam ser protegidos adequadamente.

Seu ambiente de desktop pode consistir em vários tipos de desktops, como desktops agrupados e dedicados. Os usuários nunca devem armazenar dados em desktops que são compartilhados entre usuários, como desktops agrupados. Se os usuários armazenarem dados em desktops dedicados, esses dados devem ser removidos se o desktop for posteriormente disponibilizado para outros usuários.

Ambientes de versão mista

Ambientes de versão mista são inevitáveis durante algumas atualizações. Siga as melhores práticas e minimize o tempo em que componentes Citrix de diferentes versões coexistem. Em ambientes de versão mista, a política de segurança, por exemplo, pode não ser aplicada uniformemente.

Observação:

Isso é típico de outros produtos de software; o uso de uma versão anterior do Active Directory apenas aplica parcialmente a Política de Grupo com versões posteriores do Windows.

O cenário a seguir descreve um problema de segurança que pode ocorrer em um ambiente Citrix de versão mista específico. Quando o Citrix Receiver 1.7 é usado para se conectar a um desktop virtual executando o VDA no XenApp and XenDesktop 7.6 Feature Pack 2, a configuração de política Allow file transfer between desktop and client é habilitada no Site, mas não pode ser desabilitada por um Delivery Controller executando o XenApp and XenDesktop 7.1. Ele não reconhece a configuração de política, que foi lançada na versão posterior do produto. Essa configuração de política permite que os usuários carreguem e baixem arquivos para seu desktop virtual, o que é o problema de segurança. Para contornar isso, atualize o Delivery Controller (ou uma instância autônoma do Studio) para a versão 7.6 Feature Pack 2 e, em seguida, use a Política de Grupo para desabilitar a configuração de política. Alternativamente, use a política local em todos os desktops virtuais afetados.

Considerações de segurança do Remote PC Access

O Remote PC Access implementa os seguintes recursos de segurança:

  • O uso de smart card é suportado.
  • Quando uma sessão remota se conecta, o monitor do PC do escritório aparece em branco.
  • O Remote PC Access redireciona todas as entradas de teclado e mouse para a sessão remota, exceto CTRL+ALT+DEL e smart cards e dispositivos biométricos habilitados para USB.
  • O SmoothRoaming é suportado apenas para um único usuário.
  • Quando um usuário tem uma sessão remota conectada a um PC de escritório, somente esse usuário pode retomar o acesso local do PC do escritório. Para retomar o acesso local, o usuário pressiona Ctrl-Alt-Del no PC local e, em seguida, faz logon com as mesmas credenciais usadas pela sessão remota. O usuário também pode retomar o acesso local inserindo um smart card ou utilizando biometria, se o seu sistema tiver integração apropriada de Provedor de Credenciais de terceiros. Este comportamento padrão pode ser substituído habilitando a Troca Rápida de Usuário por meio de Objetos de Política de Grupo (GPOs) ou editando o registro.

Observação:

A Citrix recomenda que você não atribua privilégios de administrador de VDA a usuários de sessão geral.

Atribuições automáticas

Por padrão, o Remote PC Access suporta a atribuição automática de múltiplos usuários a um VDA. No XenDesktop 5.6 Feature Pack 1, os administradores podiam substituir esse comportamento usando o script PowerShell RemotePCAccess.ps1. Esta versão usa uma entrada de registro para permitir ou proibir múltiplas atribuições automáticas de PC remoto; essa configuração se aplica a todo o Site.

Cuidado:

Editar o registro incorretamente pode causar sérios problemas que podem exigir a reinstalação do seu sistema operacional. A Citrix não pode garantir que os problemas resultantes do uso incorreto do Editor de Registro possam ser resolvidos. Use o Editor de Registro por sua conta e risco. Certifique-se de fazer backup do registro antes de editá-lo.

Para restringir atribuições automáticas a um único usuário:

Em cada Controller no Site, defina a seguinte entrada de registro:

HKEY\_LOCAL\_MACHINE\Software\Citrix|DesktopServer
Name: AllowMultipleRemotePCAssignments
Type: REG_DWORD
Data: 0 = Disable multiple user assignment, 1 = (Default) Enable multiple user assignment.

Se houver atribuições de usuário existentes, remova-as usando comandos SDK para que o VDA seja subsequentemente elegível para uma única atribuição automática.

  • Remova todos os usuários atribuídos do VDA: $machine.AssociatedUserNames | %{ Remove-BrokerUser-Name $_ -Machine $machine
  • Remova o VDA do Grupo de Entrega: $machine | Remove-BrokerMachine -DesktopGroup $desktopGroup

Reinicie o PC físico do escritório.

Confiança XML

A configuração de confiança XML se aplica a implantações que usam:

  • Um StoreFront local.
  • Uma tecnologia de autenticação de assinante (usuário) que não requer senhas. Exemplos de tais tecnologias são pass-through de domínio, smart cards, SAML e soluções Veridium.

Habilitar a configuração de confiança XML permite que os usuários se autentiquem com sucesso e, em seguida, iniciem aplicativos. O Delivery Controller confia nas credenciais enviadas do StoreFront. Habilite esta configuração somente quando você tiver protegido as comunicações entre seus Delivery Controllers e o StoreFront (usando firewalls, IPsec ou outras recomendações de segurança).

Esta configuração está desabilitada por padrão.

Use o SDK PowerShell do Citrix Virtual Apps and Desktops para verificar, habilitar ou desabilitar a configuração de confiança XML.

  • Para verificar o valor atual da configuração de confiança XML, execute Get-BrokerSite e inspecione o valor de TrustRequestsSentToTheXMLServicePort.
  • Para habilitar a confiança XML, execute Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true.
  • Para desabilitar a confiança XML, execute Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $false.
Considerações de segurança e melhores práticas
January 23, 2026
Contribuição de: 
C
January 23, 2026
Contribuição de: 
C

Neste artigo

Feedback do site | Your privacy choices footer linkSuas escolhas de privacidade | Privacidade e termos legais | Preferências de cookies | Configurações de consentimento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.