Seguridad y Control de Acceso en una instalación Citrix

2,490
-1

Published on

Control de acceso en el conector ICA
Políticas Citrix
Políticas de Active Directory
Seguridad en el cliente ICA

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
2,490
On Slideshare
0
From Embeds
0
Number of Embeds
5
Actions
Shares
0
Downloads
1
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Seguridad y Control de Acceso en una instalación Citrix

  1. 1. TIC 0271 Acceso a aplicaciones usando Citrix Metaframe Control de acceso Joaquín Herrero PintadoINSTITUTO NACIONAL DE ADMINISTRACION PÚBLICA jherrero@mma.esPlan interadministrativo de formación contínua en el área de tecnologías
  2. 2. ContenidoControl de acceso en el conector ICAPolíticas CitrixPolíticas Directorio ActivoSeguridad en el cliente ICA
  3. 3. Distintos elementos contribuyen a que el sistema sea seguroControl de acceso en el conector ICA Securizar RDP para que solo lo usen administradores Securizar ICA para que no se puedan publicar escritorios Asignar temporizadores de desconexiónPolíticas Citrix Impedir conectar dispositivos de cliente Asignar ancho de banda a la conexión o a canales virtuales Impedir la instalación de drivers de impresiónPolíticas Directorio Activo Impedir el agujero de seguridad del diálogo "Abrir..." Conciliar políticas de usuario y políticas de máquinasSeguridad en el cliente ICA El cliente debe autorizar que la aplicación acceda a recursos de su PC
  4. 4. CONTROL DE ACCESO EN EL CONECTOR ICA
  5. 5. Conector ICAAcceso al configuradorEl conector ICA es el software que atiende la puerta TCP 1494, por donde llega el tráfico ICA al servidorDesde el CITRIX CONNECTION CONFIGURATOR podemos establecercondiciones para TODOS los clientes ICA, independientemente de cómo estépublicada la aplicación o de las preferencias del cliente.Pinchando el "martillo verde" de la barra de tareas Citrix, accedemos al configuradordesde donde podemos cambiar las caracteristicas del conector ICA
  6. 6. Conector ICAEdit connection: Advanced, Client Settings ICA Settings
  7. 7. Conector ICAAdvanced Connection Settings: logon control, temporizadores, impedir publicar escritorios, shadowing, etc
  8. 8. Conector ICAClient SettingsPodemos deshabilitar canales virtuales que NUNCA usaremos Ahorramos ancho de banda
  9. 9. Conector ICAICA Settings: ajustar ancho de banda consumido por el canal virtual del audio
  10. 10. POLITICAS CITRIX
  11. 11. Políticas CitrixMientras que lo que cambiemos en el conector ICA afecta a TODOS los usuariosque entren por la puerta ICA (1494), las restricciones que pongamos en las políticaslas podemos aplicar a grupos concretos de usuarios (o a todos, en las políticas haymás opciones que en el conector)Podemos definir restricciones de prácticamente todos los elementos de una conexión ICA: Ancho de banda general,Ancho de banda de un canal, Periféricos que se conectarán, Opciones de impresión
  12. 12. Políticas Citrix - AplicaciónUna vez definida la política podemos aplicarla siguiendo distintos criterios por dirección IP del cliente por nombre del cliente a todas las aplicaciones que publica un determinado servidor a todas las aplicaciones que inicie un determinado usuario
  13. 13. Ejemplo: politica para usar driver universal /1Autocrear solo la impresora por defecto del cliente No es obligatorio esto, se podrían conectar todas las impresoras del cliente, solo que todas usarán el mismo driver debido a esta política
  14. 14. Ejemplo: politica para usar driver universal /2No instalar drivers automáticamente
  15. 15. Ejemplo: politica para usar driver universal /3Usar solo driver universal Alternativa "light": usar driver universal solo si el driver de la impresora del cliente no está instalado
  16. 16. Ejemplo: politica para usar Uniprint /1Uniprint es un servicio de impresión SIN DRIVER EN EL SERVIDOR Genera un PDF que envía al cliente Al instalarlo, en los clientes conectados siempre aparece la impresora "Uniprint" Requiere un software instalado en todos los clientes que recibe el PDF y lo envía al driver local para que se imprima El usuario puede elegir por qué impresora quiere sacar el listado una vez que le llegue el PDF www.uniprint.net
  17. 17. Ejemplo: politica para usar Uniprint /2No autocreamos NINGUNA impresora del cliente: Uniprint siempre ofrece la suya,que es la que queremos utilizar.
  18. 18. Ejemplo: politica para usar Uniprint /3No se permite la instalación de drivers
  19. 19. POLITICAS DIRECTORIO ACTIVO
  20. 20. OU: Organizative UnitUna OU (Unidad de Organización) es... Un contenedor en el que se definen MAQUINAS o USUARIOS Puede ser "hija" de otra OU Puede ser "madre" de una o varias OUs El Directorio Activo es un arbol de OUs
  21. 21. POLÍTICAUna política es... Una configuración obligatoria o una restricción Puesta para todo lo que pertenezca a una determinada OU Está compuesta de COMPUTER SETTINGS USER SETTINGS
  22. 22. POLÍTICA DE USUARIO: definiciónLa política (conjunto de configuraciones o restricciones) de un usuario es la suma delas configuraciones o restricciones de las OUs a las que pertenezca el usuario jerárquicamente
  23. 23. POLÍTICA DE USUARIO: conflictosSi varios settings de una política entran en conflicto, se aplican los de la OU más "próxima" al usuario
  24. 24. POLÍTICA DE USUARIO: cortar la herenciaSe puede hacer que una OU no herede las políticas de las OU de las que depende
  25. 25. Políticas para servidores CitrixUna política que aplicada al PC del cliente tiene sentido puede no tener sentidoaplicada a un servidor Citrix para ese mismo usuario En el PC: usar proxy 192.168.0.1 En el Servidor Citrix: no usar proxy puede que desde la granja no queramos acceso a internet por motivos de seguridadSOLUCION Agrupar todos los servidores Citrix en una OU Cortar la herencia para esa OU Definir una política para esa OU que indique "no usar proxy"pero eso no va a funcionar... ¿por qué?
  26. 26. Políticas para servidores CitrixEl usuario no está en la OU de máquinas Citrix, por tanto trae su política "estándar"del dominio (proxy si).La política que trae el usuario SE SUMARÁ A LA POLÍTICA DE LA OU DE MÁQUINAS CITRIX. De hecho la política de usuario tiene preferencia sobre la políticaaplicada a una máquina.El resultado es que si la política del usuario dice que quiere usar proxy, vamos atener que usarlo... ¡pues no!SOLUCION: User Group Policy loopback processing mode (hacer que la política deusuario quede anulada por haber una política de máquina)
  27. 27. User Group Policy loopback processing mode
  28. 28. User Group Policy loopback processing mode
  29. 29. User Group Policy loopback processing mode
  30. 30. Las posibilidades ocultas del cuadro de diálogo Abrir/GuardarConectar unidades de redNavegar por directoriosCrear archivos/carpetasF2 = renameINTRO = ejecutar
  31. 31. Imprescindible: aplicar política del "Common Open File Dialog"
  32. 32. Dialogo "Abrir": que solo vea lo que necesita
  33. 33. Diálogo "Abrir": que no pueda usar la unidad C
  34. 34. Diálogo "Abrir": que no pueda conectar unidades de red
  35. 35. Otras políticas: logon scripts en modo oculto
  36. 36. Envío automático de información de soporteLa utilidad gpresult sirve para imprimir un resumen de las políticas de directorioactivo aplicadas al cliente.Quizás el cliente detecte problemas de funcionamiento porque se le están aplicandopolíticas incorrectas.Como para poder ejecutar gpresult hay que usar las credenciales del usuario, y noes muy correcto pedirle su password... publicar un script que ejecute "gpresult" y nos envíe el resultado. decirle al usuario que lo ejecute recibiremos un informe con las políticas que se le aplican a ese usuario al hacer logon
  37. 37. SEGURIDAD DEL PUESTO CLIENTE
  38. 38. Seguridad en el clienteConnection CenterEl cliente puede no autorizar el uso de recursos de su PC por parte de lasaplicaciones del servidor
  39. 39. Seguridad en el cliente - File securityConnection CenterPuede no mapear unidades locales o hacerlo en modo solo-lectura.
  40. 40. Seguridad en el cliente - Audio securityConnection CenterPuede no permitir que se use el micro del PC por parte de aplicaciones del servidor
  41. 41. Seguridad en el cliente - Scanner securityConnection CenterPuede no permitir el uso de dispositivos de adquisición de imágenes (TWAIN)
  42. 42. Seguridad en el cliente - PDA securityConnection CenterPuede no permitir el acceso a PDAs conectadas localmente
  43. 43. Seguridad en el cliente webEl web client no tiene interface de configuración, por tanto para activar filtros deseguridad tenemos que hacerlo "a mano" en el fichero WEBICA.INICTX108050How to Disable the Security Popup in the ICA Web Client for PDA and ScannerSecurityThe [PDAInput] and [TWNInput] channel have only two parameters available.Edit WEBICA.INI and add the needed parameters as below:[PDAInput] GlobalSecurityAccess=813 => yes, never ask me[PDAInput] Server IP: port =813 => yes, never ask me again for this server[PDAInput] GlobalSecurityAccess= nothing => yes, always ask me[PDAInput] GlobalSecurityAccess=812 => no, never ask me[PDAInput] Server IP: port =812 => no never ask me for this server.[PDAInput] GlobalSecurityAccess= nothing. => no always ask meThe above also applies to TWNInput, but you will need to use the following parameters instead of 813 access / 812 no access: 821=access, 820=no access

×