TIC 0271
Acceso a aplicaciones usando Citrix Metaframe
Control de acceso
Joaquín Herrero
Pintado
INSTITUTO NACIONAL DE ADMINISTRACION PÚBLICA jherrero@mma.es
Plan interadministrativo de formación contínua en el área de tecnologías

Contenido
Control de acceso en el conector ICA
Políticas Citrix
Políticas Directorio Activo
Seguridad en el cliente ICA

Distintos elementos contribuyen a que el sistema sea seguro
Control de acceso en el conector ICA
Securizar RDP para que solo lo usen administradores
Securizar ICA para que no se puedan publicar escritorios
Asignar temporizadores de desconexión
Políticas Citrix
Impedir conectar dispositivos de cliente
Asignar ancho de banda a la conexión o a canales virtuales
Impedir la instalación de drivers de impresión
Políticas Directorio Activo
Impedir el agujero de seguridad del diálogo "Abrir..."
Conciliar políticas de usuario y políticas de máquinas
Seguridad en el cliente ICA
El cliente debe autorizar que la aplicación acceda a recursos de su PC

CONTROL DE ACCESO EN EL CONECTOR ICA

Conector ICA
Acceso al configurador
El conector ICA es el software que atiende la puerta TCP 1494, por donde llega el trá
fico ICA al servidor
Desde el CITRIX CONNECTION CONFIGURATOR podemos establecer
condiciones para TODOS los clientes ICA, independientemente de cómo esté
publicada la aplicación o de las preferencias del cliente.
Pinchando el "martillo verde" de la barra de tareas Citrix, accedemos al configurador
desde donde podemos cambiar las caracteristicas del conector ICA

Conector ICA
Edit connection: Advanced, Client Settings ICA Settings

Conector ICA
Advanced Connection Settings: logon control, temporizadores, impedir publicar escritorios, shadowing, etc

Conector ICA
Client Settings
Podemos deshabilitar canales virtuales que NUNCA usaremos
Ahorramos ancho de banda

Conector ICA
ICA Settings: ajustar ancho de banda consumido por el canal virtual del audio

POLITICAS CITRIX

Políticas Citrix
Mientras que lo que cambiemos en el conector ICA afecta a TODOS los usuarios
que entren por la puerta ICA (1494), las restricciones que pongamos en las políticas
las podemos aplicar a grupos concretos de usuarios (o a todos, en las políticas hay
más opciones que en el conector)
Podemos definir restricciones de prácticamente todos los elementos de una conexión ICA: Ancho de banda general,
Ancho de banda de un canal, Periféricos que se conectarán, Opciones de impresión

Políticas Citrix - Aplicación
Una vez definida la política podemos aplicarla siguiendo distintos criterios
por dirección IP del cliente
por nombre del cliente
a todas las aplicaciones que publica un determinado servidor
a todas las aplicaciones que inicie un determinado usuario

Ejemplo: politica para usar driver universal /1
Autocrear solo la impresora por defecto del cliente
No es obligatorio esto, se podrían conectar todas las impresoras del cliente, solo
que todas usarán el mismo driver debido a esta política

Ejemplo: politica para usar driver universal /2
No instalar drivers automáticamente

Ejemplo: politica para usar driver universal /3
Usar solo driver universal
Alternativa "light": usar driver universal solo si el driver de la impresora del cliente
no está instalado

Ejemplo: politica para usar Uniprint /1
Uniprint es un servicio de impresión SIN DRIVER EN EL SERVIDOR
Genera un PDF que envía al cliente
Al instalarlo, en los clientes conectados siempre aparece la impresora "Uniprint"
Requiere un software instalado en todos los clientes que recibe el PDF y lo envía
al driver local para que se imprima
El usuario puede elegir por qué impresora quiere sacar el listado una vez que le
llegue el PDF
www.uniprint.net

Ejemplo: politica para usar Uniprint /2
No autocreamos NINGUNA impresora del cliente: Uniprint siempre ofrece la suya,
que es la que queremos utilizar.

Ejemplo: politica para usar Uniprint /3
No se permite la instalación de drivers

POLITICAS DIRECTORIO ACTIVO

OU: Organizative Unit
Una OU (Unidad de Organización) es...
Un contenedor en el que se definen MAQUINAS o USUARIOS
Puede ser "hija" de otra OU
Puede ser "madre" de una o varias OUs
El Directorio Activo es un arbol de OUs

POLÍTICA
Una política es...
Una configuración obligatoria o una restricción
Puesta para todo lo que pertenezca a una determinada OU
Está compuesta de
COMPUTER SETTINGS
USER SETTINGS

POLÍTICA DE USUARIO: definición
La política (conjunto de configuraciones o restricciones) de un usuario es la suma de
las configuraciones o restricciones de las OUs a las que pertenezca el usuario jerá
rquicamente

POLÍTICA DE USUARIO: conflictos
Si varios settings de una política entran en conflicto, se aplican los de la OU más "pró
xima" al usuario

POLÍTICA DE USUARIO: cortar la herencia
Se puede hacer que una OU no herede las políticas de las OU de las que depende

Políticas para servidores Citrix
Una política que aplicada al PC del cliente tiene sentido puede no tener sentido
aplicada a un servidor Citrix para ese mismo usuario
En el PC: usar proxy 192.168.0.1
En el Servidor Citrix: no usar proxy
puede que desde la granja no queramos acceso a internet por motivos de seguridad
SOLUCION
Agrupar todos los servidores Citrix en una OU
Cortar la herencia para esa OU
Definir una política para esa OU que indique "no usar proxy"
pero eso no va a funcionar... ¿por qué?

Políticas para servidores Citrix
El usuario no está en la OU de máquinas Citrix, por tanto trae su política "estándar"
del dominio (proxy si).
La política que trae el usuario SE SUMARÁ A LA POLÍTICA DE LA OU DE MÁ
QUINAS CITRIX. De hecho la política de usuario tiene preferencia sobre la política
aplicada a una máquina.
El resultado es que si la política del usuario dice que quiere usar proxy, vamos a
tener que usarlo...
¡pues no!
SOLUCION: User Group Policy loopback processing mode (hacer que la política de
usuario quede anulada por haber una política de máquina)

User Group Policy loopback processing mode

User Group Policy loopback processing mode

User Group Policy loopback processing mode

Las posibilidades ocultas del cuadro de diálogo Abrir/Guardar
Conectar unidades de red
Navegar por directorios
Crear archivos/carpetas
F2 = rename
INTRO = ejecutar

Imprescindible: aplicar política del "Common Open File Dialog"

Dialogo "Abrir": que solo vea lo que necesita

Diálogo "Abrir": que no pueda usar la unidad C

Diálogo "Abrir": que no pueda conectar unidades de red

Otras políticas: logon scripts en modo oculto

Envío automático de información de soporte
La utilidad gpresult sirve para imprimir un resumen de las políticas de directorio
activo aplicadas al cliente.
Quizás el cliente detecte problemas de funcionamiento porque se le están aplicando
políticas incorrectas.
Como para poder ejecutar gpresult hay que usar las credenciales del usuario, y no
es muy correcto pedirle su password...
publicar un script que ejecute "gpresult" y nos envíe el resultado.
decirle al usuario que lo ejecute
recibiremos un informe con las políticas que se le aplican a ese usuario al hacer
logon

SEGURIDAD DEL PUESTO CLIENTE

Seguridad en el cliente
Connection Center
El cliente puede no autorizar el uso de recursos de su PC por parte de las
aplicaciones del servidor

Seguridad en el cliente - File security
Connection Center
Puede no mapear unidades locales o hacerlo en modo solo-lectura.

Seguridad en el cliente - Audio security
Connection Center
Puede no permitir que se use el micro del PC por parte de aplicaciones del servidor

Seguridad en el cliente - Scanner security
Connection Center
Puede no permitir el uso de dispositivos de adquisición de imágenes (TWAIN)

Seguridad en el cliente - PDA security
Connection Center
Puede no permitir el acceso a PDAs conectadas localmente

Seguridad en el cliente web
El web client no tiene interface de configuración, por tanto para activar filtros de
seguridad tenemos que hacerlo "a mano" en el fichero WEBICA.INI
CTX108050
How to Disable the Security Popup in the ICA Web Client for PDA and Scanner
Security
The [PDAInput] and [TWNInput] channel have only two parameters available.
Edit WEBICA.INI and add the needed parameters as below:
[PDAInput]
GlobalSecurityAccess=813 => yes, never ask me
[PDAInput]
Server IP: port =813 => yes, never ask me again for this server
[PDAInput]
GlobalSecurityAccess= nothing => yes, always ask me
[PDAInput]
GlobalSecurityAccess=812 => no, never ask me
[PDAInput]
Server IP: port =812 => no never ask me for this server.
[PDAInput]
GlobalSecurityAccess= nothing. => no always ask me
The above also applies to TWNInput, but you will need to use the following parameters instead of 813 access / 812 no access: 821=access, 820=no access