Notes de mise à jour de Citrix Secure Access pour Windows

L’agent Citrix Secure Access pour Windows est désormais disponible sur une base autonome et est compatible avec toutes les versions de Citrix ADC. La version de l’agent Citrix Secure Access suit le format YY.MM Release.Build.

Les notes de version décrivent les nouvelles fonctionnalités, les améliorations apportées aux fonctionnalités existantes et les problèmes résolus.

Nouveautés : Les nouvelles fonctionnalités et améliorations disponibles dans la version actuelle.

Problèmes résolus : problèmes résolus dans la version actuelle.

Pour obtenir des informations détaillées sur les fonctionnalités prises en charge, consultez la documentation produit Citrix Gateway.

Remarque :

La version 21.9.1.2 et ultérieure de l’agent Citrix Secure Access (anciennement Citrix Gateway Plug-in pour Windows) contient le correctif pour https://support.citrix.com/article/CTX341455.

22.6.1.5 (17 juin-2022)

Nouveautés

  • Configuration des scripts de connexion et de déconnexion

    Le client Citrix Secure Access accède à la configuration du script de connexion et de déconnexion à partir des registres suivants lorsque le client Citrix Secure Access se connecte au service cloud Citrix Secure Private Access.

    Chemin d’accès au registre : HKEY_LOCAL_MACHINE>Software>Citrix > Secure Access Client

    Valeurs du registre :

    • SecureAccessLoginScript type REG_SZ - chemin d’accès au script de connexion
    • SecureAccessLogoutScript type REG_SZ - chemin d’accès au script de déconnexion

    [ACS-2776]

  • Agent Windows Citrix Secure Access à l’aide de la plate-forme de filtrage Windows (WFP)

    WFP est un ensemble d’API et de services système qui fournit une plate-forme pour créer une application de filtrage de réseau. WFP est conçu pour remplacer les technologies de filtrage de paquets précédentes, le filtre NDIS (Network Driver Interface Specification) qui était utilisé avec le pilote DNE. Pour plus de détails, consultez la section Agent Windows Citrix Secure Access utilisant la plate-forme de filtrage Windows.

    [CGOP-19787]

  • Prise en charge du split tunnel inversé basé sur le nom

    Le pilote WFP prend désormais en charge le split tunneling REVERSE basé sur le nom de domaine complet. Il n’est pas pris en charge par le pilote DNE. Pour plus de détails sur le split tunnel inversé, voir Options de split tunneling.

    [CGOP-16849]

Problèmes résolus

  • Parfois, l’ouverture de session automatique Windows ne fonctionne pas lorsqu’un utilisateur se connecte à la machine Windows en mode de service Always On. Le tunnel machine ne passe pas au tunnel utilisateur et le message Connexion s’affiche dans l’interface utilisateur du plug-in VPN.

    [NSHELP-31357]

  • Lors de la fermeture de session VPN, les entrées de la liste de suffixes DNS dans le registre SearchList (Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access Client) sont réécrites dans l’ordre inverse, séparées par une ou plusieurs virgules.

    [NSHELP-31346]

  • L’adresse IP usurpée est utilisée même après que la configuration de l’application intranet Citrix ADC est passée d’une application basée sur un nom de domaine complet à une application basée sur IP.

    [NSHELP-31236]

  • La page d’accueil de la passerelle ne s’affiche pas immédiatement après que le plug-in de passerelle a réussi à établir le tunnel VPN.

    Avec ce correctif, la valeur de Registre suivante est introduite.

    \HKLM\Software\Citrix\Secure Access Client\SecureChannelResetTimeoutSeconds

    Type : DWORD

    Par défaut, cette valeur de registre n’est ni définie ni ajoutée. Lorsque la valeur de « SecureChannelResetTimeoutSeconds » est 0 ou n’est pas ajoutée, le correctif pour gérer le délai ne fonctionne pas, ce qui est le comportement par défaut. L’administrateur doit définir ce registre sur le client pour activer le correctif (c’est-à-dire afficher la page d’accueil immédiatement après que le plug-in de passerelle ait établi le tunnel VPN avec succès).

    [NSHELP-30189]

  • Le registre de liste AlwaysOnAllow ne fonctionne pas comme prévu si la valeur du registre est supérieure à 2000 octets.

    [NSHELP-31836]

  • L’agent Citrix Secure Access pour Windows ne tunnelise pas les nouvelles connexions TCP vers le serveur TCP principal si la région de service Secure Private Access déjà connectée devient inaccessible. Toutefois, cela n’affecte pas les connexions de passerelle sur site.

    [ACS-2714]

22.3.1.5 (24-mars-2022)

Problèmes résolus

  • Le nom du plug-in Windows EPA est rétabli en plug-in EPA Citrix Gateway.

    [CGOP-21061]

Problèmes connus

  • L’agent Citrix Secure Access pour Windows ne tunnelise pas les nouvelles connexions TCP vers le serveur TCP principal si la région de service Secure Private Access déjà connectée devient inaccessible. Toutefois, cela n’affecte pas les connexions de passerelle sur site.

    [ACS-2714]

22.3.1.4 (10-mars-2022)

Nouveautés

  • Appliquer l’accès au réseau local aux utilisateurs finaux en fonction de la configuration ADC

    Les administrateurs peuvent désormais empêcher les utilisateurs finaux d’activer ou de désactiver l’option d’accès au réseau local sur leurs ordinateurs clients. Une nouvelle option, FORCED, est ajoutée aux valeurs des paramètres d’accès au réseau local existants. Lorsque la valeur Accès au réseau local est définie sur FORCÉ, les utilisateurs finaux ne peuvent pas utiliser l’option d’accès au réseau local sur leurs ordinateurs clients. Si les utilisateurs finaux doivent activer ou désactiver l’accès au réseau local, les administrateurs doivent reconfigurer l’option Accès au réseau local dans l’appliance Citrix ADC en conséquence.

    Pour activer l’option FORCED à l’aide de l’interface graphique :

    1. Accédez à Citrix Gateway > Paramètres globaux > Modifier les paramètres globaux.
    2. Cliquez sur l’onglet Expérience client, puis sur Paramètres avancés.
    3. Dans Accès au réseau local, sélectionnez FORCÉ.

    Pour activer l’option FORCED à l’aide de l’interface de ligne de commande, exécutez la commande suivante :

     set vpn parameter -localLanAccess FORCED
     <!--NeedCopy-->
    

    [CGOP-19935]

  • Prise en charge de Windows Server 2019 et 2022 dans l’analyse du système d’exploitation EPA

    L’analyse du système d’exploitation EPA prend désormais en charge Windows Server 2019 et 2022.

    Vous pouvez sélectionner les nouveaux serveurs à l’aide de l’interface graphique.

    1. Accédez à Citrix Gateway > Stratégies > Préauthentification.
    2. Créez une nouvelle stratégie de préauthentification ou modifiez une stratégie existante.
    3. Cliquez sur le lien OPSWAT EPA Editor .
    4. Dans Expression Editor, sélectionnez Windows > Windows Update et cliquez sur l’icône + .
    5. Dans Nom du système d’exploitation, sélectionnez le serveur selon vos besoins.

    Vous pouvez mettre à niveau vers la version OPSWAT 4.3.2744.0 pour utiliser les serveurs Windows 2019 et 2022 dans l’analyse du système d’exploitation EPA.

    [CGOP-20061]

  • Nouveaux types de classification d’analyse EPA pour les correctifs de sécurité manquants

    Les nouveaux types de classification suivants sont ajoutés à l’analyse EPA pour détecter les correctifs de sécurité manquants. L’analyse EPA échoue si l’un des correctifs de sécurité suivants est manquant sur le client.

    • Application
    • Connecteurs
    • CriticalUpdates
    • DefinitionUpdates
    • DeveloperKits
    • FeaturePacks
    • Conseils
    • SecurityUpdates
    • ServicePacks
    • Outils
    • UpdateRollups
    • Mises à jour

    Vous pouvez configurer les types de classification à l’aide de l’interface graphique.

    1. Accédez à Citrix Gateway > Stratégies > Préauthentification.
    2. Créez une nouvelle stratégie de préauthentification ou modifiez une stratégie existante.
    3. Cliquez sur le lien ((OPSWAT EPA Editor)).
    4. Dans Expression Editor, sélectionnez Windows > Windows Update.
    5. Dans Ne devrait pas avoir de correctif manquant du type de classification Windows Update suivant, sélectionnez le type de classification pour les correctifs de sécurité manquants
    6. Cliquez sur OK.

    Vous pouvez effectuer une mise à niveau vers la version 4.3.2744.0 d’OPSWAT pour utiliser ces options.

    Auparavant, les analyses EPA pour détecter les correctifs de sécurité manquants étaient effectuées sur les niveaux de gravité : Critique, Important, Modéré et Faible sur le client Windows.

    [CGOP-19465]

  • Prise en charge de plusieurs certificats d’appareils pour l’analyse EPA

    Dans la configuration VPN Always on, si plusieurs certificats d’appareil sont configurés, le certificat dont la date d’expiration est la plus longue est essayé pour la connexion VPN. Si ce certificat autorise l’analyse EPA avec succès, la connexion VPN est établie. Si ce certificat échoue au cours du processus d’analyse, le certificat suivant est utilisé. Ce processus se poursuit jusqu’à ce que tous les certificats soient essayés.

    Auparavant, si plusieurs certificats valides étaient configurés, si l’analyse EPA échouait pour un certificat, l’analyse n’avait pas été tentée sur les autres certificats.

    [CGOP-19782]

Problèmes résolus

  • Si le paramètre ClientCert est défini sur « Facultatif » dans le profil SSL lors de la configuration du serveur virtuel VPN, les utilisateurs sont invités à plusieurs reprises à sélectionner la carte à puce.

    [NSHELP-30070]

  • Les utilisateurs ne peuvent pas se connecter à l’appliance Citrix Gateway après avoir changé le paramètre de profil « NetworkAccessonVPNFailure » de « FullAccess » à « OnlyToGateway ».

    [NSHELP-30236]

  • Lorsque Always on est configuré, le tunnel utilisateur échoue en raison du numéro de version incorrect (1.1.1.1) dans le fichier aoservice.exe.

    [NSHELP-30662]

  • La résolution DNS des ressources internes et externes cesse de fonctionner pendant une session VPN prolongée.

    [NSHELP-30458]

  • Le client VPN Windows n’honore pas l’alerte « Notification de fermeture SSL » du serveur et envoie la demande de connexion de transfert sur la même connexion.

    [NSHELP-29675]

  • Vérification EPA du registre pour les « == » et « ! = » échoue pour certaines entrées de registre.

    [NSHELP-29582]

22.2.1.103 (17-févr-2022)

Problèmes résolus

  • Les utilisateurs ne peuvent pas lancer le plug-in EPA ou le plug-in VPN après une mise à niveau vers les versions de navigateur Chrome 98 ou Edge 98. Pour résoudre ce problème, effectuez les opérations suivantes :

    1. Pour la mise à niveau du plug-in VPN, les utilisateurs finaux doivent se connecter à l’aide du client VPN pour la première fois afin d’obtenir le correctif sur leurs machines. Lors des tentatives de connexion suivantes, les utilisateurs peuvent choisir le navigateur ou le plug-in à connecter.
    2. Pour le cas d’utilisation EPA uniquement, les utilisateurs finaux n’auront pas le client VPN pour se connecter à la passerelle. Dans ce cas, effectuez les opérations suivantes :

      1. Connectez-vous à la passerelle à l’aide d’un navigateur.
      2. Attendez que la page de téléchargement apparaisse et téléchargez le fichier nsepa_setup.exe.
      3. Après le téléchargement, fermez le navigateur et installez le fichier nsepa_setup.exe.
      4. Redémarrez le client.

    [NSHELP-30641]

21.12.1.4 (17-déc-2021)

Nouveautés

  • Changements liés au rebranding

    Le plug-in Citrix Gateway pour Windows est renommé agent Citrix Secure Access.

    [ACS-2044]

  • Prise en charge des applications privées TCP/HTTP (S)

    L’agent Citrix Secure Access prend désormais en charge les applications privées TCP/HTTP (S) pour les utilisateurs distants via le service Citrix Workspace Secure Access.

    [ACS-870]

  • Nouvelles langues prises en charge

    Les plug-ins Windows VPN et EPA pour Citrix Gateway prennent désormais en charge les langues suivantes :

    • Coréen
    • Russe
    • Chinois (traditionnel)

    [CGOP-17721]

  • Prise en charge de Citrix Secure Access pour Windows 11

    L’agent Citrix Secure Access est désormais pris en charge pour Windows 11.

    [CGOP-18923]

  • Ouverture de session de transfert automatique lorsque l’utilisateur se connecte à partir de la même machine et que Always on est configuré

    Le transfert automatique de connexion se produit désormais sans aucune intervention de l’utilisateur lorsque Always on est configuré et que l’utilisateur se connecte à partir du même ordinateur. Auparavant, lorsque le client (utilisateur) devait se reconnecter dans des scénarios tels que le redémarrage du système ou des problèmes de connectivité réseau, un message contextuel apparaissait. L’utilisateur devait confirmer la connexion au transfert. Avec cette amélioration, la fenêtre contextuelle est désactivée.

    [CGOP-14616]

  • Dérivation de l’adresse IP de passerelle par défaut de l’adaptateur virtuel Citrix à partir du masque réseau fourni par Citrix ADC

    L’adresse IP de la passerelle par défaut de Citrix Virtual Adapter est désormais dérivée du masque réseau fourni par Citrix ADC.

    [CGOP-18487]

Problèmes résolus

  • Parfois, les utilisateurs perdent l’accès à Internet après l’établissement d’un tunnel VPN en mode split tunnel ON. L’itinéraire par défaut erroné de l’adaptateur virtuel Citrix est à l’origine de ce problème réseau.

    [NSHELP-26779]

  • Lorsque Split Tunnel est réglé sur « Inverse », la résolution DNS pour les domaines intranet échoue.

    [NSHELP-29371]

21.9.100.1 (30-déc-2021)

Nouveautés

  • Prise en charge de Citrix Secure Access pour Windows 11

    L’agent Citrix Secure Access est désormais pris en charge pour Windows 11.

    [CGOP-18923]

Problèmes résolus

  • Parfois, les utilisateurs perdent l’accès à Internet après l’établissement d’un tunnel VPN en mode split tunnel ON. L’itinéraire par défaut erroné de l’adaptateur virtuel Citrix est à l’origine de ce problème réseau.

    [NSHELP-26779]

  • Lorsque Split Tunnel est réglé sur « Inverse », la résolution DNS pour les domaines intranet échoue.

    [NSHELP-29371]

21.9.1.2 (04-oct-2021)

Problèmes résolus

  • Parfois, après la déconnexion du VPN, le résolveur DNS ne parvient pas à résoudre les noms d’hôtes, car les suffixes DNS sont supprimés lors de la déconnexion du VPN.

    [NSHELP-28848]

  • Parfois, un utilisateur est déconnecté de Citrix Gateway en quelques secondes lorsque le délai d’inactivité du client est défini.

    [NSHELP-28404]

  • Le plug-in Windows peut se bloquer pendant l’authentification.

    [NSHELP-28394]

  • En mode de service Always On, le plug-in VPN pour Windows ne parvient pas à établir automatiquement le tunnel utilisateur une fois que les utilisateurs se connectent à leurs machines Windows.

    [NSHELP-27944]

  • Après l’établissement du tunnel, au lieu d’ajouter des routes de serveur DNS avec l’adresse IP de la passerelle précédente, le plug-in Windows ajoute les routes avec l’adresse de passerelle par défaut.

    [NSHELP-27850]

V21.7.1.1 (27-Aug-2021)

Nouveautés

  • Analyse des nouvelles adresses MAC

    La prise en charge des analyses d’adresses MAC plus récentes est ajoutée.

    [CGOP-16842]

  • Analyse EPA pour vérifier le système d’exploitation Windows et sa version de compilation

    Ajout de l’analyse EPA pour vérifier le système d’exploitation Windows et sa version de compilation.

    [CGOP-15770]

  • Analyse EPA pour vérifier l’existence d’une valeur particulière

    Une nouvelle méthode de l’analyse EPA du registre vérifie désormais l’existence d’une valeur particulière.

    [CGOP-10123]

Problèmes résolus

  • Si une erreur JavaScript se produit lors de la connexion en raison d’une erreur réseau, les tentatives de connexion suivantes échouent avec la même erreur JavaScript.

    [NSHELP-27912]

  • L’analyse EPA échoue pour la dernière vérification de l’heure de la dernière mise à jour de l’antivirus McAfee.

    [NSHELP-26973]

  • Parfois, les utilisateurs perdent leur accès à Internet après l’établissement d’un tunnel VPN.

    [NSHELP-26779]

  • Une erreur de script pour le plug-in VPN peut s’afficher pendant l’authentification nFactor.

    [NSHELP-26775]

  • En cas de perturbation du réseau, le flux de trafic UDP qui a démarré avant l’interruption du réseau ne s’interrompt pas avant 5 minutes maximum.

    [NSHELP-26577]

  • Vous risquez de subir un retard dans le démarrage du tunnel VPN si l’enregistrement DNS prend plus de temps que prévu.

    [NSHELP-26066]

V21.3.1.2 (31-Mar-2021)

Nouveautés

  • Bibliothèques EPA mises à niveau

    Les bibliothèques EPA sont mises à niveau pour prendre en charge la dernière version des applications logicielles utilisées dans les analyses EPA.

    [NSHELP-26274]

  • Compatibilité de l’adaptateur virtuel Citrix Gateway

    L’adaptateur virtuel Citrix Gateway est désormais compatible avec les cartes virtuelles Hyper-V et Microsoft Wi-Fi Direct (utilisées avec les imprimantes).

    [NSHELP-26366]

Problèmes résolus

  • Le plug-in de passerelle VPN Windows bloque l’utilisation de « CTRL+P » et « CTRL+O » sur le tunnel VPN.

    [NSHELP-26602]

  • Le plug-in Citrix Gateway pour Windows répond uniquement avec une adresse IP Intranet enregistrée dans Active Directory lorsqu’une action "nslookup" est demandée pour le nom de la machine.

    [NSHELP-26563]

  • L’enregistrement et le désenregistrement IIP échouent par intermittence si le split DNS est défini sur « Local » ou « Des deux côtés ».

    [NSHELP-26483]

  • La connexion automatique au plug-in de passerelle VPN Windows échoue si Always On est configuré.

    [NSHELP-26297]

  • Le plug-in de passerelle VPN Windows ne parvient pas à supprimer les paquets DNS IPv6, ce qui entraîne des problèmes de résolution DNS.

    [NSHELP-25684]

  • Le plug-in de passerelle VPN Windows conserve la liste d’exceptions de proxy existante même si la liste déborde en raison de la limite du navigateur sur la liste des exceptions du proxy Internet Explorer.

    [NSHELP-25578]

  • Le plug-in de passerelle VPN Windows ne parvient pas à restaurer les paramètres du proxy lorsque le client VPN est déconnecté en mode Always On.

    [NSHELP-25537]

  • Le plug-in VPN pour Windows n’établit pas le tunnel après la connexion à Windows, si les conditions suivantes sont remplies :

    • Le dispositif Citrix Gateway est configuré pour la fonctionnalité Always On.
    • L’appliance est configurée pour l’authentification par certificat avec l’authentification à deux facteurs « désactivée ».

    [NSHELP-23584]

Notes de mise à jour de Citrix Secure Access pour Windows