Sécurité des canaux virtuels
Par défaut, la fonctionnalité de liste d’autorisation de canaux virtuels est activée. Par conséquent, seuls les canaux virtuels Citrix sont autorisés à s’ouvrir dans les sessions d’applications et de bureaux virtuels. S’il est nécessaire d’utiliser des canaux virtuels personnalisés, qu’ils soient locaux ou provenant d’un tiers, ils doivent être explicitement ajoutés à la liste d’autorisation.
Ajout de canaux virtuels à la liste d’autorisation
Pour ajouter un canal virtuel à la liste d’autorisation, vous avez besoin des éléments suivants :
-
Le nom du canal virtuel tel que défini dans le code, qui peut contenir jusqu’à sept caractères. Par exemple,
CTXCVC1
. -
Les chemins d’accès aux processus qui ouvrent le canal virtuel sur la machine VDA. Par exemple,
C:\Program Files\Application\run.exe
.
Une fois que vous avez les informations requises, vous devez ajouter le canal virtuel à la liste d’autorisation à l’aide du paramètre de stratégie Liste d’autorisation des canaux virtuels. Pour ajouter un canal virtuel à la liste, entrez le nom du canal virtuel suivi d’une virgule, puis le chemin d’accès au processus qui accède au canal virtuel. S’il existe plusieurs processus, ils peuvent être séparés par des virgules.
En utilisant les exemples précédents, vous pouvez ajouter les éléments suivants à la liste :
CTXCVC1,C:\Program Files\Application\run.exe
S’il y a plusieurs processus, vous devez ajouter les éléments suivants à la liste :
CTXCVC1,C:\Program Files\Application\run.exe,C:\Program Files\Application\run2.exe
L’utilisation de caractères génériques (*) est prise en charge. Vous pouvez utiliser des caractères génériques lorsque les noms des répertoires ou des exécutables changent en fonction de la version de l’application ou si le composant tiers est installé dans les profils des utilisateurs.
Vous pouvez utiliser des caractères génériques dans les cas suivants :
- Pour remplacer le nom complet du répertoire. Pa exemple :
C:\Program Files\Application\*\run1.exe
- Pour remplacer une partie du nom du répertoire. Pa exemple :
C:\Program Files\Application\v*\run1.exe
- Pour remplacer le nom de l’exécutable. Pa exemple :
C:\Program Files\Application\v1.2\*.exe
- Pour remplacer une partie du nom de l’exécutable. Pa exemple :
C:\Program Files\Application\v1.2\run*.exe
Les restrictions suivantes s’appliquent :
- Le caractère générique ne peut être utilisé que pour remplacer un seul répertoire. Par exemple, si l’exécutable se trouve dans
C:\Program Files\Application\v1.2\run1.exe
- Autorisé :
C:\Program Files\Application\*\run1.exe
- Non autorisée :
C:\Program Files\*\run1.exe
- Autorisé :
- Les entrées doivent contenir l’extension de fichier.
- Autorisé :
C:\Program Files\Application\v1.2\*.exe
- Non autorisée :
C:\Program Files\Application\v1.2\*
- Autorisé :
- Tous les chemins doivent être locaux. Les chemins réseau ne sont pas autorisés.
Remarques sur les canaux virtuels Citrix
Tous les canaux virtuels Citrix intégrés sont approuvés et peuvent s’ouvrir sans autre configuration. Toutefois, deux fonctionnalités nécessitent des entrées explicites dans la liste d’autorisation en raison de dépendances externes :
- Redirection multimédia
- Pack d’optimisation HDX RealTime pour Skype Entreprise
Redirection multimédia
Ces informations sont requises pour l’entrée dans la liste d’autorisation :
- Nom du canal virtuel : CTXMM
- Processus : chemin d’accès au lecteur multimédia utilisé sur votre machine VDA. Par exemple, C:\Program Files (x86)\Windows Media Player\wmplayer.exe
- Entrée dans la liste d’autorisation :
CTXMM,C:\Program Files (x86)\Windows Media Player\wmplayer.exe
Pack d’optimisation HDX RealTime pour Skype Entreprise
Ces informations sont requises pour l’entrée dans la liste d’autorisation :
- Nom du canal virtuel : CTXRMEP
- Processus : chemin d’accès à l’exécutable Skype Entreprise sur votre machine VDA, qui peut varier en fonction de la version de Skype Entreprise ou si vous avez utilisé un chemin d’installation personnalisé. Par exemple, C:\Program Files\Microsoft Office\root\Office16\lync.exe.
- Entrée dans la liste d’autorisation :
CTXRMEP,C:\Program Files\Microsoft Office\root\Office16\lync.exe
Obtention de noms et de processus de canaux virtuels
Le moyen le plus simple d’obtenir le nom du canal virtuel et le processus qui l’ouvre sur la machine VDA est de demander ces informations au développeur ou fournisseur tiers qui a fourni le canal virtuel.
Vous pouvez également obtenir ces informations en appliquant les journaux de la fonctionnalité et en suivant ces étapes :
- Une fois que les composants client et serveur du canal virtuel personnalisé sont en place, lancez une application virtuelle ou un bureau virtuel.
- Dans le journal des événements système de la machine VDA, recherchez le nom du canal virtuel personnalisé et le processus qui a essayé de l’ouvrir dans l’événement suivant :
- Dans un VDA mono-session, ID d’événement 2002 du Picadd source.
- Dans un VDA multisession, ID d’événement 14 du Rpm source.
- Déconnectez-vous de la session.
- Ajoutez une entrée dans le paramètre de stratégie Liste d’autorisation des canaux virtuels pour le canal virtuel et le processus identifiés.
- Lancez l’application virtuelle ou le bureau virtuel pour vérifier que le canal virtuel personnalisé s’ouvre correctement.
Journalisation de la liste d’autorisation des canaux virtuels
Les événements suivants sont consignés dans le journal des événements de la machine VDA mono-session :
Nom du journal | System | |
ID | 2001 | |
Source | Picadd | |
Niveau | Information | |
Description | Le canal virtuel personnalisé <vcName> a été ouvert par le processus <processName>
|
Nom du journal | System | |
ID | 2002 | |
Source | Picadd | |
Niveau | Avertissement | |
Description | Le canal virtuel personnalisé <vcName> ne peut pas être ouvert par le processus <processName>
|
Nom du journal | System | |
ID | 2003 | |
Source | Picadd | |
Niveau | Information | |
Description |
<username> a ouvert le canal virtuel personnalisé <vcName>
|
Nom du journal | System | |
ID | 2004 | |
Source | Picadd | |
Niveau | Avertissement | |
Description |
<username> a essayé d’ouvrir le canal virtuel personnalisé <vcName>
|
Les événements suivants sont consignés dans le journal des événements de la machine VDA multisession :
Nom du journal | System | |
ID | 13 | |
Source | Rpm | |
Niveau | Information | |
Description | Le canal virtuel personnalisé <vcName> a été ouvert par le processus <processName>
|
Nom du journal | System | |
ID | 14 | |
Source | Rpm | |
Niveau | Avertissement | |
Description | Le canal virtuel personnalisé <vcName> ne peut pas être ouvert par le processus <processName>
|
Nom du journal | System | |
ID | 15 | |
Source | Rpm | |
Niveau | Information | |
Description |
<username> a ouvert le canal virtuel personnalisé <vcName>
|
Nom du journal | System | |
ID | 16 | |
Source | Rpm | |
Niveau | Avertissement | |
Description |
<username> a essayé d’ouvrir le canal virtuel personnalisé <vcName>
|
Canaux virtuels tiers connus
Vous trouverez ci-dessous des solutions tierces connues qui utilisent des canaux virtuels Citrix personnalisés. Cette liste n’inclut pas toutes les solutions qui utilisent un canal virtuel Citrix personnalisé.
- Cerner
- Cisco WebEx Teams
- Logiciel de bureau virtuel Cisco WebEx Meetings
- Epic Warp Drive
- Midmark IQPath Client Extensions
- Nuance PowerMic Client Extensions
- Nuance Dragon Medical Network Edition 360 vSync
- Zoom Meetings pour VDI
Pour obtenir des détails sur l’ajout des canaux virtuels associés à la liste d’autorisation, contactez les fournisseurs des solutions. Vous pouvez également suivre les étapes décrites dans la section Obtention de noms et de processus de canaux virtuels.