Configuration du réseau et de la sécurité du Service d’authentification fédérée

Le Service d’authentification fédérée de Citrix (FAS) est étroitement intégré à Microsoft Active Directory et à l’autorité de certification Microsoft (CA). Il est essentiel de vous assurer que le système est géré et sécurisé de manière appropriée, en développant une stratégie de sécurité comme vous le feriez pour un contrôleur de domaine ou toute autre infrastructure critique.

Ce document présente les problèmes de sécurité à prendre en compte lorsque vous déployez FAS. Il offre également une vue d’ensemble des fonctionnalités qui peuvent vous aider à sécuriser votre infrastructure.

Architecture réseau

Le diagramme suivant illustre les composants principaux et les limites de sécurité utilisés dans un déploiement FAS.

Le serveur FAS doit être considéré comme faisant partie de l’infrastructure de sécurité, tout comme l’autorité de certification et le contrôleur de domaine. Dans un environnement fédéré, Citrix NetScaler et Citrix StoreFront sont des composants approuvés pour authentifier les utilisateurs ; les autres composants de Citrix Virtual Apps and Desktops ne sont pas affectés par l’introduction du service FAS.

image localisée

Sécurité du réseau et pare-feu

Les communications entre les composants NetScaler, StoreFront et Delivery Controller doivent être protégées par TLS sur le port 443. Le serveur StoreFront se charge uniquement des connexions sortantes, et Citrix Gateway doit uniquement accepter les connexions via Internet utilisant HTTPS sur le port 443.

Le serveur StoreFront contacte le serveur FAS sur le port 80 à l’aide de l’authentification mutuelle Kerberos. L’authentification utilise l’identité Kerberos HOST/fqdn du serveur FAS, et l’identité du compte de machine Kerberos du serveur StoreFront. Ceci génère un « handle d’informations d’identification » à usage unique requis par le Citrix Virtual Delivery Agent (VDA) pour connecter l’utilisateur.

Lorsqu’une session HDX est connectée au VDA, le VDA contacte également le serveur FAS sur le port 80. L’authentification utilise l’identité Kerberos HOST/fqdn du serveur FAS, et l’identité de la machine Kerberos du VDA. En outre, le VDA doit fournir le « handle d’informations d’identification » pour accéder au certificat et à la clé privée.

L’autorité de certification Microsoft accepte les communications à l’aide du DCOM authentifié auprès de Kerberos, qui peut être configuré pour utiliser un port TCP fixe. L’autorité de certification requiert également que le serveur FAS fournisse un paquet CMC signé par un certificat d’agent d’inscription approuvé.

Serveur Ports du pare-feu
Service d’authentification fédérée [entrant] Kerberos via HTTP depuis StoreFront et VDA, [sortant] DCOM vers autorité de certification Microsoft
NetScaler [entrant] HTTPS depuis les machines clientes, [entrant/sortant] HTTPS depuis/vers un serveur StoreFront, [sortant] HDX vers VDA
StoreFront [entrant] HTTPS depuis NetScaler, [sortant] HTTPS vers Delivery Controller, [sortant] HTTP Kerberos vers FAS
Delivery Controller [entrant] HTTPS depuis un serveur StoreFront, [entrant/sortant] Kerberos via HTTP depuis des VDA
VDA [entrant/sortant] Kerberos via HTTP depuis Delivery Controller, [entrant] HDX depuis Citrix Gateway, [sortant] Kerberos HTTP vers FAS
Autorité de certification Microsoft [entrant] DCOM et signé depuis FAS

Responsabilités en matière d’administration

L’administration de l’environnement peut être divisée dans les groupes suivants :

Name Responsabilité
Administrateur d’entreprise Installer et sécuriser les modèles de certificat dans la forêt
Administrateur de domaine Configurer les paramètres de stratégie de groupe
Administrateur d’autorité de certification Configurer l’autorité de certification
Administrateur FAS Installer et configurer le serveur FAS
Administrateur StoreFront/Netscaler Configurer l’authentification utilisateur
Administrateur Citrix Virtual Desktops Configurer les VDA et les Controller

Chaque administrateur contrôle différents aspects du modèle de sécurité, ce qui assure une protection approfondie du système.

Paramètres de stratégie de groupe

Les machines FAS approuvées sont identifiées par une table de recherche « numéro d’index -> FQDN » configurée via la stratégie de groupe. Lors de la communication avec un serveur FAS, les clients vérifient l’identité Kerberos HOST\<fqdn> du serveur FAS. Tous les serveurs qui accèdent au serveur FAS doivent posséder les mêmes configurations de nom domaine complet (FQDN) pour le même index ; dans le cas contraire, il est possible que StoreFront et les VDA contactent des serveurs FAS différents.

Pour éviter toute erreur de configuration, Citrix recommande d’appliquer une seule stratégie à toutes les machines dans l’environnement. Soyez prudent lors de la modification de la liste des serveurs FAS, plus particulièrement lors de la suppression ou de la réorganisation d’entrées.

Le contrôle de cet objet de stratégie de groupe doit être limité aux administrateurs FAS (et/ou aux administrateurs de domaine) qui installent et désactivent des serveurs FAS. Prenez soin de ne pas réutiliser le nom de domaine complet (FQDN) d’une machine peu de temps après avoir désactivé un serveur FAS.

Modèles de certificats

Si vous ne souhaitez pas utiliser le modèle de certificat Citrix_SmartcardLogon fourni avec FAS, vous pouvez modifier une copie. Les modifications suivantes sont prises en charge.

Renommer un modèle de certificat

Si vous souhaitez renommer Citrix_SmartcardLogon pour qu’il corresponde aux conventions de nom de modèle de votre entreprise, vous devez :

  • Créer une copie du modèle de certificat et le renommer pour qu’il corresponde aux conventions de nom de modèle de votre entreprise.
  • Utiliser les commandes PowerShell FAS pour administrer FAS, plutôt que l’interface utilisateur d’administration. (L’interface utilisateur d’administration est conçue uniquement pour une utilisation avec les noms de modèle par défaut Citrix).
    • Utiliser le composant logiciel enfichable pour modèles de certificats MMC de Microsoft ou la commande Publish-FasMsTemplate pour publier votre modèle et
    • utiliser la commande New-FasCertificateDefinition pour configurer les FAS avec le nom de votre modèle.

Modifier les propriétés générales

Vous pouvez modifier la période de validité dans le modèle de certificat.

Ne modifiez pas la période de renouvellement. FAS ignore ce paramètre dans le modèle de certificat. FAS renouvelle automatiquement le certificat au cours de sa période de validité.

Modifier les propriétés de traitement de demande

Ne modifiez pas ces propriétés. FAS ignore ces paramètres dans le modèle de certificat. FAS désélectionne toujours Autoriser l’exportation de la clé privée et Renouveler avec la même clé.

Modifier les propriétés de cryptographie

Ne modifiez pas ces propriétés. FAS ignore ces paramètres dans le modèle de certificat.

Consultez Protection des clés privées du service d’authentification fédérée pour connaître les paramètres équivalents fournis par FAS.

Modifier les propriétés d’attestation de clé

Ne modifiez pas ces propriétés. FAS ne gère pas l’attestation de clé.

Modifier les propriétés de modèles obsolètes

Ne modifiez pas ces propriétés. FAS ne gère pas les modèles obsolètes.

Modifier les propriétés d’extensions

Vous pouvez modifier ces paramètres en fonction de la stratégie de votre organisation.

Remarque : des paramètres d’extension inappropriés peuvent entraîner des problèmes de sécurité ou aboutir à des certificats inutilisables.

Modifier les propriétés de sécurité

Citrix recommande de modifier ces paramètres pour accorder l’autorisation Inscription pour les comptes d’ordinateur des serveurs FAS uniquement. Comme pour les autres services, accordez également l’autorisation Contrôle totalpour le système. Aucune autre autorisation n’est nécessaire. Vous souhaiterez peut-être accorder d’autres autorisations, par exemple permettre aux administrateurs de FAS d’afficher un modèle modifié à des fins de dépannage.

image localisée

Modifier les propriétés de nom du sujet

Vous pouvez modifier ces paramètres en fonction de la stratégie de votre organisation, si nécessaire.

Modifier les propriétés de serveur

Citrix ne le recommande pas, mais vous pouvez modifier ces paramètres en fonction de la stratégie de votre organisation, si nécessaire.

Modifier les propriétés de conditions d’émission

Ne modifiez pas ces paramètres. Ces paramètres doivent être comme indiqué :

image localisée

Modifier les propriétés de compatibilité

Vous pouvez modifier ces paramètres. Le paramètre doit être au moins Windows Server 2003 CAs (version de schéma 2). Toutefois, FAS prend en charge uniquement Windows Server 2008 et les autorités de certification ultérieures. Comme expliqué ci-dessus, FAS ignore également les paramètres supplémentaires disponibles si Windows Server 2008 CAs (version de schéma 3) ou Windows Server 2012 CAs est sélectionné (version de schéma 4).

Administration de l’autorité de certification

L’administrateur de l’autorité de certification est responsable de la configuration du serveur d’autorité de certification et de l’émission de la clé privée de certificat qu’il utilise.

Publication de modèles

Pour qu’une autorité de certification puisse émettre des certificats basés sur un modèle fourni par l’administrateur de l’entreprise, l’administrateur de l’autorité de certification doit choisir de publier ce modèle.

Une simple pratique de sécurité consiste à publier uniquement les modèles de certificat RA lorsque les serveurs FAS sont installés, ou d’opter pour un processus d’émission hors connexion. Dans les deux cas, l’administrateur CA doit conserver un contrôle total sur l’autorisation des demandes de certificat RA, et disposer d’une stratégie pour autoriser les serveurs FAS.

Paramètres de pare-feu

En général, l’administrateur CA contrôlera également les paramètres de pare-feu réseau de l’autorité de certification, ce qui permet de contrôler les connexions entrantes. L’administrateur de l’autorité de certification peut configurer le protocole TCP de DCOM et des règles de pare-feu de manière à ce que seuls les serveurs FAS puissent demander des certificats.

Inscription restreinte

Par défaut, le détenteur d’un certificat RA peut émettre des certificats pour tous les utilisateurs, à l’aide d’un quelconque modèle de certificat autorisant l’accès. Ceci devrait être restreint à un groupe d’utilisateurs non privilégiés à l’aide de la propriété d’autorité de certification « Restreindre les agents d’inscription ».

image localisée

Modules de stratégie et d’audit

Pour les déploiements avancés, des modules de sécurité personnalisés peuvent être utilisés pour assurer le suivi et interdire l’émission de certificats.

Administration du FAS

Le FAS possède plusieurs fonctions de sécurité.

Restreindre StoreFront, les utilisateurs et les VDA via une liste de contrôle d’accès

Au centre du modèle de sécurité du FAS figure le contrôle grâce auquel les comptes Kerberos peuvent accéder aux fonctionnalités :

Vecteur d’accès Description
StoreFront [fournisseur d’identité] Ces comptes Kerberos sont approuvés pour déclarer qu’un utilisateur a été correctement authentifié. Si l’un de ces comptes est compromis, des certificats peuvent être créés et utilisés pour les utilisateurs autorisés par la configuration du FAS.
VDA [partie de confiance] Il s’agit des machines qui sont autorisées à accéder aux certificats et aux clés privées. Un handle d’informations d’identification récupéré par le fournisseur d’identité est également nécessaire, de façon à limiter les possibilités d’attaque du système par un compte VDA compromis dans ce groupe.
Utilisateurs Contrôle les utilisateurs qui peuvent être certifiés par le fournisseur d’identité. Veuillez noter qu’il existe un chevauchement avec les options de configuration « Restreindre les agents d’inscription » de l’autorité de certification. En règle générale, il est conseillé d’inclure uniquement des comptes non privilégiés dans cette liste. Ceci empêche un compte StoreFront compromis de réaffecter des privilèges à un niveau administratif plus élevé. En particulier, les comptes d’administrateur de domaine ne doivent pas être autorisés par cette ACL.

Configurer des règles

Les règles sont utiles si plusieurs déploiements Citrix Virtual Apps ou Citrix Virtual Desktops indépendants utilisent la même infrastructure de serveur FAS. Chaque règle dispose d’options de configuration distinctes ; en particulier, les ACL peuvent être configurées indépendamment.

Configurer l’autorité de certification et les modèles

Différents modèles de certificats et autorités de certification peuvent être configurés afin d’octroyer des droits d’accès différents. Des configurations avancées peuvent choisir d’utiliser plus ou moins de certificats puissants, en fonction de l’environnement. À titre d’exemple, les utilisateurs identifiés en tant que « externes » peuvent posséder un certificat avec moins de privilèges que les utilisateurs « internes ».

Certificats d’authentification et dans la session

L’administrateur FAS peut contrôler si le certificat utilisé pour l’authentification peut être utilisé dans la session de l’utilisateur. Par exemple, ceci peut être utilisé pour mettre uniquement à disposition des certificats « de signature » dans la session, afin de réserver le certificat « d’ouverture de session » plus puissant uniquement pour l’ouverture de session.

Protection de clé privée et longueur de clé

L’administrateur FAS peut configurer FAS afin de stocker les clés privées dans un module de sécurité matériel (HSM) ou un module de plateforme sécurisée (TPM). Citrix recommande de protéger au moins une clé privée de certificat RA en la stockant dans un TPM ; cette option est fournie dans le cadre du processus de demande de certificat « hors connexion ».

De même, les clés privées de certificat utilisateur peuvent être stockées dans un module TPM ou HSM. Toutes les clés doivent être générées en tant que « non exportables » et d’une longueur minimum de 2 048 bits.

Journaux d’événements

Le serveur FAS fournit des informations détaillées sur la configuration et des journaux d’événements, qui peuvent être utilisés pour l’audit et la détection des intrusions.

Accès administratif et outils d’administration

Le FAS comprend des fonctionnalités d’administration à distance (authentification mutuelle Kerberos) ainsi que des outils. Les membres du « groupe Administrateurs local » exercent un contrôle total sur la configuration du FAS. Cette liste doit être soigneusement tenue à jour.

Administrateurs Citrix Virtual Apps, Citrix Virtual Desktops et VDA

En général, l’utilisation du FAS ne modifie pas le modèle de sécurité des administrateurs Delivery Controller et VDA, car le « handle d’informations d’identification » du FAS remplace simplement le « mot de passe Active Directory. » Les groupes d’administration Controller et VDA doivent contenir uniquement des utilisateurs approuvés. L’audit et les journaux d’événements doivent être tenus à jour.

Sécurité des serveurs Windows

Tous les correctifs doivent avoir été installés sur tous les serveurs, de même que des pare-feu et des logiciels antivirus. Les serveurs d’infrastructure critiques à la sécurité doivent être conservés dans un endroit sécurisé, et un soin tout particulier doit être apporté au cryptage du disque et aux options de maintenance des machines virtuelles.

L’audit et les journaux d’événements doivent être stockés de manière sécurisée sur une machine distante.

L’accès RDP doit être limité aux administrateurs autorisés. Dans la mesure du possible, les comptes utilisateur doivent demander une ouverture de session par carte à puce, plus particulièrement pour les comptes d’administrateur de domaine et d’autorité de certification.

Informations connexes