Sécuriser les communications

Pour sécuriser les communications entre le serveur Citrix Virtual Apps and Desktops et l’application Citrix Workspace, vous pouvez intégrer vos connexions de l’application Citrix Workspace à l’aide de technologies sécurisées, dont :

  • Citrix Gateway : pour plus d’informations, reportez-vous aux rubriques de cette section et à la documentation Citrix Gateway et StoreFront.

    Remarque :

    Citrix recommande d’utiliser Citrix Gateway pour sécuriser les communications entre les serveurs StoreFront et les machines utilisateur.

  • Un pare-feu : les pare-feu de réseau peuvent autoriser ou empêcher le passage des paquets de données en fonction de l’adresse et du port de destination. Si vous utilisez l’application Citrix Workspace avec un pare-feu de réseau qui mappe l’adresse IP interne du serveur sur une adresse Internet externe (c’est-à-dire, la traduction d’adresse de réseau, ou NAT), configurez l’adresse externe.
  • Serveur approuvé.
  • Pour les déploiements de Citrix Virtual Apps ou de l’Interface Web uniquement (non applicable à XenDesktop 7) : un serveur proxy SOCKS ou serveur proxy sécurisé (également appelé serveur proxy de sécurité, serveur proxy HTTPS). Vous pouvez utiliser des serveurs proxy pour limiter l’accès à l’intérieur et à l’extérieur de votre réseau, et pour gérer les connexions entre l’application Citrix Workspace et le serveur. L’application Citrix Workspace prend en charge les protocoles de proxy SOCKS et de proxy sécurisé.
  • S’applique uniquement aux déploiements de Citrix Virtual Apps ou de l’Interface Web ; ne s’applique pas aux solutions XenDesktop 7, XenDesktop 7.1, XenDesktop 7.5, ou XenApp 7.5 : Relais SSL utilisant les protocoles TLS.
  • Pour Citrix Virtual Apps and Desktops 7.6, vous pouvez activer une connexion SSL directement entre des utilisateurs et des VDA.

L’application Citrix Workspace est compatible avec les environnements utilisant les modèles de sécurité de bureau Microsoft Specialized Security - Limited Functionality (SSLF). Ces modèles sont pris en charge sur plusieurs plates-formes Windows.

Suites de chiffrement obsolètes

La version 4.12 contient deux modifications importantes pour les protocoles de communications sécurisées TLS/DTLS : la prise en charge de DTLS 1.2 et la fin de prise en charge des suites de chiffrement TLS/DTLS.

DTLS 1.2 prend en charge le protocole de transport UDP, l’équivalent de TLS 1.2 pour le protocole de transport TCP. Des versions antérieures de l’application Citrix Workspace pour Windows prenaient déjà en charge TLS 1.2.

Les suites de chiffrement avec le préfixe TLS_RSA_ ne proposent pas la fonctionnalité Forward Secrecy. De manière générale, ces suites de chiffrement sont maintenant obsolètes dans le secteur. Toutefois, pour prendre en charge la rétrocompatibilité avec les anciennes versions de Citrix Virtual Apps and Desktops, l’application Citrix Workspace pour Windows peut utiliser ces suites de chiffrement.

Un nouveau modèle d’administration d’objet de stratégie de groupe a été créé pour autoriser l’utilisation des suites de chiffrement obsolètes. Dans Citrix Receiver pour Windows 4.12, cette stratégie est activée par défaut, mais n’applique pas la fin de prise en charge de ces suites de chiffrement à l’aide des algorithmes de chiffrement AES ou 3DES par défaut. Toutefois, vous pouvez modifier et utiliser cette stratégie pour appliquer la fin de prise en charge de manière plus stricte.

Voici une liste des suites de chiffrement obsolètes :

  • TLS_RSA_AES256_GCM_SHA384
  • TLS_RSA_AES128_GCM_SHA256
  • TLS_RSA_AES256_CBC_SHA256
  • TLS_RSA_AES256_CBC_SHA
  • TLS_RSA_AES128_CBC_SHA
  • TLS_RSA_3DES_CBC_EDE_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_RC4_128_SHA

Remarque :

Les deux dernières suites de chiffrement utilisent l’algorithme RC4 qui est obsolète car ces suites de chiffrement ne sont pas sécurisées. Vous pouvez également considérer la suite de chiffrement TLS_RSA_3DES_CBC_EDE_SHA comme étant obsolète. Vous pouvez utiliser cette stratégie pour appliquer toutes ces suites obsolètes.

Pour plus d’informations sur la configuration DTLS v1.2, consultez la section Transport adaptatif dans la documentation Citrix Virtual Apps and Desktops.

Remarque :

Lorsque vous mettez à niveau ou installez l’application Citrix Workspace pour Windows pour la première fois, ajoutez les derniers fichiers de modèle à l’objet de stratégie de groupe local. Pour plus d’informations sur l’ajout de fichiers de modèle à l’objet de stratégie de groupe local, consultez la section Modèle d’administration d’objet de stratégie de groupe. En cas de mise à niveau, les paramètres existants sont conservés lors de l’importation des derniers fichiers.

  1. Ouvrez le modèle d’administration d’objet de stratégie de groupe de l’application Citrix Workspace en exécutant gpedit.msc.
  2. Sous le nœud Configuration ordinateur, accédez à Modèles d’administration > Composants Citrix > Citrix Workspace > Routage réseau.
  3. Sélectionnez la stratégie Suites de chiffrement obsolètes.
  4. Sélectionnez Activé et choisissez l’une des options suivantes :
    1. TLS_RSA_: By default, TLS_RSA_ is selected. Cette option doit être sélectionnée pour vous permettre d’utiliser les deux autres suites de chiffrement. Les suites de chiffrement suivantes sont incluses lorsque vous sélectionnez cette option :
      1. TLS_RSA_AES256_GCM_SHA384
      2. TLS_RSA_AES128_GCM_SHA256
      3. TLS_RSA_AES256_CBC_SHA256
      4. TLS_RSA_AES256_CBC_SHA
      5. TLS_RSA_AES128_CBC_SHA
      6. TLS_RSA_3DES_CBC_EDE_SHA
    2. TLS_RSA_WITH_RC4_128_MD5 : sélectionnez cette option pour utiliser la suite de chiffrement RC4-MD5.
    3. TLS_RSA_WITH_RC4_128_SHA : sélectionnez cette option pour utiliser la suite de chiffrement RC4_128_SHA.
  5. Cliquez sur Appliquer, puis sur OK.
  6. Exécutez gpupdate /force pour que les modifications prennent effet.

Le tableau suivant répertorie les suites de chiffrement compris dans chaque ensemble :

Suites de chiffrement prises en charge

TLS

Cette rubrique s’applique à Citrix Virtual Apps and Desktops version 7.6 et versions ultérieures.

Pour utiliser le cryptage TLS pour toutes les communications de l’application Citrix Workspace avec le serveur, configurez la machine utilisateur, l’application Citrix Workspace et, si vous utilisez l’Interface Web, le serveur qui exécute cette interface. Pour obtenir des informations sur la sécurisation des communications StoreFront, consultez la section Sécuriser dans la documentation StoreFront. Pour obtenir des informations sur la sécurisation de l’Interface Web, consultez la section Sécuriser dans la documentation de l’Interface Web.

Conditions préalables :

Les machines utilisateur doivent présenter la configuration spécifiée dans la section [Configuration système requise].(/en-us/citrix-workspace-app-for-windows/system-requirements.html)

Utilisez cette stratégie pour configurer les options TLS qui permettent à l’application Citrix Workspace d’identifier de manière sécurisée le serveur auquel il se connecte et de crypter toutes les communications avec le serveur.

Vous pouvez utiliser les options suivantes pour :

  • Imposer l’utilisation de TLS : Citrix recommande d’utiliser le protocole TLS pour toutes les connexions sur des réseaux non approuvés, y compris Internet.
  • Imposer l’utilisation de la cryptographie approuvée FIPS (Federal Information Processing Standards) : la cryptographie approuvée et l’aide suivent les recommandations de la norme NIST SP 800-52. Ces options sont désactivées par défaut.
  • Imposer l’utilisation d’une version spécifique du protocole TLS et de suites de chiffrement TLS spécifiques : Citrix prend en charge les protocoles TLS 1.0, TLS 1.1 et TLS 1.2 entre l’application Citrix Workspace pour Windows et Citrix Virtual Apps and Desktops.
  • Vous connecter uniquement à des serveurs spécifiques.
  • Vérifier si le certificat de serveur est révoqué.
  • Rechercher une stratégie d’émission de certificats de serveur spécifique.
  • Sélectionner un certificat client particulier, si le serveur est configuré pour en demander un.

Prise en charge du protocole TLS

  1. Ouvrez le modèle d’administration d’objet de stratégie de groupe de l’application Citrix Workspace en exécutant gpedit.msc.
  2. Sous le nœud Configuration ordinateur, accédez à Modèles d’administration > Citrix Workspace > Routage réseau et sélectionnez la stratégie Configuration de TLS et du mode de conformité.

    Stratégie TLS et mode de conformité

  3. Sélectionnez Activé pour activer les connexions sécurisées et crypter les communications sur le serveur. Définissez les options suivantes :

    Remarque :

    Citrix recommande d’utiliser TLS pour sécuriser les connexions.

  4. Sélectionnez Exiger TLS pour toutes les connexions pour obliger l’application Citrix Workspace à utiliser TLS pour toutes les connexions aux applications et bureaux publiés.

  5. Dans le menu Mode de conformité aux normes de sécurité, sélectionnez l’option appropriée :

    1. Aucun : aucun mode de conformité n’est appliqué.
    2. SP800-52 : sélectionnez SP800-52 pour la conformité avec la norme NIST SP 800-52. Sélectionnez cette option uniquement si les serveurs ou la passerelle sont conformes aux recommandations de la norme NIST SP 800-52.

      Remarque :

      Si vous sélectionnez SP800-52, la cryptographie approuvée FIPS est automatiquement utilisée, même si l’option Activer FIPS n’est pas sélectionnée. Vous devez également activer l’option de sécurité Windows Chiffrement système : utilisez des algorithmes compatibles FIPS pour le chiffrement, le hachage et la signature. Sinon, la connexion de l’application Citrix Workspace aux applications et bureaux publiés risque d’échouer.

      Si vous sélectionnez SP800-52, vous devez sélectionner le paramètre Stratégie de vérification de la liste de révocation de certificats avec Vérifier avec accès complet ou Exiger vérification avec accès complet et toutes les listes de révocation de certificats.

      Lorsque vous sélectionnez SP800-52, l’application Citrix Workspace vérifie que le certificat de serveur est conforme aux recommandations de la norme NIST SP 800-52. Si le certificat de serveur n’est pas conforme, la connexion de l’application Citrix Workspace risque d’échouer.

    3. Activer FIPS : sélectionnez cette option pour imposer l’utilisation de la cryptographie approuvée FIPS. Vous devez également activer l’option de sécurité Windows de la stratégie de groupe de système d’exploitation Chiffrement système : utilisez des algorithmes compatibles FIPS pour le chiffrement, le hachage et la signature. Sinon, la connexion de l’application Citrix Workspace aux applications et bureaux publiés risque d’échouer.
  6. Dans le menu déroulant Serveurs TLS autorisés, sélectionnez le numéro de port. Vous pouvez vous assurer que l’application Citrix Workspace pour Windows se connecte uniquement à un serveur spécifié dans une liste séparée par des virgules. Vous pouvez spécifier des numéros de port et des caractères génériques. Par exemple, *.citrix.com: 4433 autorise les connexions à tout serveur dont le nom commun se termine par .citrix.com sur le port 4433. L’émetteur du certificat certifie l’exactitude des informations contenues dans un certificat de sécurité. Si Citrix Workspace ne reconnaît pas et n’approuve pas l’émetteur, la connexion est refusée.

  7. Dans le menu Version TLS, sélectionnez une des options suivantes :

    • TLS 1.0, TLS 1.1 ou TLS 1.2 : il s’agit du paramètre par défaut. Cette option est recommandée uniquement si TLS 1.0 est requis pour des raisons de compatibilité.

    • TLS 1.1 ou TLS 1.2 : utilisez cette option pour vous assurer que les connexions ICA utilisent TLS 1.1 ou TLS 1.2.

    • TLS 1.2 : cette option est recommandée si TLS 1.2 est exigé par une entreprise.

  8. Suite de chiffrement TLS : pour forcer l’utilisation des suites de chiffrement TLS, sélectionnez Gouvernement (GOV), Commercial (COM) ou Quelconque (ALL). Dans certaines configurations de Citrix Gateway, vous devrez peut-être sélectionner COM. L’application Citrix Workspace prend en charge les clés RSA de longueur 1024, 2048 et 3072. Les certificats racine avec des clés RSA de longueur de 4 096 bits sont aussi pris en charge.

    Remarque :

    Citrix ne recommande pas l’utilisation de clés RSA de longueur de 1 024 bits.

    • Quelconque : lorsque l’option « Quelconque » est sélectionnée, la stratégie n’est pas configurée et les suites de chiffrement suivantes sont autorisées :

      1. TLS_RSA_WITH_RC4_128_MD5
      2. TLS_RSA_WITH_RC4_128_SHA
      3. TLS_RSA_WITH_3DES_EDE_CBC_SHA
      4. TLS_RSA_WITH_AES_128_CBC_SHA
      5. TLS_RSA_WITH_AES_256_CBC_SHA
      6. TLS_RSA_WITH_AES_128_GCM_SHA256
      7. TLS_RSA_WITH_AES_256_GCM_SHA384
    • Commerciale : lorsque l’option « Commerciale » est sélectionnée, seules les suites de chiffrement suivantes sont autorisées :

      1. TLS_RSA_WITH_RC4_128_MD5
      2. TLS_RSA_WITH_RC4_128_SHA
      3. TLS_RSA_WITH_AES_128_CBC_SHA
      4. TLS_RSA_WITH_AES_128_GCM_SHA256
    • Gouvernementale : lorsque l’option « Gouvernementale » est sélectionnée, seules les suites de chiffrement suivantes sont autorisées :

      1. TLS_RSA_WITH_AES_256_CBC_SHA
      2. TLS_RSA_WITH_3DES_EDE_CBC_SHA
      3. TLS_RSA_WITH_AES_128_GCM_SHA256
      4. TLS_RSA_WITH_AES_256_GCM_SHA384
  9. Dans le menu Stratégie de vérification de la liste de révocation de certificats, sélectionnez une des options suivantes :

    • Vérifier sans accès au réseau : la liste de révocation des certificats est vérifiée. Seuls les magasins de la liste de révocation de certificats locaux sont utilisés. Tous les points de distribution sont ignorés. L’utilisation de la liste de révocation de certificats n’est pas obligatoire à la vérification du certificat serveur présenté par le serveur Relais SSL/Citrix Secure Web Gateway cible.

    • Vérifier avec accès complet : la liste de révocation de certificats est vérifiée. Les magasins locaux de la liste de révocation de certificats et tous les points de distribution sont utilisés. Si des informations de révocation sont trouvées pour un certificat, la connexion est refusée. L’utilisation d’une liste de révocation de certificats n’est pas indispensable à la vérification du certificat serveur présenté par le serveur cible.

    • Exiger vérification avec accès complet et liste de révocation de certificats : la liste de révocation de certificats est vérifiée, à l’exception de l’autorité de certification racine. Les magasins locaux de la liste de révocation de certificats et tous les points de distribution sont utilisés. Si des informations de révocation sont trouvées pour un certificat, la connexion est refusée. Si des informations de révocation sont trouvées pour un certificat, la connexion sera refusée.

    • Exiger vérification avec accès complet et toutes les listes de révocation de certificats : la liste de révocation de certificats est vérifiée, y compris l’autorité de certification racine. Les magasins locaux de la liste de révocation de certificats et tous les points de distribution sont utilisés. Si des informations de révocation sont trouvées pour un certificat, la connexion est refusée. Si des informations de révocation sont trouvées pour un certificat, la connexion sera refusée.

    • Aucune vérification : la liste de révocation des certificats n’est pas vérifiée.

  10. OID de l’extension de stratégie vous permet de limiter la connexion de l’application Citrix Workspace aux serveurs ayant une stratégie d’émission de certificats spécifique. Si l’option OID de l’extension de stratégie est sélectionnée, l’application Citrix Workspace n’accepte que les certificats de serveur contenant cet OID d’extension de stratégie.

  11. Dans le menu Authentification client, sélectionnez une des options suivantes :

    • Désactivé : l’authentification client est désactivée

    • Afficher sélecteur de certificats : toujours demander à l’utilisateur de sélectionner un certificat

    • Sélectionner automatiquement si possible : demander à l’utilisateur uniquement lorsque plusieurs certificats sont disponibles

    • Non configuré : indique que l’authentification du client n’est pas configurée.

    • Utiliser certificat spécifié : utiliser le certificat client défini dans l’option Certificat client.

  12. Utilisez le paramètre Certificat client pour spécifier l’empreinte numérique du certificat d’identification et éviter une intervention inutile de l’utilisateur.

  13. Cliquez sur Appliquer et OK pour enregistrer la stratégie.

Le tableau suivant répertorie les suites de chiffrement compris dans chaque ensemble :

image localisée

Pare-feu

Les pare-feu de réseau peuvent autoriser ou empêcher le passage des paquets de données en fonction de l’adresse et du port de destination. Si vous utilisez un pare-feu dans votre déploiement, l’application Citrix Workspace pour Windows doit pouvoir communiquer via le pare-feu avec le serveur Web et le serveur Citrix.

Ports de communication Citrix communs

Source Type Port Détails
Application Citrix Workspace TCP 80/443 Communication avec StoreFront
ICA/HDX TCP 1494 Accès aux applications et bureaux virtuels
ICA/HDX avec fiabilité de session TCP 2598 Accès aux applications et bureaux virtuels
ICA/HDX sur SSL TCP 443 Accès aux applications et bureaux virtuels
ICA/HDX depuis Workspace HTML5 TCP 8008 Accès aux applications et bureaux virtuels
Audio ICA/HDX sur UDP TCP 16500 - 16509 Plage pour les ports audio ICA/HDX
IMA TCP 2512 Independent Management Architecture (IMA)
Console de gestion TCP 2513 Consoles de gestion Citrix et *Services WCF Remarque : pour les plates-formes 7.5 et ultérieures basées sur FMA, le port 2513 n’est PAS utilisé.
Demande application/bureau TCP 80/8080/443 Service XML
STA TCP 80/8080/443 Secure Ticketing Authority (intégré au service XML)

Remarque :

Dans XenApp 6.5, le port 2513 est utilisé par les Services XenApp Commands Reporting via WCF.

Si le pare-feu est configuré pour la traduction d’adresses réseau (NAT), vous pouvez utiliser l’Interface Web pour définir les mappages depuis les adresses internes vers les adresses externes et les ports. Par exemple, si votre serveur Citrix Virtual Apps and Desktops n’est pas configuré avec une adresse secondaire, vous pouvez configurer l’Interface Web pour qu’elle fournisse une adresse secondaire à l’application Citrix Workspace. L’application utilisera l’adresse externe et le numéro de port pour se connecter au serveur. Pour plus d’informations, veuillez consulter la documentation relative à l’Interface Web.

Serveur proxy

Les serveurs proxy permettent de limiter l’accès vers et depuis votre réseau et de gérer les connexions entre l’application Citrix Workspace pour Windows et les serveurs. L’application Citrix Workspace prend en charge les protocoles de proxy SOCKS et de proxy sécurisé.

Lorsqu’elle communique avec le serveur, l’application Citrix Workspace utilise les paramètres de serveur proxy configurés à distance sur le serveur qui exécute Workspace pour Web ou l’Interface Web. Pour de plus amples informations sur la configuration du serveur proxy, reportez-vous à la documentation relative à StoreFront ou à l’Interface Web.

Lors la communication avec le serveur Web, l’application Citrix Workspace utilise les paramètres de serveur proxy configurés via les paramètres Internet du navigateur Web par défaut sur la machine utilisateur. Vous devez configurer les paramètres Internet du navigateur Web par défaut de la machine utilisateur en conséquence.

Configurez les paramètres de proxy à l’aide de l’Éditeur du Registre pour forcer l’application Citrix Workspace à utiliser ou à ignorer le serveur proxy lors des connexions.

Avertissement

Toute utilisation incorrecte de l’Éditeur du Registre peut générer des problèmes sérieux, pouvant vous obliger à réinstaller le système d’exploitation. Citrix ne peut garantir la possibilité de résoudre les problèmes provenant d’une mauvaise utilisation de l’Éditeur du Registre.

  1. Accéder à \HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\AuthManager
  2. Définissez le paramètre ProxyEnabled (REG_SZ).
    • True : indique que l’application Citrix Workspace utilise le serveur proxy lors des connexions.
    • False : indique que l’application Citrix Workspace ignore le serveur proxy lors des connexions.
  3. Redémarrez l’application Citrix Workspace pour que les modifications prennent effet.

Citrix Secure Web Gateway

Cette rubrique s’applique uniquement aux déploiements faisant appel à l’Interface Web.

Vous pouvez utiliser Citrix Secure Web Gateway en mode Normal ou en mode Relais afin de fournir un canal de communication sécurisé entre l’application Citrix Workspace pour Windows et le serveur. Il n’est pas nécessaire de configurer l’application Citrix Workspace si vous utilisez Citrix Secure Web Gateway en mode Normal et si les utilisateurs se connectent via l’Interface Web.

L’application Citrix Workspace utilise des paramètres configurés à distance sur le serveur exécutant l’Interface Web pour se connecter aux serveurs exécutant Citrix Secure Web Gateway. Consultez les rubriques de l’Interface Web pour obtenir des informations sur la configuration des paramètres d’un serveur proxy pour l’application Citrix Workspace.

Pour plus d’informations sur la configuration des paramètres de serveur proxy, veuillez consulter la documentation de l’Interface Web.

Si vous utilisez le mode Relais, le serveur Citrix Secure Web Gateway fonctionne comme un serveur proxy. Dans ce cas, vous devez configurer Workspace pour Windows pour qu’il utilise :

  • le nom de domaine complet du serveur Citrix Secure Web Gateway ;
  • le numéro de port du serveur Citrix Secure Web Gateway.

Le nom de domaine complet (FQDN) doit contenir, dans l’ordre, les trois composants suivants :

  • Nom d’hôte
  • Domaine intermédiaire
  • Domaine de tête

Par exemple : mon_ordinateur.mon_entreprise.com est un nom de domaine complet car il liste dans l’ordre un nom d’hôte (mon_ordinateur), un domaine intermédiaire (mon_entreprise) et un domaine de tête (com). La combinaison du domaine intermédiaire et du domaine de tête (mon_entreprise.com) est appelée nom de domaine.

Serveur approuvé

La configuration d’un serveur approuvé identifie et applique les relations d’approbation aux connexions de l’application Citrix Workspace.

Lorsque vous activez la fonction Serveurs approuvés, l’application Citrix Workspace spécifie les exigences et détermine si la connexion au serveur peut être approuvée ou non. Par exemple, une application Citrix Workspace se connectant à une certaine adresse (comme https://\*.citrix.com) avec un type de connexion donné (comme TLS) est dirigée vers une zone de confiance sur le serveur.

Lorsque vous activez cette fonctionnalité, le serveur connecté se trouve dans la zone Sites de confiance Windows. Pour obtenir des instructions étape par étape sur l’ajout des serveurs à la zone Sites de confiance Windows, veuillez consultez l’aide en ligne d’Internet Explorer.

Pour activer la configuration des serveurs approuvés avec le modèle d’administration d’objet de stratégie de groupe

Configuration requise :

Fermez les composants de l’application Citrix Workspace pour Windows, y compris le centre de connexion.

  1. Ouvrez le modèle d’administration d’objet de stratégie de groupe de l’application Citrix Workspace en exécutant gpedit.msc.
  2. Dans le nœud Configuration ordinateur, accédez à Modèles d’administration > Modèles d’administration classiques (ADM) > Composants Citrix > Citrix Workspace > Routage réseau > Paramétrer la configuration d’un serveur approuvé.
  3. Sélectionnez Activé pour forcer l’application Citrix Workspace pour Windows à identifier la région.
  4. Sélectionnez Appliquer configuration d’un serveur approuvé. Cela force le client à effectuer l’identification à l’aide d’un serveur de confiance.
  5. Dans la liste déroulante Zone Internet Windows, sélectionnez l’adresse du serveur client. Ce paramètre s’applique uniquement à la zone Sites de confiance Windows.
  6. Dans le champ Adresse, définissez l’adresse du serveur de client pour une zone de site de confiance autre que Windows. Vous pouvez utiliser une liste séparée par des virgules.
  7. Cliquez sur OK et sur Appliquer.

Signature de fichier ICA

La signature de fichier ICA permet de vous protéger contre le lancement non autorisé d’applications ou de bureaux. L’application Citrix Workspace vérifie, à l’aide d’une stratégie administrative, qu’une source approuvée est à l’origine du lancement de l’application ou du bureau, et empêche le lancement provenant de serveurs non approuvés. Vous pouvez configurer la signature de fichier ICA à l’aide du modèle d’administration des objets de stratégie de groupe, StoreFront ou Citrix Merchandising Server. Par défaut, la signature de fichier ICA n’est pas activée par défaut.

Pour plus d’informations sur l’activation de la signature de fichier ICA pour StoreFront, reportez-vous à la section Activer la signature de fichier ICA dans la documentation StoreFront.

Pour le déploiement de l’Interface Web, cette dernière active et configure le lancement d’applications ou de bureaux de manière à y inclure une signature durant le processus de lancement à l’aide du service Signature de fichier ICA. Le service peut signer le fichier ICA à l’aide d’un certificat provenant du magasin de certificats personnel de l’ordinateur.

Citrix Merchandising Server, en association avec l’application Citrix Workspace, active et configure la vérification de la signature de lancement à l’aide de l’assistant Citrix Merchandising Server Administrator Console > Deliveries afin d’ajouter des empreintes numériques de certificats de confiance.

Configurer la signature de fichier ICA

Remarque :

Si CitrixBase.admx\adml n’est pas ajouté à l’objet de stratégie de groupe local, la stratégie Activer la signature de fichier ICA peut être absente.

  1. Ouvrez le modèle d’administration d’objet de stratégie de groupe de l’application Citrix Workspace en exécutant gpedit.msc.
  2. Sous le nœud Configuration ordinateur, accédez à Modèles d’administration > Composants Citrix.
  3. Sélectionnez la stratégie Activer la signature de fichier ICA, puis sélectionnez une option selon les besoins :
    1. Activé - Indique que vous pouvez ajouter l’empreinte numérique du certificat de signature à la liste blanche des empreintes de certificats de confiance.
    2. Certificats de confiance - Cliquez sur Afficher pour supprimer l’empreinte de certificat de signature existante de la liste blanche. Vous pouvez copier et coller les empreintes numériques de certificat de signature à partir des propriétés du certificat de signature.
    3. Stratégie de sécurité - Sélectionnez l’une des options suivantes dans le menu.
      1. Autoriser uniquement les lancements signés (plus sécurisé) - Autorise uniquement le lancement d’applications ou de bureaux signés à partir d’un serveur approuvé. Un avertissement de sécurité apparaît en cas de signature invalide. Vous ne pouvez pas lancer la session en raison d’une non-autorisation.
      2. Demander à l’utilisateur lors de lancements non signés (moins sécurisé) - Une invite de message s’affiche lorsqu’une session non signée ou non valide est lancée. Vous pouvez choisir de continuer le lancement ou d’annuler le lancement (option par défaut).
  4. Cliquez sur Appliquer et OK pour enregistrer la stratégie.
  5. Redémarrez la session de l’application Citrix Workspace pour que les modifications prennent effet.

Pour sélectionner et distribuer un certificat de signature numérique :

Lors de la sélection d’un certificat de signature numérique, Citrix vous recommande de choisir l’une des solutions suivantes (elles apparaissent par ordre de priorité) :

  1. Achetez un certificat de signature de code ou certificat de signature SSL émanant d’une autorité de certification publique (CA).
  2. Si votre entreprise dispose d’une autorité de certification privée, créez un certificat de signature de code ou certificat de signature SSL à l’aide de l’autorité de certification privée.
  3. Utilisez un certificat SSL existant, tel que le certificat du serveur de l’Interface Web.
  4. Créez un certificat d’autorité de certification racine et distribuez-le sur les machines utilisateur à l’aide d’un objet de stratégie de groupe ou dans le cadre d’une installation manuelle.

Niveau d’élévation

Lorsque le contrôle d’accès utilisateur (UAC) est activé sur des machines exécutant Windows 10, Windows 8 ou Windows 7, seuls les processus au même niveau d’élévation/d’intégrité que wfcrun32.exe peuvent lancer les applications virtuelles.

Exemple 1 :

Lorsque wfcrun32.exe est exécuté en mode d’utilisateur normal (pas d’élévation), les autres processus, tels que l’application Citrix Workspace, doivent être exécutés en mode d’utilisateur normal pour lancer des applications via wfcrun32.exe.

Exemple 2 :

Lorsque wfcrun32.exe est exécuté en mode élevé, les autres processus, tels que l’application Citrix Workspace, le Centre de connexion et les applications tierces utilisant l’objet de client ICA qui sont exécutés en mode non élevé ne peuvent pas communiquer avec wfcrun32.exe.