Configuration du réseau et de la sécurité

Le Service d’authentification fédérée (FAS) est étroitement intégré à Microsoft Active Directory et à l’autorité de certification Microsoft. Il est essentiel de vous assurer que le système est géré et sécurisé de manière appropriée, en développant une stratégie de sécurité comme vous le feriez pour un contrôleur de domaine ou toute autre infrastructure critique.

Ce document présente les problèmes de sécurité à prendre en compte lorsque vous déployez FAS. Il offre également une vue d’ensemble des fonctionnalités qui peuvent vous aider à sécuriser votre infrastructure.

Architecture réseau

Le diagramme suivant illustre les composants principaux et les limites de sécurité utilisés dans un déploiement FAS.

Le serveur FAS doit être considéré comme faisant partie de l’infrastructure de sécurité, tout comme l’autorité de certification et le contrôleur de domaine. Dans un environnement fédéré, Citrix Gateway et Citrix StoreFront sont des composants approuvés pour authentifier les utilisateurs ; les autres composants de Citrix Virtual Apps and Desktops ne sont pas affectés par l’introduction de FAS.

Image localisée

Sécurité du réseau et pare-feu

Les communications entre les composants Citrix Gateway, StoreFront et Delivery Controller doivent être protégées par TLS sur le port 443. Le serveur StoreFront se charge uniquement des connexions sortantes, et Citrix Gateway doit uniquement accepter les connexions via Internet utilisant HTTPS sur le port 443.

Le serveur StoreFront contacte le serveur FAS sur le port 80 à l’aide de l’authentification mutuelle Kerberos. L’authentification utilise l’identité Kerberos HOST/fqdn du serveur FAS, et l’identité du compte de machine Kerberos du serveur StoreFront. Ceci génère un « handle d’informations d’identification » à usage unique requis par le Citrix Virtual Delivery Agent (VDA) pour connecter l’utilisateur.

Lorsqu’une session HDX est connectée au VDA, le VDA contacte également le serveur FAS sur le port 80. L’authentification utilise l’identité Kerberos HOST/fqdn du serveur FAS, et l’identité de la machine Kerberos du VDA. En outre, le VDA doit fournir le « handle d’informations d’identification » pour accéder au certificat et à la clé privée.

L’autorité de certification Microsoft accepte les communications à l’aide du DCOM authentifié auprès de Kerberos, qui peut être configuré pour utiliser un port TCP fixe. L’autorité de certification requiert également que le serveur FAS fournisse un paquet CMC signé par un certificat d’agent d’inscription approuvé.

Serveur Ports du pare-feu
Service d’authentification fédérée [entrant] Kerberos via HTTP depuis StoreFront et VDA, [sortant] DCOM vers autorité de certification Microsoft
Citrix Gateway [entrant] HTTPS depuis les machines clientes, [entrant/sortant] HTTPS depuis/vers un serveur StoreFront, [sortant] HDX vers VDA
StoreFront [entrant] HTTPS depuis Citrix Gateway, [entrant/sortant] HTTPS vers Delivery Controller, [sortant] HTTP Kerberos vers FAS
Delivery Controller [entrant] HTTPS depuis un serveur StoreFront, [entrant/sortant] Kerberos sur HTTP à partir de VDA
VDA [entrant/sortant] Kerberos via HTTP depuis Delivery Controller, [entrant] HDX depuis Citrix Gateway, [sortant] Kerberos HTTP vers FAS
Autorité de certification Microsoft [entrant] DCOM et signé depuis FAS

Connexions entre Citrix Federated Authentication Service et Citrix Cloud

La console et FAS accèdent aux adresses suivantes à l’aide du compte de l’utilisateur et du compte de service réseau, respectivement.

  • Console d’administration FAS, sous le compte utilisateur
    • *.cloud.com
    • *.citrixworkspacesapi.net
    • Adresses requises par un fournisseur d’identité tiers, si elles sont utilisées dans votre environnement
  • Service FAS, sous le compte de service réseau : *.citrixworkspacesapi.net

Si votre environnement inclut des serveurs proxy, configurez le proxy utilisateur avec les adresses de la console d’administration FAS. Assurez-vous également que l’adresse du compte de service réseau est configurée à l’aide de netsh ou d’un outil similaire.

Considérations de sécurité

FAS dispose d’un certificat d’autorité d’inscription qui lui permet d’émettre des certificats de manière autonome de la part de vos utilisateurs de domaine. C’est la raison pour laquelle il est important de développer et d’appliquer une stratégie de sécurité pour protéger les serveurs FAS et limiter leurs autorisations.

Agents d’inscription délégués

FAS émet des certificats utilisateur en agissant en tant qu’agent d’inscription. L’autorité de certification Microsoft vous permet de restreindre les agents d’inscription, les modèles de certificats et les utilisateurs pour lesquels les agents d’inscription peuvent émettre des certificats.

Boîte de dialogue Agents d'inscription

Vous pouvez utiliser cette boîte de dialogue pour vous assurer que :

  • La liste Agents d’inscription ne contient que des serveurs FAS.
  • La liste Modèles de certificats contient uniquement des modèles FAS.
  • La liste Autorisations contient uniquement les utilisateurs autorisés à utiliser FAS. Par exemple, il est conseillé d’empêcher FAS d’émettre des certificats aux utilisateurs d’un groupe d’utilisateurs protégés ou d’un groupe d’administration.

Configuration de la liste de contrôle d’accès

Comme indiqué dans la section Configurer des règles, vous devez configurer une liste de serveurs StoreFront autorisés à assumer des identités utilisateur sur FAS lorsque des certificats sont émis. De même, vous pouvez restreindre les utilisateurs pour lesquels des certificats seront émis, et les machines VDA auprès desquelles ils peuvent s’authentifier. Cela vient s’ajouter à tout Active Directory standard ou toute fonctionnalité de sécurité d’autorité de certification que vous configurez.

Paramètres de pare-feu

Toutes les communications avec les serveurs FAS utilisent des connexions réseau Kerberos WCF authentifiées mutuellement sur le port 80.

Analyse du journal des événements

FAS et le VDA écrivent des informations dans le journal d’événements Windows. Ces informations peuvent être utilisées à des fins de contrôle et d’audit. La section Journaux d’événements dresse la liste des entrées de journal d’événements qui peuvent être générées.

Modules matériels de sécurité

Toutes les clés privées, y compris celles des certificats utilisateur émis par FAS, sont stockées en tant que clés privées non exportables par le Compte de service réseau. FAS prend en charge l’utilisation d’un module matériel de sécurité cryptographique, si votre stratégie de sécurité l’exige.

Une configuration cryptographique de faible niveau est disponible dans le fichier FederatedAuthenticationService.exe.config. Ces paramètres s’appliquent lorsque les clés privées sont créées. Par conséquent, des paramètres différents peuvent être utilisés pour les clés privées d’autorité d’inscription (par exemple, 4 096 bits, Module de plateforme sécurisée protégé) et les certificats utilisateur d’exécution.

Paramètre Description
ProviderLegacyCsp Lorsque cette option est définie sur true, FAS utilise l’API CryptoAPI (CAPI) de Microsoft. Sinon, FAS utilise l’API Cryptography Next Generation (CNG) de Microsoft.
ProviderName Nom du fournisseur CAPI ou CNG à utiliser.
ProviderType Fait référence à la propriété Microsoft KeyContainerPermissionAccessEntry.ProviderType PROV_RSA_AES 24. Doit être toujours 24, sauf si vous utilisez un HSM avec CAPI et que le fournisseur HSM en décide autrement.
KeyProtection Contrôle l’indicateur « Exportable » des clés privées. Permet également l’utilisation du stockage de clé TMP (Module de plateforme sécurisée), s’il est pris en charge par le matériel.
KeyLength Longueur de clé des clés privées RSA. Les valeurs prises en charge sont 1024, 2048 et 4096 (valeur par défaut : 2048).

Responsabilités en matière d’administration

L’administration de l’environnement peut être divisée dans les groupes suivants :

Nom Responsabilité
Administrateur d’entreprise Installer et sécuriser les modèles de certificat dans la forêt
Administrateur de domaine Configurer les paramètres de stratégie de groupe
Administrateur d’autorité de certification Configurer l’autorité de certification
Administrateur FAS Installer et configurer le serveur FAS
Administrateur StoreFront/Citrix Gateway Configurer l’authentification utilisateur
Administrateur Citrix Virtual Desktops Configurer les VDA et les Controller

Chaque administrateur contrôle différents aspects du modèle de sécurité, ce qui assure une protection approfondie du système.

Paramètres de stratégie de groupe

Les machines FAS approuvées sont identifiées par une table de recherche « numéro d’index -> FQDN » configurée via la stratégie de groupe. Lors de la communication avec un serveur FAS, les clients vérifient l’identité Kerberos HOST\<fqdn> du serveur FAS. Tous les serveurs qui accèdent au serveur FAS doivent posséder les mêmes configurations de nom domaine complet (FQDN) pour le même index ; dans le cas contraire, il est possible que StoreFront et les VDA contactent des serveurs FAS différents.

Pour éviter toute erreur de configuration, Citrix recommande d’appliquer une seule stratégie à toutes les machines dans l’environnement. Soyez prudent lors de la modification de la liste des serveurs FAS, plus particulièrement lors de la suppression ou de la réorganisation d’entrées.

Le contrôle de cet objet de stratégie de groupe doit être limité aux administrateurs FAS (et/ou aux administrateurs de domaine) qui installent et désactivent des serveurs FAS. Prenez soin de ne pas réutiliser le nom de domaine complet (FQDN) d’une machine peu de temps après avoir désactivé un serveur FAS.

Modèles de certificats

Si vous ne souhaitez pas utiliser le modèle de certificat Citrix_SmartcardLogon fourni avec FAS, vous pouvez modifier une copie. Les modifications suivantes sont prises en charge.

Renommer un modèle de certificat

Si vous souhaitez renommer Citrix_SmartcardLogon pour qu’il corresponde aux conventions de nom de modèle de votre entreprise, vous devez :

  • Créer une copie du modèle de certificat et le renommer pour qu’il corresponde aux conventions de nom de modèle de votre entreprise.
  • Utiliser les commandes PowerShell FAS pour administrer FAS, plutôt que l’interface utilisateur d’administration. (L’interface utilisateur d’administration est conçue uniquement pour une utilisation avec les noms de modèle par défaut Citrix).
    • Utiliser le composant logiciel enfichable pour modèles de certificats MMC de Microsoft ou la commande Publish-FasMsTemplate pour publier votre modèle et
    • utiliser la commande New-FasCertificateDefinition pour configurer les FAS avec le nom de votre modèle.

Modifier les propriétés générales

Vous pouvez modifier la période de validité dans le modèle de certificat.

Ne modifiez pas la période de renouvellement. FAS ignore ce paramètre dans le modèle de certificat. FAS renouvelle automatiquement le certificat au cours de sa période de validité.

Modifier les propriétés de traitement de demande

Ne modifiez pas ces propriétés. FAS ignore ces paramètres dans le modèle de certificat. FAS désélectionne toujours Autoriser l’exportation de la clé privée et Renouveler avec la même clé.

Modifier les propriétés de cryptographie

Ne modifiez pas ces propriétés. FAS ignore ces paramètres dans le modèle de certificat.

Consultez Protection des clés privées pour connaître les paramètres équivalents fournis par FAS.

Modifier les propriétés d’attestation de clé

Ne modifiez pas ces propriétés. FAS ne gère pas l’attestation de clé.

Modifier les propriétés de modèles obsolètes

Ne modifiez pas ces propriétés. FAS ne gère pas les modèles obsolètes.

Modifier les propriétés d’extensions

Vous pouvez modifier ces paramètres en fonction de la stratégie de votre organisation.

Remarque : des paramètres d’extension inappropriés peuvent entraîner des problèmes de sécurité ou aboutir à des certificats inutilisables.

Modifier les propriétés de sécurité

Citrix recommande de modifier ces paramètres pour accorder les autorisations Lire et Inscription aux comptes d’ordinateur des serveurs FAS uniquement. Aucune autre autorisation n’est requise par le service FAS. Toutefois, comme pour d’autres modèles de certificat, vous pouvez :

  • autoriser les administrateurs à lire ou écrire le modèle
  • autoriser les utilisateurs authentifiés à lire le modèle

Image localisée

Modifier les propriétés de nom du sujet

Citrix vous recommande de ne pas modifier ces propriétés.

L’option Construire à partir de ces informations Active Directory du modèle est sélectionnée, ce qui oblige l’autorité de certification à inclure le SID de l’utilisateur dans une extension de certificat. Cela fournit un mappage solide avec le compte Active Directory de l’utilisateur.

Modifier les propriétés de serveur

Citrix ne le recommande pas, mais vous pouvez modifier ces paramètres en fonction de la stratégie de votre organisation, si nécessaire.

Modifier les propriétés de conditions d’émission

Ne modifiez pas ces paramètres. Ces paramètres doivent être comme indiqué :

Image localisée

Modifier les propriétés de compatibilité

Vous pouvez modifier ces paramètres. Le paramètre doit être au moins Windows Server 2003 CAs (version de schéma 2). Toutefois, FAS prend en charge uniquement Windows Server 2008 et les autorités de certification ultérieures. Comme expliqué ci-dessus, FAS ignore également les paramètres supplémentaires disponibles si Windows Server 2008 CAs (version de schéma 3) ou Windows Server 2012 CAs est sélectionné (version de schéma 4).

Administration de l’autorité de certification

L’administrateur de l’autorité de certification est responsable de la configuration du serveur d’autorité de certification et de l’émission de la clé privée de certificat qu’il utilise.

Publication de modèles

Pour qu’une autorité de certification puisse émettre des certificats basés sur un modèle fourni par l’administrateur de l’entreprise, l’administrateur de l’autorité de certification doit choisir de publier ce modèle.

Une simple pratique de sécurité consiste à publier uniquement les modèles de certificat d’autorité d’inscription lorsque les serveurs FAS sont installés, ou d’opter pour un processus d’émission hors connexion. Dans les deux cas, l’administrateur d’autorité de certification doit conserver un contrôle total sur l’autorisation des demandes de certificat d’autorité d’inscription, et disposer d’une stratégie pour autoriser les serveurs FAS.

Paramètres de pare-feu

En général, l’administrateur de l’autorité de certification contrôlera également les paramètres de pare-feu réseau de l’autorité de certification, ce qui permet de contrôler les connexions entrantes. L’administrateur de l’autorité de certification peut configurer le protocole TCP de DCOM et des règles de pare-feu de manière à ce que seuls les serveurs FAS puissent demander des certificats.

Inscription restreinte

Par défaut, le détenteur d’un certificat d’autorité d’inscription peut émettre des certificats pour tous les utilisateurs, à l’aide d’un quelconque modèle de certificat autorisant l’accès. Ceci devrait être restreint à un groupe d’utilisateurs non privilégiés à l’aide de la propriété d’autorité de certification « Restreindre les agents d’inscription ».

Image localisée

Modules de stratégie et d’audit

Pour les déploiements avancés, des modules de sécurité personnalisés peuvent être utilisés pour assurer le suivi et interdire l’émission de certificats.

Administration de FAS

FAS possède plusieurs fonctions de sécurité.

Restreindre StoreFront, les utilisateurs et les VDA via une liste de contrôle d’accès

Au centre du modèle de sécurité de FAS figure le contrôle grâce auquel les comptes Kerberos peuvent accéder aux fonctionnalités :

Vecteur d’accès Description
StoreFront [fournisseur d’identité] Ces comptes Kerberos sont approuvés pour déclarer qu’un utilisateur a été correctement authentifié. Si l’un de ces comptes est compromis, des certificats peuvent être créés et utilisés pour les utilisateurs autorisés par la configuration de FAS.
VDA [partie de confiance] Il s’agit des machines qui sont autorisées à accéder aux certificats et aux clés privées. Un handle d’informations d’identification récupéré par le fournisseur d’identité est également nécessaire, de façon à limiter les possibilités d’attaque du système par un compte VDA compromis dans ce groupe.
Utilisateurs Contrôle les utilisateurs qui peuvent être certifiés par le fournisseur d’identité. Veuillez noter qu’il existe un chevauchement avec les options de configuration « Restreindre les agents d’inscription » de l’autorité de certification. En règle générale, il est conseillé d’inclure uniquement des comptes non privilégiés dans cette liste. Ceci empêche un compte StoreFront compromis de réaffecter des privilèges à un niveau administratif plus élevé. En particulier, les comptes d’administrateur de domaine ne doivent pas être autorisés par cette ACL.

Configurer des règles

Les règles sont utiles si plusieurs déploiements Citrix Virtual Apps ou Citrix Virtual Desktops indépendants utilisent la même infrastructure de serveur FAS. Chaque règle dispose d’options de configuration distinctes ; en particulier, les listes de contrôle d’accès Kerberos (ACL) peuvent être configurées indépendamment.

Configurer l’autorité de certification et les modèles

Différents modèles de certificats et autorités de certification peuvent être configurés afin d’octroyer des droits d’accès différents. Des configurations avancées peuvent choisir d’utiliser plus ou moins de certificats puissants, en fonction de l’environnement. À titre d’exemple, les utilisateurs identifiés en tant que « externes » peuvent posséder un certificat avec moins de privilèges que les utilisateurs « internes ».

Certificats d’authentification et dans la session

L’administrateur FAS peut contrôler si le certificat utilisé pour l’authentification peut être utilisé dans la session de l’utilisateur. Par exemple, ceci peut être utilisé pour mettre uniquement à disposition des certificats « de signature » dans la session, afin de réserver le certificat « d’ouverture de session » plus puissant uniquement pour l’ouverture de session.

Protection de clé privée et longueur de clé

L’administrateur FAS peut configurer FAS afin de stocker les clés privées dans un module de sécurité matériel (HSM) ou un module de plateforme sécurisée (TPM). Citrix recommande de protéger au moins une clé privée de certificat d’autorité d’inscription en la stockant dans un TPM ; cette option est fournie dans le cadre du processus de demande de certificat « hors connexion ».

De même, les clés privées de certificat utilisateur peuvent être stockées dans un module TPM ou HSM. Toutes les clés doivent être générées en tant que « non exportables » et d’une longueur minimum de 2 048 bits.

Journaux d’événements

Le serveur FAS fournit des informations détaillées sur la configuration et des journaux d’événements, qui peuvent être utilisés pour l’audit et la détection des intrusions.

Accès administratif et outils d’administration

FAS comprend des fonctionnalités d’administration à distance (authentification mutuelle Kerberos) ainsi que des outils. Les membres du « groupe Administrateurs local » exercent un contrôle total sur la configuration du FAS. Cette liste doit être soigneusement tenue à jour.

Administrateurs Citrix Virtual Apps, Citrix Virtual Desktops et VDA

En général, l’utilisation de FAS ne modifie pas le modèle de sécurité des administrateurs Delivery Controller et VDA, car le « handle d’informations d’identification » de FAS remplace simplement le « mot de passe Active Directory ». Les groupes d’administration Controller et VDA doivent contenir uniquement des utilisateurs approuvés. L’audit et les journaux d’événements doivent être tenus à jour.

Sécurité des serveurs Windows

Tous les correctifs doivent avoir été installés sur tous les serveurs, de même que des pare-feu et des logiciels antivirus. Les serveurs d’infrastructure critiques à la sécurité doivent être conservés dans un endroit sécurisé, et un soin tout particulier doit être apporté au cryptage du disque et aux options de maintenance des machines virtuelles.

L’audit et les journaux d’événements doivent être stockés de manière sécurisée sur une machine distante.

L’accès RDP doit être limité aux administrateurs autorisés. Dans la mesure du possible, les comptes utilisateur doivent demander une ouverture de session par carte à puce, plus particulièrement pour les comptes d’administrateur de domaine et d’autorité de certification.

Informations connexes