Configuration du réseau et de la sécurité
Le Service d’authentification fédérée (FAS) est étroitement intégré à Microsoft Active Directory et à l’autorité de certification Microsoft. Assurez-vous que le système est géré et sécurisé de manière appropriée, en développant une stratégie de sécurité comme vous le feriez pour un contrôleur de domaine ou toute autre infrastructure critique.
Ce document présente les problèmes de sécurité à prendre en compte lorsque vous déployez FAS. Il fournit également une vue d’ensemble des fonctionnalités qui peuvent vous aider à sécuriser votre infrastructure.
Architecture réseau
Le diagramme suivant illustre les composants principaux et les limites de sécurité utilisés dans un déploiement FAS.
Le serveur FAS doit être considéré comme faisant partie de l’infrastructure de sécurité, tout comme l’autorité de certification et le contrôleur de domaine. Dans un environnement fédéré, Citrix Gateway et Citrix StoreFront sont des composants approuvés pour authentifier les utilisateurs ; les autres composants de Citrix Virtual Apps and Desktops ne sont pas affectés par l’introduction de FAS.
Sécurité du réseau et pare-feu
Le protocole TLS sur le port 443 protège la communication entre les composants Citrix Gateway, StoreFront et Delivery Controller. Le serveur StoreFront se charge uniquement des connexions sortantes et Citrix Gateway doit uniquement accepter les connexions via Internet utilisant HTTPS sur le port 443.
Le serveur StoreFront contacte le serveur FAS sur le port 80 à l’aide de l’authentification mutuelle Kerberos. L’authentification utilise l’identité Kerberos HOST/fqdn du serveur FAS, et l’identité du compte de machine Kerberos du serveur StoreFront. Cette option génère un « handle d’informations d’identification » à usage unique requis par le Citrix Virtual Delivery Agent (VDA) pour connecter l’utilisateur.
Lorsqu’une session HDX est connectée au VDA, le VDA contacte également le serveur FAS sur le port 80. L’authentification utilise l’identité Kerberos HOST/fqdn du serveur FAS, et l’identité de la machine Kerberos du VDA. De plus, le VDA doit fournir le « handle d’informations d’identification » pour accéder au certificat et à la clé privée.
L’autorité de certification Microsoft accepte les communications à l’aide du DCOM authentifié auprès de Kerberos, qui peut être configuré pour utiliser un port TCP fixe. L’autorité de certification requiert également que le serveur FAS fournisse un paquet CMC signé par un certificat d’agent d’inscription approuvé.
Serveur | Ports du pare-feu |
---|---|
Service d’authentification fédérée | [entrant] Kerberos via HTTP depuis StoreFront et VDA, [sortant] DCOM vers autorité de certification Microsoft |
Citrix Gateway | [entrant] HTTPS depuis les machines clientes, [entrant/sortant] HTTPS depuis/vers un serveur StoreFront, [sortant] HDX vers VDA |
StoreFront | [entrant] HTTPS depuis Citrix Gateway, [entrant/sortant] HTTPS vers Delivery Controller, [sortant] HTTP Kerberos vers FAS |
Delivery Controller | [entrant] HTTPS depuis un serveur StoreFront, [entrant/sortant] Kerberos sur HTTP à partir de VDA |
VDA | [entrant/sortant] Kerberos via HTTP depuis Delivery Controller, [entrant] HDX depuis Citrix Gateway, [sortant] Kerberos HTTP vers FAS |
Autorité de certification Microsoft | [entrant] DCOM et signé depuis FAS |
Connexions entre Citrix Federated Authentication Service et Citrix Cloud
La console et FAS accèdent aux adresses suivantes à l’aide du compte de l’utilisateur et du compte de service réseau, respectivement.
- Console d’administration FAS, sous le compte utilisateur
*.cloud.com
*.citrixworkspacesapi.net
- Adresses requises par un fournisseur d’identité tiers, si elles sont utilisées dans votre environnement
- Service FAS, sous le compte de service réseau :
*.citrixworkspacesapi.net
*.citrixnetworkapi.net
Si votre environnement inclut des serveurs proxy, configurez le proxy utilisateur avec les adresses de la console d’administration FAS. Assurez-vous également que l’adresse du compte de service réseau est configurée à l’aide de netsh ou d’un outil similaire.
Considérations de sécurité
FAS dispose d’un certificat d’autorité d’inscription qui lui permet d’émettre des certificats de manière autonome de la part de vos utilisateurs de domaine. C’est la raison pour laquelle il est important de développer et d’appliquer une stratégie de sécurité pour protéger les serveurs FAS et limiter leurs autorisations.
Agents d’inscription délégués
FAS émet des certificats utilisateur en agissant en tant qu’agent d’inscription. L’autorité de certification Microsoft vous permet de restreindre les agents d’inscription, les modèles de certificats et les utilisateurs pour lesquels les agents d’inscription peuvent émettre des certificats.
Vous pouvez utiliser cette boîte de dialogue pour vous assurer que :
- La liste Agents d’inscription ne contient que des serveurs FAS.
- La liste Modèles de certificats contient uniquement des modèles FAS.
- La liste Autorisations contient uniquement les utilisateurs autorisés à utiliser FAS. Par exemple, il est conseillé d’empêcher FAS d’émettre des certificats aux utilisateurs d’un groupe d’utilisateurs protégés ou d’un groupe d’administration.
Configuration de la liste de contrôle d’accès
Comme indiqué dans la section Configurer des règles, vous devez configurer une liste de serveurs StoreFront autorisés à assumer des identités utilisateur sur FAS lorsque des certificats sont émis. De même, vous pouvez restreindre les utilisateurs pour lesquels des certificats seront émis, et les machines VDA auprès desquelles ils peuvent s’authentifier. Cette fonctionnalité vient s’ajouter à toute autre fonctionnalité Active Directory standard ou de sécurité d’autorité de certification que vous configurez.
Paramètres de pare-feu
Toutes les communications avec les serveurs FAS utilisent des connexions réseau Kerberos WCF authentifiées mutuellement sur le port 80.
Analyse du journal des événements
FAS et le VDA écrivent des informations dans le journal d’événements Windows. Ces informations peuvent être utilisées à des fins de contrôle et d’audit. La section Journaux d’événements répertorie les entrées de journal d’événements qui doivent être générées.
Modules matériels de sécurité
Toutes les clés privées, y compris celles des certificats utilisateur émis par FAS, sont stockées en tant que clés privées non exportables par le Compte de service réseau. FAS prend en charge l’utilisation d’un module matériel de sécurité cryptographique, si votre stratégie de sécurité l’exige.
Une configuration cryptographique de faible niveau est disponible dans le fichier FederatedAuthenticationService.exe.config. Ces paramètres s’appliquent lorsque les clés privées sont créées. Par conséquent, des paramètres différents peuvent être utilisés pour les clés privées d’autorité d’inscription (par exemple, 4 096 bits, Module de plateforme sécurisée protégé) et les certificats utilisateur d’exécution.
Paramètre | Description |
---|---|
ProviderLegacyCsp | Lorsque cette option est définie sur true, FAS utilise l’API CryptoAPI (CAPI) de Microsoft. Sinon, FAS utilise l’API Cryptography Next Generation (CNG) de Microsoft. |
ProviderName | Nom du fournisseur CAPI ou CNG à utiliser. |
ProviderType | Fait référence à la propriété Microsoft KeyContainerPermissionAccessEntry.ProviderType PROV_RSA_AES 24. Doit être toujours 24, sauf si vous utilisez un HSM avec CAPI et que le fournisseur HSM en décide autrement. |
KeyProtection | Contrôle l’indicateur « Exportable » des clés privées. Permet également l’utilisation du stockage de clé TMP (Module de plateforme sécurisée), s’il est pris en charge par le matériel. |
KeyLength | Longueur de clé des clés privées RSA. Les valeurs prises en charge sont 1024, 2048 et 4096 (valeur par défaut : 2048). |
Responsabilités en matière d’administration
L’administration de l’environnement peut être divisée dans les groupes suivants :
Nom | Responsabilité |
---|---|
Administrateur d’entreprise | Installer et sécuriser les modèles de certificat dans la forêt |
Administrateur de domaine | Configurer les paramètres de stratégie de groupe |
Administrateur d’autorité de certification | Configurer l’autorité de certification |
Administrateur FAS | Installer et configurer le serveur FAS |
Administrateur StoreFront/Citrix Gateway | Configurer l’authentification utilisateur |
Administrateur Citrix Virtual Desktops | Configurer les VDA et les Controller |
Chaque administrateur contrôle différents aspects du modèle de sécurité, ce qui assure une protection approfondie du système.
Paramètres de stratégie de groupe
Les machines FAS approuvées sont identifiées par une table de recherche « numéro d’index -> FQDN » configurée via la stratégie de groupe. Lors de la communication avec un serveur FAS, les clients vérifient l’identité Kerberos HOST\<fqdn>
du serveur FAS. Tous les serveurs qui accèdent au serveur FAS doivent posséder les mêmes configurations de nom domaine complet (FQDN) pour le même index ; dans le cas contraire, StoreFront et les VDA doivent contacter des serveurs FAS différents.
Citrix recommande d’appliquer une stratégie unique à toutes les machines de l’environnement afin d’éviter toute erreur de configuration. Soyez prudent lors de la modification de la liste des serveurs FAS, plus particulièrement lors de la suppression ou de la réorganisation d’entrées.
Le contrôle de cet objet de stratégie de groupe doit être limité aux administrateurs FAS (et/ou aux administrateurs de domaine) qui installent et désactivent des serveurs FAS. Prenez soin de ne pas réutiliser le nom de domaine complet (FQDN) d’une machine peu de temps après avoir désactivé un serveur FAS.
Modèles de certificats
Si vous ne souhaitez pas utiliser le modèle de certificat Citrix_SmartcardLogon fourni avec FAS, vous pouvez modifier une copie. Les modifications suivantes sont prises en charge.
Renommer un modèle de certificat
Si vous souhaitez renommer Citrix_SmartcardLogon pour qu’il corresponde aux conventions de nom de modèle de votre entreprise, vous devez :
- Créer une copie du modèle de certificat et le renommer pour qu’il corresponde aux conventions de nom de modèle de votre entreprise.
- Utiliser les commandes PowerShell FAS pour administrer FAS, plutôt que l’interface utilisateur d’administration. (L’interface utilisateur d’administration est conçue uniquement pour une utilisation avec les noms de modèle par défaut Citrix).
- Utiliser le composant logiciel enfichable pour modèles de certificats MMC de Microsoft ou la commande Publish-FasMsTemplate pour publier votre modèle et
- utiliser la commande New-FasCertificateDefinition pour configurer les FAS avec le nom de votre modèle.
Modifier les propriétés générales
Vous pouvez modifier la période de validité dans le modèle de certificat.
Ne modifiez pas la période de renouvellement. FAS ignore ce paramètre dans le modèle de certificat. FAS renouvelle automatiquement le certificat au cours de sa période de validité.
Modifier les propriétés de traitement de demande
Ne modifiez pas ces propriétés. FAS ignore ces paramètres dans le modèle de certificat. FAS désélectionne toujours Autoriser l’exportation de la clé privée et Renouveler avec la même clé.
Modifier les propriétés de cryptographie
Ne modifiez pas ces propriétés. FAS ignore ces paramètres dans le modèle de certificat.
Consultez Protection des clés privées pour connaître les paramètres équivalents fournis par FAS.
Modifier les propriétés d’attestation de clé
Ne modifiez pas ces propriétés. FAS ne gère pas l’attestation de clé.
Modifier les propriétés de modèles obsolètes
Ne modifiez pas ces propriétés. FAS ne gère pas les modèles obsolètes.
Modifier les propriétés d’extensions
Vous pouvez modifier ces paramètres en fonction de la stratégie de votre organisation.
Remarque : des paramètres d’extension inappropriés peuvent entraîner des problèmes de sécurité ou aboutir à des certificats inutilisables.
Modifier les propriétés de sécurité
Citrix recommande de modifier ces paramètres pour accorder les autorisations Lire et Inscription aux comptes d’ordinateur des serveurs FAS uniquement. Aucune autre autorisation n’est requise par le service FAS. Toutefois, comme pour d’autres modèles de certificat, vous pouvez :
- autoriser les administrateurs à lire ou écrire le modèle
- autoriser les utilisateurs authentifiés à lire le modèle
Modifier les propriétés de nom du sujet
Citrix vous recommande de ne pas modifier ces propriétés.
L’option Construire à partir de ces informations Active Directory du modèle est sélectionnée, ce qui oblige l’autorité de certification à inclure le SID de l’utilisateur dans une extension de certificat. Cela fournit un mappage solide avec le compte Active Directory de l’utilisateur.
Modifier les propriétés de serveur
Citrix ne le recommande pas, mais vous pouvez modifier ces paramètres en fonction de la stratégie de votre organisation, si nécessaire.
Modifier les propriétés de conditions d’émission
Ne modifiez pas ces paramètres. Ces paramètres doivent être définis comme suit :
Modifier les propriétés de compatibilité
Vous pouvez modifier ces paramètres. Le paramètre doit être au moins Windows Server 2003 CAs (version de schéma 2). Toutefois, FAS prend en charge uniquement Windows Server 2008 et les autorités de certification ultérieures. Comme expliqué ci-dessus, FAS ignore également les paramètres supplémentaires disponibles si Windows Server 2008 CAs (version de schéma 3) ou Windows Server 2012 CAs est sélectionné (version de schéma 4).
Administration de l’autorité de certification
L’administrateur de l’autorité de certification est responsable de la configuration du serveur d’autorité de certification et de l’émission de la clé privée de certificat qu’il utilise.
Publication de modèles
Pour qu’une autorité de certification puisse émettre des certificats basés sur un modèle fourni par l’administrateur de l’entreprise, l’administrateur de l’autorité de certification doit choisir de publier ce modèle.
Une simple pratique de sécurité consiste à publier uniquement les modèles de certificat d’autorité d’inscription lorsque les serveurs FAS sont installés, ou d’opter pour un processus d’émission hors connexion. Dans les deux cas, l’administrateur d’autorité de certification doit conserver un contrôle total sur l’autorisation des demandes de certificat d’autorité d’inscription et disposer d’une stratégie pour autoriser les serveurs FAS.
Paramètres de pare-feu
L’administrateur de l’autorité de certification contrôle les paramètres de pare-feu réseau de l’autorité de certification, ce qui lui permet de contrôler les connexions entrantes. L’administrateur de l’autorité de certification peut configurer le protocole TCP de DCOM et des règles de pare-feu de manière à ce que seuls les serveurs FAS puissent demander des certificats.
Inscription restreinte
Par défaut, le détenteur d’un certificat d’autorité d’inscription peut émettre des certificats pour tous les utilisateurs, à l’aide d’un modèle de certificat autorisant l’accès. Cette fonctionnalité doit être restreinte à un groupe d’utilisateurs sans privilèges à l’aide de la propriété d’autorité de certification « Restreindre les agents d’inscription ».
Modules de stratégie et d’audit
Pour les déploiements avancés, des modules de sécurité personnalisés peuvent être utilisés pour assurer le suivi et interdire l’émission de certificats.
Administration de FAS
FAS possède plusieurs fonctions de sécurité.
Restreindre StoreFront, les utilisateurs et les VDA via une liste de contrôle d’accès
Au centre du modèle de sécurité de FAS figure le contrôle grâce auquel les comptes Kerberos peuvent accéder aux fonctionnalités :
Vecteur d’accès | Description |
---|---|
StoreFront [fournisseur d’identité] | Ces comptes Kerberos sont approuvés pour déclarer qu’un utilisateur a été correctement authentifié. Si l’un de ces comptes est compromis, des certificats peuvent être créés et utilisés pour les utilisateurs autorisés par la configuration de FAS. |
VDA [partie de confiance] | Il s’agit des machines qui sont autorisées à accéder aux certificats et aux clés privées. Un handle d’informations d’identification récupéré par le fournisseur d’identité est également nécessaire, de façon à limiter les possibilités d’attaque du système par un compte VDA compromis dans ce groupe. |
Utilisateurs | Cette option contrôle les utilisateurs qui peuvent être certifiés par le fournisseur d’identité. Veuillez noter qu’il existe un chevauchement avec les options de configuration « Restreindre les agents d’inscription » de l’autorité de certification. En règle générale, il est conseillé d’inclure uniquement des comptes non privilégiés dans cette liste. Cette option empêche un compte StoreFront compromis de réaffecter des privilèges à un niveau administratif plus élevé. Particulièrement, les comptes d’administrateur de domaine ne doivent pas être autorisés par cette ACL. |
Configurer des règles
Les règles sont utiles si plusieurs déploiements Citrix Virtual Apps ou Citrix Virtual Desktops indépendants utilisent la même infrastructure de serveur FAS. Chaque règle dispose d’options de configuration distinctes ; en particulier, les listes de contrôle d’accès Kerberos (ACL) peuvent être configurées indépendamment.
Configurer l’autorité de certification et les modèles
Différents modèles de certificats et autorités de certification peuvent être configurés afin d’octroyer des droits d’accès différents. Des configurations avancées peuvent choisir d’utiliser plus ou moins de certificats puissants, en fonction de l’environnement. À titre d’exemple, les utilisateurs identifiés en tant que « externes » peuvent posséder un certificat avec moins de privilèges que les utilisateurs « internes ».
Certificats d’authentification et dans la session
L’administrateur FAS peut contrôler si le certificat utilisé pour l’authentification peut être utilisé dans la session de l’utilisateur. Par exemple, cette option peut être utilisée pour mettre uniquement à disposition des certificats « de signature » dans la session, afin de réserver le certificat « d’ouverture de session » plus puissant uniquement pour l’ouverture de session.
Protection de clé privée et longueur de clé
L’administrateur FAS peut configurer FAS afin de stocker les clés privées dans un module de sécurité matériel (HSM) ou un module de plateforme sécurisée (TPM). Pour des raisons de sécurité, Citrix recommande de toujours stocker la clé privée du certificat de l’autorité d’inscription dans un TPM. Cette option est fournie dans le cadre du processus de demande de certificat « en mode déconnecté ».
De même, les clés privées de certificat utilisateur peuvent être stockées dans un module TPM ou HSM. Toutes les clés doivent être générées comme « non exportables » et d’une longueur minimum de 2 048 bits.
Journaux d’événements
Le serveur FAS fournit des informations détaillées sur la configuration et des journaux d’événements, qui peuvent être utilisés pour l’audit et la détection des intrusions.
Accès administratif et outils d’administration
FAS comprend des fonctionnalités d’administration à distance (authentification mutuelle Kerberos) ainsi que des outils. Les membres du « groupe Administrateurs local » exercent un contrôle total sur la configuration du FAS. Cette liste doit être soigneusement tenue à jour.
Administrateurs Citrix Virtual Apps, Citrix Virtual Desktops et VDA
L’utilisation de FAS ne modifie pas le modèle de sécurité des administrateurs Delivery Controller et VDA, car le « handle d’informations d’identification » de FAS remplace simplement le « mot de passe Active Directory ». Les groupes d’administration Controller et VDA doivent contenir uniquement des utilisateurs approuvés. Les journaux d’audit et d’événements doivent être tenus à jour.
Sécurité des serveurs Windows
Tous les correctifs doivent avoir été installés sur tous les serveurs, ainsi que des pare-feu et des logiciels antivirus. Les serveurs d’infrastructure dont la sécurité est critique doivent être conservés dans un endroit sûr, et un soin tout particulier doit être apporté aux options de cryptage de disque et de maintenance des machines virtuelles.
L’audit et les journaux d’événements doivent être stockés de manière sécurisée sur une machine distante.
L’accès RDP doit être limité aux administrateurs autorisés. Dans la mesure du possible, les comptes utilisateur doivent demander une ouverture de session par carte à puce, plus particulièrement pour les comptes d’administrateur de domaine et d’autorité de certification.
Informations connexes
- L’article Installer et configurer est le document de référence principal pour obtenir des informations sur l’installation et la configuration de FAS.
- Les architectures FAS sont présentées dans l’article Architectures de déploiement.
- D’autres informations pratiques sont disponibles dans l’article Configuration avancée.
Dans cet article
- Architecture réseau
- Sécurité du réseau et pare-feu
- Connexions entre Citrix Federated Authentication Service et Citrix Cloud
- Considérations de sécurité
- Responsabilités en matière d’administration
- Paramètres de stratégie de groupe
- Modèles de certificats
- Administration de l’autorité de certification
- Administration de FAS
- Administrateurs Citrix Virtual Apps, Citrix Virtual Desktops et VDA
- Sécurité des serveurs Windows
- Informations connexes