Profile Management 2103

Sécuriser

Cette rubrique contient des recommandations sur la sécurisation de Profile Management. En général, il convient de sécuriser les serveurs sur lesquels le magasin de l’utilisateur est hébergé pour empêcher tout accès non autorisé aux données du profil utilisateur Citrix.

Des recommandations sur la création de magasins utilisateur sécurisés sont disponibles dans l’article Créer un partage de fichiers pour les profils utilisateur itinérants du site Web Microsoft TechNet. Ces recommandations minimum permettent de garantir un niveau élevé de sécurité. Par ailleurs, lorsque vous configurez l’accès au magasin de l’utilisateur, n’oubliez pas d’inclure le groupe Administrateurs car ce dernier vous permet de modifier ou supprimer un profil utilisateur Citrix.

Autorisations

Citrix a testé et recommande les autorisations suivantes pour le magasin de l’utilisateur et le magasin des paramètres multi-plateformes :

  • Autorisations de partage : contrôle total du dossier racine du magasin de l’utilisateur
  • Les autorisations NTFS suivantes recommandées par Microsoft :

    Groupe ou nom d’utilisateur Autorisation S’applique à
    Créateur propriétaire Contrôle total Sous-dossiers et fichiers uniquement
    Liste des dossiers / Lecture des données et Création de dossiers / Ajout de données Ce dossier uniquement
    Système local Contrôle total Ce dossier, sous-dossiers et fichiers

En supposant que l’héritage ne soit pas désactivé, ces autorisations permettent aux comptes d’accéder aux magasins. Elles permettent aussi aux comptes d’accéder aux magasins, de créer des sous-dossiers pour les profils utilisateur et de réaliser les opérations de lecture/écriture nécessaires.

Vous pouvez également simplifier l’administration en créant un groupe d’administrateurs doté du contrôle total des sous-dossiers et fichiers uniquement. La suppression des profils (tâche de dépannage courante) est plus facile pour les membres de ce groupe.

Si vous utilisez un profil modèle, les utilisateurs doivent pouvoir y accéder en lecture.

Liste de contrôle d’accès (ACL)

Si vous utilisez la fonctionnalité de paramètres multi-plateformes, définissez des listes de contrôle d’accès sur le dossier sur lequel les fichiers de définition sont stockés comme suit : accès en lecture pour les utilisateurs authentifiés et accès en lecture/écriture pour les administrateurs.

Les profils itinérants Windows suppriment automatiquement les privilèges d’administrateur des dossiers contenant des données de profil sur le réseau. Profile Management ne supprime pas automatiquement ces privilèges des dossiers dans le magasin de l’utilisateur. En fonction des stratégies de sécurité de votre organisation, vous pouvez le faire manuellement.

Remarque : si une application modifie la liste de contrôle d’accès (ACL) d’un fichier dans le profil de l’utilisateur, Profile Management ne réplique pas ces modifications dans le magasin d’utilisateur. Ce comportement est cohérent avec celui des profils itinérants Windows.

Streaming des profils et produits anti-virus

La fonctionnalité Profils utilisateur Citrix streamés de Citrix Profile Management utilise les fonctionnalités NTFS avancées pour simuler la présence de fichiers manquants dans les profils des utilisateurs. À cet égard, cette fonctionnalité est similaire à une classe de produits appelée Gestionnaires de stockage hiérarchique (HSM). Ces derniers sont généralement utilisés pour archiver les fichiers peu utilisés sur des périphériques de stockage de masse lents tels que des bandes magnétiques ou des supports de stockage optique réinscriptibles. Lorsque de tels fichiers sont requis, les pilotes HSM interceptent la première demande de fichier, suspendent le processus à l’origine de la demande et récupèrent le fichier à partir du stockage d’archive. Ils autorisent ensuite la demande à continuer. Eu égard à cette similarité, le pilote des profils utilisateur streamés, upmjit.sys, est en fait défini en tant que pilote HSM.

Dans un tel environnement, configurez les produits anti-virus pour qu’ils tiennent compte des pilotes HSM, et il en va de même pour le pilote des profils utilisateur streamés. De façon à pouvoir combattre les menaces les plus sophistiquées, les produits anti-virus doivent réaliser certaines de leurs fonctions au niveau du pilote de périphérique. À l’instar des pilotes HSM, ils fonctionnent en interceptant les demandes de fichier, en suspendant le processus à l’origine de la demande, en analysant le fichier puis en autorisant la poursuite de la demande.

Il est relativement facile de provoquer l’interruption d’un HSM tel que le pilote des profils utilisateur streamés en configurant incorrectement un programme anti-virus, ce qui l’empêche de récupérer les fichiers dans le magasin de l’utilisateur et entraîne le blocage de l’ouverture de session.

Fort heureusement, les produits anti-virus d’entreprise sont généralement conçus pour prendre en charge les produits de stockage sophistiqués, tels que les HSM. Ils peuvent être configurés pour différer l’analyse tant que le HSM n’a pas terminé son travail. Les produits anti-virus à usage domestique sont généralement moins sophistiqués. C’est la raison pour laquelle l’utilisation de produits anti-virus pour PME/indépendants n’est pas prise en charge avec les profils utilisateur streamés.

Pour configurer votre produit anti-virus avec les profils utilisateur streamés, utilisez les fonctionnalités suivantes. Les noms des fonctionnalités sont fournis à titre indicatif :

  • Liste des processus approuvés. Identifie les HSM auprès du produit anti-virus, ce qui leur permet de compléter le processus de récupération de fichier. Le produit anti-virus analyse le fichier lorsqu’un processus non approuvé y accède pour la première fois.
  • Ne pas analyser les opérations de lecture ou de vérification de l’état de fichiers. Configure le produit anti-virus pour analyser un fichier uniquement lorsque des données sont accédées (par exemple, lorsqu’un fichier est exécuté ou créé). Les autres types d’accès fichier (par exemple, lorsqu’un fichier est ouvert ou que son état est vérifié) sont ignorés par le produit anti-virus. Les HSM se déclenchent généralement suite à des opérations d’ouverture de fichiers et de vérification de l’état de fichiers, c’est pourquoi la désactivation des analyses de virus portant sur ces opérations permet d’éliminer les conflits potentiels.

Citrix test les profils utilisateur streamés avec les produits anti-virus d’entreprise leader pour garantir leur compatibilité avec Profile Management. Ces versions sont les suivantes :

  • McAfee Virus Scan Enterprise 8.7
  • Symantec Endpoint Protection 11.0
  • Trend Micro OfficeScan 10

Les versions antérieures de ces produits n’ont pas été testées.

Si vous utilisez un autre produit anti-virus d’entreprise, assurez-vous qu’il est compatible avec les HSM. Il peut être configuré pour permettre la bonne exécution des opérations HSM avant de procéder aux analyses.

Certains produits anti-virus permettent aux administrateurs de choisir une analyse à l’écriture ou à la lecture. Ce choix assure un équilibre entre les performances et la sécurité. La fonctionnalité Profils utilisateur Citrix streamés n’est pas affectée par ce choix.

Résolution des problèmes de streaming et d’anti-virus

Si vous rencontrez des problèmes, tels que des ouvertures de session longues, voire même bloquées, il est possible que Profile Management et votre produit anti-virus n’aient pas été configurés correctement. Essayez les procédures suivantes, dans l’ordre indiqué :

  1. Vérifiez que la dernière version de Profile Management est installée. Il est possible que votre problème ait déjà été identifié et résolu.
  2. Ajoutez le service Profile Management (UserProfileManager.exe) à la liste des processus approuvés par votre produit anti-virus.
  3. Désactivez la recherche de virus sur les opérations HSM telles que l’ouverture, la création, la restauration ou le contrôle de l’état. Ne réalisez des recherches de virus que sur les opérations de lecture et d’écriture.
  4. Désactivez les autres fonctionnalités avancées de recherche de virus. À titre d’exemple, certains produits anti-virus peuvent réaliser une analyse rapide des premiers blocs d’un fichier afin de déterminer le type du fichier. Ces vérifications comparent le contenu du fichier avec le type de fichier déclaré mais peuvent interférer avec les opérations HSM.
  5. Désactivez le service d’indexation (appelé également Recherche Windows ou service de recherche selon votre version de Windows), au moins pour les dossiers dans lesquels les profils sont stockés sur les lecteurs locaux. Ce service entraîne des récupérations HSM inutiles et peut provoquer des conflits entre les profils utilisateur streamés et les logiciels anti-virus d’entreprise.

Si aucune de ces étapes ne permet de résoudre le problème, désactivez les profils utilisateur streamés (en désactivant le paramètre Streaming des profils). Si le problème est résolu, réactivez la fonctionnalité et désactivez votre logiciel anti-virus d’entreprise. Recueillez également les informations de diagnostics relatives au problème qui sont générées par Profile Management et contactez l’assistance technique Citrix. Vous devrez leur fournir la version exacte du logiciel anti-virus que vous utilisez.

Pour continuer à utiliser Profile Management, n’oubliez pas de réactiver l’anti-virus et de désactiver les profils utilisateur streamés. Les autres fonctionnalités de Profile Management continuent de fonctionner. Seul le streaming des profils est désactivé.

Sécuriser