Signature de fichier ICA pour se protéger contre le lancement d’applications ou de bureaux provenant de serveurs non approuvés

Cette rubrique s’applique uniquement aux déploiements faisant appel à l’Interface Web utilisant des modèles administratifs d’ancienne génération.

La fonctionnalité de signature de fichier ICA permet de protéger les utilisateurs contre le lancement non autorisé d’applications ou de bureaux. Citrix Receiver pour Windows vérifie, à l’aide d’une stratégie administrative, qu’une source approuvée est à l’origine du lancement de l’application ou du bureau et empêche les lancements provenant de serveurs non approuvés. Vous pouvez configurer la stratégie de sécurité de Citrix Receiver pour Windows pour vérifier la signature de lancement d’une application ou d’un bureau à l’aide d’objets de stratégie de groupe, de StoreFront ou de Citrix Merchandising Server. Par défaut, la signature de fichier ICA n’est pas activée par défaut. Pour obtenir des informations sur l’activation de la signature de fichier ICA pour StoreFront, reportez-vous à la documentation de StoreFront.

Pour les déploiements de l’Interface Web, cette dernière active et configure le lancement d’applications ou de bureaux de manière à y inclure une signature durant le processus de lancement à l’aide du service Citrix ICA File Signing. Le service peut signer les fichiers ICA à l’aide d’un certificat provenant du magasin de certificats personnel de l’ordinateur.

Citrix Merchandising Server, en conjonction avec Citrix Receiver pour Windows, active et configure la vérification de la signature de lancement à l’aide de l’assistant Citrix Merchandising Server Administrator Console > Deliveries afin d’ajouter des empreintes numériques de certificats approuvés.

Pour utiliser les objets de stratégie de groupe afin d’activer et de configurer la vérification de la signature de lancement d’une application ou d’un bureau, suivez cette procédure :

  1. En tant qu’administrateur, ouvrez la fenêtre Éditeur de stratégie de groupe en exécutant la commande gpedit.msc dans le menu Démarrer lorsque vous appliquez des stratégies sur un seul ordinateur ou en utilisant la Console de gestion des stratégies de groupe pour appliquer des stratégies de domaine. Remarque : si vous avez déjà importé le modèle ica-file-signing.adm dans l’éditeur de stratégies de groupe, vous pouvez ignorer les étapes 2 à 5.
  2. Dans le volet gauche de l’Éditeur de stratégie de groupe, sélectionnez le dossier Modèles d’administration.
  3. À partir du menu Action, sélectionnez Ajout/Suppression de modèles.
  4. Choisissez Ajouter et accédez au dossier Configuration de Citrix Receiver pour Windows (généralement C:\Program Files\Citrix\ICA Client\Configuration) et sélectionnez ica-file-signing.adm.
  5. Cliquez sur Ouvrir pour ajouter le modèle, puis cliquez sur Fermer pour retourner à l’Éditeur de stratégie de groupe.
  6. Dans l’éditeur de stratégie de groupe, développez Modèles d’administration > Modèles d’administration classiques (ADM) > Composants Citrix > Citrix Receiver et accédez à Activer la signature de fichier ICA.
  7. Si vous choisissez Activé, vous pouvez ajouter ou supprimer des empreintes numériques de certificats de signature à la liste blanche des empreintes numériques de certificats approuvés en cliquant sur Show et en utilisant l’écran Show Contents. Vous pouvez copier et coller les empreintes numériques de certificat de signature à partir des propriétés du certificat de signature. Utilisez le menu déroulant Stratégie pour sélectionner Autoriser uniquement les lancements signés (plus sécurisé) ou Demander à l’utilisateur lors de lancements non signés (moins sécurisé).
Option Description
Autoriser uniquement les lancements signés (plus sécurisé) Autorise uniquement le lancement d’applications ou de bureaux correctement signés à partir d’un serveur approuvé. Un message d’avertissement s’affiche dans Citrix Receiver pour Windows si une application ou un bureau dispose d’une signature non valide. L’utilisateur ne peut pas continuer et le lancement non autorisé est bloqué.
Demander à l’utilisateur lors de lancements non signés (moins sécurisé) Invite l’utilisateur à confirmer à chaque tentative de lancement d’une application ou d’un bureau non signé ou dont la signature n’est pas valide. L’utilisateur peut soit continuer le lancement de l’application, soit abandonner le lancement (valeur par défaut).

Pour sélectionner et distribuer un certificat de signature numérique

Lors de la sélection d’un certificat de signature numérique, Citrix vous recommande de choisir l’une des solutions suivantes (elles apparaissent par ordre de priorité) :

  1. Achetez un certificat de signature de code ou certificat de signature SSL émanant d’une autorité de certification publique (CA).
  2. Si votre entreprise dispose d’une autorité de certification privée, créez un certificat de signature de code ou certificat de signature SSL à l’aide de l’autorité de certification privée.
  3. Utilisez un certificat SSL existant, tel que le certificat du serveur de l’Interface Web.
  4. Créez un nouveau certificat d’autorité de certification racine et distribuez-le sur les machines utilisateur à l’aide d’un objet de stratégie de groupe ou dans le cadre d’une installation manuelle.

Signature de fichier ICA pour se protéger contre le lancement d’applications ou de bureaux provenant de serveurs non approuvés