Signature de fichier ICA pour se protéger contre le lancement d’applications ou de bureaux provenant de serveurs non approuvés

La signature de fichier ICA permet de vous protéger contre le lancement non autorisé d’applications ou de bureaux. Citrix Receiver pour Windows vérifie, à l’aide d’une stratégie administrative, qu’une source approuvée est à l’origine du lancement de l’application ou du bureau et empêche le lancement provenant de serveurs non approuvés. Vous pouvez configurer la signature de fichier ICA à l’aide du modèle d’administration des objets de stratégie de groupe, StoreFront ou Citrix Merchandising Server. Par défaut, la signature de fichier ICA n’est pas activée par défaut. Pour obtenir des informations sur l’activation de la signature de fichier ICA pour StoreFront, reportez-vous à la documentation de StoreFront.

Pour le déploiement de l’Interface Web, cette dernière active et configure le lancement d’applications ou de bureaux de manière à y inclure une signature durant le processus de lancement à l’aide du service Signature de fichier ICA. Le service peut signer le fichier ICA à l’aide d’un certificat provenant du magasin de certificats personnel de l’ordinateur.

Citrix Merchandising Server, en conjonction avec Citrix Receiver pour Windows, active et configure la vérification de la signature de lancement à l’aide de l’assistant Citrix Merchandising Server Administrator Console > Deliveries afin d’ajouter des empreintes numériques de certificats approuvés.

Configurer la signature de fichier ICA avec le modèle d’administration d’objet de stratégie de groupe

Remarque

Si CitrixBase.admx\adml n’est pas ajouté à cet objet de stratégie de groupe local, la stratégie Activer la signature de fichier ICA peut être absente.

  1. Ouvrez le modèle d’administration d’objet de stratégie de groupe Citrix Receiver en exécutant gpedit.msc.
  2. Sous le nœud Configuration ordinateur, accédez à Modèles d’administration > Composants Citrix.
  3. Sélectionnez la stratégie Activer la signature de fichier ICA et sélectionnez l’une des options requises :
    1. Activé - Indique que vous pouvez ajouter l’empreinte numérique du certificat de signature à la liste blanche des empreintes de certificat approuvées.
    2. Certificats de confiance - Cliquez sur Afficher pour supprimer l’empreinte de certificat de signature existante de la liste blanche.Vous pouvez copier et coller les empreintes numériques de certificat de signature à partir des propriétés du certificat de signature.
    3. Stratégie de sécurité - Sélectionnez l’une des options suivantes dans le menu déroulant.
      1. Autoriser uniquement les lancements signés (plus sécurisé) - Autorise uniquement le lancement d’applications ou de bureaux signés à partir d’un serveur approuvé. Un avertissement de sécurité apparaît en cas de signature invalide. Vous ne pouvez pas lancer la session en raison d’une non-autorisation.
      2. Demander à l’utilisateur lors de lancements non signés (moins sécurisé) - Une invite de message s’affiche lorsqu’une session non signée ou non valide est lancée. Vous pouvez choisir de continuer le lancement ou d’annuler le lancement (option par défaut).
  4. Cliquez sur Appliquer et OK pour enregistrer la stratégie.

Pour sélectionner et distribuer un certificat de signature numérique

Lors de la sélection d’un certificat de signature numérique, Citrix vous recommande de choisir l’une des solutions suivantes (elles apparaissent par ordre de priorité) :

  1. Achetez un certificat de signature de code ou certificat de signature SSL émanant d’une autorité de certification publique (CA).
  2. Si votre entreprise dispose d’une autorité de certification privée, créez un certificat de signature de code ou certificat de signature SSL à l’aide de l’autorité de certification privée.
  3. Utilisez un certificat SSL existant, tel que le certificat du serveur de l’Interface Web.
  4. Créez un nouveau certificat d’autorité de certification racine et distribuez-le sur les machines utilisateur à l’aide d’un objet de stratégie de groupe ou dans le cadre d’une installation manuelle.

Signature de fichier ICA pour se protéger contre le lancement d’applications ou de bureaux provenant de serveurs non approuvés