Sécuriser votre déploiement StoreFront

Cet article met en évidence les domaines susceptibles d’avoir un impact sur la sécurité du système lors du déploiement et de la configuration de StoreFront.

Authentification de l’utilisateur final

Normalement, les utilisateurs finaux doivent s’authentifier soit directement auprès de StoreFront, soit auprès d’un Citrix Gateway situé devant StoreFront. Pour plus d’informations sur les méthodes d’authentification disponibles, consultez Authentification.

Communication avec les utilisateurs finaux

Citrix recommande de sécuriser les communications entre les appareils des utilisateurs et StoreFront à l’aide de HTTPS. Cela garantit que les mots de passe et autres données envoyées entre le client et StoreFront sont chiffrés. De plus, les connexions HTTP simples peuvent être compromises par diverses attaques, telles que les attaques de l’homme du milieu, en particulier lorsque les connexions sont établies à partir d’emplacements non sécurisés tels que les points d’accès Wi-Fi publics. En l’absence de la configuration IIS appropriée, StoreFront utilise HTTP pour les communications.

Selon votre configuration, les utilisateurs peuvent accéder à StoreFront via une passerelle ou un équilibreur de charge. Vous pouvez terminer la connexion HTTPS au niveau de la passerelle ou de l’équilibreur de charge. Cependant, dans ce cas, Citrix recommande toujours de sécuriser les connexions entre la passerelle ou l’équilibreur de charge et StoreFront à l’aide de HTTPS.

Pour activer HTTPS, désactiver HTTP et activer HSTS, consultez Sécurisation de StoreFront avec HTTPS.

Sur votre serveur virtuel NetScaler Gateway ou équilibreur de charge, vous pouvez configurer les versions TLS activées. Il est recommandé de désactiver les versions TLS héritées antérieures à 1.2.

Sur les serveurs StoreFront, Windows et IIS déterminent les versions TLS autorisées pour les connexions entrantes. Il est recommandé de désactiver les versions TLS héritées antérieures à 1.2. Sur Windows Server 2025, TLS 1.0 et 1.1 sont désactivés par défaut. Sur Windows Server 2022, vous pouvez configurer IIS pour désactiver TLS 1.0 et 1.1 pour les connexions client, consultez Sécurisation de StoreFront avec HTTPS. Sur toutes les versions de Windows Server, vous pouvez désactiver TLS 1.0 et 1.1 à l’aide de la stratégie de groupe ou des paramètres du registre Windows, consultez la documentation Microsoft.

Les anciennes versions de Citrix Receiver ne peuvent pas se connecter à l’aide de TLS 1.2, consultez CTX232266 pour plus de détails.

Communication avec les Delivery Controllers

Citrix recommande d’utiliser le protocole HTTPS pour sécuriser les données transitant entre StoreFront et vos Delivery Controllers Citrix Virtual Apps and Desktops. Pour plus d’informations, consultez Activer HTTPS sur les Delivery Controllers. Pour configurer StoreFront afin qu’il utilise HTTPS, consultez Ajouter des sites pour Citrix Virtual Apps and Desktops et Ajouter l’appliance Citrix Gateway. En cas de compromission des certificats, vous pouvez utiliser la vérification de la liste de révocation de certificats (CRL). StoreFront utilise TLS 1.2 ou une version ultérieure pour communiquer avec les Delivery Controllers.

Il est recommandé de configurer le Delivery Controller et StoreFront pour s’assurer que seuls les serveurs StoreFront approuvés peuvent communiquer avec le Delivery Controller, consultez Gérer les clés de sécurité.

Communication avec les Cloud Connectors

Citrix recommande d’utiliser le protocole HTTPS pour sécuriser les données transitant entre StoreFront et vos Cloud Connectors. Consultez Configuration HTTPS. Pour configurer StoreFront, consultez Ajouter des sites pour Citrix Desktops as a Service et Ajouter l’appliance Citrix Gateway. En cas de compromission des certificats, vous pouvez utiliser la vérification de la liste de révocation de certificats (CRL). StoreFront utilise TLS 1.2 ou une version ultérieure pour communiquer avec les Cloud Connectors.

Il est recommandé de configurer DaaS et StoreFront pour s’assurer que seuls les serveurs StoreFront approuvés peuvent communiquer avec les Cloud Connectors. Pour plus d’informations, consultez Gérer les clés de sécurité.

Communication avec le service d’authentification fédérée

Pour plus d’informations sur la communication entre StoreFront et les serveurs du service d’authentification fédérée (FAS), consultez Service d’authentification fédérée - Configuration de la sécurité et du réseau.

Accès à distance

Citrix ne recommande pas d’exposer votre serveur StoreFront directement à Internet. Citrix recommande d’utiliser un Citrix Gateway pour fournir l’authentification et l’accès aux utilisateurs distants.

Durcissement de Microsoft Internet Information Services (IIS)

Vous pouvez configurer StoreFront avec une configuration IIS restreinte. Notez que ce n’est pas la configuration IIS par défaut.

Extensions de nom de fichier

Vous pouvez utiliser le filtrage des requêtes pour configurer une liste d’extensions de fichier autorisées et interdire les extensions de nom de fichier non répertoriées. Consultez la documentation IIS.

StoreFront requiert les extensions de nom de fichier suivantes :

• . (extension vide)
• .appcache
• .aspx
• .cr
• .css
• .dtd
• .gif
• .htm
• .html
• .ica®
• .ico
• .jpg
• .js
• .png
• .svg
• .txt
• .xml

Si le téléchargement ou la mise à niveau de l’application Citrix Workspace est activé pour un site web de magasin, StoreFront requiert également ces extensions de nom de fichier :

• .dmg
• .exe

Si l’application Citrix Workspace pour HTML5 est activée, StoreFront requiert également ces extensions de nom de fichier :

• .eot
• .ttf
• .woff
• .wasm

Verbes

Vous pouvez utiliser le filtrage des requêtes pour configurer une liste de verbes autorisés et interdire les verbes non répertoriés. Consultez la documentation IIS.

• GET
• POST
• HEAD

Caractères non-ASCII dans les URL

Si vous vous assurez que le nom du magasin et le nom du site web n’utilisent que des caractères ASCII, les URL StoreFront ne contiennent pas de caractères non-ASCII. Vous pouvez utiliser le filtrage des requêtes pour interdire les caractères non-ASCII. Consultez la documentation IIS.

Types MIME

Vous pouvez supprimer les types MIME du shell du système d’exploitation correspondant aux extensions de fichier suivantes :

• .exe
• .dll
• .com
• .bat
• .csh

Consultez la documentation IIS.

Supprimer l’en-tête X-Powered-By

Par défaut, IIS inclut un en-tête X-Powered-By avec la valeur ASP.NET. Vous pouvez configurer IIS pour supprimer cet en-tête. Consultez la documentation sur les en-têtes personnalisés d’IIS.

Supprimer l’en-tête Server avec la version IIS

Par défaut, IIS signale la version d’IIS en ajoutant un en-tête Server. Vous pouvez configurer IIS pour supprimer cet en-tête. Consultez la documentation sur le filtrage des requêtes d’IIS.

Déplacer le site web StoreFront vers une partition distincte

Vous pouvez héberger les sites web StoreFront sur une partition distincte des fichiers système. Dans IIS, vous devez déplacer le site web par défaut, ou créer un site distinct, sur la partition appropriée avant de créer votre déploiement StoreFront.

Fonctionnalités IIS

Pour la liste des fonctionnalités IIS installées et utilisées par StoreFront, consultez Configuration système requise. Vous pouvez supprimer d’autres fonctionnalités IIS.

Bien que StoreFront n’utilise pas directement les filtres ISAPI, la fonctionnalité est requise par ASP.NET et ne peut donc pas être désinstallée.

Mappages de gestionnaires

StoreFront requiert les mappages de gestionnaires suivants. Vous pouvez supprimer d’autres mappages de gestionnaires.

• ExtensionlessUrlHandler-Integrated-4.0
• PageHandlerFactory-Integrated-4.0
• StaticFile

Consultez la documentation sur les gestionnaires IIS.

Filtres ISAPI

StoreFront ne requiert aucun filtre ISAPI. Vous pouvez supprimer tous les filtres ISAPI. Cependant, ASP.NET requiert la fonctionnalité Windows ISAPI. Consultez la documentation sur les filtres ISAPI d’IIS.

Règles d’autorisation .NET

Par défaut, les serveurs IIS ont la « Règle d’autorisation .NET » définie sur Autoriser tous les utilisateurs. Par défaut, le site web utilisé par StoreFront hérite de cette configuration.

Si vous supprimez ou modifiez la règle d’autorisation .NET au niveau du serveur, vous devez remplacer les règles sur le site web utilisé par StoreFront pour ajouter une règle d’autorisation pour « Tous les utilisateurs » et supprimer toutes les autres règles.

Mode de vente au détail

Vous pouvez activer le mode de vente au détail, consultez la documentation IIS.

Pools d’applications

StoreFront crée les pools d’applications suivants :

• Citrix Configuration Api
• Citrix Delivery Services Authentication
• Citrix Delivery Services Resources
• et Citrix Receiver™ pour Web

Ne modifiez pas les pools d’applications utilisés par chaque application IIS ni l’identité de chaque pool. Si vous utilisez plusieurs sites, il n’est pas possible de configurer chaque site pour qu’il utilise des pools d’applications distincts.

Dans les paramètres de recyclage, vous pouvez définir le délai d’inactivité du pool d’applications et la limite de mémoire virtuelle. Notez que lorsque le pool d’applications « Citrix Receiver pour Web » est recyclé, les utilisateurs connectés via un navigateur web sont déconnectés. Par conséquent, il est configuré par défaut pour être recyclé à 02h00 chaque jour afin de minimiser les interruptions. Si vous modifiez l’un des paramètres de recyclage, cela peut entraîner la déconnexion des utilisateurs à d’autres moments de la journée.

Page d’accueil IIS par défaut

Vous pouvez supprimer les fichiers iisstart.htm et welcome.png de c:\inetpub\wwwroot.

Paramètres requis

• Ne modifiez pas les paramètres d’authentification IIS. StoreFront gère l’authentification et configure les répertoires du site StoreFront avec les paramètres d’authentification appropriés.
• Pour le serveur StoreFront, sous Paramètres SSL, ne sélectionnez pas Certificats clients : Requis. L’installation de StoreFront configure les pages appropriées du site StoreFront avec ce paramètre.
• StoreFront nécessite des cookies pour l’état de session et d’autres fonctionnalités. Dans certains répertoires, sous État de session, Paramètres des cookies, le Mode doit être défini sur Utiliser les cookies.
• StoreFront nécessite que le Niveau de confiance .NET soit défini sur Confiance totale. Ne définissez pas le niveau de confiance .NET sur une autre valeur.

Services

L’installation de StoreFront crée les services Windows suivants :

• Citrix Configuration Replication (NT SERVICE\CitrixConfigurationReplication)
• Citrix Cluster Join (NT SERVICE\CitrixClusterService)
• Citrix Peer Resolution (NT SERVICE\Citrix Peer Resolution Service)
• Citrix Credential Wallet (NT SERVICE\CitrixCredentialWallet)
• Citrix Subscriptions Store (NT SERVICE\CitrixSubscriptionsStore)
• Citrix Default Domain Services (NT SERVICE\CitrixDefaultDomainService)

Ces comptes se connectent en tant que Network Service. Ne modifiez pas cette configuration.

Si vous configurez la délégation contrainte Kerberos de StoreFront pour XenApp 6.5, cela crée en outre le service de transition de protocole Citrix StoreFront (NT SERVICE\CitrixStoreFrontProtocolTransition). Ce service s’exécute en tant que NT AUTHORITY\SYSTEM. Ne modifiez pas cette configuration.

Attribution des droits utilisateur

La modification de l’attribution des droits utilisateur par rapport aux valeurs par défaut peut entraîner des problèmes avec StoreFront. En particulier :

• Microsoft IIS est activé dans le cadre de l’installation de StoreFront. Microsoft IIS accorde le droit d’ouverture de session Ouvrir une session en tant que tâche de traitement par lots et le privilège Emprunter l’identité d’un client après l’authentification au groupe intégré IIS_IUSRS. C’est un comportement normal de l’installation de Microsoft IIS. Ne modifiez pas ces droits utilisateur. Reportez-vous à la documentation Microsoft pour plus de détails.

• Lorsque vous installez StoreFront, il crée des pools d’applications auxquels IIS accorde les droits utilisateur Ouvrir une session en tant que service, Ajuster les quotas de mémoire pour un processus, Générer des audits de sécurité et Remplacer un jeton au niveau du processus.

• Pour créer ou modifier un déploiement, l’administrateur doit disposer des droits Restaurer les fichiers et les répertoires.

• Pour qu’un serveur rejoigne un groupe de serveurs, le groupe Administrateurs doit disposer des droits Restaurer les fichiers et les répertoires, Accéder à cet ordinateur à partir du réseau et Gérer le journal d’audit et de sécurité.

• Pour que les utilisateurs puissent se connecter avec une authentification par nom d’utilisateur et mot de passe (directement ou via une passerelle), ils doivent disposer des droits Autoriser l’ouverture de session en local, sauf si vous avez configuré StoreFront pour valider les mots de passe via le contrôleur de livraison.

Cette liste n’est pas exhaustive et d’autres droits d’accès utilisateur peuvent être requis.

Configurer les appartenances aux groupes

Lorsque vous configurez un groupe de serveurs StoreFront, les services suivants sont ajoutés au groupe de sécurité Administrateurs :

• Citrix Configuration Replication (NT SERVICE\CitrixConfigurationReplication)
• Citrix Cluster Join (NT SERVICE\CitrixClusterService). Ce service n’est visible que sur les serveurs faisant partie d’un groupe et ne s’exécute que pendant la progression de la jonction.

Ces appartenances aux groupes sont requises pour que StoreFront fonctionne correctement, afin de :

• Créer, exporter, importer et supprimer des certificats, et définir les autorisations d’accès sur ceux-ci
• Lire et écrire dans le registre Windows
• Ajouter et supprimer des assemblys Microsoft .NET Framework dans le Global Assembly Cache (GAC)
• Accéder au dossier Program Files\Citrix\<EmplacementStoreFront>
• Ajouter, modifier et supprimer des identités de pool d’applications IIS et des applications web IIS
• Ajouter, modifier et supprimer des groupes de sécurité locaux et des règles de pare-feu
• Ajouter et supprimer des services Windows et des composants logiciels enfichables PowerShell
• Enregistrer les points de terminaison Microsoft Windows Communication Framework (WCF)

Lors des mises à jour de StoreFront, cette liste d’opérations peut changer sans préavis.

L’installation de StoreFront crée également les groupes de sécurité locaux suivants :

• CitrixClusterMembers
• CitrixCWServiceReadUsers
• CitrixCWServiceWriteUsers
• CitrixDelegatedAuthenticatorUsers
• CitrixDelegatedDirectoryClaimFactoryUsers
• CitrixPNRSReplicators
• CitrixPNRSUsers
• CitrixStoreFrontAdministrators
• CitrixSubscriptionServerUsers
• CitrixSubscriptionsStoreServiceUsers
• CitrixSubscriptionsSyncUsers

StoreFront gère l’appartenance à ces groupes de sécurité. Ils sont utilisés pour le contrôle d’accès au sein de StoreFront et ne sont pas appliqués aux ressources Windows telles que les fichiers et les dossiers. Ne modifiez pas ces appartenances aux groupes.

NTLM

Si vous avez activé les favoris à l’aide de la base de données ESENT locale, StoreFront peut utiliser NTLM lors de la synchronisation des favoris dans un groupe de serveurs. Si vous désactivez NTLM, la synchronisation des favoris peut échouer. Comme alternative, vous pouvez utiliser une base de données SQL Server.

Si les utilisateurs s’authentifient à l’aide de l’ authentification pass-through de domaine, IIS utilise par défaut Kerberos si possible, sinon il revient à NTLM. S’il y a un équilibreur de charge devant StoreFront, il revient toujours à NTLM.

Vous pouvez configurer le serveur pour qu’il utilise uniquement NTLMv2 et rejette NTLMv1 ; consultez la documentation Microsoft. Dans Windows Server 2025 et versions ultérieures, NTLMv1 a été supprimé, de sorte que NTLMv2 est toujours utilisé.

Certificats dans StoreFront

Certificats de serveur

Les certificats de serveur sont utilisés pour l’identification des machines et la sécurité du transport TLS (Transport Layer Security) dans StoreFront. Si vous décidez d’activer la signature de fichiers ICA, StoreFront peut également utiliser des certificats pour signer numériquement les fichiers ICA.

Pour plus d’informations, consultez Communication entre les utilisateurs finaux et StoreFront et Signature de fichiers ICA.

Certificats de gestion des jetons

Les services d’authentification et les magasins nécessitent chacun des certificats pour la gestion des jetons. StoreFront génère un certificat auto-signé lorsqu’un service d’authentification ou un magasin est créé. Les certificats auto-signés générés par StoreFront ne doivent pas être utilisés à d’autres fins.

Certificats Citrix Delivery Services

StoreFront détient un certain nombre de certificats dans un magasin de certificats Windows personnalisé (Citrix Delivery Services). Le service de réplication de configuration Citrix, le service de portefeuille d’informations d’identification Citrix et le service de magasin d’abonnements Citrix utilisent ces certificats. Chaque serveur StoreFront d’un cluster possède une copie de ces certificats. Ces services ne dépendent pas de TLS pour les communications sécurisées, et ces certificats ne sont pas utilisés comme certificats de serveur TLS. Ces certificats sont créés lors de la création d’un magasin StoreFront ou de l’installation de StoreFront. Ne modifiez pas le contenu de ce magasin de certificats Windows.

Certificats de signature de code

StoreFront inclut un certain nombre de scripts PowerShell (.ps1) dans le dossier <RépertoireInstallation>\Scripts. L’installation par défaut de StoreFront n’utilise pas ces scripts. Ils simplifient les étapes de configuration pour des tâches spécifiques et peu fréquentes. Ces scripts sont signés, ce qui permet à StoreFront de prendre en charge la politique d’exécution PowerShell. Nous recommandons la politique AllSigned. (La politique Restricted n’est pas prise en charge, car elle empêche l’exécution des scripts PowerShell.) StoreFront ne modifie pas la politique d’exécution PowerShell.

Bien que StoreFront n’installe pas de certificat de signature de code dans le magasin Éditeurs approuvés, Windows peut y ajouter automatiquement le certificat de signature de code. Cela se produit lorsque le script PowerShell est exécuté avec l’option Toujours exécuter. (Si vous sélectionnez l’option Ne jamais exécuter, le certificat est ajouté au magasin Certificats non approuvés, et les scripts PowerShell de StoreFront ne s’exécuteront pas.) Une fois le certificat de signature de code ajouté au magasin Éditeurs approuvés, sa date d’expiration n’est plus vérifiée par Windows. Vous pouvez supprimer ce certificat du magasin Éditeurs approuvés une fois les tâches StoreFront terminées.

Séparation de sécurité de StoreFront

Si vous déployez des applications web sur votre serveur StoreFront dans le même domaine web (nom de domaine et port) que StoreFront, les risques de sécurité de ces applications web pourraient potentiellement réduire la sécurité de votre déploiement StoreFront. Lorsqu’un degré de séparation de sécurité plus élevé est requis, Citrix recommande de déployer StoreFront dans un domaine web distinct.

Téléchargements ICA

Les fichiers ICA contiennent les informations nécessaires pour se connecter aux VDA et souvent pour s’y connecter par authentification unique sans authentification supplémentaire. Assurez-vous donc que les fichiers ICA sont protégés. Pour les lancements hybrides, selon la configuration, les fichiers ICA peuvent être téléchargés sur l’appareil de l’utilisateur. Il est recommandé de désactiver les téléchargements ICA. Pour plus d’informations, consultez Préférences de lancement.

Signature de fichiers ICA

StoreFront offre la possibilité de signer numériquement les fichiers ICA à l’aide d’un certificat spécifié sur le serveur afin que les versions de l’application Citrix Workspace prenant en charge cette fonctionnalité puissent vérifier que le fichier provient d’une source fiable. Les fichiers ICA peuvent être signés à l’aide de tout algorithme de hachage pris en charge par le système d’exploitation exécuté sur le serveur StoreFront, y compris SHA-1 et SHA-256. Pour plus d’informations, consultez Activer la signature de fichiers ICA.

App Protection

Vous pouvez utiliser App Protection pour empêcher la capture d’écran et les enregistreurs d’écran. Pour les lancements hybrides, App Protection est désactivé par défaut. Pour l’activer, consultez App Protection.

Modification du mot de passe utilisateur

Vous pouvez permettre aux utilisateurs se connectant via un navigateur web avec des informations d’identification de domaine Active Directory de modifier leurs mots de passe, soit à tout moment, soit uniquement lorsqu’ils ont expiré. Cependant, cela expose des fonctions de sécurité sensibles à quiconque peut accéder à l’un des magasins utilisant le service d’authentification. Si votre organisation a une politique de sécurité qui réserve les fonctions de modification de mot de passe utilisateur à un usage interne uniquement, assurez-vous qu’aucun des magasins n’est accessible depuis l’extérieur de votre réseau d’entreprise. Lorsque vous créez le service d’authentification, la configuration par défaut empêche les utilisateurs de modifier leurs mots de passe, même s’ils ont expiré. Pour plus d’informations, consultez Permettre aux utilisateurs de modifier leurs mots de passe.

Personnalisations

Pour renforcer la sécurité, la politique de sécurité du contenu bloque les scripts provenant d’autres serveurs. Lors de la rédaction de personnalisations, placez les scripts dans le dossier custom du site web. Si StoreFront est configuré pour les connexions HTTPS, assurez-vous que tous les liens vers du contenu ou des scripts personnalisés utilisent également HTTPS.

En-têtes de sécurité

Lors de la consultation d’un site web de magasin via un navigateur web, StoreFront renvoie les en-têtes liés à la sécurité suivants qui imposent des restrictions au navigateur web.

Cookies

StoreFront utilise plusieurs cookies. Certains des cookies utilisés dans le fonctionnement du site web sont les suivants :

StoreFront définit un certain nombre d’autres cookies pour suivre l’état de l’utilisateur, dont certains doivent être lus par JavaScript et n’ont donc pas HttpOnly défini. Ces cookies ne contiennent aucune information relative à l’authentification ou à d’autres informations confidentielles.

Si le client se connecte via HTTPS, il définit l’attribut secure lors de la création ou de la mise à jour des cookies.

Informations de sécurité supplémentaires

Remarque :

Ces informations peuvent être modifiées à tout moment, sans préavis.

Votre organisation peut souhaiter effectuer des analyses de sécurité de StoreFront pour des raisons réglementaires. Les options de configuration précédentes peuvent aider à éliminer certaines constatations dans les rapports d’analyse de sécurité.

S’il existe une passerelle entre l’analyseur de sécurité et StoreFront, certaines constatations peuvent concerner la passerelle plutôt que StoreFront lui-même. Les rapports d’analyse de sécurité ne distinguent généralement pas ces constatations (par exemple, la configuration TLS). Pour cette raison, les descriptions techniques dans les rapports d’analyse de sécurité peuvent être trompeuses.