Preuve de concept : Citrix Secure Internet Access avec Citrix Virtual Apps and Desktops

Aperçu

Citrix Secure Internet Access fournit une pile de sécurité complète fournie dans le cloud pour protéger les utilisateurs, les applications et les données contre toutes les menaces sans compromettre l’expérience des employés. Ce guide de validation de concept (PoC) est conçu pour vous aider à configurer rapidement Citrix Secure Internet Access dans votre environnement Citrix Virtual Apps and Desktops. À la fin de ce guide de PoC, vous êtes en mesure de protéger votre déploiement Citrix Virtual Apps and Desktops avec Citrix Secure Internet Access. Vous pouvez autoriser vos utilisateurs à accéder aux applications en utilisant l’accès direct à Internet (DIA) sans compromettre les performances.

PRÉSENTATION DE Citrix SIA

Portée

Dans ce guide de validation de concept, vous rencontrez le rôle d’un administrateur Citrix et vous créez une connexion entre le déploiement Citrix Virtual Apps & Desktop de votre organisation et Citrix Secure Internet Access.

Ce guide explique comment effectuer les actions suivantes :

  • Connexion à Citrix Secure Internet Access (CSIA)
  • Interfaçage des groupes de sécurité CSIA avec des groupes de l’intégration de domaine
  • Configuration des paramètres proxy de la plateforme cloud CSIA
  • Configurez des stratégies de sécurité Web pour autoriser/refuser l’accès à certains sites Web ou catégories via la console CSIA.
  • Application de stratégies à des groupes de sécurité
  • Télécharger l’agent CSIA (Cloud Connector)
  • Configurer l’agent CSIA (Cloud Connector) via la stratégie de l’agent
  • Configurer manuellement l’agent CSIA (Cloud Connector) (FACULTATIF - Windows uniquement)
  • Déploiement manuel de l’agent CSIA (Cloud Connector) sur l’image principale du VDA
  • Déployer l’agent CSIA (Cloud Connector) via une stratégie de groupe AD vers une image VDA

Conditions préalables

  • Microsoft Windows 7, 8, 10 (x86, x64 et ARM64)
  • Microsoft Server 2008R2, 2012, 2016, 2019
  • Microsoft .NET 4.5 ou supérieur
  • PowerShell 7 (uniquement pour Windows 7)
  • Les règles de pare-feu suivantes

Exigences du réseau

Paramètres du port/Pare-feu

CSIA —> Sortant

Source Destination Protocole Port Description
CSIA ibosscloud.com TCP 80 Connexions proxy et pages de blocage personnalisées
    TCP 443 Récupération de script PAC via HTTPS et authentification proxy via HTTPS
    TCP 7443 Port alternatif pour la récupération de script PAC via HTTPS
    TCP 8009 Port alternatif pour les connexions proxy
    TCP 8015 Authentification par proxy sur HTTP
    TCP 8016 Port alternatif pour l’authentification par proxy
    TCP 8026 Port de catégorisation cloud pour Android Enterprise
    TCP 8080 Page Bloc par défaut
    TCP 10080 Récupération de script PAC sur HTTP
CSIA api.ibosscloud.com TCP 443 Récupération de script PAC via HTTPS et authentification proxy via HTTPS
    TCP 7443 Port alternatif pour la récupération de script PAC via HTTPS
    TCP 8009 Port alternatif pour les connexions proxy
    TCP 8015 Authentification par proxy sur HTTP
    TCP 8016 Port alternatif pour l’authentification par proxy
    TCP 8026 Port de catégorisation cloud pour Android Enterprise
    TCP 8080 Page Bloc par défaut
    TCP 10080 Récupération de script PAC sur HTTP
CSIA accounts.iboss.com TCP 443 Récupération de script PAC via HTTPS et authentification proxy via HTTPS
    TCP 7443 Port alternatif pour la récupération de script PAC via HTTPS
    TCP 8009 Port alternatif pour les connexions proxy
    TCP 8015 Authentification par proxy sur HTTP
    TCP 8016 Port alternatif pour l’authentification par proxy
    TCP 8026 Port de catégorisation cloud pour Android Enterprise
    TCP 8080 Page Bloc par défaut
    TCP 10080 Récupération de script PAC sur HTTP
CSIA Nœud CSIA client-swg.ibosscloud.com TCP 443 Récupération de script PAC via HTTPS et authentification proxy via HTTPS
    TCP 7443 Port alternatif pour la récupération de script PAC via HTTPS
    TCP 8009 Port alternatif pour les connexions proxy
    TCP 8015 Authentification par proxy sur HTTP
    TCP 8016 Port alternatif pour l’authentification par proxy
    TCP 8026 Port de catégorisation cloud pour Android Enterprise
    TCP 8080 Page Bloc par défaut
    TCP 10080 Récupération de script PAC sur HTTP
CSIA Nœud CSIA client-reports.ibosscloud.com TCP 443 Récupération de script PAC via HTTPS et authentification proxy via HTTPS
    TCP 7443 Port alternatif pour la récupération de script PAC via HTTPS
    TCP 8009 Port alternatif pour les connexions proxy
    TCP 8015 Authentification par proxy sur HTTP
    TCP 8016 Port alternatif pour l’authentification par proxy
    TCP 8026 Port de catégorisation cloud pour Android Enterprise
    TCP 8080 Page Bloc par défaut
    TCP 10080 Récupération de script PAC sur HTTP

Configuration du cloud d’accès Internet sécurisé (CSIA) de Citrix

Dans cette section, nous nous concentrons sur la configuration de CSIA dans la console d’administration.

Connectez-vous à Citrix Secure Internet Access

  1. Connectez-vous à Citrix Cloud et accédez à la vignette Secure Internet Access.
    Connectez-vous à Citrix Cloud

  2. Sélectionnez l’onglet Configuration et cliquez sur Ouvrir Configuration Citrix SIA pour accéder à la Console de configuration.
    Configuration de Citrix SIA

Configurer les paramètres PAC Citrix Secure Internet Access

  1. Dans l’onglet Configuration, accédez à Emplacements et géomapping.
    Configuration PAC SIA Citrix
  2. Sous l’onglet Zones, cliquez sur Modifier la zone par défaut.
    Citrix SIA PAC EDIT
  3. Cliquez sur Paramètres PAC.
    PARAMÈTRES PAC SIA Citrix
  4. Si vous devez contourner un domaine, utilisez l’ option Ajouter une fonction.
    AJOUTER UNE FONCTION Citrix SIA PAC
  5. Voici les domaines et sous-domaines Citrix recommandés à ajouter au fichier PAC :
    ⋅ cloud.com & *.cloud.com
    ⋅ citrixdata.com & *.citrixdata.com
    ⋅ citrixworkspaceapi.net & *.citrixworkspaceapi.net
    ⋅ citrixworkspacesapi.net & *.citrixworkspacesapi.net
    ⋅ citrixnetworkapi.net & *.citrixnetworkapi.net
    ⋅ nssvc.net & *.nssvc.net
    ⋅ xendesktop.net & *.xendesktop.net
    ⋅ cloudapp.net & *.cloudapp.net
    ⋅ netscalergateway.net & *.netscalergateway.net
  6. Notez le nœud affiché “node-clusterxxxxxx-swg.ibosscloud.com:80 ». Cela doit correspondre au nœud SWG du client dans la gestion de la collection de nœuds
    NŒUD PAC SIA Citrix AFFICHÉ

Interfaçage des groupes de sécurité CSIA avec des groupes de l’intégration de domaine

Les utilisateurs qui se connectent à Citrix Secure Internet Access (CSIA) communiquent les informations d’unité d’organisation du domaine si elles sont disponibles à partir de leur connexion utilisateur actuelle et de leur appareil. La plateforme cloud CSIA peut être utilisée pour faire correspondre les groupes fournis par les comptes d’utilisateurs contrôlés par domaine. La corrélation entre les groupes de votre intégration de domaine et les groupes de sécurité contenus sur la plateforme cloud CSIA vous permet d’administrer les stratégies et restrictions d’une manière similaire aux stratégies de sécurité existantes au sein de votre organisation.

La stratégie d’intégration des informations sur les groupes de domaines dans la plateforme cloud CSIA consiste à modifier les groupes de sécurité pour qu’ils correspondent aux alias des groupes de domaines signalés à la plate-forme.

Exemple d’intégration

Pour démontrer l’exécution de ce concept, mappons les informations d’identification de domaine d’un utilisateur Windows dans un groupe de sécurité sur la plateforme cloud CSIA.

  1. Ouvrez une invite de commande sur l’ordinateur cible et exécutez la commande « net user (nom d’utilisateur) /domain »
  2. Rassemblez les alias des groupes signalés par le contrôleur de domaine.
    ALIAS OU GROUPES AD Citrix SIA
  3. Accédez à la plateforme cloud CSIA et modifiez le nom du groupe ou le nom d’alias pour correspondre à l’un des groupes signalés par l’utilisateur du domaine.
    Citrix SIA AD AJOUTER UN ALIAS OU UN GROUPE
  4. Désormais, lorsque les utilisateurs du groupe de domaines intégré s’authentifient auprès de la plateforme cloud CSIA, ils sont assignés automatiquement à leur groupe de sécurité correspondant.

Configuration des paramètres proxy de la plateforme cloud CSIA

  1. Accédez au module Proxy et mise en cache.
    PROXY ET MISE EN CACHE Citrix SIA
  2. Définissez Activer les paramètres du proxy sur YES.
    ACTIVATION DU PROXY SIA ET DU CACHE Citrix
  3. Définissez la méthode d’authentification de l’ utilisateur sur Informations d’identification de l’utilisateur local +Connexions Cloud
    MANDATAIRE ET AUTH DE MISE EN CACHE Citrix SIA
  4. Cliquez sur Enregistrer.
    PROXY SIA Citrix & CACHE SAUVEGARDE

Configurer des stratégies de sécurité Web

Dans cette section, nous nous concentrons sur la configuration des stratégies de sécurité Web CSIA dans la console d’administration. C’est l’endroit principal où nous définissons des actions sur les catégories Web.

Application de stratégies à des groupes de sécurité

  1. Accédez au module Sécurité Web.
    SÉCURITÉ WEB Citrix SIA
  2. Pour les stratégies de sécurité Web qui ont une implémentation basée sur un groupe disponible, un menu déroulant se trouve en haut de la page au-dessus du formulaire de configuration de la stratégie. L’état de ce menu déroulant indique la configuration de stratégie du groupe que vous consultez actuellement.
    GROUPE DE SÉCURITÉ WEB SIA Citrix
  3. Cliquez sur le menu déroulant Groupe, puis sélectionnez le groupe que vous souhaitez reconfigurer pour la stratégie de sécurité Web actuelle.
    Citrix SIA WEB SECURITY GROUP 2
  4. Cliquez sur Enregistrer pour enregistrer la configuration de la stratégie actuelle uniquement dans le groupe de sécurité sélectionné dans le menu déroulant Groupe.
    Enregistrer Citrix SIA WEB SECURITY GROUPRemarque : Si vous souhaitez appliquer ces paramètres à plusieurs groupes
  5. ( Facultatif) Cliquez sur Enregistrer dans plusieurs groupes pour ouvrir une fenêtre qui vous permet d’affecter simultanément la configuration de la stratégie actuelle à plusieurs groupes de sécurité.
    Citrix SIA WEB SECURITY MULTIGROUPE
  6. Cochez la case correspondante pour tout groupe de sécurité que vous souhaitez appliquer la configuration de stratégie actuelle.
    Citrix SIA WEB SECURITY MULTIGROUPE 2
  7. Cliquez sur Ajouter pour ajouter les groupes de sécurité sélectionnés au groupe de configuration.
    Citrix SIA WEB SECURITY MULTI GROUP AJOUTER Les groupes peuvent être reconfigurés pour accepter uniquement les modifications de configuration actuellement appliquées ou accepter et remplacer tous les paramètres de configuration de la stratégie actuelle.
  8. La sélection par défaut est Appliquer les paramètres modifiés qui appliquent uniquement les modifications que vous avez configurées. Sélectionnez cette option pour remplacer tous les paramètres configurés pour les groupes de sécurité désignés.
    Citrix SIA WEB SECURITY MULTIGROUPE S'APPLIQUENT
  9. Vous pouvez supprimer des groupes individuels en cliquant sur Supprimer ou supprimer tous les groupes sélectionnés pour la configuration en cliquant sur Supprimer tout. Cliquez sur Enregistrer pour confirmer la configuration appliquée à tous les groupes de sécurité désignés.
    Citrix SIA WEB SECURITY ENREGISTRER MULTI GROUPE

Catégories Web

Les domaines sont balisés avec des catégories Web en fonction de leur contenu. Les catégories de sites Web visités sont enregistrées dans Reporting & Analytics.

Actions de catégorie

Vous pouvez associer des actions à des catégories Web. Cela vous permet de déployer rapidement des stratégies de sécurité tout en minimisant le besoin d’autoriser ou de bloquer des URL individuelles. Les actions possibles incluent Autoriser, Bloquer, Furtif, Remplacer en douceur ou Déchiffrement SSL activé.

  1. Chaque catégorie peut avoir des actions qui sont appliquées indépendamment des autres catégories.

    Action Description
    Autoriser Permet aux utilisateurs d’accéder aux sites de cette catégorie. Autoriser est l’état par défaut pour toutes les catégories.
    Bloquer Bloque l’accès aux sites d’une catégorie particulière.
    Furtif Signale le trafic vers cette catégorie comme des violations dans les journaux, mais autorise toujours l’accès au site.
    Remplacer en douceur Présente une page de bloc à l’utilisateur, mais inclut une option pour contourner temporairement le bloc. Cela permet aux utilisateurs d’accéder au contenu bloqué sans nécessiter une intervention immédiate de l’administrateur. Les remplacements paramétrés durent jusqu’au lendemain à 2h00 du matin dans le fuseau horaire configuré pour la passerelle. Toute page de bloc présentée avec un remplacement logiciel apparaît dans Reporting & Analytics comme « bloqué en mode logiciel. «  Une fois qu’un utilisateur a demandé un remplacement logiciel, tout trafic vers cette URL apparaît comme « autorisé » jusqu’à ce que le remplacement ait expiré.
    Décryptage SSL Désactivez cette option pour désactiver le déchiffrement SSL pour une catégorie spécifique. Cela garantit le respect de la vie privée et les préoccupations concernant des catégories spécifiques comme les finances ou la santé. La valeur de priorité de cette catégorie ne s’applique PAS à ce paramètre. Si un site appartient à plusieurs catégories et que l’option « Déchiffrement SSL désactivé » de l’une de ces catégories est activée, ce site n’est pas déchiffré.
    Verrouiller Lorsqu’une catégorie est verrouillée par l’administrateur principal dans un état Autorisé ou Bloqué, les administrateurs délégués ne peuvent pas se connecter à l’interface de gestion de passerelle Web et modifier le statut de cette catégorie.
    Remplacer la catégorie Lorsque vous activez un remplacement de catégorie, un administrateur délégué ne peut pas se connecter à l’interface de gestion de passerelle Web et ajouter une URL à la liste d’autorisation qui contreviendrait à la règle de cette catégorie. Par exemple, la catégorie « Art » est bloquée et définie sur « Remplacements », de sorte que les administrateurs délégués ne peuvent pas ajouter art.com à la liste d’autorisation pour ce groupe.
  2. Cliquez sur chaque icône pour basculer l’action de la catégorie Web correspondante.
    Citrix SIA WEB CAT 1 Citrix SIA WEB CAT 2 Citrix SIA WEB CAT 3
  3. Les actions que vous souhaitez appliquer généralement à toutes les catégories Web peuvent être mises en œuvre à l’aide du menu déroulant Actions.
    Citrix SIA WEB CAT 1
    REMARQUE : Soyez prudent avec la catégorie « Non évalué », car elle correspond à de nombreux sites qui ne sont pas classés.

Catégorie Priorités

Si un domaine est associé à plusieurs catégories, l’action est déterminée en comparant les valeurs de priorité des catégories. Les catégories ayant une valeur de priorité plus élevée ont priorité.

Exemple :

  1. Un domaine est classé à la fois comme gouvernement et piratage. Dans la configuration des catégories web, le gouvernement est autorisé avec un poids de 100 tandis que le piratage est bloqué avec un poids de 200. EXEMPLE 1 DE Citrix SIA
  2. Ce domaine serait bloqué lorsqu’il est visité par un utilisateur en raison de l’action de blocage de la catégorie Web de piratage possédant une valeur de priorité plus élevée.
  3. Cliquez sur le champ Valeur de priorité et entrez une valeur numérique pour reconfigurer le niveau de priorité d’une catégorie. La valeur de priorité a une plage configurable de 0 à 65535.

Paramètres supplémentaires

Les paramètres pertinents pour les catégories Web sont configurés avec des bascules sous Paramètres supplémentaires. La configuration d’un basculement sur Oui active le paramètre lors de la configuration d’un basculement sur Non désactive le paramètre. Pour obtenir un ensemble complet de descriptions pour tous les paramètres de catégorie Web disponibles, reportez-vous au tableau suivant :

Fonctionnalité Description
Activer l’enregistrement Activez et désactivez l’enregistrement des tentatives de violation pour l’ensemble actuel des catégories de sites Web bloqués. Les rapports des journaux peuvent être consultés sur la page Rapports de l’ASC. Les informations du rapport incluent la date, l’heure, l’utilisateur, l’adresse du site Web et la catégorie de la violation.
Activer le mode furtif Il vous permet de surveiller furtivement l’activité Internet sans bloquer l’accès aux sites interdits. Lorsque le mode de journalisation et le mode furtif sont activés, vous pouvez surveiller l’activité de navigation sur Internet en affichant les rapports de journal sur la page Rapports CSIA tout en restant inaperçus par les internautes sur le réseau. Remarque : Les sites Web et les applications en ligne ne sont pas bloqués lorsque l’action de la catégorie Web est configurée en mode furtif.
Activer l’analyse HTTP sur les ports non standard Si cette fonctionnalité est activée, CSIA analyse les requêtes Web HTTP sur les ports non standard.
Autoriser les requêtes HTTP 1.0 héritées Si cette fonctionnalité est activée, CSIA autorise les requêtes HTTP 1.0 qui manquent l’en-tête « HOST ». La désactivation de cette fonctionnalité offre un niveau de sécurité plus élevé et rend plus difficile le contournement de la sécurité. Si cette fonctionnalité est activée, elle peut offrir plus de compatibilité avec les anciens logiciels non conformes à HTTP 1.1.
Activer le vol d’identification/blocage d’URL d’adresse IP Protège contre les tentatives potentielles d’usurpation d’identité en vous avertissant quand quelqu’un tente de voler vos informations personnelles via Internet Phishing. L’activation de cette fonctionnalité empêche également les utilisateurs de naviguer vers des sites Web à l’aide d’URL d’adresse IP.
Activer le remplacement du site bloqué L’activation de cette fonctionnalité active une action de remplacement logiciel, permettant aux utilisateurs de se rendre sur le site appartenant à une catégorie bloquée. Lorsque ce paramètre est actif, l’utilisateur est averti qu’une page est bloquée mais fournit un bouton pour continuer quand même.
Catégorisation automatique des sites non classés Lorsque cette option est basculée sur Oui, tous les sites qui ne sont pas catégorisés sont automatiquement soumis à la catégorisation. Remarque : Lorsque cette option est définie sur Oui, les sites non classés se voient attribuer une catégorie Web « Information » ou une autre désignation de ce type. Cela n’est en vigueur que pendant que la catégorie est correctement classée. Lorsque ce commutateur est réglé sur Non, les non-catégorisés sont automatiquement désignés comme « Non évalué », qui est contrôlé comme sa propre catégorie Web.

Planification des catégories

Les événements de blocage peuvent également être configurés selon une planification hebdomadaire avancée pour autoriser l’accès à des moments particuliers.

  1. Définissez la planification des catégories sur Autoriser les catégories sélectionnées à l’aide d’une planification avancée pour activer la fonctionnalité de planification. Cliquez sur Planification avancée pour commencer à planifier les catégories bloquées.
    Citrix SIA CATEGORING 1
  2. La planification avancée actuelle peut être configurée pour s’appliquer à toutes les catégories bloquées ou uniquement à une catégorie bloquée particulière.
    Citrix SIA CATEGORY PLANNING 2
  3. Chaque jour au cours de la semaine peut être délégué des périodes spécifiques de temps que la catégorie est autorisée. Ces périodes particulières sont indiquées par un rectangle bleu.
    Citrix SIA CATEGORING 3
  4. Après avoir finalisé la planification pour une catégorie particulière, vous pouvez cliquer de nouveau sur le menu déroulant de la catégorie et sélectionner une nouvelle catégorie à configurer.
  5. Cliquez sur Enregistrer pour confirmer toutes les configurations de planification.
    Citrix SIA CATÉGORIE PLANIFICATION ENREGISTRER

Autoriser la liste

Les listes d’autorisation permettent d’accéder de manière sélective à un site Web ou à une ressource réseau spécifique. Cette fonctionnalité vous permet de remplacer les stratégies de sécurité et d’autoriser certains utilisateurs à accéder à un site Web. En particulier, vous pouvez l’utiliser pour accorder l’accès à des URL spécifiques pour un domaine qui est autrement bloqué. Ceci est parfois appelé « percer un trou. «

Ajout d’une URL à une liste d’autorisation

  1. Accédez à Stratégies de sécurité Web.
  2. Dans le menu déroulant, cliquez sur Autoriser la liste.
    LISTE D'AUTORISER Citrix SIA
  3. À partir du dessus de la section de liste, cliquez sur Plage d’URL/IP.
    URL/IP LIST AUTORISÉE Citrix SIA
  4. Tapez un domaine, un sous-domaine, une URL, une adresse IP ou une plage IP. Il s’agit du seul champ obligatoire, mais de nombreux autres critères peuvent être spécifiés.
  5. Dans le côté droit de la liste, cliquez sur +Ajouter. L’entrée est maintenant ajoutée à la liste.

Outil Gratter

La section Liste d’autorisation comprend l’outil de grattage pratique. Utilisez cette option pour identifier rapidement tous les domaines utilisés par un site Web. Dans le web moderne, de nombreux sites utilisent des ressources provenant d’autres domaines qui ne sont pas immédiatement apparents. Avec l’outil Grattage, ceux-ci sont facilement révélés et ajoutés à une liste de permis.

Une autre utilisation de l’outil Grattage consiste à n’autoriser sélectivement que des parties d’un site Web, tout en n’autorisant pas les contenus indésirables, tels que les serveurs publicitaires.

  1. À partir du dessus de la section de liste, cliquez sur Gratter.
    OUTIL DE GRATTAGE Citrix SIA
  2. Entrez l’URL de Grattage et cliquez sur Analyser.
    SCAN SCRAPE Citrix SIA
  3. Sélectionnez les domaines à ajouter à la liste d’autorisation, puis cliquez sur Ajouter une sélection à la liste Autoriser.
    Citrix SIA SCRAPE AJOUTER

Liste bloquante de mots-clés/Liste d’autorisation

Le filtrage des mots clés est utilisé pour inspecter les URL pour des mots spécifiques. Si un mot clé est identifié, le contenu peut être autorisé ou bloqué.

Ajout d’une URL à une liste bloquée/liste d’autorisation

  1. Accédez à Stratégies de sécurité Web.
  2. Dans le menu déroulant, cliquez sur Mots-clés.
    MOT-CLÉ Citrix SIA
  3. Entrez le mot-clé que vous souhaitez bloquer dans le champ Mot clé et spécifiez les désignations qui s’appliquent à ce mot-clé. Cliquez sur Ajouter.
    Citrix SIA MOT-CLÉ ALLOW
Option Description
Autoriser le mot clé Cocher cette option permet d’utiliser le mot s’il se trouve dans l’URL d’un paramètre de mot clé.
Risque élevé Lorsque des mots désignés comme « Risque élevé » sont recherchés, une notification par courriel est envoyée à l’administrateur du groupe.
Correspondance générique Lorsqu’ils sont activés, les mots-clés sont filtrés même s’ils ne sont que des sous-chaînes d’un mot plus grand. Par exemple, une correspondance générique pour le mot-clé « base » bloque les recherches qui incluent « base » ou « baseball ». «  Sans correspondance de caractères génériques, il ne bloque que « base. « 
Global Cette option s’étend sur tous les groupes de sécurité lorsqu’elle est sélectionnée. Lorsque vous supprimez une entrée « Global », elle supprime l’entrée de tous les groupes de filtrage.

Listes de mots clés prédéfinies

Vous pouvez activer le filtrage des listes prédéfinies de mots-clés pour adultes et à risque élevé ou ajouter d’autres mots clés manuellement.

Les listes de mots-clés prédéfinies contiennent des mots-clés courants pour adultes et à risque élevé. La correspondance des caractères génériques est appliquée à tous les mots-clés de ces listes. Une correspondance générique reconnaît la séquence de caractères du mot clé n’importe où dans l’URL, y compris le nom d’hôte. La liste à risque élevé génère un courriel au destinataire des messages d’alerte lorsqu’un mot clé à risque élevé est détecté par la fonctionnalité Reporting & Analytics de la plateforme cloud CSIA.

  1. Pour activer l’une ou l’autre des listes de mots clés, définissez l’option Adulte ou Risque élevé sur Oui. Cliquez sur Enregistrer.
    Citrix SIA MOT-CLÉ ALLOW

Configuration de l’agent d’Citrix Secure Internet Access

Dans cette section, nous nous concentrons sur la configuration et l’installation de l’agent Citrix Secure Internet Access (CSIA).

Configurer le téléchargement de l’agent CSIA (Cloud Connector)

  1. Depuis la console d’administration CSIA, accédez à Connecter l’appareil au cloud > Cloud Connector.
    Agent Citrix SIA
  2. Cliquez sur Configurer le téléchargement du connecteur
    CONFIGURATION DU TÉLÉCHARGEMENT DE Citrix SIA AGENT
  3. Cliquez sur le menu déroulant Utiliser HTTP PAC et sélectionnez Non.
    (Remarque : Utilisez HTTP PAC pour « Non » si vous voulez utiliser HTTPS pour le téléchargement PAC)
    Citrix SIA AGENT HTTP PAC
  4. Cliquez sur Groupe de sécurité et sélectionnez le groupe de sécurité par défaut souhaité pour ce téléchargement du fichier d’installation particulier.
    GROUPE DE SÉCURITÉ DE L'AGENT SIA Citrix
  5. Conservez les paramètres de téléchargement du connecteur restants comme par défaut et cliquez sur Enregistrer.
    AGENT Citrix SIA ENREGISTRER

Configurer les paramètres Advanced Connector de l’agent CSIA (Cloud Connector)

  1. Depuis la console d’administration CSIA, accédez à Connecter l’appareil au cloud > Cloud Connector > Paramètres Advanced Connector.
    PARAMÈTRES ADV DE L'AGENT SIA Citrix
  2. Sous Paramètres globaux Activez ce qui suit :
    Activer le filtrage Security Cloud Connector
    Configurer Auto Login Cloud Connector pour utiliser la clé pour le groupe
    Utiliser le chiffrement de session
  3. Sous Source IP Logging Activer - Utilisez l’adresse IP source privée du client (si disponible).
  4. Sous Paramètres spécifiques au groupe, vérifiez que le groupe correct est sélectionné et cliquez sur Enregistrer.
    PARAMÈTRES ADV DE Citrix SIA AGENT ENREGISTRER

Télécharger Citrix Secure Internet Access Agent (Cloud Connector)

  1. Depuis la console d’administration CSIA, accédez à Connecter l’appareil au cloud > Cloud Connecteurs > Download Connector.
    TÉLÉCHARGEMENT DE L'AGENT Citrix SIA
  2. Sous Windows Cloud Connector, cliquez sur Télécharger et télécharger tout.
    Citrix SIA AGENT TÉLÉCHARGER TOUT
    Les packages d’installation .msi peuvent être téléchargés directement à partir de la console d’administration CSIA. Avant de commencer l’installation, assurez-vous d’utiliser le package approprié pour la version de Windows et l’architecture du processeur.
Plate-forme Paquet
Windows 10 ARM64 ibsa64-win10-arm64.msi
Windows 10 x 64 ou Windows 8 x 64 ou Windows Server 2019 ou Windows Server 2016 ibsa64-win8.msi
Windows 10 x86 ou Windows 8 x86 ibsa32-win8.msi
Windows 7 x64 ou Windows Server 2012 ou Windows Server 2008R2 ibsa64.msi
Windows 7 x86 ibsa32.msi

Configurer les stratégies de l’agent CSIA dans la console d’administration CSIA

  1. Dans la console d’administration CSIA, accédez à Connecter l’appareil au cloud > Stratégies de l’agent.
    STRATÉGIES DE L'AGENT SIA Citrix
  2. Cliquez sur Ajouter des stratégies d’agent.
    STRATÉGIES DE L'AGENT SIA Citrix AJOUTER
  3. Indiquez un nom pour votre stratégie d’agent et sélectionnez Ajouter une stratégie d’agent.
    NOM DES STRATÉGIES DE L'AGENT SIA Citrix
  4. Pour configurer la stratégie, cliquez sur Modifier la stratégie de l’agent.
    MODIFICATION DES STRATÉGIES DE L'AGENT SIA Citrix
  5. Cliquez sur Paramètres de l’agent et définissez les paramètres recommandés.
    PARAMÈTRES DES STRATÉGIES DE L'AGENT SIA Citrix

    Paramètres recommandés pour les déploiements VDA avec système d’exploitation multisession

    Réglage Valeur recommandée
    Mode multi-utilisateur : Activer le mode Multi-utilisateur/Terminal Server - Activez la prise en charge de plusieurs sessions utilisateur lors de l’exécution d’un serveur Terminal Server. Cette option doit être activée pour les serveurs Terminal Server même si les utilisateurs ne sont pas connectés simultanément.
    Utiliser le nom de la machine pour le nom d’utilisateur : Désactiver le paramètre - Utilisez le nom de compte d’utilisateur comme nom d’utilisateur.
    Utiliser UPN pour le nom d’utilisateur : Désactiver le paramètre - Utilisez le nom de compte Gestionnaire de compte de sécurité (SAM), tel que DOMAINE \ nom d’utilisateur.
    Rediriger tous les ports : Activer le paramètre
    Contourner les sous-réseaux privés : Activer le paramètre
    Détection du portail captif : Désactiver le paramètre
    Mise à jour automatique activée : Activer le paramètre
    Niveau de mise à jour automatique : Niveau 1 - Mature
    Activer l’application de bureau Windows : (L’agent n’est pas pris en charge déploiements multi-utilisateurs) Désactiver le paramètre

    Paramètres recommandés pour les déploiements VDA avec système d’exploitation mono-session

    Réglage Valeur recommandée
    Mode multi-utilisateurs : Désactiver le mode Multi-utilisateur/Terminal Server - Activez la prise en charge de plusieurs sessions utilisateur lors de l’exécution d’un serveur Terminal Server. Cette option doit être activée pour les serveurs Terminal Server même si les utilisateurs ne sont pas connectés simultanément.
    Utiliser le nom de la machine pour le nom d’utilisateur : Désactiver le paramètre - Utilisez le nom de compte d’utilisateur comme nom d’utilisateur.
    Utiliser UPN pour le nom d’utilisateur : Désactiver le paramètre - Utilisez le nom de compte Gestionnaire de compte de sécurité (SAM), tel que DOMAINE \ nom d’utilisateur.
    Rediriger tous les ports : Activer le paramètre
    Contourner les sous-réseaux privés : Activer le paramètre
    Détection du portail captif : Désactiver le paramètre
    Mise à jour automatique activée : Activer le paramètre
    Niveau de mise à jour automatique : Niveau 1 - Mature
    Activer l’application de bureau Windows : (L’agent n’est pas pris en charge sur les déploiements multi-utilisateurs) Activer le paramètre
    Autoriser les utilisateurs finaux à désactiver la sécurité : Désactiver le paramètre
    Exiger un mot de passe pour désactiver la sécurité : Activer le paramètre
    Exiger un mot de passe pour afficher les informations de diagnostic : Activer le paramètre
  6. Cliquez sur Liaison dynamique et sélectionnez les groupes que vous souhaitez affecter également à la stratégie.
    LIENS DYNAMIQUES DES STRATÉGIES DE L'AGENT SIA Citrix
  7. Cliquez sur Enregistrer.
    ENREGISTRER LES STRATÉGIES DE L'AGENT SIA Citrix

( FACULTATIF) Configuration manuelle de l’agent Citrix Secure Internet Access

L’édition .msi de l’agent CSIA pour Windows via Orca est uniquement recommandée pour le dépannage.

Orca.msi est disponible dans l’option « Télécharger tout » Windows Cloud Connector

Ouverture d’un fichier .MSI avec Orca

  1. Ouvrez le fichier Zip et installez Orca.msi
    Citrix SIA AGENT MSI
  2. Localisez le fichier d’installation souhaité dans un programme explorateur de fichiers.
  3. Cliquez avec le bouton droit sur le fichier d’installation .msi.
  4. Cliquez sur Modifier avec Orca.
    Citrix SIA AGENT MSI EDIT

Configuration des propriétés d’un .MSI dans Orca

  1. Double-cliquez pour ouvrir la table Propriétés.
    Citrix SIA AGENT, PROPRIÉTÉ MSI
  2. Chaque propriété peut être modifiée en double-cliquant sur le champ Valeur de la propriété.
    VALEUR DE LA PROPRIÉTÉ MSI DE L'AGENT SIA Citrix

    Paramètres recommandés pour le VDA avec système d’exploitation multisession

    Réglage Valeur recommandée
    Mode multi-utilisateur : (PARAM_MULTI_USER_SUPPORT) (1) : Activer le mode multi-utilisateur. Activer pour prendre en charge plusieurs sessions utilisateur lors de l’exécution d’un serveur Terminal Server. Cette option doit être activée pour les serveurs Terminal Server même si les utilisateurs ne sont pas connectés simultanément.
    Mode Terminal Server : (PARAM_TERMINAL_SERVER_MODE) (0) : Désactivé - cela semble obsolète en faveur de la prise en charge multi-utilisateur
    Utiliser le nom de la machine pour le nom d’utilisateur : (PARAM_USE_MACHINE_NAME_FOR_USER NAME) (0) : Désactivé - Utilisez le nom du compte utilisateur comme nom d’utilisateur.
    Rediriger tous les ports : (PARAM_REDIRECT_ALL_PORTS) (1) : Activé - Rediriger tous les ports vers le proxy.
    Contourner les sous-réseaux privés : PARAM_BYPASS_PRIVATE_SUBNETS) (1) : Activer le contournement
    Détection de portail captif : (PARAM_CAPTIVE_PORTAL_DETECTION) (0) : Désactivé
    Mise à jour automatique activée : (PARAM_AUTO_UPDATE_ENABLE) (1) : Activé — Le connecteur cloud à mettre à jour automatiquement.
    Redémarrer après la mise à niveau : (PARAM_RESTART_AFTER_UPGRADE) (0) : Désactivé - Ne demande pas de redémarrage.

    Paramètres recommandés pour le VDA avec système d’exploitation mono-session

    Réglage Valeur recommandée
    Mode multi-utilisateurs : (PARAM_MULTI_USER_SUPPORT) (0) : Désactiver le mode multi-utilisateur. Activer pour prendre en charge plusieurs sessions utilisateur lors de l’exécution d’un serveur Terminal Server. Cette option doit être activée pour les serveurs Terminal Server même si les utilisateurs ne sont pas connectés simultanément.
    Mode Terminal Server : (PARAM_TERMINAL_SERVER_MODE) (0) : Désactivé - cela semble obsolète en faveur de la prise en charge multi-utilisateur
    Utiliser le nom de la machine pour le nom d’utilisateur : (PARAM_USE_MACHINE_NAME_FOR_USER NAME) (0) : Désactivé - Utilisez le nom du compte utilisateur comme nom d’utilisateur.
    Rediriger tous les ports : (PARAM_REDIRECT_ALL_PORTS) (1) : Activé - Rediriger tous les ports vers le proxy.
    Contourner les sous-réseaux privés : (PARAM_BYPASS_PRIVATE_SUBNETS) (1) : Activer le contournement
    Détection de portail captif : (PARAM_CAPTIVE_PORTAL_DETECTION) (0) : Désactivé
    Mise à jour automatique activée : (PARAM_AUTO_UPDATE_ENABLE) (1) : Activé — Le connecteur cloud à mettre à jour automatiquement.
    Redémarrer après la mise à niveau : (PARAM_RESTART_AFTER_UPGRADE) (0) : Désactivé - Ne demande pas de redémarrage.
  3. Dans Orca, cliquez sur l’icône Enregistrer pour enregistrer les modifications apportées aux paramètres de Windows Cloud Connector.
    Citrix SIA AGENT MSI, PROPRIÉTÉ ENREGISTRER
    Remarque : Assurez-vous que les fichiers sont enregistrés dans Orca uniquement en utilisant cette méthode (sans utiliser l’option Enregistrer sous). Cela provoque des problèmes avec la fonctionnalité du connecteur cloud Windows s’il n’est pas enregistré de cette manière.

Déploiement de Citrix Secure Internet Access Agent sur l’image principale

Citrix vous recommande d’enregistrer des copies ou des instantanés des images principales avant de mettre à jour les machines du catalogue. La base de données conserve un historique des principales images utilisées avec chaque catalogue de machines. Vous pouvez annuler (rétablir) les machines d’un catalogue pour utiliser la version précédente de l’image principale si les utilisateurs rencontrent des problèmes avec les mises à jour que vous avez déployées sur leurs bureaux, réduisant ainsi les temps d’arrêt des utilisateurs. Ne supprimez pas, déplacez ou renommez les images principales ; sinon, vous ne pouvez pas revenir sur un catalogue pour les utiliser.

Pour les catalogues qui utilisent Provisioning Services, vous devez publier un nouveau disque virtuel pour appliquer les modifications au catalogue. Pour de plus amples informations, consultez la documentation Provisioning Services.

Après qu’une machine a été mise à jour, elle redémarre automatiquement.

Déploiement manuel de l’agent CSIA (Cloud Connector) sur l’image principale du VDA

Mettre à jour l’image principale

Avant de mettre à jour le catalogue, mettez à jour une image principale existante ou créez-en une nouvelle sur votre hyperviseur hôte.

  1. Sur votre hyperviseur ou fournisseur de services de cloud, prenez un instantané de la VM et donnez à l’instantané un nom significatif. Cet instantané peut être utilisé pour rétablir (restaurer) des machines dans le catalogue, si nécessaire.
  2. Mettez l’ image principale sous tension et ouvrez une session.
  3. Installez le package .msi de l’agent CSIA approprié pour votre plate-forme sur l’image principale.
    MANUEL DE DÉPLOIEMENT DE Citrix SIA AGENT
  4. Si l’image principale utilise un Personal vDisk, mettez à jour l’inventaire.
  5. Arrêtez la VM.
  6. Prenez un instantané de la machine virtuelle et donnez à l’instantané un nom significatif qui peut être reconnu lors de la mise à jour du catalogue dans Studio. Bien que Studio puisse créer un instantané, Citrix vous recommande de créer un instantané à l’aide de la console de gestion de l’hyperviseur, puis de sélectionner cet instantané dans Studio. Cette méthode vous permet de choisir un nom et une description significatifs plutôt qu’un nom généré automatiquement.

Mettre le catalogue à jour

Pour préparer et distribuer la mise à jour à toutes les machines d’un catalogue :

  1. Sélectionnez Catalogues de machines dans le volet de navigation Studio.
  2. Sélectionnez un catalogue, puis sélectionnez Mettre à jour les machines dans le volet Actions.
  3. Sur la page Image principale, sélectionnez l’hôte et l’image que vous souhaitez déployer.
  4. Sur la page Stratégie de déploiement, choisissez quand les machines du catalogue de machines peuvent être mises à jour avec la nouvelle image principale : lors de l’arrêt suivant ou immédiatement. Voir ci-dessous pour plus de détails.
  5. Vérifiez les informations de la page Résumé, puis cliquez sur Terminer. Chaque machine redémarre automatiquement après sa mise à jour.

Déployer l’agent CSIA (Cloud Connector) via une stratégie de groupe AD vers des images VDA statiques

Créer un point de distribution

  1. Créez un dossier sur un ordinateur joint AD qui agit comme serveur de fichiers.
  2. Enregistrez le package .msi Agent CSIA dans ce dossier.
  3. Cliquez avec le bouton droit sur le dossier nouvellement créé, sélectionnez propriétés.
  4. Accédez à l’onglet « Partage ».
  5. Sélectionnez « Partage avancé ».
  6. Activez « Partager ce dossier ».
  7. Dans Paramètres sous Nom du partage, ajoutez un $ après le nom du dossier de l’agent CSIA. (Exemple. CSIA_agent$).
  8. Sélectionnez Appliquer.
  9. Puis Fermer.

Créer un objet de stratégie de groupe

  1. Ouvrez Gestion des stratégies de groupe.
  2. Cliquez avec le bouton droit sur Objet de stratégie
  3. Sélectionnez Nouveauet nommez un nouvel objet de stratégie de groupe (exemple : Déployer l’agent CSIA).
  4. Cliquez avec le bouton droit de la souris sur l’objet de stratégie de groupe nouvellement créé ci-dessus, sélectionnez Modifier.
  5. Développez le dossier Paramètres logiciels.
  6. Sélectionnez Installation du logiciel.
  7. Cliquez avec le bouton droit dans le panneau de droite.
  8. Sélectionnez Nouveau.
  9. Sélectionnez Package.
  10. Dans la fenêtre correspondante, saisissez l’emplacement (chemin d’accès du fichier) de votre dossier Agent CSIA contenant le package .msi Agent CSIA.
  11. Sélectionnez le MSI.
  12. Sélectionnez Ouvrir.
  13. Dans la fenêtre Déployer le logiciel, choisissez « Avancé » sous Sélectionner une méthode de déploiement.
  14. Sous Déploiement , sélectionnez Désinstaller cette application lorsque…. (cela signifie que la prochaine fois que le point de terminaison exécute un gpupdate et que l’agent CSIA a été supprimé, il est également supprimé du point de terminaison).
  15. Sélectionnez OK et Fermer.

Scénario 1 : VDA statique avec des données utilisateur stockées sur le disque local

  1. Sur votre hyperviseur ou fournisseur de services cloud, prenez un instantané des VDA et donnez à l’instantané un nom significatif.
  2. Dans votre Gestion des stratégies de groupe, développez votre domaine.
  3. Cliquez avec le bouton droit sur l’emplacement de vos VDA statiques, puis sélectionnez « Lier un objet de stratégie de groupe existant ».
  4. Sélectionnez l’objet de stratégie de groupe Déployer l’agent CSIA qui a été créé.
  5. Sélectionnez OK.
  6. Une fois la stratégie de groupe appliquée, vous devez redémarrer les VDA.

Scénario 2 : VDA statique avec données utilisateur supprimées lors de la déconnexion

  1. Sur votre hyperviseur ou fournisseur de services de cloud, prenez un instantané de la VM et donnez à l’instantané un nom significatif. Cet instantané peut être utilisé pour rétablir (restaurer) des machines dans le catalogue, si nécessaire.
  2. Dans votre Gestion des stratégies de groupe, développez votre domaine.
  3. Cliquez avec le bouton droit de la souris sur l’emplacement de votre image principale, puis sélectionnez « Lier un objet de stratégie de groupe existant ».
  4. Sélectionnez l’objet de stratégie de groupe Déployer l’agent CSIA qui a été créé.
  5. Sélectionnez OK.
  6. Une fois la stratégie de groupe appliquée, vous devez redémarrer les machines.
  7. Prenez un instantané de la machine virtuelle et donnez à l’instantané un nom significatif qui est reconnu lors de la mise à jour du catalogue dans Studio. Bien que Studio puisse créer un instantané, Citrix vous recommande de créer un instantané à l’aide de la console de gestion de l’hyperviseur, puis de sélectionner cet instantané dans Studio. Cette méthode vous permet de choisir un nom et une description significatifs plutôt qu’un nom généré automatiquement.
  8. Mettez à jour vos catalogues de machines dans le volet de navigation Studio. (Voir la section Mettre à jour le catalogue ci-dessus)

Scénario 3 : VDA statique non MCS avec données utilisateur stockées sur le disque local

  1. Sur votre hyperviseur ou fournisseur de services de cloud, prenez un instantané de la VM et donnez à l’instantané un nom significatif. Cet instantané peut être utilisé pour rétablir (restaurer) des machines dans le catalogue, si nécessaire.
  2. Dans votre Gestion des stratégies de groupe, développez votre domaine.
  3. Cliquez avec le bouton droit de la souris sur l’emplacement de votre image principale, puis sélectionnez « Lier un objet de stratégie de groupe existant ».
  4. Sélectionnez l’objet de stratégie de groupe Déployer l’agent CSIA qui a été créé.
  5. Sélectionnez OK.
  6. Une fois la stratégie de groupe appliquée, vous devez redémarrer les machines.

Cas d’utilisation validés

Agent CSIA déployé manuellement (Cloud Connector) sur l’image principale du VDA

MCS : Bureau groupé aléatoire

  • Windows 10 Entreprise (session unique)
  • Windows Server 2019 (Multi-Session)

MCS : Poold-Static Desktop

  • Windows 10 Entreprise (session unique)

MCS : Bureau dédié

  • Windows 10 Entreprise (session unique)

PVS : Poold-Random Desktop

  • Windows 10 Entreprise (session unique)
  • Windows Server 2019 (Multi-Session)

PVS : Bureau statique en pool

  • Windows 10 Entreprise (session unique)

PVS : Bureau dédié

  • Windows 10 Entreprise (session unique)

Non-MCS : Bureau aléatoire

  • Windows 10 Entreprise (session unique)
  • Windows Server 2019 (Multi-Session)

Non-MCS : Bureau statique

  • Windows 10 Entreprise (session unique)

Agent CSIA déployé (Cloud Connector) via une stratégie de groupe AD vers des images VDA statiques

MCS

  • VDA statique avec données utilisateur stockées sur le disque local
  • VDA statique avec données utilisateur supprimées lors de la déconnexion

Non-MC

  • VDA statique avec données utilisateur enregistrées sur le disque local

VDA dans différentes régions

Résolution des problèmes

Outils importants pour le dépannage

  1. Journal des événements Windows
  2. Tableau de bord en temps réel de l’ASC (Rapports et analyses > Journal en temps réel)
  3. Journaux d’événements CSIA (Reporting & Analytics > Journaux > Journal des événements)
  4. Journaux IPS CSIA (Reporting & Analytics > Journaux > Journal IPS)
  5. Informations d’enregistrement pour les appareils connectés (Utilisateurs, groupes et appareils > Périphérique connecté au cloud > Infos)
  6. Outil de recherche d’URL (Outils > Recherche d’URL)
  7. Journalisation améliorée
    ⋅ Pour définir cela, la clé de Registre suivante doit être modifiée, variant de 0 à 4, plus la valeur la plus élevée donne une journalisation plus détaillée.
    HKEY_LOCAL_MACHINE \ SOFTWARE \ IBoss \ IBSA \ Parameters \ LogLevel
    ⋅ Une fois la clé de Registre définie, le service IBSA sous Windows Services doit être redémarré pour que le paramètre prenne effet. En vérifiant l’observateur d’événements Windows, de nombreuses entrées sont enregistrées en fonction du niveau de journal défini.
  8. Journaux de l’agent Windows (C:\Windows\SysWOW64\ibsa_0.log)

Un mot-clé n’est pas bloqué

Il existe une multitude de politiques et de variables à l’intérieur et autour des opérations de la plateforme cloud CSIA qui peuvent interférer avec le blocage correct des mots clés configurés. Se référer à ce qui suit :

  1. Assurez-vous que le déchiffrement SSL est actif pour ce site Web. Les mots clés ne peuvent pas être observés ou contrôlés pour les sites Web HTTPS.
  2. Si l’adresse IP source du poste de travail client ou l’adresse IP de destination du serveur Web a été ajoutée à la liste Réseau > Contourner les plages IP, les contrôles de sécurité Web ne sont pas appliqués.
  3. Les mots-clés configurés pour bloquer ne prennent pas effet si le site Web est ajouté à Sécurité Web > Liste d’autorisation sans l’option Mots-clés/Recherche de sécurité activée. La case à cocher Mot-clé/SafeSearch est activée, Web Gateway autorise l’accès au site Web tout en imposant les contrôles Mot clé et Safesearch.
  4. Le mot-clé contient des astérisques, supprimez plutôt les astérisques et activez la correspondance des caractères génériques pour le mot-clé si c’est l’effet souhaité.
  5. Le mot clé comporte plusieurs mots, et la correspondance des caractères génériques n’est pas activée, ou les espaces n’étaient pas indiqués avec un signe plus (« + »).
  6. L’utilisateur n’est pas associé au groupe de sécurité Web attendu sur lequel le contrôle des mots clés est activé.

Actions en conflit à partir de listes de mots clés prédéfinies

Dans certains cas, un mot dans l’une des listes intégrées de mots-clés peut bloquer le contenu par inadvertance. Pour corriger cette action, modifiez la liste spécifique de mots clés prédéfinis. Lorsque vous cliquez sur l’icône de crayon pour modifier une liste intégrée, l’interface de la plateforme cloud CSIA affiche une page de mots clés avec des cases à cocher à côté. Pour supprimer le mot clé de la liste intégrée, désactivez la case à côté du mot clé que vous souhaitez supprimer et cliquez sur Enregistrer. Pour appliquer cette action à tous les groupes, cochez la case intitulée Appliquer à tous les groupes.

Identification du nœud d’Citrix Secure Internet Access du client

  1. Depuis la page d’ accueil, accédez à la Gestion de collection de nœuds.
    NŒUD Citrix SIA
  2. Cliquez sur Groupes de nœuds.
    NŒUD SIA Citrix 2
  3. Cela vous fournit à la fois le nœud CSIA client-reports.ibosscloud.com et les clusters de nœuds CSIA client-swg.ibosscloud.com.

Intégration de Splunk avec le nœud d’Citrix Secure Internet Access

Configuration du serveur Splunk

  1. Accédez à l’instance Splunk Server et cliquez sur le lien Paramètres en haut de la page, suivi du lien Entrées de données sous la sous-section « Données ».
    SPLUNK Citrix SIA
  2. Cliquez sur le lien Ajouter un nouveau à droite de la section « UDP ».
    Citrix SIA SPLUNK 1
  3. Entrez un port dans le champ « port » (au-dessus de 1023, si possible, pour éviter les restrictions de sécurité avec le système d’exploitation). Dans le champ « Accepter la connexion à partir de », saisissez l’adresse IP de votre nœud reporter CSIA. Si rien n’est entré dans ce champ, les connexions de tous les hôtes sont acceptées. Lorsque vous avez terminé, cliquez sur Suivant.
    Citrix SIA SPLUNK 2
  4. Sur la page suivante, cliquez sur Sélectionner le type de source et tapez « syslog », puis sélectionnez-le.
    Citrix SIA SPLUNK 3
  5. Changez le contexte de l’application en Recherche et création de rapports (recherche).
    Citrix SIA SPLUNK 4
  6. Modifiez la méthode Host en IP.
    Citrix SIA SPLUNK 5
  7. Cliquez sur Réviser (vérifier la configuration actuelle), puis sur Soumettre.
    Citrix SIA SPLUNK 6

Configuration du module de reporting et d’analyse CSIA

  1. Accédez à Reporting & Analytics > Transfert de journaux > Transférer à partir du journaliste dans l’interface de la plateforme cloud iboss.
    Citrix SIA REPORTING
  2. Sous Intégration de Splunk, cliquez sur Actions, puis sur Ajouter un serveur.
    Citrix SIA REPORTING 1
  3. Ajoutez l’adresse/nom d’hôte du serveur Splunk au « Nom d’hôte » et le numéro de port choisi sur le serveur Splunk. Ensuite, dans le menu déroulant « Splunk Integration Protocol », choisissez un protocole. Les options disponibles lors de l’ajout d’un serveur Splunk apparaissent comme suit :
    Citrix SIA REPORTING 2
  4. Vous pouvez également configurer le protocole d’intégration du serveur Splunk en tant que HEC. La configuration de l’intégration avec un serveur Splunk à l’aide du protocole HEC nécessite l’acquisition du jeton HEC à partir de la configuration du serveur Splunk. Placez le jeton récupéré dans le champ Token sous le menu déroulant Splunk Integration Protocol.
    Citrix SIA REPORTING 3
  5. Si vous implémentez un format de journal ELFF pour la journalisation Splunk, le champ Taille de lot ELFF d’intégration Splunk devient disponible pour la configuration. La valeur par défaut de la configuration est 100.
    Citrix SIA REPORTING 4
  6. Un bascule appelé « Accepter tous les certificats SSL » est disponible dans la section « Intégration Splunk » dans Paramètres > Journalisation externe. Si un certificat SSL non standard tel qu’un certificat auto-signé ou un certificat signé par une autorité de certification racine non approuvée est utilisé, basculez ce bascule sur « OUI » pour contourner la vérification du certificat SSL, sinon laissez l’interrupteur hors tension.
  7. Sélectionnez le format dans lequel les données du journal sont livrées dans le menu déroulant « Format du journal ». Enfin, basculez un ou plusieurs des bascules en bas de l’interface pour sélectionner les types d’informations de journalisation souhaitées. Cliquez sur le bouton Enregistrer pour mettre à jour les modifications. La journalisation commence immédiatement. Effectuez une recherche sur l’instance Splunk pour vérifier que les données sont envoyées et indexées correctement. Voir l’exemple de sortie ci-dessous.
    Citrix SIA REPORTING 5

Modification du port proxy

Le port proxy CSIA peut être modifié, mais vous ne devez pas essayer de changer le port proxy par un port que la passerelle utilise pour d’autres services.

Les ports qui ne peuvent pas être utilisés sont : 53, 139, 199, 443, 445, 953, 1080, 1344, 5432, 6001, 7009, 7080, 7443, 8008 8015, 8016, 8025, 8026, 8035, 8036, 8080, 8200, 8201, 9080, 9080, 9443, 17500, 22022

Tous les autres ports sont une alternative acceptable au port par défaut.

  1. Accédez à Proxy et mise en cache > Paramètres du proxy
    MODIFICATION DU PROXY SIA Citrix
  2. Sous l’ onglet Paramètres, entrez le numéro de port souhaité sur lequel le proxy écoute le trafic dans le champ Port proxy.
    Remarque : Le port configuré pour ce paramètre est utilisé lors de la configuration des paramètres proxy dans d’autres fonctionnalités de la plate-forme. Certains ports peuvent ne pas être disponibles pour l’attribution à ce paramètre en raison de services de passerelle préconfigurés.
    MODIFICATION DU PROXY SIA Citrix 1
  3. Cliquez sur Enregistrer pour appliquer cette modification.
    CHANGEMENT DE PROXY SIA Citrix 2

Annexe

Liste des catégories principales

Remarque : Soyez prudent avec la catégorie « Non classé », car elle correspond à de nombreux sites qui ne sont pas classés.

Catégorie Description
Avortement * Sites liés à l’avortement
Publicités Sites utilisés pour distribuer des graphiques ou du contenu publicitaire en plus des coupons en ligne, des ventes publicitaires, des bons d’achat, des offres et des offres
Contenu pour adultes Sites contenant du matériel destiné aux adultes. Les sites de cette catégorie ne contiennent pas de nudité, mais présentent un contenu vulgaire et profane. Les sites qui s’identifient comme inappropriés pour les personnes de moins de 18 ans relèvent de cette catégorie.
Alcool/Tabac Sites contenant de l’alcool et du tabac. Comprend également les sites liés à l’alcool tels que les bars. Les sites de cette catégorie ne contiennent pas de drogues illicites, mais peuvent discuter, encourager, promouvoir, offrir, vendre, fournir ou promouvoir l’utilisation ou la création d’alcool ou de tabac.
Art Sites contenant de l’art ou qui discutent de l’art, y compris les musées. Peut également inclure des livres à colorier imprimables, des sculptures, des mosaïques, des tatouages, des calligraphies, des polices, des peintures, des graffitis, des dessins chrétiens ou religieux, des dessins animés, des dessins artistiques
Enchères Sites liés aux enchères et aux enchères sur des biens et services, en ligne et en direct
Audio & Vidéo Sites qui contiennent du contenu audio/vidéo téléchargeable en streaming ou téléchargeable, tels que des fichiers MP3, des clips vidéo et des séries TV, en plus des sites qui vendent ce contenu.
Commercial Sites qui représentent la présence en ligne d’une entreprise. Peut être engagé dans le commerce ou l’activité d’achat et de vente de produits et de services entre l’entreprise et le consommateur. Comprend les fabricants, les producteurs, les fournisseurs, les concessionnaires, les distributeurs, les grossistes, les détaillants, les entreprises familiales et toute autre entité orientée vers l’entreprise.
CDN* Réseaux de diffusion de contenu (CDN) et sites liés aux CDN
Rencontres et rencontres Sites qui offrent des services de rencontres ou aident à établir des relations amoureuses
Dictionnaire Sites contenant de vastes collections d’informations et de connaissances. Inclut des ressources telles que des wikis, des dictionnaires lexicaux, des cartes, des recensements, des almanacs, des catalogues de bibliothèques, des sites liés à la généalogie, des informations scientifiques et des répertoires, en plus des utilitaires tels que des horloges, des calculatrices, des minuteries et des modèles.
Médicaments Sites contenant du contenu relatif aux drogues illicites telles que les amphétamines, les barbituriques, les benzodiazépines, la cocaïne, les drogues de créateurs, l’ecstasy et l’héroïne. Ne fait pas référence à Cannabis/Marijuana
Médicaments - Contrôlé* Sites liés aux drogues et substances contrôlées
DNS dynamique* Sites qui utilisent des services DNS dynamiques pour mapper leurs noms de domaine à des adresses IP dynamiques.
Éducation Les sites qui fournissent des services éducatifs tels que les écoles et les universités, en plus des sites qui offrent du matériel didactique à vendre ou à consulter. Comprend des sites Web qui offrent de l’information sur les écoles et les programmes d’éducation ou de métiers, professionnels ou professionnels. Comprend également les sites parrainés par des écoles, des établissements d’enseignement, des professeurs ou des groupes d’anciens élèves.
Divertissement Sites qui contiennent ou font la promotion de la télévision, des films, des magazines, de la radio, des livres, de la nourriture, de la mode et du mode de vie Plus précisément, les sites qui fournissent de l’information sur la culture populaire ou en font la promotion, y compris (mais sans s’y limiter) les films, les critiques cinématographiques et les discussions, les bandes-annonces, les billetterie, la télévision, les divertissements à domicile, la musique, les bandes dessinées, les romans graphiques, les nouvelles littéraires et les critiques, en plus d’autres périodiques, interviews, fans clubs, commérages de célébrités, podcasts et graphiques de musique et de films, spectacles, événements, citations, mèmes, paroles, musiciens, groupes, arts théâtraux, théâtre, opéra, orchestre.
Extreme* Sites contenant du contenu intensément vulgaire, graphique, choquant ou dégoûtant qui serait considéré comme hautement offensant pour la plupart des individus.
Partage de fichiers Sites pour les services qui fournissent le stockage de fichiers en ligne, le partage de fichiers, la synchronisation des fichiers entre les périphériques ou la sauvegarde et la restauration de données basées sur le réseau. Ces services peuvent fournir les moyens de télécharger, de télécharger, de coller, d’organiser, de publier et de partager des documents, des fichiers, du code informatique, du texte, des vidéos sans droit d’auteur, de la musique et d’autres informations formatées électroniquement dans le stockage de données virtuelles. De plus, cette catégorie couvre les services qui distribuent des logiciels pour faciliter l’échange direct de fichiers entre les utilisateurs.
Finance Sites contenant du contenu sur les banques, les actualités financières et les astuces, le marché boursier, l’investissement, les cartes de crédit, les assurances et les prêts.
Alimentation Sites qui contiennent du contenu lié aux restaurants, à la nourriture, à la restauration, en plus des sites qui listent, examinent, discutent, font la publicité et font la promotion de la nourriture, de la restauration, des services de restauration, de la cuisine et des recettes.
Forums Sites contenant des forums de discussion, des salons de discussion en ligne et des forums de discussion
Freeware/Shareware* Sites liés à la distribution de logiciels freeware et shareware
Amitié Sites qui contiennent du matériel lié à l’amitié platonique et des sites de réseautage social.
Jeux d’argent Sites qui font la promotion ou contiennent du contenu lié aux jeux tels que le poker et les casinos en ligne, les paris sportifs et les loteries. Sites où un utilisateur peut placer des paris ou participer à des pools de paris, loteries, ou recevoir des informations, de l’aide, des recommandations ou de la formation dans de telles activités. Cette catégorie n’inclut pas les sites qui vendent des produits liés au jeu ou des sites pour casinos/hôtels hors ligne, sauf s’ils répondent à l’une des exigences ci-dessus.
Jeux Sites qui contiennent des jeux en ligne, ou qui fournissent des services et des informations sur les jeux électroniques, les jeux vidéo et les consoles domestiques, les jeux informatiques et les jeux de rôle. Comprend également des guides de jeu/triche et des accessoires
Gouvernement Sites parrainés par ou représentant des organismes gouvernementaux, y compris des organisations militaires et politiques. Peut fournir des informations sur la fiscalité, les services d’urgence et les lois de diverses entités gouvernementales. Comprend également des sites qui offrent des services d’adoption, de l’information sur l’adoption, de l’information sur l’immigration et des services d’immigration.
Fusils & Armes Sites qui font la promotion, vendent ou fournissent de l’information sur les armes à feu, les couteaux et autres armes
Piratage* Sites liés au piratage et outils de piratage
Intégrité Sites qui contiennent du contenu lié à la santé, aux maladies et aux affections, y compris les hôpitaux, les médecins et les médicaments d’ordonnance, y compris des sites axés principalement sur la recherche en santé. De plus, des sites qui fournissent des conseils et de l’information sur la santé générale, comme la condition physique et le bien-être, la santé personnelle, les services médicaux, les médicaments en vente libre et sur ordonnance, les effets sur la santé de la consommation légale et illégale de drogues, les thérapies parallèles et complémentaires, la dentisterie, l’optométrie et la psychiatrie. En outre, comprend les organismes d’entraide et de soutien dédiés à une maladie ou à des problèmes de santé.
Humour* Sites principalement liés à des blagues, de l’humour ou de la comédie
Activité illégale* Sites liés à des activités ou activités illicites illégales dans la plupart des pays
Recherche d’images/vidéos Les sites de recherche d’images et de vidéos, y compris le partage de médias (par exemple, le partage de photos) et présentent un faible risque d’inclure du contenu répréhensible tel que du matériel graphique pour adultes ou porno.
Informationnel Sites contenant du contenu informatif tel que des informations ou des conseils régionaux
Infosec* Sites présentant du contenu lié à la sécurité de l’information
Communication sur Internet Sites liés à la communication Internet et à la VOIP
IoT * Sites liés à l’Internet des objets et aux appareils IoT
Emplois Les sites qui contiennent des moteurs de recherche d’emploi et d’autres documents tels que des conseils et des stratégies de recherche d’emploi.
Enfants* Sites principalement liés aux enfants et aux jeunes adultes
Contenu des logiciels malveillants * Sites contenant des logiciels malveillants, des virus ou des logiciels malveillants, des pirates logiciels, des codes illégaux et du matériel lié aux pirates informatiques Une pratique courante consiste à bloquer la catégorie des programmes malveillants pour tous les groupes.
Marijuana* Sites liés à la production, à l’utilisation ou à la vente de marijuana
Messagerie* Site lié à la messagerie instantanée et au chat
Téléphones Portables Sites qui vendent ou fournissent des informations et des services sur les téléphones mobiles (cellulaires)
Actualités Sites qui fournissent des actualités et des événements, y compris les journaux en ligne. Sites qui rapportent principalement de l’information ou des commentaires sur des événements d’actualité ou des enjeux contemporains du jour. Inclut également les stations de radio d’information et les magazines d’information. Peut ne pas inclure les sites qui peuvent être mieux capturés par d’autres catégories.
Nudité* Sites contenant toute forme de nudité
Réunions en ligne* Sites liés au logiciel pour les réunions en ligne ou l’hébergement de réunions en ligne
Organisations Sites qui contiennent du contenu lié à des organisations qui favorisent le bénévolat pour les organismes caritatifs tels que les organismes à but non lucratif, les fondations, les sociétés, les associations, les communautés, les institutions. Comprend également les concours reconnus (Miss Terre), les scouts garçons/filles et les organismes qui cultivent des efforts philanthropiques ou de secours.
P2P* Sites liés au partage de fichiers Peer-to-Peer (P2P)
Domaines parqués Sites garés, ce qui signifie que le domaine n’est associé à aucun service tel qu’un e-mail ou un site Web. Ces domaines sont souvent répertoriés « à vendre. « 
Hameçonnage * Sites et sites utilisés dans les campagnes d’hameçonnage et de pêche sous-marine
Piracy* Sites liés au piratage numérique
Politiques Sites qui contiennent du contenu politique, y compris ceux qui représentent des organisations ou des organisations politiques qui font la promotion d’opinions politiques
Porn - Enfant Sites contenant du contenu destiné aux adultes, y compris des graphiques et du matériel sexuellement explicite mettant en vedette des enfants, ou semblant présenter des enfants.
Porn/Nudité Sites contenant du contenu destiné aux adultes, y compris des graphiques et du matériel sexuellement explicites. Inclut art avec nudité, sex shops et sites Web avec des publicités montrant la nudité, jeux avec nudité
Sites Web privés Sites créés par des individus contenant des expressions personnelles telles que des blogs, des journaux personnels, des expériences ou des intérêts
Services professionnels Sites offrant des produits professionnels, immatériels, ou une expertise (par opposition aux biens matériels). Comprend des sites pour des services exécutés de manière experte par un individu ou une équipe au profit de ses clients. Les services typiques comprennent les services de nettoyage, de réparation, de comptabilité, de banque, de consultation, d’aménagement paysager, d’éducation, d’assurance, de traitement et de transport. Également, comprend le tutorat en ligne, la danse, la conduite, les arts martiaux, les cours d’instruments de musique et la rédaction de dissertation.
Immobilier Sites axés sur l’immobilier, y compris les agents, la location et la location de résidences et de bureaux, et d’autres informations immobilières
La religion Sites qui font la promotion ou fournissent des informations sur les croyances et pratiques religieuses
Outils d’accès à distance* Outils d’accès à distance tels que les services de partage d’écran
Escroqueries * Sites liés aux escroqueries
Moteurs de recherche Sites utilisés pour effectuer des recherches sur le Web
Sexe Ed Sites contenant du contenu relatif à l’éducation sexuelle. Le contenu peut être graphique, mais il est conçu pour informer sur le processus de reproduction, le développement sexuel, les pratiques sexuelles sécuritaires, la sexualité, le contrôle des naissances, les conseils pour un meilleur sexe et les produits d’amélioration sexuelle.
Shopping Sites utilisés pour acheter des biens de consommation, y compris les ventes aux enchères en ligne et les petites annonces. Comprend les billets d’événement
Spam* Sites liés au spam ou utilisés dans des campagnes de courrier indésirable
Sports Sites relatifs au sport et aux loisirs actifs. Cela comprend les sports organisés, professionnels et compétitifs en plus des loisirs actifs tels que la pêche, le golf, la chasse, le jogging, le canoë, le tir à l’arc, les échecs, etc.
Radio/TV en continu Sites contenant du contenu en continu à la radio ou à la télévision
Suicide* Sites liés au suicide, y compris l’information sur le suicide
Suspicieux* Les sites qui ne contiennent pas nécessairement de logiciels malveillants ou de contenus malveillants, mais qui, en raison de certains attributs, ont été signalés comme douteux. L’analyse malveillante d’iboss classe ces sites comme « Non sécurisés », même si aucun logiciel malveillant n’est détecté. La protection heuristique des requêtes Web, si elle est active, signale également les sites classés comme suspects.
Maillot de bain Sites qui contiennent du contenu révélateur sexuellement, mais pas de nudité. Comprend des sites de shopping pour bikini, maillots de bain, lingerie et autres vêtements intimes.
Technologie Sites qui contiennent des technologies liées au contenu, y compris des logiciels, du matériel informatique, des sociétés technologiques et de l’aide informatique technique. De plus, les sites qui commanditent ou fournissent des informations, des nouvelles, des critiques, des opinions et une couverture de l’informatique, des appareils informatiques et de la technologie, de l’électronique grand public et de la technologie générale.
Terrorisme/Radicalisation Les sites qui présentent des groupes ou des mouvements radicaux aux convictions ou croyances antigouvernementales agressives.
Infrastructure technique* Sites liés à l’infrastructure technologique
Barres d’outils Sites proposant des téléchargements de barres d’outils pour les navigateurs Web
Services de traduction* Sites fournissant des services de traduction
Transport Sites contenant du contenu lié au transport. Cela comprend des renseignements sur les trains, les lignes d’autobus et les transports en commun, ainsi que sur les sites de vente, de promotion ou liés à des voitures, des motos, des bateaux et des aéronefs.
Voyage Sites qui offrent des services ou des renseignements liés aux voyages tels que la discussion en ligne, la planification, le tourisme, l’hébergement et le transport, comme les compagnies aériennes, les trains et les autobus, ainsi que les horaires et les tarifs pertinents. Sites qui font la promotion ou fournissent des réservations de voyage, des expériences de voyage, des locations de véhicules, des descriptions de destinations de voyage, ou des promotions pour des hôtels/casinos ou d’autres hébergements liés au voyage. Peut inclure des festivals et des parcs d’attractions.
Violence et haine Sites qui favorisent un comportement violent ou dépeignent gratuitement des images de mort, de gore ou de lésions corporelles
Hébergement Web* Fournisseurs d’hébergement Web
Webmail Sites offrant des services de messagerie Web
Serveurs proxy Web Sites offrant des informations sur, des services ou des téléchargements de proxy Web, méthode souvent utilisée pour contourner les URL et les filtres de contenu
Preuve de concept : Citrix Secure Internet Access avec Citrix Virtual Apps and Desktops

Dans cet article