Guide PoC : Citrix Secure Internet Access avec Citrix Secure Private Access

Vue d’ensemble

Citrix Secure Internet Access fournit une pile de sécurité complète fournie dans le cloud pour protéger les utilisateurs, les applications et les données contre toutes les menaces sans compromettre l’expérience des employés. Ce guide de validation de concept (PoC) est conçu pour vous aider à configurer rapidement Citrix Secure Internet Access dans votre environnement Citrix Cloud. À la fin de ce guide PoC, vous êtes en mesure de protéger votre déploiement Citrix Secure Private Access avec Citrix Secure Internet Access. Vous pouvez autoriser vos utilisateurs à accéder aux applications en utilisant l’accès direct à Internet (DIA) sans compromettre les performances.

Scope

Dans ce guide de validation de faisabilité, vous découvrirez le rôle d’un administrateur Citrix et vous créez une connexion entre le déploiement Secure Private Access de votre organisation et Citrix Secure Internet Access pour les appareils appartenant à l’entreprise.

Ce guide explique comment effectuer les actions suivantes :

• Connexion à Citrix Secure Internet Access (CSIA)
• Interfaçage des groupes de sécurité CSIA avec des groupes de l’intégration de domaine
• Configuration des paramètres proxy de la plateforme cloud CSIA
• Configurez des stratégies de sécurité Web pour autoriser/refuser l’accès à certains sites Web ou catégories via la console CSIA.
• Application de stratégies à des groupes de sécurité
• Télécharger l’agent CSIA (Cloud Connector)
• Configurer l’agent CSIA (Cloud Connector) via la stratégie de l’agent
• Configurer manuellement l’agent CSIA (Cloud Connector) (FACULTATIF - Windows uniquement)
• Déployer l’agent CSIA (Cloud Connector) via une stratégie de groupe AD sur les appareils Windows d’entreprise
• Déployer l’agent CSIA (Cloud Connector) via la solution Endpoint Management sur les appareils d’entreprise
• Déploiement manuel de l’agent CSIA (Cloud Connector) sur les appareils d’entreprise

Conditions préalables

• Microsoft Windows 7, 8, 10 (x86, x64 et ARM64)
• Microsoft Server 2008R2, 2012, 2016, 2019
• Microsoft .NET 4.5 ou supérieur
• PowerShell 7 (uniquement pour Windows 7)
• Les règles de pare-feu suivantes

Exigences du réseau

Paramètres du port/Pare-feu

CSIA —> Sortant

Source	Destination	Protocole	Port	Description
CSIA	ibosscloud.com	TCP	80	Connexions proxy et pages de blocage personnalisées
		TCP	443	Récupération de script PAC via HTTPS et authentification proxy via HTTPS
		TCP	7443	Port alternatif pour la récupération de script PAC via HTTPS
		TCP	8009	Port alternatif pour les connexions proxy
		TCP	8015	Authentification par proxy sur HTTP
		TCP	8016	Port alternatif pour l’authentification par proxy
		TCP	8026	Port de catégorisation cloud pour Android Enterprise
		TCP	8080	Page Bloc par défaut
		TCP	10080	Récupération de script PAC sur HTTP
CSIA	api.ibosscloud.com	TCP	443	Récupération de script PAC via HTTPS et authentification proxy via HTTPS
		TCP	7443	Port alternatif pour la récupération de script PAC via HTTPS
		TCP	8009	Port alternatif pour les connexions proxy
		TCP	8015	Authentification par proxy sur HTTP
		TCP	8016	Port alternatif pour l’authentification par proxy
		TCP	8026	Port de catégorisation cloud pour Android Enterprise
		TCP	8080	Page Bloc par défaut
		TCP	10080	Récupération de script PAC sur HTTP
CSIA	accounts.iboss.com	TCP	443	Récupération de script PAC via HTTPS et authentification proxy via HTTPS
		TCP	7443	Port alternatif pour la récupération de script PAC via HTTPS
		TCP	8009	Port alternatif pour les connexions proxy
		TCP	8015	Authentification par proxy sur HTTP
		TCP	8016	Port alternatif pour l’authentification par proxy
		TCP	8026	Port de catégorisation cloud pour Android Enterprise
		TCP	8080	Page Bloc par défaut
		TCP	10080	Récupération de script PAC sur HTTP
CSIA	Nœud CSIA client-swg.ibosscloud.com	TCP	443	Récupération de script PAC via HTTPS et authentification proxy via HTTPS
		TCP	7443	Port alternatif pour la récupération de script PAC via HTTPS
		TCP	8009	Port alternatif pour les connexions proxy
		TCP	8015	Authentification par proxy sur HTTP
		TCP	8016	Port alternatif pour l’authentification par proxy
		TCP	8026	Port de catégorisation cloud pour Android Enterprise
		TCP	8080	Page Bloc par défaut
		TCP	10080	Récupération de script PAC sur HTTP
CSIA	Nœud CSIA client-reports.ibosscloud.com	TCP	443	Récupération de script PAC via HTTPS et authentification proxy via HTTPS
		TCP	7443	Port alternatif pour la récupération de script PAC via HTTPS
		TCP	8009	Port alternatif pour les connexions proxy
		TCP	8015	Authentification par proxy sur HTTP
		TCP	8016	Port alternatif pour l’authentification par proxy
		TCP	8026	Port de catégorisation cloud pour Android Enterprise
		TCP	8080	Page Bloc par défaut
		TCP	10080	Récupération de script PAC sur HTTP

Configuration du cloud d’accès Internet sécurisé (CSIA) de Citrix

Dans cette section, nous nous concentrons sur la configuration de CSIA dans la console d’administration.

Connectez-vous à Citrix Secure Internet Access

1. Connectez-vous à Citrix Cloud et accédez à la vignette Secure Internet Access.

2. Sélectionnez l’onglet Configuration et cliquez sur Ouvrir Configuration Citrix SIA pour accéder à la Console de configuration.

Configurer les paramètres PAC Citrix Secure Internet Access

1. Dans l’onglet Configuration, accédez à Emplacements et géomapping.
2. Sous l’onglet Zones, cliquez sur Modifier la zone par défaut.
3. Cliquez sur Paramètres PAC.
4. Si vous devez contourner un domaine, utilisez l’ option Ajouter une fonction.
5. Voici le domaine et les sous-domaines Citrix recommandés à ajouter au fichier PAC : ⋅ cloud.com & *.cloud.com ⋅ citrixdata.com &*.citrixdata.com ⋅ citrixworkspaceapi.net & *.citrixworkspaceapi.net ⋅ citrixworkspacesapi.net & *.citrixworkspacesapi.net ⋅ citrixnetworkapi.net & *.citrixnetworkapi.net ⋅ nssvc.net & *.nssvc.net ⋅ xendesktop.net & *.xendesktop.net ⋅ cloudapp.net & *.cloudapp.net ⋅ netscalergateway.net et *.netscalergateway.net
6. Notez le nœud affiché “node-clusterxxxxxx-swg.ibosscloud.com:80”. Cela doit correspondre au nœud SWG du client dans Node Collection Management

Interfaçage des groupes de sécurité CSIA avec des groupes de l’intégration de domaine

Les utilisateurs qui se connectent à Citrix Secure Internet Access (CSIA) communique les informations d’unité d’organisation du domaine si elles sont disponibles à partir de leur identifiant utilisateur actuel et de leur appareil. La plateforme cloud CSIA peut être utilisée pour faire correspondre les groupes fournis par les comptes d’utilisateurs contrôlés par domaine. La corrélation entre les groupes de votre intégration de domaine et les groupes de sécurité contenus sur la plateforme cloud CSIA vous permet d’administrer les stratégies et restrictions d’une manière similaire aux stratégies de sécurité existantes au sein de votre organisation.

La stratégie d’intégration des informations sur les groupes de domaines dans la plateforme cloud CSIA consiste à modifier les groupes de sécurité pour qu’ils correspondent aux alias des groupes de domaines signalés à la plate-forme.

Exemple d’intégration

Pour démontrer l’exécution de ce concept, mappons les informations d’identification de domaine d’un utilisateur Windows dans un groupe de sécurité sur la plateforme cloud CSIA.

1. Ouvrez une invite de commande sur l’ordinateur cible et exécutez la commande « net user (nom d’utilisateur) /domain »
2. Rassemblez les alias des groupes signalés par le contrôleur de domaine.
3. Accédez à la plateforme cloud CSIA et modifiez le nom du groupe ou le nom d’alias pour correspondre à l’un des groupes signalés par l’utilisateur du domaine.
4. Désormais, lorsque les utilisateurs du groupe de domaines intégré s’authentifient auprès de la plateforme cloud CSIA, ils sont assignés automatiquement à leur groupe de sécurité correspondant.

Configuration des paramètres proxy de la plateforme cloud CSIA

1. Accédez au module Proxy et mise en cache.
2. Définissez Activer les paramètres du proxy sur YES.
3. Définissez la méthode d’authentification de l’ utilisateur sur Informations d’identification de l’utilisateur local +Connexions Cloud
4. Cliquez sur Enregistrer.

Configurer des stratégies de sécurité Web

Dans cette section, nous nous concentrons sur la configuration des stratégies de sécurité Web CSIA dans la console d’administration. C’est l’endroit principal où nous définissons des actions sur les catégories Web.

Application de stratégies à des groupes de sécurité

1. Accédez au module Sécurité Web.
2. Pour les stratégies de sécurité Web qui ont une implémentation basée sur un groupe disponible, un menu déroulant apparaît en haut de la page au-dessus du formulaire de configuration de la stratégie. L’état de ce menu déroulant indique la configuration de stratégie du groupe que vous consultez actuellement.
3. Cliquez sur le menu déroulant Groupe, puis sélectionnez le groupe que vous souhaitez reconfigurer pour la stratégie de sécurité Web actuelle.
4. Cliquez sur Enregistrerpour enregistrer la configuration de la stratégie actuelle uniquement dans le groupe de sécurité actuellement sélectionné à partir du menu déroulant Groupe . ⋅ Remarque : Si vous souhaitez appliquer ces paramètres à plusieurs groupes
5. ( Facultatif) Cliquez sur Enregistrer dans plusieurs groupes pour ouvrir une fenêtre qui vous permet d’affecter simultanément la configuration de la stratégie actuelle à plusieurs groupes de sécurité.
6. Cochez la case correspondante pour tout groupe de sécurité que vous souhaitez appliquer la configuration de stratégie actuelle.
7. Cliquez sur Ajouter pour ajouter les groupes de sécurité sélectionnés au groupe de configuration. Les groupes peuvent être reconfigurés pour accepter uniquement les modifications de configuration qui ont été appliquées ou accepter et écraser tous les paramètres de configuration pour la stratégie actuelle.
8. La sélection par défaut est Appliquer les paramètres modifiés qui applique les modifications que vous avez configurées. Sélectionnez cette option pour remplacer tous les paramètres configurés pour les groupes de sécurité désignés.
9. Vous pouvez supprimer des groupes individuels en cliquant sur Supprimer ou supprimer tous les groupes sélectionnés pour la configuration en cliquant sur Supprimer tout. Cliquez sur Enregistrer pour confirmer la configuration appliquée à tous les groupes de sécurité désignés.

Catégories Web

Les domaines sont balisés avec des catégories Web en fonction de leur contenu. Les catégories de sites Web visités sont enregistrées dans Reporting & Analytics.

Actions de catégorie

Vous pouvez associer des actions à des catégories Web. Cela vous permet de déployer rapidement des stratégies de sécurité tout en minimisant le besoin d’autoriser ou de bloquer des URL individuelles. Les actions possibles incluent Autoriser, Bloquer, Furtif, Remplacer en douceur ou Déchiffrement SSL activé.

1. Chaque catégorie peut avoir des actions qui sont appliquées indépendamment des autres catégories.

   Action	Description
   Allow	Permet aux utilisateurs d’accéder aux sites de cette catégorie. Autoriser est l’état par défaut pour toutes les catégories.
   Bloquer	Bloque l’accès aux sites d’une catégorie particulière.
   Furtif	Signale le trafic vers cette catégorie comme des violations dans les journaux, mais permet toujours l’accès au site.
   Remplacer en douceur	Présente une page de bloc à l’utilisateur, mais inclut une option pour contourner temporairement le bloc. Cela permet aux utilisateurs d’accéder au contenu bloqué sans nécessiter une intervention immédiate de l’administrateur. Les remplacements paramétrés durent jusqu’au lendemain à 2h00 du matin dans le fuseau horaire configuré pour la passerelle. Toute page de bloc présentée avec un remplacement logiciel apparaît dans Reporting & Analytics comme « bloqué en mode logiciel. » Une fois qu’un utilisateur a demandé un remplacement logiciel, tout trafic vers cette URL apparaît comme « autorisé » jusqu’à ce que le remplacement ait expiré.
   Décryptage SSL	Désactivez cette option pour désactiver le déchiffrement SSL pour une catégorie spécifique. Cela garantit le respect de la vie privée et les préoccupations concernant des catégories spécifiques comme les finances ou la santé. La valeur de priorité de cette catégorie ne s’applique PAS à ce paramètre. Si un site appartient à plusieurs catégories et que l’option « Déchiffrement SSL désactivé » de l’une de ces catégories est activée, ce site n’est pas déchiffré.
   Verrouiller	Lorsqu’une catégorie est verrouillée par l’administrateur principal dans un état Autorisé ou Bloqué, les administrateurs délégués ne peuvent pas se connecter à l’interface de gestion de passerelle Web et modifier le statut de cette catégorie.
   Remplacer la catégorie	Lorsque vous activez un remplacement de catégorie, un administrateur délégué ne peut pas se connecter à l’interface de gestion de passerelle Web et ajouter une URL à la liste d’autorisation qui contreviendrait à la règle de cette catégorie. Par exemple, la catégorie « Art » est bloquée et définie sur « Remplacements », de sorte que les administrateurs délégués ne peuvent pas ajouter art.com à la liste d’autorisation pour ce groupe.

2. Cliquez sur chaque icône pour basculer l’action de la catégorie Web correspondante.

3. Les actions que vous souhaitez appliquer généralement à toutes les catégories Web peuvent être mises en œuvre à l’aide du menu déroulant Actions. REMARQUE : Faites attention à la catégorie « Non classé », car elle correspond à de nombreux sites qui ne sont pas classés

Catégorie Priorités

Si un domaine est associé à plusieurs catégories, l’action est déterminée en comparant les valeurs de priorité des catégories. Les catégories ayant une valeur de priorité plus élevée ont priorité.

Exemple :

1. Un domaine est classé à la fois comme gouvernement et piratage. Dans la configuration des catégories web, le gouvernement est autorisé avec un poids de 100 tandis que le piratage est bloqué avec un poids de 200.
2. Ce domaine serait bloqué lorsqu’il est visité par un utilisateur en raison de l’action de blocage de la catégorie Web de piratage possédant une valeur de priorité plus élevée.
3. Cliquez sur le champ Valeur de priorité et entrez une valeur numérique pour reconfigurer le niveau de priorité d’une catégorie. La valeur de priorité a une plage configurable de 0 à 65535.

Paramètres supplémentaires

Les paramètres pertinents pour les catégories Web sont configurés avec des bascules sous Paramètres supplémentaires. La configuration d’un basculement sur Oui active le paramètre lors de la configuration d’un basculement sur Non désactive le paramètre. Pour obtenir un ensemble complet de descriptions pour tous les paramètres de catégorie Web disponibles, reportez-vous au tableau suivant :

Fonctionnalité	Description
Activer l’enregistrement	Activez et désactivez l’enregistrement des tentatives de violation pour l’ensemble actuel des catégories de sites Web bloqués. Les rapports des journaux peuvent être consultés sur la page Rapports de l’ASC. Les informations du rapport incluent la date, l’heure, l’utilisateur, l’adresse du site Web et la catégorie de la violation.
Activer le mode furtif	Il vous permet de surveiller furtivement l’activité Internet sans bloquer l’accès aux sites interdits. Lorsque le mode de journalisation et le mode furtif sont activés, vous pouvez surveiller l’activité de navigation sur Internet en affichant les rapports de journal sur la page Rapports CSIA tout en restant inaperçus par les internautes sur le réseau. Remarque : Les sites Web et les applications en ligne ne sont pas bloqués lorsque l’action de la catégorie Web est configurée en mode furtif.
Activer l’analyse HTTP sur les ports non standard	Si cette fonctionnalité est activée, CSIA analyse les requêtes Web HTTP sur les ports non standard.
Autoriser les requêtes HTTP 1.0 héritées	Si cette fonctionnalité est activée, CSIA autorise les requêtes HTTP 1.0 qui manquent l’en-tête « HOST ». La désactivation de cette fonctionnalité offre un niveau de sécurité plus élevé et rend plus difficile le contournement de la sécurité. Si cette fonctionnalité est activée, elle peut offrir plus de compatibilité avec les anciens logiciels non conformes à HTTP 1.1.
Activer le vol d’identification/blocage d’URL d’adresse IP	Protège contre les tentatives potentielles d’usurpation d’identité en vous avertissant quand quelqu’un tente de voler vos informations personnelles via Internet Phishing. L’activation de cette fonctionnalité empêche également les utilisateurs de naviguer vers des sites Web à l’aide d’URL d’adresse IP.
Activer le remplacement du site bloqué	L’activation de cette fonctionnalité active une action de remplacement logiciel, permettant aux utilisateurs de se rendre sur le site appartenant à une catégorie bloquée. Lorsque ce paramètre est actif, l’utilisateur est averti qu’une page est bloquée mais fournit un bouton pour continuer quand même.
Catégorisation automatique des sites non classés	Lorsque cette option est basculée sur Oui, tous les sites qui ne sont pas catégorisés sont automatiquement soumis à la catégorisation. Remarque : Lorsque cette option est réglée sur Oui, les sites non classés peuvent se voir attribuer une catégorie Web « Information » ou une autre désignation de ce type. Cela n’est en vigueur que pendant que la catégorie est correctement classée. Lorsque ce commutateur est réglé sur Non, les non-catégorisés sont automatiquement désignés comme « Non évalué », qui est contrôlé comme sa propre catégorie Web.

Planification des catégories

Les événements de blocage peuvent également être configurés selon une planification hebdomadaire avancée pour autoriser l’accès à des moments particuliers.

1. Définissez la planification des catégories sur Autoriser les catégories sélectionnées à l’aide d’une planification avancée pour activer la fonctionnalité de planification. Cliquez sur Planification avancée pour commencer à planifier les catégories bloquées.
2. La planification avancée actuelle peut être configurée pour s’appliquer à toutes les catégories bloquées ou uniquement à une catégorie bloquée particulière.
3. Chaque jour de la semaine peut être déléguée des périodes spécifiques de temps que la catégorie est autorisée. Ces périodes particulières sont indiquées par un rectangle bleu.
4. Après avoir finalisé la planification pour une catégorie particulière, vous pouvez cliquer de nouveau sur le menu déroulant de la catégorie et sélectionner une nouvelle catégorie à configurer.
5. Cliquez sur Enregistrer pour confirmer toutes les configurations de planification.

Autoriser la liste

Les listes d’autorisation permettent d’accéder de manière sélective à un site Web ou à une ressource réseau spécifique. Cette fonctionnalité vous permet de remplacer les stratégies de sécurité et d’autoriser certains utilisateurs à accéder à un site Web. En particulier, vous pouvez l’utiliser pour accorder l’accès à des URL spécifiques pour un domaine qui est autrement bloqué. Ceci est parfois appelé « créer une ouverture. »

Ajout d’une URL à une liste d’autorisation

1. Accédez à Stratégies de sécurité Web.
2. Dans le menu déroulant, cliquez sur Autoriser la liste.
3. À partir du dessus de la section de liste, cliquez sur Plage d’URL/IP.
4. Tapez un domaine, un sous-domaine, une URL, une adresse IP ou une plage IP. Il s’agit du seul champ obligatoire, mais de nombreux autres critères peuvent être spécifiés.
5. Dans le côté droit de la liste, cliquez sur +Ajouter. L’entrée est maintenant ajoutée à la liste.

Outil Gratter

La section Liste d’autorisation comprend l’outil de grattage pratique. Utilisez cette option pour identifier rapidement tous les domaines utilisés par un site Web. Dans le web moderne, de nombreux sites utilisent des ressources provenant d’autres domaines qui ne sont pas immédiatement apparents. Avec l’outil Grattage, ceux-ci sont facilement révélés et ajoutés à une liste de permis.

Une autre utilisation de l’outil Grattage consiste à n’autoriser sélectivement que des parties d’un site Web, tout en n’autorisant pas les contenus indésirables, tels que les serveurs publicitaires.

1. À partir du dessus de la section de liste, cliquez sur Gratter.
2. Entrez l’URL de Grattage et cliquez sur Analyser.
3. Sélectionnez les domaines à ajouter à la liste d’autorisation, puis cliquez sur Ajouter une sélection à la liste Autoriser.

Liste bloquante de mots-clés/Liste d’autorisation

Le filtrage des mots clés est utilisé pour inspecter les URL pour des mots spécifiques. Si un mot clé est identifié, le contenu peut être autorisé ou bloqué.

Ajout d’une URL à une liste bloquée/liste d’autorisation

1. Accédez à Stratégies de sécurité Web.
2. Dans le menu déroulant, cliquez sur Mots-clés.
3. Entrez le mot-clé que vous souhaitez bloquer dans le champ Mot clé et spécifiez les désignations qui s’appliquent à ce mot-clé. Cliquez sur Ajouter.

Option	Description
Autoriser le mot clé	Cocher cette option permet d’utiliser le mot s’il se trouve dans l’URL d’un paramètre de mot clé.
Risque élevé	Lorsque des mots désignés comme « Risque élevé » sont recherchés, une notification par courriel est envoyée à l’administrateur du groupe.
Correspondance générique	Lorsqu’ils sont activés, les mots-clés sont filtrés même s’ils ne sont que des sous-chaînes d’un mot plus grand. Par exemple, une correspondance générique pour le mot-clé « base » bloque les recherches qui incluent « base » ou « baseball ». Sans correspondance de caractères génériques, il ne bloque que « base. »
Global	Cette option s’étend sur tous les groupes de sécurité lorsqu’elle est sélectionnée. Lorsque vous supprimez une entrée « Global », elle supprime l’entrée de tous les groupes de filtrage.

Listes de mots clés prédéfinies

Vous pouvez activer le filtrage des listes prédéfinies de mots-clés pour adultes et à risque élevé ou ajouter d’autres mots clés manuellement.

Les listes de mots-clés prédéfinies contiennent des mots-clés courants pour adultes et à risque élevé. La correspondance des caractères génériques est appliquée à tous les mots-clés de ces listes. Une correspondance générique reconnaît la séquence de caractères du mot clé n’importe où dans l’URL, y compris le nom d’hôte. La liste à risque élevé génère un courriel au destinataire des messages d’alerte lorsqu’un mot clé à risque élevé est détecté par la fonctionnalité Reporting & Analytics de la plateforme cloud CSIA.

1. Pour activer l’une ou l’autre des listes de mots clés, définissez l’option Adulte ou Risque élevé sur Oui. Cliquez sur Enregistrer.

Configuration de l’agent d’Citrix Secure Internet Access

Dans cette section, nous nous concentrons sur la configuration et l’installation de l’agent Citrix Secure Internet Access (CSIA).

Configurer le téléchargement de l’agent CSIA (Cloud Connector)

1. Depuis la console d’administration CSIA, accédez à Connecter l’appareil au cloud > Cloud Connector.
2. Cliquez sur Configurer le téléchargement du connecteur
3. Cliquez sur le menu déroulant Utiliser HTTP PAC et sélectionnez Non. (Remarque : utilisez HTTP PAC sur « Non » si vous souhaitez utiliser HTTPS pour le téléchargement PAC)
4. Cliquez sur Groupe de sécurité et sélectionnez le groupe de sécurité par défaut souhaité pour ce téléchargement du fichier d’installation particulier.
5. Conservez les paramètres de téléchargement du connecteur restants comme par défaut et cliquez sur Enregistrer.

Configurer les paramètres Advanced Connector de l’agent CSIA (Cloud Connector)

1. Depuis la console d’administration CSIA, accédez à Connecter l’appareil au cloud > Cloud Connector > Paramètres Advanced Connector.
2. Sous Paramètres globaux Activez les éléments suivants : ⋅ Activer le filtrage Security Cloud Connector ⋅ Configurer Auto Login Cloud Connector pour utiliser la clé pour le groupe ⋅ Utiliser le chiffrement de session
3. Sous Source IP Logging Activer - Utilisez l’adresse IP source privée du client (si disponible).
4. Sous Paramètres spécifiques au groupe, vérifiez que le groupe correct est sélectionné et cliquez sur Enregistrer.

Télécharger Citrix Secure Internet Access Agent (Cloud Connector)

1. Depuis la console d’administration CSIA, accédez à Connecter l’appareil au cloud > Cloud Connecteurs > Download Connector.
2. Sous Windows Cloud Connector, cliquez sur Télécharger et télécharger tout. Les packages d’installation .msi peuvent être téléchargés directement depuis la console d’administration CSIA. Avant de commencer l’installation, assurez-vous d’utiliser le package approprié pour la version de Windows et l’architecture du processeur.

Plateforme	Paquet
Windows 10 ARM64	ibsa64-win10-arm64.msi
Windows 10 x 64 ou Windows 8 x 64 ou Windows Server 2019 ou Windows Server 2016	ibsa64-win8.msi
Windows 10 x86 ou Windows 8 x86	ibsa32-win8.msi
Windows 7 x64 ou Windows Server 2012 ou Windows Server 2008R2	ibsa64.msi
Windows 7 x86	ibsa32.msi

Configurer les stratégies de l’agent CSIA dans la console d’administration CSIA

1. Dans la console d’administration CSIA, accédez à Connecter l’appareil au cloud > Stratégies de l’agent.
2. Cliquez sur Ajouter des stratégies d’agent.
3. Indiquez un nom pour votre stratégie d’agent et sélectionnez Ajouter une stratégie d’agent.
4. Pour configurer la stratégie, cliquez sur Modifier la stratégie de l’agent.

5. Cliquez sur Paramètres de l’agent et définissez les paramètres recommandés.

   Recommended Settings for Corporate Owned Devices

   Setting	Recommended Value
   Multi-User Mode:	Disable Multi-User/Terminal Server Mode - Enable to support multiple user sessions when running a terminal server. This must be enabled for terminal servers even if users are not logged in simultaneously.
   Use Machine Name for User name:	Disable Setting - Use the user account name as the user name.
   Use UPN for User name:	Disable Setting - Use the Security Account Manager (SAM) account name, such as DOMAIN\user name.
   Redirect All Ports:	Enable Setting
   Bypass Private Subnets:	Enable Setting
   Captive Portal Detection:	Disable Setting
   Auto-Update Enabled:	Enable Setting
   Auto-Update Release Level:	Level 1 - Mature
   Enable Windows Desktop App: (Agent do not run-on Multi-User Deployments)	Enable Setting
   Allow End Users to Disable Security:	Disable Setting
   Require Password to Disable Security:	Enable Setting
   Require Password to View Diagnostics Info:	Enable Setting

6. Cliquez sur Liaison dynamique et sélectionnez les groupes que vous souhaitez affecter également à la stratégie.
7. Cliquez sur Enregistrer.

( FACULTATIF) Configuration manuelle de Citrix Secure Internet Access Agent

L’édition .msi de l’agent CSIA pour Windows via Orca est uniquement recommandée pour le dépannage.

Orca.msi est disponible dans l’option « Télécharger tout » Windows Cloud Connector

Ouverture d’un fichier .MSI avec Orca

1. Ouvrez le fichier Zip et installez Orca.msi
2. Localisez le fichier d’installation souhaité dans un programme explorateur de fichiers.
3. Cliquez avec le bouton droit sur le fichier d’installation .msi.
4. Cliquez sur Modifier avec Orca.

Configuration des propriétés d’un .MSI dans Orca

1. Double-cliquez pour ouvrir la table Propriétés.

2. Chaque propriété peut être modifiée en double-cliquant sur le champ Valeur de la propriété.

   Recommended Settings for Corporate Owned Devices

   Setting	Recommended Value
   Multi-User Mode: (PARAM_MULTI_USER_SUPPORT)	(0): Disable multi-user mode. Enable to support multiple user sessions when running a terminal server. This must be enabled for terminal servers even if users are not logged in simultaneously.
   Terminal Server Mode: (PARAM_TERMINAL_SERVER_MODE)	(0): Disabled - this appears to be deprecated in favor of Multi-User Support
   Use Machine Name for User name: (PARAM_USE_MACHINE_NAME_FOR_USERNAME)	(0): Disabled - Use the user account name as the user name.
   Redirect All Ports: (PARAM_REDIRECT_ALL_PORTS)	(1): Enabled - Redirect all ports to the proxy.
   Bypass Private Subnets: (PARAM_BYPASS_PRIVATE_SUBNETS)	(1): Enable bypass
   Captive Portal Detection: (PARAM_CAPTIVE_PORTAL_DETECTION)	(0): Disabled
   Auto-Update Enabled: (PARAM_AUTO_UPDATE_ENABLE)	(1): Enabled – The cloud connector to be updated automatically.
   Restart After Upgrade: (PARAM_RESTART_AFTER_UPGRADE)	(0): Disabled - Does not prompt a restart.

3. Dans Orca, cliquez sur l’icône Enregistrer pour enregistrer les modifications apportées aux paramètres de Windows Cloud Connector. Remarque : Assurez-vous que les fichiers sont enregistrés dans Orca uniquement à l’aide de cette méthode (sans utiliser Enregistrer sous). Cela provoque des problèmes avec la fonctionnalité du connecteur cloud Windows s’il n’est pas enregistré de cette manière.

Déploiement de l’agent Citrix Secure Internet Access (Cloud Connector)

Citrix recommande d’installer uniquement l’agent CSIA sur les appareils d’entreprise pour un point de contrôle CSIA.

Déployer l’agent CSIA via une stratégie de groupe AD sur les périphériques Windows d’entreprise

Créer un point de distribution

1. Créez un dossier sur un ordinateur joint AD qui agit comme serveur de fichiers.
2. Enregistrez le package .msi Agent CSIA dans ce dossier.
3. Cliquez avec le bouton droit sur le dossier nouvellement créé, sélectionnez propriétés.
4. Accédez à l’onglet « Partage ».
5. Sélectionnez « Partage avancé ».
6. Activez « Partager ce dossier ».
7. Dans Paramètres sous Nom du partage, ajoutez un $ après le nom du dossier de l’agent CSIA. (Exemple. SIA_agent$).
8. Sélectionnez Appliquer.
9. Puis Fermer.

Créer un objet de stratégie de groupe

1. Ouvrez Gestion des stratégies de groupe.
2. Cliquez avec le bouton droit sur Objet Stratégie de groupe.
3. Sélectionnez Nouveauet nommez un nouvel objet de stratégie de groupe (exemple : Déployer l’agent CSIA).
4. Cliquez avec le bouton droit de la souris sur l’objet de stratégie de groupe nouvellement créé ci-dessus, sélectionnez Modifier.
5. Développez le dossier Paramètres logiciels.
6. Sélectionnez Installation du logiciel.
7. Faites un clic droit dans le panneau de droite.
8. Sélectionnez Nouveau.
9. Sélectionnez Package.
10. Dans la fenêtre correspondante, saisissez l’emplacement (chemin d’accès du fichier) de votre dossier Agent CSIA contenant le package .msi Agent CSIA.
11. Sélectionnez le MSI.
12. Sélectionnez Ouvrir.
13. Dans la fenêtre Déployer le logiciel, choisissez « Avancé » sous Sélectionner une méthode de déploiement.
14. Sous Déploiement , sélectionnez Désinstaller cette application lorsque…. (cela signifie que la prochaine fois que le point de terminaison exécute un gpupdate et que l’agent CSIA a été supprimé, il est également supprimé du point de terminaison).
15. Sélectionnez OK et Fermer.

Déployer l’agent CSIA via la solution Citrix Endpoint Management sur des appareils d’entreprise

Installation de l’agent Windows

1. Dans la console Endpoint Management, accédez à Configurer > Applications. Cliquez sur Ajouter.
2. Cliquez sur Entreprise.
3. Sur la page d’informations sur l’application, configurez ce qui suit : ⋅ Nom : Tapez un nom descriptif pour l’application. Le nom apparaît sous Nom de l’application dans le tableau Applications. ⋅ Description : Tapez une description facultative de l’application. ⋅ Catégorie d’application : éventuellement, dans la liste, cliquez sur la catégorie à laquelle vous souhaitez ajouter l’application.
4. Cliquez sur Suivant. La page Plates-formes d’applications s’affiche.
5. Sélectionnez la plateforme : Bureau Windows/Tablette.
6. Sur la page Windows Desktop/Tablet Enterprise App, cliquez sur Télécharger et accédez au fichier.
7. Configurez ces paramètres : Paramètres de l’
8. Spécifiez les règles de déploiement et la configuration du stockage si nécessaire.
9. Cliquez sur Suivant jusqu’à ce que vous arriviez à la page Résumé, puis cliquez sur Enregistrer.
10. Dans la console Endpoint Management, cliquez sur Configurer > Groupes de mise à disposition. Sélectionnez le groupe de mise à disposition à configurer, puis cliquez sur la page Applications.
11. Faites glisser les applications souhaitées vers la zone Applications requises.
12. Dans la page Résumé, cliquez sur Enregistrer.

Pour le déploiement de l’agent CSIA via un UEM tiers

Consultez votre documentation Unified Endpoint Management pour le déploiement du fichier .MSI.

Installation de l’agent macOS

1. Dans la console Endpoint Management, accédez à Configurer > Applications. Cliquez sur Ajouter.
2. Cliquez sur Entreprise.
3. Sur la page d’informations sur l’application, configurez ce qui suit : ⋅ Nom : Tapez un nom descriptif pour l’application. Le nom apparaît sous Nom de l’application dans le tableau Applications. ⋅ Description : Tapez une description facultative de l’application. ⋅ Catégorie d’application : éventuellement, dans la liste, cliquez sur la catégorie à laquelle vous souhaitez ajouter l’application.
4. Cliquez sur Suivant. La page Plates-formes d’applications s’affiche.
5. Sélectionnez la plateforme : macOS.
6. Téléchargez le fichier PKG (macOS) et terminez la configuration. Cliquez sur Suivant.
7. Cliquez sur Suivant jusqu’à ce que vous accédez à la page Résumé, puis cliquez sur Enregistrer.
8. Dans la console Endpoint Management, cliquez sur Configurer > Groupes de mise à disposition. Sélectionnez le groupe de mise à disposition à configurer, puis cliquez sur la page Applications.
9. Faites glisser les applications souhaitées vers la zone Applications requises.
10. Dans la page Résumé, cliquez sur Enregistrer.

Pour le déploiement de l’agent CSIA via un UEM tiers

Consultez votre documentation Unified Endpoint Management pour le déploiement du fichier .PKG.

Déployer l’agent CSIA via manuellement sur les appareils d’entreprise

Installation de l’agent Windows

1. Mettez l’ ordinateur Windows sous tension et ouvrez une session.
2. Installez le package .msi de l’agent CSIA approprié pour votre plate-forme.

Installation de l’agent macOS

1. Accédez à et ouvrez l’archive téléchargée dans le Finder.
2. Ouvrez le fichier du package d’installation.
3. Terminez le processus d’installation.

Cas d’utilisation validés

Filtrage du site Web de l’ASC par l’intermédiaire de l’agent CSIA

Application Citrix Workspace Lancement d’un

1. L’application SaaS sans sécurité renforcée activée est protégée par les stratégies CSIA
2. L’application SaaS avec sécurité améliorée activée est protégée par les stratégies CSIA
3. L’application Web interne sans sécurité renforcée activée est protégée par les stratégies CSIA
4. L’application Web interne avec une sécurité améliorée activée est protégée par les stratégies CSIA

Citrix Workspace HTML Lancement d’un

1. L’application SaaS sans sécurité renforcée activée est protégée par les stratégies CSIA
2. L’application SaaS avec sécurité améliorée activée n’est PAS protégée par les stratégies CSIA
3. L’application Web interne sans sécurité renforcée activée est protégée par les stratégies CSIA
4. L’application Web interne avec une sécurité améliorée activée n’est PAS protégée par les stratégies CSIA

Citrix Workspace via l’extension de navigateur

1. L’application SaaS sans sécurité renforcée activée est protégée par les stratégies CSIA
2. L’application SaaS avec sécurité améliorée activée n’est PAS protégée par les stratégies CSIA
3. L’application Web interne sans sécurité renforcée activée est protégée par les stratégies CSIA
4. L’application Web interne avec une sécurité améliorée activée n’est PAS protégée par les stratégies CSIA

Résolution des problèmes

Outils importants pour le dépannage

1. Journal des événements Windows
2. Tableau de bord en temps réel de l’ASC (Rapports et analyses > Journal en temps réel)
3. Journaux d’événements CSIA (Reporting & Analytics > Journaux > Journal des événements)
4. Journaux IPS CSIA (Reporting & Analytics > Journaux > Journal IPS)
5. Informations d’enregistrement pour les appareils connectés (Utilisateurs, groupes et appareils > Périphérique connecté au cloud > Infos)
6. Outil de recherche d’URL (Outils > Recherche d’URL)
7. Journalisation améliorée ⋅ Pour définir cela, la clé de registre suivante doit être modifiée, variant de 0 à 4, le plus élevé donnant une journalisation plus détaillée. ⋅ HKEY_LOCAL_MACHINE \ SOFTWARE \ iBoss \ IBSA \ Parameters \ LogLevel ⋅ Une fois que la clé de registre a été définie, le service IBSA sous Windows Services doit être redémarré pour que le paramètre prenne effet. En vérifiant l’observateur d’événements Windows, vous voyez de nombreuses entrées enregistrées en fonction du niveau de journal défini.
8. Journaux de l’agent Windows (C:\Windows\SysWOW64\ibsa_0.log)

Un mot-clé n’est pas bloqué

Il existe une multitude de stratégies et de variables à l’intérieur et autour des opérations de la plateforme cloud CSIA qui peuvent interférer avec le blocage correct des mots clés configurés. Se référer à ce qui suit :

1. Assurez-vous que le déchiffrement SSL est actif pour ce site Web. Les mots clés ne peuvent pas être observés ou contrôlés pour les sites Web HTTPS.
2. Si l’adresse IP source du poste de travail client ou l’adresse IP de destination du serveur Web a été ajoutée à la liste Réseau > Contourner les plages IP, les contrôles de sécurité Web ne sont pas appliqués.
3. Les mots-clés configurés pour bloquer ne prennent pas effet si le site Web est ajouté à Sécurité Web > Liste d’autorisation sans l’option Mots-clés/Recherche de sécurité activée. La case à cocher Mot-clé/SafeSearch est activée, Web Gateway autorise l’accès au site Web tout en imposant les contrôles Mot clé et Safesearch.
4. Le mot-clé contient des astérisques, supprimez plutôt les astérisques et activez la correspondance des caractères génériques pour le mot-clé si c’est l’effet souhaité.
5. Le mot clé comporte plusieurs mots, et la correspondance des caractères génériques n’est pas activée, ou les espaces n’étaient pas indiqués avec un signe plus (« + »).
6. L’utilisateur n’est pas associé au groupe de sécurité Web attendu sur lequel le contrôle des mots clés est activé.

Actions en conflit à partir de listes de mots clés prédéfinies

Dans certains cas, un mot dans l’une des listes intégrées de mots-clés peut bloquer le contenu par inadvertance. Pour corriger cette action, modifiez la liste spécifique de mots clés prédéfinis. Lorsque vous cliquez sur l’icône de crayon pour modifier une liste intégrée, l’interface de la plateforme cloud CSIA affiche une page de mots clés avec des cases à cocher à côté. Pour supprimer le mot clé de la liste intégrée, désactivez la case à côté du mot clé que vous souhaitez supprimer et cliquez sur Enregistrer. Pour appliquer cette action à tous les groupes, cochez la case intitulée Appliquer à tous les groupes.

Identification du nœud d’Citrix Secure Internet Access du client

1. Depuis la page d’ accueil, accédez à la Gestion de collection de nœuds.
2. Cliquez sur Groupes de nœuds.
3. Cela vous fournit à la fois le nœud CSIA client-reports.ibosscloud.com et les clusters de nœuds CSIA client-swg.ibosscloud.com.

Intégration de Splunk avec le nœud d’Citrix Secure Internet Access

Configuration du serveur Splunk

1. Accédez à l’instance Splunk Server et cliquez sur le lien Paramètres en haut de la page, suivi du lien Entrées de données sous la sous-section « Données ».
2. Cliquez sur le lien Ajouter un nouveau à droite de la section « UDP ».
3. Entrez un port dans le champ « port » (au-dessus de 1023, si possible, pour éviter les restrictions de sécurité avec le système d’exploitation). Dans le champ « Accepter la connexion à partir de », saisissez l’adresse IP de votre nœud reporter CSIA. Si rien n’est entré dans ce champ, les connexions de tous les hôtes sont acceptées. Lorsque vous avez terminé, cliquez sur Suivant.
4. Sur la page suivante, cliquez sur Sélectionner le type de source et tapez « syslog », puis sélectionnez-le.
5. Changez le contexte de l’application en Recherche et création de rapports (recherche).
6. Modifiez la méthode Host en IP.
7. Cliquez sur Réviser (vérifier la configuration actuelle), puis sur Soumettre.

Configuration du module de reporting et d’analyse CSIA

1. Accédez à Reporting & Analytics > Transfert de journaux > Transférer à partir du journaliste dans l’interface de la plateforme cloud iboss.
2. Sous Intégration de Splunk, cliquez sur Actions, puis sur Ajouter un serveur.
3. Ajoutez l’adresse/nom d’hôte du serveur Splunk au « Nom d’hôte » et le numéro de port choisi sur le serveur Splunk. Ensuite, dans le menu déroulant « Splunk Integration Protocol », choisissez un protocole. Les options disponibles lors de l’ajout d’un serveur Splunk sont les suivantes :
4. Vous pouvez également configurer le protocole d’intégration du serveur Splunk en tant que HEC. La configuration de l’intégration avec un serveur Splunk à l’aide du protocole HEC nécessite l’acquisition du jeton HEC à partir de la configuration du serveur Splunk. Placez le jeton récupéré dans le champ Token sous le menu déroulant Splunk Integration Protocol.
5. Si vous implémentez un format de journal ELFF pour la journalisation Splunk, le champ Taille de lot ELFF d’intégration Splunk devient disponible pour la configuration. La valeur par défaut de la configuration est 100.
6. Un bascule appelé « Accepter tous les certificats SSL » est disponible dans la section « Intégration Splunk » dans Paramètres > Journalisation externe. Si un certificat SSL non standard tel qu’un certificat auto-signé ou un certificat signé par une autorité de certification racine non approuvée est utilisé, basculez ce bascule sur « OUI » pour contourner la vérification du certificat SSL, sinon laissez l’interrupteur hors tension.
7. Sélectionnez le format dans lequel les données du journal sont livrées dans le menu déroulant « Format du journal ». Enfin, basculez un ou plusieurs des bascules en bas de l’interface pour sélectionner les types d’informations de journalisation souhaitées. Cliquez sur le bouton Enregistrer pour mettre à jour les modifications. La journalisation commence immédiatement. Effectuez une recherche sur l’instance Splunk pour vérifier que les données sont envoyées et indexées correctement. Voir l’exemple de sortie ci-dessous.

Modification du port proxy

Le port proxy CSIA peut être modifié, mais vous ne devez pas essayer de changer le port proxy par un port que la passerelle utilise pour d’autres services.

Les ports qui ne peuvent pas être utilisés sont : 53, 139, 199, 443, 445, 953, 1080, 1344, 5432, 6001, 7009, 7080, 7443, 8008 8015, 8016, 8025, 8026, 8035, 8036, 8080, 8200, 8201, 9080, 9080, 9443, 17500, 22022

Tous les autres ports sont une alternative acceptable au port par défaut.

1. Accédez à Proxy et mise en cache > Paramètres du proxy
2. Sous l’ onglet Paramètres, entrez le numéro de port souhaité sur lequel le proxy écoute le trafic dans le champ Port proxy. Remarque : Le port configuré pour ce paramètre est utilisé lors de la configuration des paramètres proxy dans d’autres fonctionnalités de la plate-forme. Certains ports peuvent ne pas être disponibles pour l’attribution à ce paramètre en raison de services de passerelle préconfigurés.
3. Cliquez sur Enregistrer pour appliquer cette modification.

Annexe

Liste des catégories principales

Remarque : Soyez prudent avec la catégorie « Non classé », car elle correspond à de nombreux sites qui ne sont pas classés.

Catégorie	Description
Avortement *	Sites liés à l’avortement
Publicités	Sites utilisés pour distribuer des graphiques ou du contenu publicitaire en plus des coupons en ligne, des ventes publicitaires, des bons d’achat, des offres et des offres
Contenu pour adultes	Sites contenant du matériel destiné aux adultes. Les sites de cette catégorie ne contiennent pas de nudité, mais présentent un contenu vulgaire et profane. Les sites qui s’identifient comme inappropriés pour les personnes de moins de 18 ans relèvent de cette catégorie.
Alcool/Tabac	Sites contenant de l’alcool et du tabac. Comprend également les sites liés à l’alcool tels que les bars. Les sites de cette catégorie ne contiennent pas de drogues illicites, mais peuvent discuter, encourager, promouvoir, offrir, vendre, fournir ou promouvoir l’utilisation ou la création d’alcool ou de tabac.
Art	Sites contenant de l’art ou qui discutent de l’art, y compris les musées. Peut également inclure des livres à colorier imprimables, des sculptures, des mosaïques, des tatouages, des calligraphies, des polices, des peintures, des graffitis, des dessins chrétiens ou religieux, des dessins animés, des dessins artistiques
Enchères	Sites liés aux enchères et aux enchères sur des biens et services, en ligne et en direct
Audio & Vidéo	Sites qui contiennent du contenu audio/vidéo téléchargeable en streaming ou téléchargeable, tels que des fichiers MP3, des clips vidéo et des séries TV, en plus des sites qui vendent ce contenu.
Commercial	Sites qui représentent la présence en ligne d’une entreprise. Peut être engagé dans le commerce ou l’activité d’achat et de vente de produits et de services entre l’entreprise et le consommateur. Comprend les fabricants, les producteurs, les fournisseurs, les concessionnaires, les distributeurs, les grossistes, les détaillants, les entreprises familiales et toute autre entité orientée vers l’entreprise.
CDN*	Réseaux de diffusion de contenu (CDN) et sites liés aux CDN
Rencontres et rencontres	Sites qui offrent des services de rencontres ou aident à établir des relations amoureuses
Dictionnaire	Sites contenant de vastes collections d’informations et de connaissances. Inclut des ressources telles que des wikis, des dictionnaires lexicaux, des cartes, des recensements, des almanacs, des catalogues de bibliothèques, des sites liés à la généalogie, des informations scientifiques et des répertoires, en plus des utilitaires tels que des horloges, des calculatrices, des minuteries et des modèles.
Médicaments	Sites contenant du contenu relatif aux drogues illicites telles que les amphétamines, les barbituriques, les benzodiazépines, la cocaïne, les drogues de créateurs, l’ecstasy, l’héroïne. Ne fait pas référence à Cannabis/Marijuana
Médicaments - Contrôlé*	Sites liés aux drogues et substances contrôlées
DNS dynamique*	Sites qui utilisent des services DNS dynamiques pour mapper leurs noms de domaine à des adresses IP dynamiques.
Éducation	Les sites qui fournissent des services éducatifs tels que les écoles et les universités, en plus des sites qui offrent du matériel didactique à vendre ou à consulter. Comprend des sites Web qui offrent de l’information sur les écoles et les programmes d’éducation ou de métiers, professionnels ou professionnels. Comprend également les sites parrainés par des écoles, des établissements d’enseignement, des professeurs ou des groupes d’anciens élèves.
Divertissement	Sites qui contiennent ou font la promotion de la télévision, des films, des magazines, de la radio, des livres, de la nourriture, de la mode et du mode de vie Plus précisément, les sites qui fournissent de l’information sur la culture populaire ou en font la promotion, y compris (mais sans s’y limiter) les films, les critiques cinématographiques et les discussions, les bandes-annonces, les billetterie, la télévision, les divertissements à domicile, la musique, les bandes dessinées, les romans graphiques, les nouvelles littéraires et les critiques, en plus d’autres périodiques, interviews, fans clubs, commérages de célébrités, podcasts et graphiques de musique et de films, spectacles, événements, citations, mèmes, paroles, musiciens, groupes, arts théâtraux, théâtre, opéra, orchestre.
Extreme*	Sites contenant du contenu intensément vulgaire, graphique, choquant ou dégoûtant qui serait considéré comme hautement offensant pour la plupart des individus.
Partage de fichiers	Sites pour les services qui fournissent le stockage de fichiers en ligne, le partage de fichiers, la synchronisation des fichiers entre les périphériques ou la sauvegarde et la restauration de données basées sur le réseau. Ces services peuvent fournir les moyens de télécharger, de télécharger, de coller, d’organiser, de publier et de partager des documents, des fichiers, du code informatique, du texte, des vidéos sans droit d’auteur, de la musique et d’autres informations formatées électroniquement dans le stockage de données virtuelles. De plus, cette catégorie couvre les services qui distribuent des logiciels pour faciliter l’échange direct de fichiers entre les utilisateurs.
Finance	Sites contenant du contenu sur les banques, les actualités financières et les astuces, le marché boursier, l’investissement, les cartes de crédit, les assurances et les prêts.
Alimentation	Sites qui contiennent du contenu lié aux restaurants, à la nourriture, à la restauration, en plus des sites qui listent, examinent, discutent, font la publicité et font la promotion de la nourriture, de la restauration, des services de restauration, de la cuisine et des recettes.
Forums	Sites contenant des forums de discussion, des salons de discussion en ligne et des forums de discussion
Freeware/Shareware*	Sites liés à la distribution de logiciels freeware et shareware
Amitié	Sites qui contiennent du matériel lié à l’amitié platonique et des sites de réseautage social.
Jeux d’argent	Sites qui font la promotion ou contiennent du contenu lié aux jeux tels que le poker et les casinos en ligne, les paris sportifs et les loteries. Sites où un utilisateur peut placer des paris ou participer à des pools de paris, loteries, ou recevoir des informations, de l’aide, des recommandations ou de la formation dans de telles activités. Cette catégorie n’inclut pas les sites qui vendent des produits liés au jeu ou des sites pour casinos/hôtels hors ligne, sauf s’ils répondent à l’une des exigences ci-dessus.
Jeux	Sites qui contiennent des jeux en ligne, ou qui fournissent des services et des informations sur les jeux électroniques, les jeux vidéo et les consoles domestiques, les jeux informatiques et les jeux de rôle. Comprend également des guides de jeu/triche et des accessoires
Gouvernement	Sites parrainés par ou représentant des organismes gouvernementaux, y compris des organisations militaires et stratégies. Peut fournir des informations sur la fiscalité, les services d’urgence et les lois de diverses entités gouvernementales. Comprend également des sites qui offrent des services d’adoption, de l’information sur l’adoption, de l’information sur l’immigration et des services d’immigration.
Fusils & Armes	Sites qui font la promotion, vendent ou fournissent de l’information sur les armes à feu, les couteaux et autres armes
Piratage*	Sites liés au piratage et outils de piratage
Intégrité	Sites qui contiennent du contenu lié à la santé, aux maladies et aux affections, y compris les hôpitaux, les médecins et les médicaments d’ordonnance, y compris des sites axés principalement sur la recherche en santé. De plus, des sites qui fournissent des conseils et de l’information sur la santé générale, comme la condition physique et le bien-être, la santé personnelle, les services médicaux, les médicaments en vente libre et sur ordonnance, les effets sur la santé de la consommation légale et illégale de drogues, les thérapies parallèles et complémentaires, la dentisterie, l’optométrie et la psychiatrie. En outre, comprend les organismes d’entraide et de soutien dédiés à une maladie ou à des problèmes de santé.
Humour*	Sites principalement liés à des blagues, de l’humour ou de la comédie
Activité illégale*	Sites liés à des activités ou activités illicites illégales dans la plupart des pays
Recherche d’images/vidéos	Les sites de recherche d’images et de vidéos, y compris le partage de médias (par exemple, le partage de photos) et présentent un faible risque d’inclure du contenu répréhensible tel que du matériel graphique pour adultes ou porno.
Informationnel	Sites contenant du contenu informatif tel que des informations ou des conseils régionaux
Infosec*	Sites présentant du contenu lié à la sécurité de l’information
Communication sur Internet	Sites liés à la communication Internet et à la VOIP
IoT *	Sites liés à l’Internet des objets et aux appareils IoT
Emplois	Les sites qui contiennent des moteurs de recherche d’emploi et d’autres documents tels que des conseils et des stratégies de recherche d’emploi.
Enfants*	Sites principalement liés aux enfants et aux jeunes adultes
Contenu des logiciels malveillants *	Sites contenant des logiciels malveillants, des virus ou des logiciels malveillants, des pirates logiciels, des codes illégaux et du matériel lié aux pirates informatiques Une pratique courante consiste à bloquer la catégorie des programmes malveillants pour tous les groupes.
Marijuana*	Sites liés à la production, à l’utilisation ou à la vente de marijuana
Messagerie*	Site lié à la messagerie instantanée et au chat
Téléphones Portables	Sites qui vendent ou fournissent des informations et des services sur les téléphones mobiles (cellulaires)
Actualités	Sites qui fournissent des actualités et des événements, y compris les journaux en ligne. Sites qui rapportent principalement de l’information ou des commentaires sur des événements d’actualité ou des enjeux contemporains du jour. Inclut également les stations de radio d’information et les magazines d’information. Peut ne pas inclure les sites qui peuvent être mieux capturés par d’autres catégories.
Nudité*	Sites contenant toute forme de nudité
Réunions en ligne*	Sites liés au logiciel pour les réunions en ligne ou l’hébergement de réunions en ligne
Organisations	Sites qui contiennent du contenu lié à des organisations qui favorisent le bénévolat pour les organismes caritatifs tels que les organismes à but non lucratif, les fondations, les sociétés, les associations, les communautés, les institutions. Comprend également les concours reconnus (Miss Terre), les scouts garçons/filles et les organismes qui cultivent des efforts philanthropiques ou de secours.
P2P*	Sites liés au partage de fichiers Peer-to-Peer (P2P)
Domaines parqués	Sites garés, ce qui signifie que le domaine n’est associé à aucun service tel qu’un e-mail ou un site Web. Ces domaines sont souvent répertoriés « à vendre. »
Phishing*	Sites et sites utilisés dans les campagnes d’hameçonnage et de pêche sous-marine
Piratage*	Sites liés au piratage numérique
Stratégies	Sites qui contiennent du contenu stratégie, y compris ceux qui représentent des organisations ou des organisations stratégies qui font la promotion d’opinions stratégies
Pornographie - Enfant	Sites contenant du contenu destiné aux adultes, y compris des graphiques et du matériel sexuellement explicite mettant en vedette des enfants, ou semblant présenter des enfants.
Pornographie/Nudité	Sites contenant du contenu destiné aux adultes, y compris des graphiques et du matériel sexuellement explicites. Inclut art avec nudité, sex shops et sites Web avec des publicités montrant la nudité, jeux avec nudité
Sites Web privés	Sites créés par des individus contenant des expressions personnelles telles que des blogs, des journaux personnels, des expériences ou des intérêts
Services professionnels	Sites offrant des produits professionnels, immatériels, ou une expertise (par opposition aux biens matériels). Comprend des sites pour des services exécutés de manière experte par un individu ou une équipe au profit de ses clients. Les services typiques comprennent les services de nettoyage, de réparation, de comptabilité, de banque, de consultation, d’aménagement paysager, d’éducation, d’assurance, de traitement et de transport. Également, comprend le tutorat en ligne, la danse, la conduite, les arts martiaux, les cours d’instruments de musique et la rédaction de dissertation.
Immobilier	Sites axés sur l’immobilier, y compris les agents, la location et la location de résidences et de bureaux, et d’autres informations immobilières
La religion	Sites qui font la promotion ou fournissent des informations sur les croyances et pratiques religieuses
Outils d’accès à distance*	Outils d’accès à distance tels que les services de partage d’écran
Escroqueries *	Sites liés aux escroqueries
Moteurs de recherche	Sites utilisés pour effectuer des recherches sur le Web
Sexe Ed	Sites contenant du contenu relatif à l’éducation sexuelle. Le contenu peut être graphique, mais il est conçu pour informer sur le processus de reproduction, le développement sexuel, les pratiques sexuelles sécuritaires, la sexualité, le contrôle des naissances, les conseils pour un meilleur sexe et les produits d’amélioration sexuelle.
Shopping	Sites utilisés pour acheter des biens de consommation, y compris les ventes aux enchères en ligne et les petites annonces. Comprend les billets d’événement
Spam*	Sites liés au spam ou utilisés dans des campagnes de courrier indésirable
Sports	Sites relatifs au sport et aux loisirs actifs. Cela comprend les sports organisés, professionnels et compétitifs en plus des loisirs actifs tels que la pêche, le golf, la chasse, le jogging, le canoë, le tir à l’arc, les échecs.
Radio/TV en continu	Sites contenant du contenu en continu à la radio ou à la télévision
Suicide*	Sites liés au suicide, y compris l’information sur le suicide
Suspicieux*	Les sites qui ne contiennent pas nécessairement de logiciels malveillants ou de contenus malveillants, mais qui, en raison de certains attributs, ont été signalés comme douteux. L’analyse malveillante d’iboss classe ces sites comme « Non sécurisés », même si aucun logiciel malveillant n’est détecté. La protection heuristique des requêtes Web, si elle est active, signale également les sites classés comme suspects.
Maillot de bain	Sites qui contiennent du contenu révélateur sexuellement, mais pas de nudité. Comprend des sites de shopping pour bikini, maillots de bain, lingerie et autres vêtements intimes.
Technologie	Sites qui contiennent des technologies liées au contenu, y compris des logiciels, du matériel informatique, des sociétés technologiques et de l’aide informatique technique. De plus, les sites qui commanditent ou fournissent des informations, des nouvelles, des critiques, des opinions et une couverture de l’informatique, des appareils informatiques et de la technologie, de l’électronique grand public et de la technologie générale.
Terrorisme/Radicalisation	Les sites qui présentent des groupes ou des mouvements radicaux aux convictions ou croyances antigouvernementales agressives.
Infrastructure technique*	Sites liés à l’infrastructure technologique
Barres d’outils	Sites proposant des téléchargements de barres d’outils pour les navigateurs Web
Services de traduction*	Sites fournissant des services de traduction
Transport	Sites contenant du contenu lié au transport. Cela comprend des renseignements sur les trains, les lignes d’autobus et les transports en commun, ainsi que sur les sites de vente, de promotion ou liés à des voitures, des motos, des bateaux et des aéronefs.
Voyage	Sites qui offrent des services ou des renseignements liés aux voyages tels que la discussion en ligne, la planification, le tourisme, l’hébergement et le transport, comme les compagnies aériennes, les trains et les autobus, ainsi que les horaires et les tarifs pertinents. Sites qui font la promotion ou fournissent des réservations de voyage, des expériences de voyage, des locations de véhicules, des descriptions de destinations de voyage, ou des promotions pour des hôtels/casinos ou d’autres hébergements liés au voyage. Peut inclure des festivals et des parcs d’attractions.
Violence et haine	Sites qui favorisent un comportement violent ou dépeignent gratuitement des images de mort, de gore ou de lésions corporelles
Hébergement Web*	Fournisseurs d’hébergement Web
Webmail	Sites offrant des services de messagerie Web
Serveurs proxy Web	Sites offrant des informations sur, des services ou des téléchargements de proxy Web, méthode souvent utilisée pour contourner les URL et les filtres de contenu