Documentation produit
Workspace Environment Management
Service Current Release 2402 2311 2308 2305 2303 2212 2209 2206 2203
Voir PDF
Merci pour vos commentaires

Ce article a été traduit automatiquement. (Clause de non responsabilité)

  Lire en anglais

Sécurité

April 9, 2025
Contributeur: 
C

Sécurité des applications

La fonctionnalité de sécurité des applications vous permet de définir des règles pour contrôler les applications et les fichiers que les utilisateurs peuvent exécuter. Vous pouvez configurer les règles de sécurité des applications dans la console Web et fournir un outil permettant de récupérer les informations nécessaires à la configuration des règles. Vous pouvez également utiliser cette fonctionnalité pour créer des groupes d’affectation dotés de règles de sécurité. Lorsque les options Traiter les règles d’application et Traiter les règles de DLL sont activées, le mode Remplacer est activé par défaut. En mode Remplacer, les règles traitées à la fin remplacent les règles qui ont été traitées précédemment. Nous vous recommandons d’appliquer ce mode uniquement aux machines à session unique. Cette fonctionnalité vous permet également de créer les règles suivantes :

  • Règles exécutables
  • Règles du programme d’installation de Windows
  • Règles de script
  • Règles des applications packagées
  • Règles de DLL

Remarque :

Avant de créer des règles, nous vous recommandons d’ajouter d’abord les règles par défaut pour garantir que les fichiers système importants peuvent s’exécuter.

Créer une règle d’installation pour Windows

Cela inclut deux éléments de menu, Informations de base et Exceptions. Pour créer une règle d’installation Windows, procédez comme suit sous Informations de base et Exceptions :

  • Si vous sélectionnez Créer une règle, vous êtes redirigé vers la page Créer une règle pour le programme d’installation de Windows.
  • Entrez le nom et une description facultative.
  • Choisissez l’action souhaitée.
  • Sélectionnez le type de critère ** tel que **Chemin, Éditeurou Hachage de fichier dans la liste déroulante.
  • La sélection de l’afficheur d’informations sur les fichiers ouverts vous dirige vers WEM Tool Hub. Utilisez WEM Tool Hub** pour obtenir rapidement les informations requises. Pour plus d’informations, consultez la section Visionneuse d’informations sur les fichiers.
  • Vous pouvez éventuellement ajouter des exceptions pour inclure les fichiers qui sont normalement inclus dans la règle en fonction des critères principaux. Pour effectuer cette tâche, sélectionnez Ajouter une exception.
  • Accédez à WEM Tool Hub pour copier les données à partir de l’un des critères spécifiés sous File Info Viewer, puis cliquez sur Coller depuis File Info Viewer.
  • Cliquez sur Terminé.
  • Sélectionnez Continuer vers l’attribution pour mettre à jour les tâches selon les besoins sur la page Gérer les tâches.
  • Sélectionnez Objectifs d’affectation (utilisateurs et groupes) auxquels attribuer cet élément. Utilisez des filtres pour contextualiser le devoir. Les filtres que vous spécifiez ne sont efficaces qu’en mode Remplacer et ne sont pris en charge que sur les versions d’agent 2406 ou ultérieures.
  • Entrez un astérisque si vous souhaitez qu’une règle spécifique soit appliquée à tous les fichiers.

Élévation des privilèges

Cette fonctionnalité définit des règles pour exécuter certains programmes avec des privilèges d’administrateur. Vous pouvez élever les privilèges des utilisateurs non administrateurs au niveau d’administrateur nécessaire pour certains exécutables. Par conséquent, les utilisateurs peuvent démarrer ces exécutables comme s’ils étaient membres du groupe d’administrateurs.

Options d’élévation de privilèges

  • Traiter les règles d’élévation de privilèges : lorsque cette option est sélectionnée, les agents peuvent traiter les paramètres d’élévation de privilèges et d’autres options de l’onglet Élévation de privilèges deviennent disponibles.

  • Appliquer aux systèmes d’exploitation Windows Server : contrôle s’il faut appliquer les paramètres d’élévation de privilèges aux systèmes d’exploitation Windows Server. Si cette option est sélectionnée, les règles attribuées aux utilisateurs fonctionnent sur les ordinateurs Windows Server. Par défaut, cette option est désactivée.

  • Appliquer RunAsInvoker : Contrôle s’il faut forcer tous les exécutables à s’exécuter sous le compte Windows actuel. Si cette option est sélectionnée, les utilisateurs ne sont pas invités à exécuter des exécutables en tant qu’administrateurs.

Ce volet affiche également la liste complète des règles que vous avez configurées. Cliquer Règles exécutables, Règles Windows Installerou Auto-élévation pour filtrer la liste des règles sur un type de règle spécifique. Vous pouvez utiliserRechercherpour filtrer la liste. La colonne attribuée affiche une icône de coche pour les utilisateurs ou les groupes d’utilisateurs affectés.

Règles prises en charge

Vous pouvez configurer l’élévation de privilèges à l’aide de deux types de règles : les règles exécutables et les règles d’installation Windows.

  • Règles exécutables: règles qui incluent des fichiers avec des extensions .exe et .com associées à une application.

  • Règles Windows Installer: règles qui incluent des fichiers d’installation avec .Msi et .Msp extensions associées à une application. Lorsque vous ajoutez des règles d’installation Windows, envisagez le scénario suivant :

    • L’élévation des privilèges s’applique uniquement au fichier msiexec.exe de Microsoft. Assurez-vous que l’outil que vous utilisez pour déployer .msi et les fichiers .msp Windows Installer est msiexec.exe.
    • Supposons qu’un processus corresponde à une règle Windows Installer spécifiée et que son processus parent corresponde à une règle exécutable spécifiée. Le processus ne peut pas obtenir de privilèges élevés à moins que le paramètre Appliquer aux processus enfants soit activé dans la règle exécutable spécifiée.

  • Auto-élévation: Lorsqu’il est activé, le Exécuter avec des privilèges d’administrateur est disponible dans le menu contextuel lorsque vous cliquez avec le bouton droit de la souris sur un fichier. Après avoir sélectionné cette option, vous êtes invité à fournir une raison pour l’altitude. L’altitude est alors autorisée ou refusée, en fonction des critères que vous spécifiez. Pour configurer la règle, vous pouvez utiliser l’icône Centre d’outils WEM > Visionneuse d’informations sur les fichiers pour obtenir rapidement les informations requises telles que le chemin d’accès, l’éditeur et les valeurs de hachage. Vous pouvez également spécifier la période, choisir le jour de la semaine et, éventuellement, définir les critères permettant de déterminer les machines sur lesquelles la règle est effective. Lorsque la bascule Auto-élévation est activée pour la première fois dans un ensemble de configuration, la règle d’auto-élévation est créée et peut être trouvée dans la liste des règles lors de la gestion des affectations pour une cible d’affectation. La règle n’est jamais supprimée après sa création.

Vous pouvez spécifier la période pendant laquelle la règle est effective. Vous pouvez également définir éventuellement les critères pour déterminer sur quelles machines la règle s’applique. Vous pouvez choisir de correspondre à tout ou partie des critères suivants :

  • Nom du catalogue de la machine
  • Nom du groupe de livraison
  • Nom de l’appareil
  • Adresse IP
  • Type de plate-forme OS
  • Version du système d’exploitation
  • Statut persistant de la machine

Après avoir sélectionné l’icône Règles exécutablesle Règles Windows Installer, ou le Auto-élévation règles, le Actions affiche les actions suivantes à votre disposition :

  • Modifier. Permet de modifier une règle exécutable existante.

  • Supprimer. Permet de supprimer une règle exécutable existante.

  • Créer une règle. Permet de créer une règle exécutable. Pour créer une règle exécutable, suivez les instructions de l’assistant.

Contrôle de la hiérarchie des processus

La fonctionnalité de contrôle de la hiérarchie des processus contrôle si certains processus enfants peuvent être démarrés à partir de leurs processus parents dans des scénarios parent-enfant. Vous créez une règle en définissant des processus parents, puis en désignant une liste d’autorisation ou une liste bloquée pour leurs processus enfants. Consultez l’intégralité de cette section avant d’utiliser la fonctionnalité.

Remarque :

  • Cette fonctionnalité s’applique uniquement aux applications virtuelles Citrix.

Pour comprendre comment fonctionne la règle, gardez à l’esprit les points suivants :

  • Un processus n’est soumis qu’à une seule règle. Si vous définissez plusieurs règles pour le même processus, seule la règle avec la priorité la plus élevée est appliquée.

  • La règle que vous avez définie n’est pas limitée uniquement à la hiérarchie parent-enfant d’origine, mais s’applique également à chaque niveau de cette hiérarchie. Les règles applicables à un processus parent prévalent sur les règles applicables à ses processus enfants, quelle que soit la priorité des règles. Par exemple, vous définissez les deux règles suivantes :

    • Règle 1 : Word ne peut pas ouvrir CMD.
    • Règle 2 : Le Bloc-notes peut ouvrir CMD.

    Avec les deux règles, vous ne pouvez pas ouvrir CMD à partir du Bloc-notes en ouvrant d’abord Word, puis en ouvrant le Bloc-notes à partir de Word, quelle que soit la priorité des règles.

Cette fonctionnalité s’appuie sur certaines relations parent-enfant basées sur des processus pour fonctionner. Pour visualiser les relations parent-enfant dans un scénario, utilisez la fonction d’arborescence de processus de l’outil Process Explorer. Pour plus d’informations sur Process Explorer, consultez https://docs.microsoft.com/en-us/sysinternals/downloads/procmon.

Pour éviter tout problème potentiel, nous vous recommandons d’ajouter un chemin de fichier exécutable qui pointe vers VUEMAppCmd.exe dans l’interface de gestion de la configuration complète. VUEMAppCmd.exe garantit que l’agent WEM termine le traitement des paramètres avant le démarrage des applications publiées. Effectuez les étapes suivantes :

  1. Sur le nœud Application , sélectionnez l’application, cliquez sur Propriétés dans la barre d’action, puis accédez à la page Emplacement .

    Page Paramètres de l'application dans la configuration complète

  2. Tapez le chemin de l’application locale sur le système d’exploitation de l’utilisateur final.

    • Sous le champ Chemin vers le fichier exécutable , saisissez ce qui suit :

         <%ProgramFiles%>\Citrix\Workspace Environment Management Agent\VUEMAppCmd.exe

  3. Tapez l’argument de ligne de commande pour spécifier une application à ouvrir.

    • Sous le champ Argument de ligne de commande , saisissez le chemin d’accès complet à l’application que vous souhaitez lancer via VUEMAppCmd.exe. Assurez-vous d’entourer la ligne de commande de l’application de guillemets doubles si le chemin contient des espaces.
    • Par exemple, supposons que vous souhaitiez lancer iexplore.exe via VUEMAppCmd.exe. Vous pouvez le faire en tapant ce qui suit : %ProgramFiles(x86)%\"Internet Explorer"\iexplore.exe.

Considérations

Pour que la fonctionnalité fonctionne, vous devez utiliser l’outil AppInfoViewer sur chaque machine agent pour activer la fonctionnalité. Chaque fois que vous utilisez l’outil pour activer ou désactiver la fonctionnalité, un redémarrage de la machine est nécessaire. Une fois la fonctionnalité activée, tenez compte des considérations suivantes :

  • Vous devez redémarrer la machine agent après la mise à niveau ou la désinstallation de l’agent.

  • La fonction de mise à niveau automatique de l’agent ne fonctionne pas lorsque la fonction est activée. Pour utiliser la fonctionnalité de mise à niveau automatique de l’agent, utilisez l’outil AppInfoViewer pour désactiver d’abord la fonctionnalité de contrôle de la hiérarchie des processus.

Pour vérifier que la fonctionnalité de contrôle de la hiérarchie des processus est activée, ouvrez l’éditeur de registre ** sur la machine agent. La fonctionnalité est activée si l’entrée de registre suivante existe :

  • Système d’exploitation 32 bits
    • HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_Dlls\WEM Hook
  • Système d’exploitation 64 bits
    • HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\CtxHook\AppInit_Dlls\WEM Hook
    • HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\CtxHook\AppInit_Dlls\WEM Hook

Logiciels requis

Pour utiliser cette fonctionnalité, assurez-vous que les conditions préalables suivantes sont remplies :

  • Un déploiement d’applications virtuelles Citrix.
  • L’agent s’exécute sur Windows 10 ou Windows Server.
  • L’hôte de l’agent a été redémarré après une mise à niveau sur place ou une nouvelle installation.

Options de contrôle de la hiérarchie des processus

Lorsque vous sélectionnez Contrôle de la hiérarchie des processus dans Sécurité, les options suivantes s’affichent :

Activer le contrôle de la hiérarchie des processus: Contrôle s’il faut activer la fonction de contrôle de la hiérarchie des processus. Une fois sélectionnée, d’autres options de l’onglet Contrôle de la hiérarchie des processus deviennent disponibles et les paramètres configurés prennent effet. Vous ne pouvez utiliser cette fonctionnalité que dans un déploiement Citrix Virtual Apps.

Masquer Ouvrir avec du menu contextuel: Contrôle s’il faut afficher ou masquer l’option Ouvrir avec dans le menu contextuel du clic droit de Windows. Lorsque cette option est activée, l’option de menu est masquée de l’interface. Lorsque cette option est désactivée, elle est visible et les utilisateurs peuvent l’utiliser pour démarrer un processus. La fonctionnalité de contrôle de la hiérarchie des processus ne s’applique pas aux processus démarrés via l’option Ouvrir avec . Nous vous recommandons d’activer ce paramètre pour empêcher les applications de démarrer des processus via des services système qui ne sont pas liés à la hiérarchie d’applications actuelle.

L’onglet Contrôle de hiérarchie des processus affiche également la liste complète des règles que vous avez configurées. Vous pouvez utiliser Rechercher pour filtrer la liste. La colonne attribuée affiche une icône de coche pour les utilisateurs ou les groupes d’utilisateurs affectés.

La section Actions affiche les actions suivantes :

  • Modifier. Vous permet de modifier une règle.
  • Supprimer. Vous permet de supprimer une règle.
  • Créer une règle. Vous permet d’ajouter une règle.

Créer une règle

  1. Accédez à Contrôle de la hiérarchie des processus et cliquez sur Créer une règle. La page Créer une règle apparaît.

  2. Dans la section Affichage , saisissez ce qui suit :
    • Nom. Tapez le nom d’affichage de la règle. Le nom apparaît dans la liste des règles.
    • Description. Saisissez des informations supplémentaires sur la règle.

  3. Dans la section Priorité  : définissez la priorité de la règle. Lors de la configuration de la priorité, tenez compte des éléments suivants : la priorité détermine l’ordre dans lequel les règles que vous avez configurées sont traitées. Plus la valeur est élevée, plus la priorité est élevée. Saisissez un entier. En cas de conflit, la règle ayant la priorité la plus élevée prévaut.

  4. Dans la section Type de critère , sélectionnez une option pour ajouter Processus parent.
    • Chemin. La règle correspond à un chemin de fichier.
    • Editeur. La règle correspond à un éditeur sélectionné.
    • Heure de début. La règle correspond à un code de hachage spécifique.
  5. Dans la section Mode , sélectionnez l’une des options suivantes :
    • Liste autorisée. Définissez des critères pour les processus enfants autorisés à s’ouvrir à partir du processus parent. Tout le reste est nié.
    • Liste de refus. Définissez des critères pour les processus enfants qui ne sont pas autorisés à s’ouvrir à partir du processus parent. Tout le reste est permis.

  6. Critères pour les processus enfants.

  7. Spécifiez la période pendant laquelle la règle est effective.

  8. Critères de la machine : définissez des critères pour déterminer sur quelles machines la règle est efficace. Vous pouvez éventuellement définir les critères pour déterminer sur quelles machines la règle s’applique. Vous pouvez choisir de correspondre à tout ou partie des critères suivants :
    • Nom du catalogue de la machine
    • Nom du groupe de livraison
    • Nom de l’appareil
    • Adresse IP
    • Type de plate-forme OS
    • Version du système d’exploitation
    • Statut persistant de la machine

Pour attribuer des règles aux utilisateurs

Sélectionnez une règle dans la liste, puis cliquez sur Gérer les affectations dans la section Actions .

Pour supprimer des règles

Sélectionnez une ou plusieurs règles dans la liste, puis cliquez sur Supprimer dans la section Actions .

La version officielle de ce document est en anglais. Certains contenus de la documentation Cloud Software Group ont été traduits de façon automatique à des fins pratiques uniquement. Cloud Software Group n'exerce aucun contrôle sur le contenu traduit de façon automatique, qui peut contenir des erreurs, des imprécisions ou un langage inapproprié. Aucune garantie, explicite ou implicite, n'est fournie quant à l'exactitude, la fiabilité, la pertinence ou la justesse de toute traduction effectuée depuis l'anglais d'origine vers une autre langue, ou quant à la conformité de votre produit ou service Cloud Software Group à tout contenu traduit de façon automatique, et toute garantie fournie en vertu du contrat de licence de l'utilisateur final ou des conditions d'utilisation des services applicables, ou de tout autre accord avec Cloud Software Group, quant à la conformité du produit ou service à toute documentation ne s'applique pas dans la mesure où cette documentation a été traduite de façon automatique. Cloud Software Group ne pourra être tenu responsable de tout dommage ou problème dû à l'utilisation de contenu traduit de façon automatique.
Sécurité
April 9, 2025
Contributeur: 
C

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999-2025 Cloud Software Group, Inc. All rights reserved.