Product Documentation

Planification de la sécurité

Oct 21, 2016

Ce document décrit :

  • les bonnes pratiques générales en matière de sécurité lors de l'utilisation de cette version, et les différences en termes de sécurité entre XenDesktop et un environnement informatique classique ;
  • Gestion des privilèges utilisateur
  • les scénarios de déploiement et leurs implications en termes de sécurité.
  • Remote PC Access

Votre entreprise peut être tenue de satisfaire à certaines normes de sécurité pour remplir ses obligations réglementaires. Ce document ne traite pas de ce sujet, car ces normes de sécurité évoluent continuellement. Pour obtenir les informations les plus récentes sur les normes de sécurité et les produits Citrix, consultez http://www.citrix.com/security/.

Bonnes pratiques en matière de sécurité

Maintenez à jour toutes les machines de votre environnement avec des correctifs de sécurité. L'un des avantages est de pouvoir utiliser des clients légers comme terminaux, ce qui vous simplifie énormément la tâche.

Protégez toutes les machines de votre environnement avec un logiciel antivirus.

Protégez toutes les machines de votre environnement avec des pare-feu de périmètre, y compris aux limites des enclaves.

Si vous faites migrer un environnement classique vers cette version, il peut être nécessaire de repositionner un pare-feu de périmètre existant ou d'en ajouter de nouveaux. Supposons, par exemple, qu'un pare-feu de périmètre soit positionné entre un client classique et un serveur de base de données dans le centre de données. Avec cette version, ce pare-feu de périmètre doit être positionné de façon telle que le bureau virtuel et la machine utilisateur se trouvent d'un côté du pare-feu, et les serveurs de bases de données et les Delivery Controllers du centre de données de l'autre côté. Vous devriez, par conséquent, envisager de créer une enclave dans votre centre de données qui contiendra les serveurs et les contrôleurs utilisés par cette version. Il peut également être recommandé de mettre en place une protection entre la machine utilisateur et le bureau virtuel.

Toutes les machines de votre environnement devraient être protégées par un pare-feu personnel. Lorsque vous installez Virtual Delivery Agent (VDA), vous pouvez choisir que les ports requis pour le composant de la fonctionnalité de communication soient ouverts automatiquement si le service Pare-feu Windows est détectée (même si le pare-feu n'est pas activé). Vous pouvez également configurer ces ports des pare-feu manuellement. Si vous utilisez un autre pare-feu, vous devez configurer le pare-feu manuellement.

Remarque : les ports TCP 1494 et 2598 sont utilisés par les protocoles ICA et CGP. Ils sont donc susceptibles d'être ouverts afin que les utilisateurs se trouvant hors du centre de données puissent y accéder. Citrix vous recommande de ne pas utiliser ces ports à d'autres fins pour éviter tout risque d'attaque des interfaces d'administration. Les ports 1494 et 2598 sont officiellement enregistrés auprès de l'IANA (Internet Assigned Number Authority, voir http://www.iana.org/).

Toutes les communications réseau doivent être correctement sécurisées et cryptées pour répondre à votre stratégie de sécurité. Vous pouvez sécuriser toutes les communications entre vos ordinateurs Microsoft Windows avec IPSec ; reportez-vous à la documentation de votre système d'exploitation pour plus d'informations à ce sujet. De plus, les communications entre les machines utilisateurs et les bureaux sont sécurisées via Citrix SecureICA, configuré par défaut sur un cryptage 128 bits. Vous pouvez configurer SecureICA lorsque vous créez ou mettez à jour une affectation ; veuillez consulter la section Sécuriser les groupes de mise à disposition.

Gestion des privilèges utilisateur

N'accordez aux utilisateurs que les capacités dont ils ont besoin. Les privilèges Microsoft Windows sont toujours appliqués aux bureaux de la manière habituelle : vous configurez les privilèges à l'aide de l'attribution des droits utilisateur et de l'appartenance aux groupes via la stratégie de groupe. L'un des avantages de cette version est qu'il est possible d'octroyer à un utilisateur des droits d'administration sur un bureau sans lui accorder le contrôle physique de l'ordinateur qui héberge ce bureau.

Lorsque vous planifiez les privilèges des bureaux, veuillez noter ce qui suit.

  • Par défaut, lorsque des utilisateurs non privilégiés se connectent à un bureau, ils voient le fuseau horaire du système exécutant le bureau au lieu de celui de leur propre machine utilisateur. Pour savoir comment autoriser les utilisateurs à voir leur heure locale lorsqu'ils utilisent des bureaux, veuillez consulter la section Configurer les paramètres de fuseau horaire.
  • Un utilisateur qui est administrateur d'un bureau dispose d'un contrôle total sur ce dernier. S'il s'agit d'un bureau regroupé et non d'un bureau dédié, tous les autres utilisateurs de ce bureau, y compris les utilisateurs futurs, doivent lui faire confiance. Tous les utilisateurs doivent être conscients que ce genre de situation peut représenter un risque potentiel permanent pour la sécurité de leurs données. Cette remarque ne s'applique pas aux bureaux dédiés, qui n'ont qu'un seul utilisateur ; celui-ci ne doit être l'administrateur d'aucun autre bureau.
  • Un utilisateur qui est administrateur d'un bureau peut généralement installer des logiciels sur ce bureau, y compris des logiciels potentiellement malveillants. Il a aussi la possibilité de surveiller ou de contrôler le trafic sur tout réseau connecté au bureau.

Implications en termes de sécurité du scénario de déploiement

Votre environnement utilisateur peut se composer soit de machines utilisateur non gérées par votre entreprise et totalement sous le contrôle de l'utilisateur, soit de machines utilisateur gérées et administrées par votre entreprise. Les considérations de sécurité pour ces deux environnements sont généralement différentes.

Machines utilisateur gérées

Les machines utilisateur gérées font l'objet d'un contrôle administratif ; elles sont soit sous votre propre contrôle, soit sous celui d'une autre organisation à laquelle vous faites confiance. Vous pouvez configurer et fournir directement aux utilisateurs les machines utilisateur ; vous pouvez également fournir des terminaux sur lesquels un seul bureau s'exécute en mode plein écran seulement. Vous devez suivre les bonnes pratiques générales en matière de sécurité décrites ci-dessous pour toutes les machines utilisateur gérées. Cette version présente l'avantage de n'exiger qu'un minimum de logiciels sur une machine utilisateur.

Une machine utilisateur gérée peut être configurée pour être utilisée en mode plein écran seulement ou en mode fenêtre.

  • Si une machine utilisateur est configurée pour être utilisée en mode plein écran seulement, les utilisateurs ouvrent une session sur celle-ci à partir de l'écran d'ouverture de session Windows habituel. Les mêmes informations d'identification de l'utilisateur sont alors utilisées pour ouvrir automatiquement une session sur cette version.
  • Si une machine utilisateur est configurée de sorte que les utilisateurs voient leur bureau dans une fenêtre, ceux-ci doivent d'abord ouvrir une session sur la machine utilisateur, puis sur cette version via le site Web fourni avec le produit.

Machines utilisateur non gérées

Les machines utilisateur qui ne sont pas gérées et administrées par une organisation de confiance ne peuvent pas être considérées comme des machines sous contrôle administratif. Vous pouvez, par exemple, autoriser les utilisateurs à se procurer et à configurer leurs propres machines, mais ceux-ci peuvent ne pas respecter les bonnes pratiques générales en matière de sécurité décrites ci-dessus. Cette version présente l'avantage de mettre, en toute sécurité, des bureaux à la disposition des machines utilisateur non gérées. Ces machines doivent tout de même disposer d'une protection antivirus de base capable d'arrêter les enregistreurs de frappes et les attaques similaires axées sur la saisie.

Considérations sur le stockage de données

Lorsque vous utilisez cette version, vous pouvez empêcher les utilisateurs de stocker des données sur les machines utilisateur qui sont sous leur contrôle physique. Toutefois, vous devez encore envisager les conséquences de l'enregistrement, par les utilisateurs, de données sur leurs bureaux. Enregistrer des données sur les bureaux n'est pas une bonne pratique ; celles-ci doivent être stockées sur des serveurs de fichiers, des serveurs de bases de données ou d'autres référentiels où elles feront l'objet d'une protection appropriée.

Votre environnement peut être composé de différents types de bureaux, tels que des bureaux regroupés ou dédiés.

  • Les utilisateurs ne doivent jamais stocker de données sur des bureaux partagés, tels que les bureaux regroupés.
  • S'ils stockent des données sur des bureaux dédiés, celles-ci doivent être supprimées si les bureaux sont ensuite mis à la disposition d'autres utilisateurs.

Remote PC Access

Remote PC Access implémente les fonctionnalités de sécurité suivantes :

  • La carte à puce est prise en charge.
  • Lorsqu'une session à distance se connecte, le moniteur du PC de bureau affiche un écran noir.
  • Remote PC Access redirige toutes les entrées au clavier et à la souris vers la session à distance, saufCTRL + ALT + SUPPR et les cartes à puce et les périphériques biométriques USB.
  • SmoothRoaming est prise en charge uniquement pour un seul utilisateur.
  • Lorsqu'un utilisateur a ouvert une session distante connectée à un PC de bureau, seul cet utilisateur peut reprendre l'accès local sur le PC de bureau. Pour reprendre l'accès local, l'utilisateur appuie surCtrl + Alt + Suppr sur le PC local et ouvre une session avec les mêmes informations d'identification utilisées par la session à distance. L'utilisateur peut également reprendre l'accès local en insérant une carte à puce ou en tirant parti de la biométrie, si votre système possède une intégration fournisseur des informations d'identification tierces appropriées.
    Remarque : ce comportement par défaut peut être substitué par l'activation du changement rapide d’utilisateur via des objets de stratégie de groupe (GPO) ou en modifiant le registre.
  • Par défaut, l'accès au PC distant prend en charge l’assignation automatique de plusieurs utilisateurs à un VDA. Dans XenDesktop 5.6 Feature Pack 1, les administrateurs peuvent modifier ce comportement en utilisant le script PowerShell RemotePCAccess.ps1. Cette version utilise une entrée du Registre pour autoriser ou interdire plusieurs affectations de PC distants automatiques, ce paramètre s'applique à l'intégralité du site.
    Avertissement : la modification incorrecte du Registre peut entraîner des problèmes graves pouvant nécessiter la réinstallation de votre système d'exploitation. Citrix ne peut garantir la possibilité de résoudre les problèmes provenant d'une mauvaise utilisation de l'Éditeur du Registre. Utilisez l’Éditeur du Registre à vos risques. Effectuez une copie de sauvegarde de votre registre avant de le modifier.
    Pour restreindre les affectations automatiques pour un utilisateur unique :
    1. Définir l'entrée de registre suivante sur chaque contrôleur du site :

      HKEY_LOCAL_MACHINE\Software\Citrix|DesktopServer

      Nom : AllowMultipleRemotePCAssignments

      Type : REG_DWORD

      Données : consultez le graphique

      Valeur Comportement
      0 Désactiver l'attribution d'utilisateurs multiples.
      1 Activer l'affectation de plusieurs utilisateurs. Il s'agit de la valeur par défaut.
    2. S'il n'existe aucune affectation d'utilisateur existante, supprimez-les à l'aide des commandes du kit de développement XenDesktop afin que le VDA puisse ensuite être admissible pour une seule affectation automatique. Pour plus d'informations sur l'utilisation du kit de développement XenDesktop, veuillez consulter la section À propos du kit de développement logiciel (SDK) XenDesktop.
      1. Supprimez tous les utilisateurs affectés à partir du VDA :$machine.AssociatedUserNames | %{ Remove-BrokerUser-Name $_ -Machine $machine
      2. Supprimez le VDA du groupe de bureaux :$machine | Remove-BrokerMachine -DesktopGroup $desktopGroup
    3. Redémarrez le PC de bureau physique.