Paramètres de stratégie Sécurité
La section Sécurité contient des paramètres de stratégie permettant de configurer le cryptage de session et des données d’ouverture de session.
Niveau de cryptage minimum SecureICA
Ce paramètre spécifie le niveau minimal auquel crypter les données de session envoyées entre le serveur et une machine utilisateur.
Important : pour Virtual Delivery Agent 7.x, ce paramètre de stratégie peut être utilisé uniquement pour activer le cryptage des données d’ouverture de session à l’aide du cryptage RC5 128 bits. Cette option est fournie uniquement à des fins de compatibilité à effet rétroactif avec les versions d’ancienne génération de Citrix Virtual Apps and Desktops.
Pour VDA 7.x, le cryptage des données de session est défini à l’aide des paramètres de base du groupe de mise à disposition du VDA. Si l’option Activer Secure ICA est sélectionnée pour le groupe de mise à disposition, les données de session sont cryptées à l’aide du cryptage RC5 (128 bits). Si l’option Activer Secure ICA n’est pas sélectionnée pour le groupe de mise à disposition, les données de session sont cryptées à l’aide du cryptage de base.
Lors de l’ajout de ce paramètre à une stratégie, sélectionnez une option :
- De base crypte la connexion à l’aide d’un algorithme non RC5. Cet algorithme protège le flux de données d’une lecture directe, mais n’empêche pas le décryptage. Par défaut, le serveur utilise un cryptage de base pour le trafic client vers serveur.
- 128 bits - ouverture de session uniquement (RC5) crypte les données d’ouverture de session à l’aide du cryptage RC5 128 bits et la connexion cliente à l’aide du cryptage de base.
- 40 bits (RC5) crypte la connexion cliente à l’aide du cryptage RC5 40 bits.
- 56 bits (RC5) crypte la connexion cliente à l’aide du cryptage RC5 56 bits.
- 128 bits (RC5) crypte la connexion cliente à l’aide du cryptage RC5 128 bits.
Les paramètres que vous spécifiez pour le cryptage client-serveur peuvent interagir avec tout autre paramètre de cryptage de votre environnement et de votre système d’exploitation Windows. Vérifiez qu’un niveau de cryptage de priorité plus élevé est défini sur un serveur ou une machine utilisateur. Dans ce cas, les paramètres que vous spécifiez pour des ressources publiées peuvent être remplacés.
Vous pouvez augmenter les niveaux de cryptage afin de mieux sécuriser les communications et l’intégrité des messages pour certains utilisateurs. Si une stratégie requiert un niveau de cryptage plus élevé, les Citrix Receivers utilisant un niveau de cryptage inférieur se voient refuser la connexion.
SecureICA n’effectue pas d’authentification ni ne vérifie l’intégrité des données. Pour assurer un cryptage de bout en bout pour votre site, utilisez SecureICA avec le cryptage TLS.
SecureICA n’utilise pas d’algorithme conforme à la norme FIPS. Si ce paramètre pose un problème, configurez le serveur et Citrix Receiver pour éviter d’utiliser SecureICA.
SecureICA utilise le chiffrement par blocs RC5 décrit dans RFC 2040 pour assurer la confidentialité. La taille des blocs est 64 bits (un multiple d’unités de mots de 32 bits). La longueur de clé est 128 bits. Le nombre de boucles est 12.
Les clés du chiffrement par blocs RC5 sont négociées lors de la création d’une session. La négociation est effectuée à l’aide de l’algorithme Diffie-Hellman. Cette négociation utilise les paramètres publics Diffie-Hellman. Ces paramètres sont stockés dans le registre Windows lorsque Virtual Delivery Agent est installé. Les paramètres publics ne sont pas secrets. Le résultat de la négociation Diffie-Hellman est une clé secrète, à partir de laquelle sont dérivées les clés de session du chiffrement par blocs RC5. Des clés de session distinctes sont utilisées pour l’ouverture de session de l’utilisateur et pour le transfert de données. Des clés de session distinctes sont également utilisées pour le trafic à destination et en provenance de Virtual Delivery Agent. Il y a donc quatre clés de session pour chaque session. Les clés secrètes et les clés de session ne sont pas stockées. Les vecteurs d’initialisation du chiffrement par blocs RC5 sont également dérivés de la clé secrète.