Sécurité
App Protection
App Protection est une fonctionnalité complémentaire qui offre une sécurité renforcée lors de l’utilisation de Citrix Virtual Apps and Desktops et Citrix DaaS (anciennement Citrix Virtual Apps and Desktops Service). Cette fonctionnalité limite le risque d’infection par des programmes malveillants d’enregistrement de frappe et de capture d’écran. App Protection empêche l’exfiltration d’informations confidentielles telles que les informations d’identification de l’utilisateur et les informations sensibles affichées à l’écran. Cette fonctionnalité empêche les utilisateurs et les attaquants de prendre des captures d’écran et d’utiliser des enregistreurs de frappe pour récupérer et exploiter des informations sensibles. Pour plus d’informations, consultez Protection des applications.
Clause d’exclusion de responsabilité
Les stratégies de protection des applications filtrent l’accès aux fonctions requises du système d’exploitation sous-jacent (appels d’API spécifiques nécessaires pour capturer des écrans ou des frappes de clavier). Les stratégies App Protection fournissent une protection même contre les outils de piratage personnalisés et spécifiques. Cependant, à mesure que les systèmes d’exploitation évoluent, de nouveaux programmes d’enregistrement de frappe et de capture d’écran peuvent émerger. Bien que nous continuions à les identifier et à les traiter, nous ne pouvons pas garantir une protection complète dans des configurations et des déploiements spécifiques.
Pour configurer la protection des applications sur l’application Citrix Workspace pour Windows, consultez la section correspondante dans l’article Configuration.
Remarque :
La fonctionnalité App Protection n’est prise en charge que lors de la mise à niveau à partir de la version 1912.
Sécurité ICA
Lorsqu’un utilisateur lance une application ou un bureau, StoreFront génère des informations ICA, qui contiennent des instructions destinées au client sur la façon de se connecter au VDA.
Lancements hybrides en mémoire
Lorsque l’utilisateur lance une ressource, StoreFront génère un fichier ICA contenant des instructions sur la façon de se connecter à la ressource. Lorsque le fichier ICA est lancé dans l’application Citrix Workspace pour Windows, il est géré en mémoire et n’est jamais enregistré sur disque. Lorsqu’un utilisateur ouvre son magasin dans un navigateur Web et utilise l’application Citrix Workspace pour Windows pour se connecter à la ressource, on parle de lancement hybride. Selon la configuration, le lancement peut avoir lieu de différentes manières. Consultez la section Options d’accès utilisateur de StoreFront. L’application Citrix Workspace pour Windows prend en charge le lanceur Citrix Workspace et les extensions Web Citrix Workspace pour les lancements ICA en mémoire depuis le navigateur des utilisateurs. Afin d’éliminer les risques d’attaque de surface et tout logiciel malveillant susceptible d’utiliser à mauvais escient le fichier ICA lorsqu’il est stocké localement, il est recommandé de désactiver l’option utilisateur autorisant le téléchargement des fichiers ICA. Pour appliquer cette recommandation dans StoreFront 2402 et les versions ultérieures, consultez la documentation de StoreFront. Pour appliquer cette recommandation dans Workspace, consultez la documentation de Workspace PowerShell.
Empêcher le lancement de fichiers ICA à partir du disque
Une fois votre propre système configuré pour utiliser systématiquement les lancements en mémoire, Citrix vous recommande de désactiver le lancement de fichiers ICA à partir du disque. De cette façon, les utilisateurs ne pourront pas ouvrir les fichiers ICA qu’ils reçoivent de sources malveillantes par divers moyens tels que les e-mails. Utilisez l’une des méthodes suivantes :
- Global App Config Service.
- Modèle d’administration d’objet de stratégie de groupe (GPO) sur le client.
Global App Config Service
Vous pouvez utiliser Global App Config Service à partir de l’application Citrix Workspace 2106. Sous Sécurité et authentification > Préférences de sécurité, définissez la stratégie Bloquer les lancements directs de fichiers ICA sur Activé.
Stratégie de groupe
Pour bloquer les lancements de session à partir de fichiers ICA stockés sur le disque local à l’aide de la stratégie de groupe, procédez comme suit :
- Ouvrez le modèle d’administration d’objet de stratégie de groupe de l’application Citrix Workspace en exécutant
gpedit.msc
. - Sous le nœud Configuration ordinateur, accédez à Modèles d’administration > Composants Citrix > Citrix Workspace > Moteur client.
- Sélectionnez la stratégie Lancement sécurisé de session de fichier ICA et définissez-la sur Activé.
- Cliquez sur Appliquer, puis sur OK.
Signature de fichier ICA
La signature de fichier ICA permet de vous protéger contre le lancement non autorisé d’applications ou de bureaux. L’application Citrix Workspace vérifie, à l’aide d’une stratégie administrative, qu’une source approuvée est à l’origine du lancement de l’application ou du bureau, et empêche le lancement provenant de serveurs non approuvés. Vous pouvez configurer la signature de fichier ICA à l’aide du modèle d’administration Objets de stratégie de groupe ou de StoreFront. Par défaut, la fonctionnalité de signature de fichier ICA n’est pas activée par défaut.
Pour plus d’informations sur l’activation de la signature de fichier ICA pour StoreFront, reportez-vous à la section Signature de fichier ICA dans la documentation StoreFront.
Configurer la signature de fichier ICA
Remarque :
Si CitrixBase.admx\adml n’est pas ajouté à l’objet de stratégie de groupe local, la stratégie Activer la signature de fichier ICA peut être absente.
- Ouvrez le modèle d’administration d’objet de stratégie de groupe de l’application Citrix Workspace en exécutant gpedit.msc.
- Sous le nœud Configuration ordinateur, accédez à Modèles d’administration > Composants Citrix.
- Sélectionnez la stratégie Activer la signature de fichier ICA, puis sélectionnez une option selon les besoins :
- Activé : indique que vous pouvez ajouter l’empreinte numérique du certificat de signature à la liste verte des empreintes de certificats de confiance.
- Certificats de confiance : cliquez sur Afficher pour supprimer l’empreinte de certificat de signature existante de la liste verte. Vous pouvez copier et coller les empreintes numériques de certificat de signature à partir des propriétés du certificat de signature.
- Stratégie de sécurité - Sélectionnez l’une des options suivantes dans le menu.
- Autoriser uniquement les lancements signés (plus sécurisé) : autorise uniquement le lancement d’applications ou de bureaux signés à partir d’un serveur approuvé. Un avertissement de sécurité apparaît en cas de signature non valide. Le lancement de la session échoue en raison d’une non-autorisation.
- Demander à l’utilisateur lors de lancements non signés (moins sécurisé) : une invite de message s’affiche lorsqu’une session non signée ou non valide est lancée. Vous pouvez choisir de continuer le lancement ou d’annuler le lancement (option par défaut).
- Cliquez sur Appliquer et OK pour enregistrer la stratégie.
- Redémarrez la session de l’application Citrix Workspace pour que les modifications prennent effet.
Lors de la sélection d’un certificat de signature numérique, nous vous recommandons de choisir l’une des solutions suivantes (elles apparaissent par ordre de priorité) :
- Achetez un certificat de signature de code ou certificat de signature SSL émanant d’une autorité de certification publique (CA).
- Si votre entreprise dispose d’une autorité de certification privée, créez un certificat de signature de code ou certificat de signature SSL à l’aide de l’autorité de certification privée.
- Utilisez un certificat SSL existant.
- Créez un certificat d’autorité de certification racine et distribuez-le sur les machines utilisateur à l’aide d’un objet de stratégie de groupe ou dans le cadre d’une installation manuelle.
Délais d’inactivité
Délai d’expiration des sessions Workspace
Les administrateurs peuvent configurer la valeur de délai d’inactivité pour spécifier la durée d’inactivité autorisée avant que les utilisateurs ne soient déconnectés automatiquement de la session Citrix Workspace. Vous êtes automatiquement déconnecté de Workspace si la souris, le clavier ou la fonction tactile sont inactifs pendant l’intervalle de temps spécifié. Le délai d’inactivité n’affecte pas les sessions d’applications et de bureaux virtuels actives ni les magasins Citrix StoreFront.
Pour configurer le délai d’expiration, consultez la documentation de Workspace.
L’expérience utilisateur est la suivante :
- Une notification apparaît dans la fenêtre de votre session trois minutes avant votre déconnexion, avec la possibilité de rester connecté ou de vous déconnecter.
- La notification n’apparaît que si la valeur de délai d’inactivité configurée est supérieure ou égale à cinq minutes.
- Les utilisateurs peuvent cliquer sur Rester connecté pour ignorer la notification et continuer à utiliser l’application, auquel cas le minuteur d’inactivité est réinitialisé à sa valeur configurée. Vous pouvez également cliquer sur Déconnexion pour mettre fin à la session du magasin actuel.
Délai d’expiration des sessions StoreFront
Lorsqu’elle est connectée à un magasin StoreFront, l’application Citrix Workspace n’applique pas de délai d’expiration. Si vous utilisez une passerelle Citrix Gateway, vous pouvez configurer le délai d’expiration de session de la passerelle. Pour plus d’informations, consultez la documentation de StoreFront.