Sécuriser votre déploiement StoreFront

Cet article met en évidence les domaines qui peuvent avoir un impact sur la sécurité du système lors du déploiement et de la configuration de StoreFront.

Authentification des utilisateurs finaux

Normalement, les utilisateurs finaux doivent s’authentifier soit directement auprès de StoreFront, soit auprès d’un Citrix Gateway situé devant StoreFront. Pour plus d’informations sur les méthodes d’authentification disponibles, consultez Authentification.

Communication avec les utilisateurs finaux

Citrix recommande de sécuriser les communications entre les appareils des utilisateurs et StoreFront à l’aide du protocole HTTPS. Cela garantit que les mots de passe et autres données envoyées entre le client et StoreFront sont chiffrés. De plus, les connexions HTTP simples peuvent être compromises par diverses attaques, telles que les attaques de l’homme du milieu, en particulier lorsque les connexions sont établies à partir d’emplacements non sécurisés tels que les points d’accès Wi-Fi publics. En l’absence de la configuration IIS appropriée, StoreFront utilise HTTP pour les communications.

Selon votre configuration, les utilisateurs peuvent accéder à StoreFront via une passerelle ou un équilibreur de charge. Vous pouvez terminer la connexion HTTPS au niveau de la passerelle ou de l’équilibreur de charge. Cependant, dans ce cas, Citrix recommande toujours de sécuriser les connexions entre la passerelle ou l’équilibreur de charge et StoreFront à l’aide du protocole HTTPS.

Pour activer HTTPS, désactiver HTTP et activer HSTS, consultez Sécurisation de StoreFront avec HTTPS.

Sur votre NetScaler Gateway ou le serveur virtuel de l’équilibreur de charge, vous pouvez configurer les versions TLS activées. Il est recommandé de désactiver les versions TLS héritées antérieures à 1.2.

Sur les serveurs StoreFront, Windows et IIS déterminent les versions TLS autorisées pour les connexions entrantes. Il est recommandé de désactiver les versions TLS héritées antérieures à 1.2. Sur Windows Server 2022, vous pouvez configurer IIS pour désactiver TLS 1.0 et 1.1 pour les connexions client, consultez Sécurisation de StoreFront avec HTTPS. Sur toutes les versions de serveur Windows, vous pouvez désactiver TLS 1.0 et 1.1 à l’aide de la stratégie de groupe ou des paramètres du registre Windows, consultez la documentation Microsoft.

Les anciennes versions de Citrix Receiver ne peuvent pas se connecter à l’aide de TLS 1.2, consultez CTX232266 pour plus de détails.

Communication avec les Delivery Controllers

Citrix recommande d’utiliser le protocole HTTPS pour sécuriser les données transitant entre StoreFront et vos Delivery Controllers Citrix Virtual Apps and Desktops. Pour plus d’informations, consultez Activer HTTPS sur les Delivery Controllers. Pour configurer StoreFront afin qu’il utilise HTTPS, consultez Ajouter des flux de ressources pour Citrix Virtual Apps and Desktops et Ajouter l’appliance Citrix Gateway. En cas de compromission des certificats, vous pouvez utiliser la vérification de la liste de révocation de certificats (CRL). StoreFront utilise TLS 1.2 ou une version ultérieure pour communiquer avec les Delivery Controllers.

Il est recommandé de configurer le Delivery Controller et StoreFront pour garantir que seuls les serveurs StoreFront approuvés peuvent communiquer avec le Delivery Controller, consultez Gérer les clés de sécurité.

Communication avec les Cloud Connectors

Citrix recommande d’utiliser le protocole HTTPS pour sécuriser les données transitant entre StoreFront et vos Cloud Connectors. Consultez Configuration HTTPS. Pour configurer StoreFront, consultez Ajouter des flux de ressources pour Citrix Desktops as a Service et Ajouter l’appliance Citrix Gateway. En cas de compromission des certificats, vous pouvez utiliser la vérification de la liste de révocation de certificats (CRL). StoreFront utilise TLS 1.2 ou une version ultérieure pour communiquer avec les Cloud Connectors.

Il est recommandé de configurer DaaS et StoreFront pour garantir que seuls les serveurs StoreFront approuvés peuvent communiquer avec les Cloud Connectors. Pour plus d’informations, consultez Gérer les clés de sécurité.

Communication avec le service d’authentification fédérée

Pour plus d’informations sur la communication entre StoreFront et les serveurs du service d’authentification fédérée (FAS), consultez Service d’authentification fédérée - Configuration de la sécurité et du réseau.

Accès à distance

Citrix ne recommande pas d’exposer votre serveur StoreFront directement à Internet. Citrix recommande d’utiliser un Citrix Gateway pour fournir l’authentification et l’accès aux utilisateurs distants.

Durcissement de Microsoft Internet Information Services (IIS)

Vous pouvez configurer StoreFront avec une configuration IIS restreinte. Notez que ce n’est pas la configuration IIS par défaut.

Extensions de nom de fichier

Vous pouvez utiliser le filtrage des requêtes pour configurer une liste d’extensions de fichier autorisées et interdire les extensions de nom de fichier non répertoriées. Consultez la documentation IIS.

StoreFront requiert les extensions de nom de fichier suivantes :

• . (extension vide)
• .appcache
• .aspx
• .cr
• .css
• .dtd
• .gif
• .htm
• .html
• .ica®
• .ico
• .jpg
• .js
• .png
• .svg
• .txt
• .xml

Si le téléchargement ou la mise à niveau de l’application Citrix Workspace est activé pour un site Web de magasin, StoreFront requiert également ces extensions de nom de fichier :

• .dmg
• .exe

Si l’application Citrix Workspace pour HTML5 est activée, StoreFront requiert également ces extensions de nom de fichier :

• .eot
• .ttf
• .woff
• .wasm

Verbes

Vous pouvez utiliser le filtrage des requêtes pour configurer une liste de verbes autorisés et interdire les verbes non répertoriés. Consultez la documentation IIS.

• GET
• POST
• HEAD

Caractères non-ASCII dans les URL

Si vous vous assurez que le nom du magasin et le nom du site Web n’utilisent que des caractères ASCII, les URL StoreFront ne contiennent pas de caractères non-ASCII. Vous pouvez utiliser le filtrage des requêtes pour interdire les caractères non-ASCII. Consultez la documentation IIS.

Types MIME

Vous pouvez supprimer les types MIME du shell du système d’exploitation correspondant aux extensions de fichier suivantes :

• .exe
• .dll
• .com
• .bat
• .csh

Consultez la documentation IIS.

Supprimer l’en-tête X-Powered-By

Par défaut, IIS inclut un en-tête X-Powered-By avec la valeur ASP.NET. Vous pouvez configurer IIS pour supprimer cet en-tête. Consultez la documentation sur les en-têtes personnalisés IIS.

Supprimer l’en-tête Server avec la version IIS

Par défaut, IIS signale la version d’IIS en ajoutant un en-tête Server. Vous pouvez configurer IIS pour supprimer cet en-tête. Consultez la documentation sur le filtrage des requêtes IIS.

Déplacer le site Web StoreFront vers une partition distincte

Vous pouvez héberger les sites Web StoreFront sur une partition distincte des fichiers système. Dans IIS, vous devez déplacer le site Web par défaut, ou créer un site distinct, sur la partition appropriée avant de créer votre déploiement StoreFront.

Fonctionnalités IIS

Pour la liste des fonctionnalités IIS installées et utilisées par StoreFront, consultez Configuration système requise. Vous pouvez supprimer d’autres fonctionnalités IIS.

Bien que StoreFront n’utilise pas directement les filtres ISAPI, la fonctionnalité est requise par ASP.NET et ne peut donc pas être désinstallée.

Mappages de gestionnaires

StoreFront requiert les mappages de gestionnaires suivants. Vous pouvez supprimer d’autres mappages de gestionnaires.

• ExtensionlessUrlHandler-Integrated-4.0
• PageHandlerFactory-Integrated-4.0
• StaticFile

Consultez la documentation sur les gestionnaires IIS.

Filtres ISAPI

StoreFront ne requiert aucun filtre ISAPI. Vous pouvez supprimer tous les filtres ISAPI. Cependant, ASP.NET requiert la fonctionnalité Windows ISAPI. Consultez la documentation sur les filtres ISAPI IIS.

Règles d’autorisation .NET

Par défaut, les serveurs IIS ont la « Règle d’autorisation .NET » définie sur Autoriser tous les utilisateurs. Par défaut, le site Web utilisé par StoreFront hérite de cette configuration.

Si vous supprimez ou modifiez la règle d’autorisation .NET au niveau du serveur, vous devez remplacer les règles sur le site Web utilisé par StoreFront pour ajouter une règle d’autorisation pour « Tous les utilisateurs » et supprimer toute autre règle.

Mode de vente au détail

Vous pouvez activer le mode de vente au détail, consultez la documentation IIS.

Pools d’applications

StoreFront crée les pools d’applications suivants :

• Citrix Configuration Api
• Citrix Delivery Services Authentication
• Citrix Delivery Services Resources
• et Citrix Receiver™ pour Web

Ne modifiez pas les pools d’applications utilisés par chaque application IIS ni l’identité de chaque pool. Si vous utilisez plusieurs sites, il n’est pas possible de configurer chaque site pour qu’il utilise des pools d’applications distincts.

Dans les paramètres de recyclage, vous pouvez définir le délai d’inactivité du pool d’applications et la limite de mémoire virtuelle. Notez que lorsque le pool d’applications « Citrix Receiver pour Web » est recyclé, les utilisateurs connectés via un navigateur Web sont déconnectés. Par conséquent, il est configuré par défaut pour être recyclé à 02h00 chaque jour afin de minimiser les interruptions. Si vous modifiez l’un des paramètres de recyclage, cela peut entraîner la déconnexion des utilisateurs à d’autres moments de la journée.

Page d’accueil IIS par défaut

Vous pouvez supprimer les fichiers iisstart.htm, welcome.png de c:\inetpub\wwwroot.

Paramètres requis

• Ne modifiez pas les paramètres d’authentification IIS. StoreFront gère l’authentification et configure les répertoires du site StoreFront avec les paramètres d’authentification appropriés.
• Pour le serveur StoreFront, sous Paramètres SSL, ne sélectionnez pas Certificats clients : Requis. L’installation de StoreFront configure les pages appropriées du site StoreFront avec ce paramètre.
• StoreFront requiert des cookies pour l’état de session et d’autres fonctionnalités. Sur certains répertoires, sous État de session, Paramètres des cookies, le Mode doit être défini sur Utiliser les cookies.
• StoreFront requiert que le Niveau de confiance .NET soit défini sur Confiance totale. Ne définissez pas le niveau de confiance .NET sur une autre valeur.

Services

L’installation de StoreFront crée les services Windows suivants :

• Citrix Configuration Replication (NT SERVICE\CitrixConfigurationReplication)
• Citrix Cluster Join (NT SERVICE\CitrixClusterService)
• Citrix Peer Resolution (NT SERVICE\Citrix Peer Resolution Service)
• Citrix Credential Wallet (NT SERVICE\CitrixCredentialWallet)
• Citrix Subscriptions Store (NT SERVICE\CitrixSubscriptionsStore)
• Citrix Default Domain Services (NT SERVICE\CitrixDefaultDomainService)

Ces comptes se connectent en tant que Service réseau. Ne modifiez pas cette configuration.

Si vous configurez la délégation contrainte Kerberos de StoreFront pour XenApp 6.5, cela crée en outre le service Citrix StoreFront Protocol Transition (NT SERVICE\CitrixStoreFrontProtocolTransition). Ce service s’exécute en tant que NT AUTHORITY\SYSTEM. Ne modifiez pas cette configuration.

Attribution des droits utilisateur

La modification de l’attribution des droits utilisateur par rapport aux valeurs par défaut peut entraîner des problèmes avec StoreFront. En particulier :

• Microsoft IIS est activé dans le cadre de l’installation de StoreFront. Microsoft IIS accorde le droit d’ouverture de session Ouvrir une session en tant que tâche de traitement par lots et le privilège Emprunter l’identité d’un client après l’authentification au groupe intégré IIS_IUSRS. Il s’agit d’un comportement normal de l’installation de Microsoft IIS. Ne modifiez pas ces droits utilisateur. Reportez-vous à la documentation Microsoft pour plus de détails.

• Lorsque vous installez StoreFront, il crée des pools d’applications auxquels IIS accorde les droits utilisateur Ouvrir une session en tant que service, Ajuster les quotas de mémoire pour un processus, Générer des audits de sécurité et Remplacer un jeton au niveau du processus.

• Pour créer ou modifier un déploiement, l’administrateur doit disposer des droits Restaurer les fichiers et les répertoires.

• Pour qu’un serveur rejoigne un groupe de serveurs, le groupe Administrateurs doit disposer des droits Restaurer les fichiers et les répertoires, Accéder à cet ordinateur à partir du réseau et Gérer le journal d’audit et de sécurité.

• Pour que les utilisateurs puissent se connecter avec une authentification par nom d’utilisateur et mot de passe (directement ou via une passerelle), ils doivent disposer des droits Autoriser l’ouverture de session locale, sauf si vous avez configuré StoreFront pour valider les mots de passe via le Delivery Controller.

Cette liste n’est pas exhaustive et d’autres droits d’accès utilisateur peuvent être requis.

Configurer les appartenances aux groupes

Lorsque vous configurez un groupe de serveurs StoreFront, les services suivants sont ajoutés au groupe de sécurité Administrateurs :

• Citrix Configuration Replication (NT SERVICE\CitrixConfigurationReplication)
• Citrix Cluster Join (NT SERVICE\CitrixClusterService). Ce service n’est visible que sur les serveurs faisant partie d’un groupe et ne s’exécute que pendant la jonction.

Ces appartenances aux groupes sont requises pour que StoreFront fonctionne correctement, afin de :

• Créer, exporter, importer et supprimer des certificats, et définir les autorisations d’accès sur ceux-ci
• Lire et écrire dans le registre Windows
• Ajouter et supprimer des assemblys Microsoft .NET Framework dans le Global Assembly Cache (GAC)
• Accéder au dossier Program Files\Citrix\<StoreFrontLocation>
• Ajouter, modifier et supprimer des identités de pool d’applications IIS et des applications web IIS
• Ajouter, modifier et supprimer des groupes de sécurité locaux et des règles de pare-feu
• Ajouter et supprimer des services Windows et des composants logiciels enfichables PowerShell
• Enregistrer les points de terminaison Microsoft Windows Communication Framework (WCF)

Lors des mises à jour de StoreFront, cette liste d’opérations peut changer sans préavis.

L’installation de StoreFront crée également les groupes de sécurité locaux suivants :

• CitrixClusterMembers
• CitrixCWServiceReadUsers
• CitrixCWServiceWriteUsers
• CitrixDelegatedAuthenticatorUsers
• CitrixDelegatedDirectoryClaimFactoryUsers
• CitrixPNRSReplicators
• CitrixPNRSUsers
• CitrixStoreFrontAdministrators
• CitrixSubscriptionServerUsers
• CitrixSubscriptionsStoreServiceUsers
• CitrixSubscriptionsSyncUsers

StoreFront gère l’appartenance à ces groupes de sécurité. Ils sont utilisés pour le contrôle d’accès au sein de StoreFront et ne sont pas appliqués aux ressources Windows telles que les fichiers et les dossiers. Ne modifiez pas ces appartenances aux groupes.

NTLM

Si vous avez activé les favoris à l’aide de la base de données ESENT locale, StoreFront utilise NTLM lors de la synchronisation des favoris entre les serveurs d’un groupe de serveurs. Si vous désactivez NTLM, la synchronisation des favoris échouera. Ce problème peut être résolu en utilisant StoreFront 2203 CU7 ou une version ultérieure. Comme alternative, vous pouvez utiliser une base de données SQL Server.

StoreFront utilise NTLM lors de la synchronisation des informations d’identification entre les serveurs d’un groupe de serveurs. Si NTLM est désactivé, les utilisateurs pourraient avoir besoin de se réauthentifier si l’équilibreur de charge change le serveur auquel l’utilisateur est connecté. Ce problème peut être résolu en utilisant StoreFront CU7 ou une version ultérieure. Cela peut être atténué en utilisant l’équilibrage de charge persistant (sticky load balancing). Notez que pour l’accès via un navigateur web, l’équilibrage de charge persistant est toujours requis.

Si les utilisateurs s’authentifient à l’aide de l’authentification directe de domaine, IIS utilise par défaut Kerberos si possible, sinon il revient à NTLM. S’il y a un équilibreur de charge devant StoreFront, il revient toujours à NTLM.

Vous pouvez configurer le serveur pour qu’il utilise uniquement NTLMv2 et rejette NTLMv1. Consultez la documentation Microsoft. Dans Windows Server 2025 et versions ultérieures, NTLMv1 a été supprimé, de sorte que NTLMv2 est toujours utilisé.

Certificats dans StoreFront

Certificats de serveur

Les certificats de serveur sont utilisés pour l’identification des machines et la sécurité du transport TLS (Transport Layer Security) dans StoreFront. Si vous décidez d’activer la signature de fichiers ICA, StoreFront peut également utiliser des certificats pour signer numériquement les fichiers ICA.

Pour plus d’informations, consultez Communication entre les utilisateurs finaux et StoreFront et Signature de fichiers ICA.

Certificats de gestion des jetons

Les services d’authentification et les magasins nécessitent chacun des certificats pour la gestion des jetons. StoreFront génère un certificat auto-signé lorsqu’un service d’authentification ou un magasin est créé. Les certificats auto-signés générés par StoreFront ne doivent pas être utilisés à d’autres fins.

Certificats des services de livraison Citrix

StoreFront conserve un certain nombre de certificats dans un magasin de certificats Windows personnalisé (Citrix Delivery Services). Les services Citrix Configuration Replication, Citrix Credential Wallet et Citrix Subscriptions Store utilisent ces certificats. Chaque serveur StoreFront d’un cluster possède une copie de ces certificats. Ces services ne dépendent pas de TLS pour les communications sécurisées, et ces certificats ne sont pas utilisés comme certificats de serveur TLS. Ces certificats sont créés lorsqu’un magasin StoreFront est créé ou que StoreFront est installé. Ne modifiez pas le contenu de ce magasin de certificats Windows.

Certificats de signature de code

StoreFront inclut un certain nombre de scripts PowerShell (.ps1) dans le dossier <InstallDirectory>\Scripts. L’installation par défaut de StoreFront n’utilise pas ces scripts. Ils simplifient les étapes de configuration pour des tâches spécifiques et peu fréquentes. Ces scripts sont signés, ce qui permet à StoreFront de prendre en charge la politique d’exécution PowerShell. Nous recommandons la politique AllSigned. (La politique Restricted n’est pas prise en charge, car elle empêche l’exécution des scripts PowerShell.) StoreFront ne modifie pas la politique d’exécution PowerShell.

Bien que StoreFront n’installe pas de certificat de signature de code dans le magasin Éditeurs approuvés, Windows peut y ajouter automatiquement le certificat de signature de code. Cela se produit lorsque le script PowerShell est exécuté avec l’option Toujours exécuter. (Si vous sélectionnez l’option Ne jamais exécuter, le certificat est ajouté au magasin Certificats non approuvés, et les scripts PowerShell de StoreFront ne s’exécuteront pas.) Une fois le certificat de signature de code ajouté au magasin Éditeurs approuvés, sa date d’expiration n’est plus vérifiée par Windows. Vous pouvez supprimer ce certificat du magasin Éditeurs approuvés une fois les tâches StoreFront terminées.

Séparation de la sécurité de StoreFront

Si vous déployez des applications web sur votre serveur StoreFront dans le même domaine web (nom de domaine et port) que StoreFront, les risques de sécurité de ces applications web pourraient potentiellement réduire la sécurité de votre déploiement StoreFront. Lorsqu’un degré de séparation de sécurité plus élevé est requis, Citrix recommande de déployer StoreFront dans un domaine web distinct.

Téléchargements ICA

Les fichiers ICA contiennent les informations nécessaires pour se connecter aux VDA et souvent pour s’y connecter en mode d’authentification unique sans authentification supplémentaire. Assurez-vous donc que les fichiers ICA sont protégés. Pour les lancements hybrides, selon la configuration, les fichiers ICA peuvent être téléchargés sur l’appareil de l’utilisateur. Il est recommandé de désactiver les téléchargements ICA. Pour plus d’informations, consultez Déploiement de l’application Workspace.

Signature de fichiers ICA

StoreFront offre la possibilité de signer numériquement les fichiers ICA à l’aide d’un certificat spécifié sur le serveur afin que les versions de l’application Citrix Workspace prenant en charge cette fonctionnalité puissent vérifier que le fichier provient d’une source fiable. Les fichiers ICA peuvent être signés à l’aide de tout algorithme de hachage pris en charge par le système d’exploitation exécuté sur le serveur StoreFront, y compris SHA-1 et SHA-256. Pour plus d’informations, consultez Activer la signature de fichiers ICA.

Modification du mot de passe utilisateur

Vous pouvez permettre aux utilisateurs se connectant via un navigateur web avec des informations d’identification de domaine Active Directory de modifier leurs mots de passe, soit à tout moment, soit uniquement lorsqu’ils ont expiré. Cependant, cela expose des fonctions de sécurité sensibles à toute personne pouvant accéder à l’un des magasins utilisant le service d’authentification. Si votre organisation a une politique de sécurité qui réserve les fonctions de modification de mot de passe utilisateur à un usage interne uniquement, assurez-vous qu’aucun des magasins n’est accessible depuis l’extérieur de votre réseau d’entreprise. Lorsque vous créez le service d’authentification, la configuration par défaut empêche les utilisateurs de modifier leurs mots de passe, même s’ils ont expiré. Pour plus d’informations, consultez Permettre aux utilisateurs de modifier leurs mots de passe.

Personnalisations

Pour renforcer la sécurité, n’écrivez pas de personnalisations qui chargent du contenu ou des scripts à partir de serveurs qui ne sont pas sous votre contrôle. Copiez le contenu ou le script dans le dossier personnalisé du site web où vous effectuez les personnalisations. Si StoreFront est configuré pour les connexions HTTPS, assurez-vous que tous les liens vers le contenu ou les scripts personnalisés utilisent également HTTPS.

En-têtes de sécurité

Lors de l’affichage d’un site web de magasin via un navigateur web, StoreFront renvoie les en-têtes liés à la sécurité suivants qui imposent des restrictions au navigateur web.

Cookies

StoreFront utilise plusieurs cookies. Certains des cookies utilisés dans le fonctionnement du site web sont les suivants :

StoreFront définit un certain nombre d’autres cookies pour suivre l’état de l’utilisateur, dont certains doivent être lus par JavaScript et n’ont donc pas l’attribut HttpOnly défini. Ces cookies ne contiennent aucune information relative à l’authentification ou à d’autres informations confidentielles.

Si le client se connecte via HTTPS, il définit l’attribut secure lors de la création ou de la mise à jour des cookies.

Informations de sécurité supplémentaires

Remarque :

Ces informations peuvent être modifiées à tout moment, sans préavis.

Votre organisation peut souhaiter effectuer des analyses de sécurité de StoreFront pour des raisons réglementaires. Les options de configuration précédentes peuvent aider à éliminer certaines constatations dans les rapports d’analyse de sécurité.

S’il existe une passerelle entre le scanner de sécurité et StoreFront, certaines constatations peuvent concerner la passerelle plutôt que StoreFront lui-même. Les rapports d’analyse de sécurité ne distinguent généralement pas ces constatations (par exemple, la configuration TLS). Pour cette raison, les descriptions techniques dans les rapports d’analyse de sécurité peuvent être trompeuses.