Recommandations de sécurité

Session Recording est déployé au sein d’un réseau sécurisé et est accessible par les administrateurs, et est, à ce titre, sécurisé. Le déploiement prêt à l’emploi est simple et les fonctionnalités de sécurité telles que la signature numérique et le chiffrement peuvent être configurées en option.

La communication entre les composants Session Recording est établie via Internet Information Services (IIS) et Microsoft Message Queuing (MSMQ). IIS fournit le lien de communication des services Web entre les composants Session Recording. MSMQ fournit un mécanisme de transport de données fiable pour l’envoi des données de session enregistrées de l’agent Session Recording au serveur Session Recording.

Avertissement :

Toute modification incorrecte du registre peut générer des problèmes sérieux, pouvant vous obliger à réinstaller votre système d’exploitation. Citrix® ne peut garantir la résolution des problèmes résultant d’une utilisation incorrecte de l’Éditeur du Registre. Utilisez l’Éditeur du Registre à vos propres risques. Veillez à sauvegarder le registre avant de le modifier.

Tenez compte de ces recommandations de sécurité lors de la planification de votre déploiement :

• Assurez-vous d’isoler correctement les différents rôles d’administrateur dans le réseau d’entreprise, dans le système Session Recording ou sur des machines individuelles. Dans le cas contraire, des menaces de sécurité susceptibles d’affecter la fonctionnalité du système ou d’en abuser pourraient survenir. Nous vous recommandons d’attribuer des rôles d’administrateur différents à des personnes ou des comptes différents. N’autorisez pas les utilisateurs de session généraux à disposer de privilèges d’administrateur pour le système VDA.
  • Les administrateurs XenApp et XenDesktop® n’accordent pas le rôle d’administrateur local VDA aux utilisateurs d’applications ou de bureaux publiés. Si le rôle d’administrateur local est une exigence, protégez les composants de l’agent Session Recording à l’aide de mécanismes Windows ou de solutions tierces.
  • Attribuez séparément l’administrateur de base de données Session Recording et l’administrateur de stratégie Session Recording.
  • Nous vous recommandons de ne pas attribuer de privilèges d’administrateur VDA aux utilisateurs de session généraux, en particulier lors de l’utilisation de l’accès au PC distant.
  • Le compte d’administration local du serveur Session Recording doit être strictement protégé.
  • Contrôlez l’accès aux machines sur lesquelles le lecteur Session Recording est installé. Si un utilisateur n’est pas autorisé pour le rôle de lecteur, ne lui accordez pas le rôle d’administrateur local pour une machine de lecteur. Désactivez l’accès anonyme.
  • Nous vous recommandons d’utiliser une machine physique comme serveur de stockage pour Session Recording.

• Session Recording enregistre les activités graphiques de session sans tenir compte de la sensibilité des données. Dans certaines circonstances, des données sensibles (y compris, mais sans s’y limiter, les informations d’identification de l’utilisateur, les informations de confidentialité et les écrans tiers) peuvent être enregistrées involontairement. Prenez les mesures suivantes pour prévenir les risques :

  • Désactivez le vidage de la mémoire principale pour les VDA, sauf pour des cas de dépannage spécifiques.

    Pour désactiver le vidage de la mémoire principale :

    1. Cliquez avec le bouton droit sur Poste de travail, puis sélectionnez Propriétés.
    2. Cliquez sur l’onglet Avancé, puis sous Démarrage et récupération, cliquez sur Paramètres.
    3. Sous Écrire les informations de débogage, sélectionnez (aucune).

    Consultez l’article de Microsoft à l’adresse https://support.microsoft.com/fr-fr/kb/307973.

  • Les propriétaires de session informent les participants que les réunions en ligne et les logiciels d’assistance à distance peuvent être enregistrés si une session de bureau est en cours d’enregistrement.

  • Assurez-vous que les informations d’identification de connexion ou de sécurité n’apparaissent pas dans toutes les applications locales et Web publiées ou utilisées au sein de l’entreprise. Dans le cas contraire, elles sont enregistrées par l’enregistrement de session.

  • Fermez toute application susceptible d’exposer des informations sensibles avant de passer à une session ICA® distante.

  • Nous recommandons uniquement les méthodes d’authentification automatique (par exemple, l’authentification unique, la carte à puce) pour accéder aux bureaux publiés ou aux applications Software as a Service (SaaS).

• L’enregistrement de session repose sur certains matériels et infrastructures matérielles (par exemple, les périphériques réseau d’entreprise, le système d’exploitation) pour fonctionner correctement et répondre aux besoins de sécurité. Prenez des mesures au niveau de l’infrastructure pour prévenir les dommages ou les abus envers ces infrastructures et rendre la fonction d’enregistrement de session sécurisée et fiable.
  • Protégez et maintenez correctement l’infrastructure réseau prenant en charge l’enregistrement de session disponible.
  • Nous recommandons d’utiliser une solution de sécurité tierce ou un mécanisme Windows pour protéger les composants d’enregistrement de session. Les composants d’enregistrement de session incluent :
    • Sur le serveur d’enregistrement de session
      • Processus : SsRecStoragemanager.exe et SsRecAnalyticsService.exe
      • Services : CitrixSsRecStorageManager et CitrixSsRecAnalyticsService
      • Tous les fichiers dans le dossier d’installation du serveur d’enregistrement de session
      • Valeurs de clé de registre dans HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartAuditor\Server
    • Sur l’agent d’enregistrement de session
      • Processus : SsRecAgent.exe
      • Service : CitrixSmAudAgent
      • Tous les fichiers dans le dossier d’installation de l’agent d’enregistrement de session
      • Valeurs de clé de registre dans HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartAuditor\Agent
• Définissez la liste de contrôle d’accès (ACL) pour Message Queuing (MSMQ) sur le serveur d’enregistrement de session afin de restreindre les machines VDA ou VDI qui peuvent envoyer des données MSMQ au serveur d’enregistrement de session et d’empêcher les machines non autorisées d’envoyer des données au serveur d’enregistrement de session.

1. Installez la fonctionnalité serveur Intégration des services d’annuaire sur chaque serveur d’enregistrement de session et machine VDA ou VDI où l’enregistrement de session est activé. Redémarrez ensuite le service Message Queuing.

2. Dans le menu Démarrer de Windows sur chaque serveur d’enregistrement de session, ouvrez Outils d’administration > Gestion de l’ordinateur.

3. Ouvrez Services et applications > Message Queuing > Files d’attente privées.

4. Cliquez sur la file d’attente privée citrixsmauddata pour ouvrir la page Propriétés et sélectionnez l’onglet Sécurité.

   

5. Ajoutez les ordinateurs ou les groupes de sécurité des VDA qui envoient des données MSMQ à ce serveur et accordez-leur l’autorisation Envoyer un message.

   

• Protégez correctement le journal des événements pour le serveur d’enregistrement de session et les agents d’enregistrement de session. Nous recommandons d’utiliser une solution de journalisation à distance Windows ou tierce pour protéger le journal des événements ou le rediriger vers le serveur distant.
• Assurez-vous que les serveurs exécutant les composants d’enregistrement de session sont physiquement sécurisés. Si possible, verrouillez ces ordinateurs dans une pièce sécurisée à laquelle seul le personnel autorisé peut avoir un accès direct.
• Isolez les serveurs exécutant les composants d’enregistrement de session sur un sous-réseau ou un domaine distinct.
• Protégez les données de session enregistrées des utilisateurs accédant à d’autres serveurs en installant un pare-feu entre le serveur d’enregistrement de session et les autres serveurs.
• Maintenez le serveur d’administration d’enregistrement de session et la base de données SQL à jour avec les dernières mises à jour de sécurité de Microsoft.
• Empêchez les non-administrateurs de se connecter à la machine d’administration.
• Limitez strictement les personnes autorisées à modifier les stratégies d’enregistrement et à afficher les sessions enregistrées.
• Installez des certificats numériques, utilisez la fonctionnalité de signature de fichiers d’enregistrement de session et configurez les communications TLS dans IIS.
• Configurez MSMQ pour utiliser HTTPS comme transport. Pour ce faire, définissez le protocole MSMQ répertorié dans Propriétés de l’agent d’enregistrement de session sur HTTPS. Pour plus d’informations, consultez Dépannage de MSMQ.

• Utilisez TLS 1.1 ou TLS 1.2 (recommandé) et désactivez SSLv2, SSLv3, TLS 1.0 sur le serveur d’enregistrement de session et la base de données d’enregistrement de session. Pour plus d’informations, consultez l’article de Microsoft à l’adresse https://support.microsoft.com/default.aspx?scid=kb;en-us;187498.

  Désactivez les suites de chiffrement RC4 pour TLS sur le serveur d’enregistrement de session et la base de données d’enregistrement de session :

1. À l’aide de l’Éditeur de stratégie de groupe Microsoft, accédez à Configuration ordinateur > Modèles d’administration > Réseau > Paramètres de configuration SSL.
2. Définissez la stratégie Ordre des suites de chiffrement SSL sur Activé. Par défaut, cette stratégie est définie sur Non configuré.
3. Supprimez toutes les suites de chiffrement RC4.

• Utilisez la protection de lecture. La protection de lecture est une fonctionnalité d’enregistrement de session qui chiffre les fichiers enregistrés avant qu’ils ne soient téléchargés vers le lecteur d’enregistrement de session. Par défaut, cette option est activée et se trouve dans les Propriétés du serveur d’enregistrement de session.
• Suivez les recommandations du NSIT concernant les longueurs de clé cryptographiques et les algorithmes cryptographiques.
• Configurez la prise en charge de TLS 1.2 pour l’enregistrement de session.
  • Nous recommandons d’utiliser TLS 1.2 comme protocole de communication pour assurer la sécurité de bout en bout des composants d’enregistrement de session. Pour configurer la prise en charge de TLS 1.2 pour l’enregistrement de session :
    1. Connectez-vous à la machine hébergeant le serveur d’enregistrement de session. Installez le composant client et le pilote SQL Server appropriés, et définissez une cryptographie forte pour .NET Framework (version 4 ou ultérieure).
    1. Installez le pilote Microsoft ODBC 11 (ou une version ultérieure) pour SQL Server.
    2. Appliquez le dernier correctif cumulatif de .NET Framework.
    3. Installez ADO.NET - SqlClient en fonction de votre version de .NET Framework. Pour plus d’informations, consultez https://support.microsoft.com/fr-fr/kb/3135244.
    4. Ajoutez une valeur DWORD SchUseStrongCrypto = 1 sous HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NetFramework\v4.0.30319 et HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NetFramework\v4.0.30319.
    5. Redémarrez la machine. 2. Connectez-vous à la machine hébergeant la console de stratégie d’enregistrement de session. Appliquez le dernier correctif cumulatif de .NET Framework et définissez une cryptographie forte pour .NET Framework (version 4 ou ultérieure). La méthode de définition d’une cryptographie forte est la même que pour les sous-étapes 1-d et 1-e. Vous pouvez ignorer ces étapes si vous choisissez d’installer la console de stratégie d’enregistrement de session sur le même ordinateur que le serveur d’enregistrement de session.

Pour configurer la prise en charge de TLS 1.2 pour SQL Server avec des versions antérieures à 2016, consultez https://support.microsoft.com/fr-fr/kb/3135244. Pour utiliser TLS 1.2, configurez HTTPS comme protocole de communication pour les composants d’enregistrement de session.

Pour plus d’informations sur la configuration des fonctionnalités de sécurité de l’enregistrement de session, consultez Configuration des fonctionnalités de sécurité de l’enregistrement de session.