Sécurité et configuration du réseau du Service d’authentification fédérée
Le Service d’authentification fédérée de Citrix (FAS) est étroitement intégré à Microsoft Active Directory et à l’autorité de certification Microsoft (CA). Il est essentiel de vous assurer que le système est géré et sécurisé de manière appropriée, en développant une stratégie de sécurité comme vous le feriez pour un contrôleur de domaine ou toute autre infrastructure critique.
Ce document présente les problèmes de sécurité à prendre en compte lorsque vous déployez FAS. Il offre également une vue d’ensemble des fonctionnalités qui peuvent vous aider à sécuriser votre infrastructure.
Architecture réseau
Le diagramme suivant illustre les composants principaux et les limites de sécurité utilisés dans un déploiement FAS.
Le serveur FAS doit être considéré comme faisant partie de l’infrastructure de sécurité, tout comme l’autorité de certification et le contrôleur de domaine. Dans un environnement fédéré, Citrix NetScaler et Citrix StoreFront sont des composants approuvés pour authentifier les utilisateurs ; les autres composants de XenApp et XenDesktop ne sont pas affectés par l’introduction du service FAS.
Sécurité du réseau et pare-feu
Les communications entre les composants NetScaler, StoreFront et Delivery Controller doivent être protégées par TLS sur le port 443. Le serveur StoreFront se charge uniquement des connexions sortantes, et NetScaler Gateway doit uniquement accepter les connexions via Internet utilisant HTTPS sur le port 443.
Le serveur StoreFront contacte le serveur FAS sur le port 80 à l’aide de l’authentification mutuelle Kerberos. L’authentification utilise l’identité Kerberos HOST/fqdn du serveur FAS, et l’identité du compte de machine Kerberos du serveur StoreFront. Ceci génère un « handle d’informations d’identification » à usage unique requis par le Citrix Virtual Delivery Agent (VDA) pour connecter l’utilisateur.
Lorsqu’une session HDX est connectée au VDA, le VDA contacte également le serveur FAS sur le port 80. L’authentification utilise l’identité Kerberos HOST/fqdn du serveur FAS, et l’identité de la machine Kerberos du VDA. En outre, le VDA doit fournir le « handle d’informations d’identification » pour accéder au certificat et à la clé privée.
L’autorité de certification Microsoft accepte les communications à l’aide du DCOM authentifié auprès de Kerberos, qui peut être configuré pour utiliser un port TCP fixe. L’autorité de certification requiert également que le serveur FAS fournisse un paquet CMC signé par un certificat d’agent d’inscription approuvé.
Serveur | Ports du pare-feu |
---|---|
Service d’authentification fédérée | [entrant] Kerberos via HTTP depuis StoreFront et VDA, [sortant] DCOM vers autorité de certification Microsoft |
NetScaler | [entrant] HTTPS depuis les machines clientes, [entrant/sortant] HTTPS depuis/vers un serveur StoreFront, [sortant] HDX vers VDA |
StoreFront | [entrant] HTTPS depuis NetScaler, [sortant] HTTPS vers Delivery Controller, [sortant] HTTP Kerberos vers FAS |
Delivery Controller | [entrant] HTTPS depuis un serveur StoreFront, [entrant/sortant] Kerberos sur HTTP à partir de VDA |
VDA | [entrant/sortant] Kerberos via HTTP depuis Delivery Controller, [entrant] HDX depuis NetScaler Gateway, [sortant] Kerberos HTTP vers FAS |
Autorité de certification Microsoft | [entrant] DCOM et signé depuis FAS |
Responsabilités en matière d’administration
L’administration de l’environnement peut être divisée dans les groupes suivants :
Nom | Responsabilité |
---|---|
Administrateur d’entreprise | Installer et sécuriser les modèles de certificat dans la forêt |
Administrateur de domaine | Configurer les paramètres de stratégie de groupe |
Administrateur d’autorité de certification | Configurer l’autorité de certification |
Administrateur FAS | Installer et configurer le serveur FAS |
Administrateur StoreFront/Netscaler | Configurer l’authentification utilisateur |
Administrateur XenDesktop | Configurer les VDA et les Controller |
Chaque administrateur contrôle différents aspects du modèle de sécurité, ce qui assure une protection approfondie du système.
Paramètres de stratégie de groupe
Les machines FAS approuvées sont identifiées par une table de recherche « numéro d’index -> FQDN » configurée via la stratégie de groupe. Lors de la communication avec un serveur FAS, les clients vérifient l’identité Kerberos HOST\<fqdn> du serveur FAS. Tous les serveurs qui accèdent au serveur FAS doivent posséder les mêmes configurations de nom domaine complet (FQDN) pour le même index ; dans le cas contraire, il est possible que StoreFront et les VDA contactent des serveurs FAS différents.
Pour éviter toute erreur de configuration, Citrix recommande d’appliquer une seule stratégie à toutes les machines dans l’environnement. Soyez prudent lors de la modification de la liste des serveurs FAS, plus particulièrement lors de la suppression ou de la réorganisation d’entrées.
Le contrôle de cet objet de stratégie de groupe doit être limité aux administrateurs FAS (et/ou aux administrateurs de domaine) qui installent et désactivent des serveurs FAS. Prenez soin de ne pas réutiliser le nom de domaine complet (FQDN) d’une machine peu de temps après avoir désactivé un serveur FAS.
Modèles de certificats
Si vous ne souhaitez pas utiliser le modèle de certificat Citrix_SmartcardLogon fourni avec FAS, vous pouvez modifier une copie. Les modifications suivantes sont prises en charge.
Renommer un modèle de certificat
Si vous souhaitez renommer Citrix_SmartcardLogon pour qu’il corresponde aux conventions de nom de modèle de votre entreprise, vous devez :
- Créer une copie du modèle de certificat et le renommer pour qu’il corresponde aux conventions de nom de modèle de votre entreprise.
- Utiliser les commandes PowerShell FAS pour administrer FAS, plutôt que l’interface utilisateur d’administration. (L’interface utilisateur d’administration est conçue uniquement pour une utilisation avec les noms de modèle par défaut Citrix).
- Utiliser le composant logiciel enfichable pour modèles de certificats MMC de Microsoft ou la commande Publish-FasMsTemplate pour publier votre modèle et
- utiliser la commande New-FasCertificateDefinition pour configurer les FAS avec le nom de votre modèle.
Modifier les propriétés générales
Vous pouvez modifier la période de validité dans le modèle de certificat.
Ne modifiez pas la période de renouvellement. FAS ignore ce paramètre dans le modèle de certificat. FAS renouvelle automatiquement le certificat au cours de sa période de validité.
Modifier les propriétés de traitement de demande
Ne modifiez pas ces propriétés. FAS ignore ces paramètres dans le modèle de certificat. FAS désélectionne toujours Autoriser l’exportation de la clé privée et Renouveler avec la même clé.
Modifier les propriétés de cryptographie
Ne modifiez pas ces propriétés. FAS ignore ces paramètres dans le modèle de certificat.
Consultez Protection des clés privées du service d’authentification fédérée pour connaître les paramètres équivalents fournis par FAS.
Modifier les propriétés d’attestation de clé
Ne modifiez pas ces propriétés. FAS ne gère pas l’attestation de clé.
Modifier les propriétés de modèles obsolètes
Ne modifiez pas ces propriétés. FAS ne gère pas les modèles obsolètes.
Modifier les propriétés d’extensions
Vous pouvez modifier ces paramètres en fonction de la stratégie de votre organisation.
Remarque : des paramètres d’extension inappropriés peuvent entraîner des problèmes de sécurité ou aboutir à des certificats inutilisables.
Modifier les propriétés de sécurité
Citrix recommande de modifier ces paramètres pour accorder les autorisations Lire et Inscription aux comptes d’ordinateur des serveurs FAS uniquement. Aucune autre autorisation n’est requise par le service FAS. Toutefois, comme pour d’autres modèles de certificat, vous pouvez :
- autoriser les administrateurs à lire ou écrire le modèle
- autoriser les utilisateurs authentifiés à lire le modèle
Modifier les propriétés de nom du sujet
Vous pouvez modifier ces paramètres en fonction de la stratégie de votre organisation, si nécessaire.
Modifier les propriétés de serveur
Citrix ne le recommande pas, mais vous pouvez modifier ces paramètres en fonction de la stratégie de votre organisation, si nécessaire.
Modifier les propriétés de conditions d’émission
Ne modifiez pas ces paramètres. Ces paramètres doivent être comme indiqué :
Modifier les propriétés de compatibilité
Vous pouvez modifier ces paramètres. Le paramètre doit être au moins Windows Server 2003 CAs (version de schéma 2). Toutefois, FAS prend en charge uniquement Windows Server 2008 et les autorités de certification ultérieures. Comme expliqué ci-dessus, FAS ignore également les paramètres supplémentaires disponibles si Windows Server 2008 CAs (version de schéma 3) ou Windows Server 2012 CAs est sélectionné (version de schéma 4).
Administration de l’autorité de certification
L’administrateur de l’autorité de certification est responsable de la configuration du serveur d’autorité de certification et de l’émission de la clé privée de certificat qu’il utilise.
Publication de modèles
Pour qu’une autorité de certification puisse émettre des certificats basés sur un modèle fourni par l’administrateur de l’entreprise, l’administrateur de l’autorité de certification doit choisir de publier ce modèle.
Une simple pratique de sécurité consiste à publier uniquement les modèles de certificat RA lorsque les serveurs FAS sont installés, ou d’opter pour un processus d’émission hors connexion. Dans les deux cas, l’administrateur CA doit conserver un contrôle total sur l’autorisation des demandes de certificat RA, et disposer d’une stratégie pour autoriser les serveurs FAS.
Paramètres de pare-feu
En général, l’administrateur CA contrôlera également les paramètres de pare-feu réseau de l’autorité de certification, ce qui permet de contrôler les connexions entrantes. L’administrateur de l’autorité de certification peut configurer le protocole TCP de DCOM et des règles de pare-feu de manière à ce que seuls les serveurs FAS puissent demander des certificats.
Inscription restreinte
Par défaut, le détenteur d’un certificat RA peut émettre des certificats pour tous les utilisateurs, à l’aide d’un quelconque modèle de certificat autorisant l’accès. Ceci devrait être restreint à un groupe d’utilisateurs non privilégiés à l’aide de la propriété d’autorité de certification « Restreindre les agents d’inscription ».
Modules de stratégie et d’audit
Pour les déploiements avancés, des modules de sécurité personnalisés peuvent être utilisés pour assurer le suivi et interdire l’émission de certificats.
Administration de FAS
Le FAS possède plusieurs fonctions de sécurité.
Restreindre StoreFront, les utilisateurs et les VDA via une liste de contrôle d’accès
Au centre du modèle de sécurité de FAS figure le contrôle grâce auquel les comptes Kerberos peuvent accéder aux fonctionnalités :
Vecteur d’accès | Description |
---|---|
StoreFront [fournisseur d’identité] | Ces comptes Kerberos sont approuvés pour déclarer qu’un utilisateur a été correctement authentifié. Si l’un de ces comptes est compromis, des certificats peuvent être créés et utilisés pour les utilisateurs autorisés par la configuration du FAS. |
VDA [partie de confiance] | Il s’agit des machines qui sont autorisées à accéder aux certificats et aux clés privées. Un handle d’informations d’identification récupéré par le fournisseur d’identité est également nécessaire, de façon à limiter les possibilités d’attaque du système par un compte VDA compromis dans ce groupe. |
Utilisateurs | Contrôle les utilisateurs qui peuvent être certifiés par le fournisseur d’identité. Veuillez noter qu’il existe un chevauchement avec les options de configuration « Restreindre les agents d’inscription » de l’autorité de certification. En règle générale, il est conseillé d’inclure uniquement des comptes non privilégiés dans cette liste. Ceci empêche un compte StoreFront compromis de réaffecter des privilèges à un niveau administratif plus élevé. En particulier, les comptes d’administrateur de domaine ne doivent pas être autorisés par cette ACL. |
Configurer des règles
Les règles sont utiles si plusieurs déploiements XenApp ou XenDesktop indépendants utilisent la même infrastructure de serveur FAS. Chaque règle dispose d’options de configuration distinctes ; en particulier, les ACL peuvent être configurées indépendamment.
Configurer l’autorité de certification et les modèles
Différents modèles de certificats et autorités de certification peuvent être configurés afin d’octroyer des droits d’accès différents. Des configurations avancées peuvent choisir d’utiliser plus ou moins de certificats puissants, en fonction de l’environnement. À titre d’exemple, les utilisateurs identifiés en tant que « externes » peuvent posséder un certificat avec moins de privilèges que les utilisateurs « internes ».
Certificats d’authentification et dans la session
L’administrateur FAS peut contrôler si le certificat utilisé pour l’authentification peut être utilisé dans la session de l’utilisateur. Par exemple, ceci peut être utilisé pour mettre uniquement à disposition des certificats « de signature » dans la session, afin de réserver le certificat « d’ouverture de session » plus puissant uniquement pour l’ouverture de session.
Protection de clé privée et longueur de clé
L’administrateur FAS peut configurer FAS afin de stocker les clés privées dans un module de sécurité matériel (HSM) ou un module de plateforme sécurisée (TPM). Citrix recommande de protéger au moins une clé privée de certificat RA en la stockant dans un TPM ; cette option est fournie dans le cadre du processus de demande de certificat « hors connexion ».
De même, les clés privées de certificat utilisateur peuvent être stockées dans un module TPM ou HSM. Toutes les clés doivent être générées en tant que « non exportables » et d’une longueur minimum de 2 048 bits.
Journaux d’événements
Le serveur FAS fournit des informations détaillées sur la configuration et des journaux d’événements, qui peuvent être utilisés pour l’audit et la détection des intrusions.
Accès administratif et outils d’administration
Le FAS comprend des fonctionnalités d’administration à distance (authentification mutuelle Kerberos) ainsi que des outils. Les membres du « groupe Administrateurs local » exercent un contrôle total sur la configuration du FAS. Cette liste doit être soigneusement tenue à jour.
Administrateurs XenApp, XenDesktop et VDA
En général, l’utilisation du FAS ne modifie pas le modèle de sécurité des administrateurs Delivery Controller et VDA, car le « handle d’informations d’identification » du FAS remplace simplement le « mot de passe Active Directory. » Les groupes d’administration Controller et VDA doivent contenir uniquement des utilisateurs approuvés. L’audit et les journaux d’événements doivent être tenus à jour.
Sécurité des serveurs Windows
Tous les correctifs doivent avoir été installés sur tous les serveurs, de même que des pare-feu et des logiciels antivirus. Les serveurs d’infrastructure critiques à la sécurité doivent être conservés dans un endroit sécurisé, et un soin tout particulier doit être apporté au cryptage du disque et aux options de maintenance des machines virtuelles.
L’audit et les journaux d’événements doivent être stockés de manière sécurisée sur une machine distante.
L’accès RDP doit être limité aux administrateurs autorisés. Dans la mesure du possible, les comptes utilisateur doivent demander une ouverture de session par carte à puce, plus particulièrement pour les comptes d’administrateur de domaine et d’autorité de certification.
Informations connexes
- L’article Service d’authentification fédérée est le document de référence principal pour obtenir des informations sur l’installation et la configuration du FAS.
- Les architectures FAS sont présentées dans l’article Vue d’ensemble des architectures du Service d’authentification fédérée.
- D’autres informations pratiques sont disponibles dans l’article Configuration et gestion du service d’authentification fédérée.
Dans cet article
- Architecture réseau
- Sécurité du réseau et pare-feu
- Responsabilités en matière d’administration
- Paramètres de stratégie de groupe
- Modèles de certificats
- Administration de l’autorité de certification
- Administration de FAS
- Administrateurs XenApp, XenDesktop et VDA
- Sécurité des serveurs Windows
- Informations connexes