Sécurité et configuration réseau du service d’authentification fédérée
Le service d’authentification fédérée (FAS) de Citrix est étroitement intégré à Microsoft Active Directory et à l’autorité de certification (CA) Microsoft. Il est essentiel de s’assurer que le système est géré et sécurisé de manière appropriée, en élaborant une politique de sécurité comme vous le feriez pour un contrôleur de domaine ou toute autre infrastructure critique.
Ce document fournit un aperçu des problèmes de sécurité à prendre en compte lors du déploiement du FAS. Il présente également les fonctionnalités disponibles qui peuvent vous aider à sécuriser votre infrastructure.
Architecture réseau
Le diagramme suivant présente les principaux composants et les limites de sécurité utilisés dans un déploiement FAS.
Le serveur FAS doit être traité comme faisant partie de l’infrastructure critique en matière de sécurité, au même titre que l’autorité de certification et le contrôleur de domaine. Dans un environnement fédéré, Citrix NetScaler et Citrix StoreFront™ sont des composants auxquels on fait confiance pour effectuer l’authentification des utilisateurs ; les autres composants XenApp et XenDesktop ne sont pas affectés par l’introduction du FAS.
Pare-feu et sécurité réseau
La communication entre NetScaler, StoreFront et les composants Delivery Controller™ doit être protégée par TLS sur le port 443. Le serveur StoreFront n’effectue que des connexions sortantes, et le NetScaler Gateway ne doit accepter que les connexions via Internet utilisant le port HTTPS 443.
Le serveur StoreFront contacte le serveur FAS sur le port 80 en utilisant Kerberos avec authentification mutuelle. L’authentification utilise l’identité Kerberos HOST/fqdn du serveur FAS et l’identité du compte machine Kerberos du serveur StoreFront. Cela génère un « handle d’informations d’identification » à usage unique nécessaire au Citrix Virtual Delivery Agent (VDA) pour connecter l’utilisateur.
Lorsqu’une session HDX est connectée au VDA, le VDA contacte également le serveur FAS sur le port 80. L’authentification utilise l’identité Kerberos HOST/fqdn du serveur FAS et l’identité machine Kerberos du VDA. De plus, le VDA doit fournir le « handle d’informations d’identification » pour accéder au certificat et à la clé privée.
L’autorité de certification Microsoft accepte la communication via DCOM authentifié par Kerberos, qui peut être configuré pour utiliser un port TCP fixe. L’autorité de certification exige en outre que le serveur FAS fournisse un paquet CMC signé par un certificat d’agent d’inscription approuvé.
| Serveur | Ports de pare-feu |
|---|---|
| Service d’authentification fédérée | [in] Kerberos sur HTTP depuis StoreFront et les VDA, [out] DCOM vers Microsoft CA |
| Netscaler | [in] HTTPS depuis les machines clientes, [in/out] HTTPS vers/depuis le serveur StoreFront, [out] HDX vers le VDA |
| StoreFront | [in] HTTPS depuis NetScaler®, [out] HTTPS vers le Delivery Controller, [out] Kerberos HTTP vers FAS |
| Delivery Controller | [in] HTTPS depuis le serveur StoreFront, [in/out] Kerberos sur HTTP depuis les VDA |
| VDA | [in/out] Kerberos sur HTTP depuis le Delivery Controller, [in] HDX depuis NetScaler Gateway, [out] Kerberos HTTP vers FAS |
| Microsoft CA | [in] DCOM et signé depuis FAS |
Responsabilités d’administration
L’administration de l’environnement peut être divisée en les groupes suivants :
| Nom | Responsabilité |
|---|---|
| Administrateur d’entreprise | Installer et sécuriser les modèles de certificat dans la forêt |
| Administrateur de domaine | Configurer les paramètres de stratégie de groupe |
| Administrateur de CA | Configurer l’autorité de certification |
| Administrateur FAS | Installer et configurer le serveur FAS |
| Administrateur StoreFront/NetScaler | Configurer l’authentification utilisateur |
| Administrateur XenDesktop® | Configurer les VDA et les contrôleurs |
Chaque administrateur contrôle différents aspects du modèle de sécurité global, ce qui permet une approche de défense en profondeur pour sécuriser le système.
Paramètres de stratégie de groupe
Trusted FAS machines are identified by a lookup table of “index number -> FQDN” configured through Group Policy. When contacting an FAS server, clients verify the FAS server’s HOST\<fqdn> Kerberos identity. All servers that access the FAS server must have identical FQDN configurations for the same index; otherwise, StoreFront and VDAs may contact different FAS servers.
Pour éviter les erreurs de configuration, Citrix recommande qu’une seule stratégie soit appliquée à toutes les machines de l’environnement. Soyez vigilant lors de la modification de la liste des serveurs FAS, en particulier lors de la suppression ou du réordonnancement des entrées.
Le contrôle de cette GPO doit être limité aux administrateurs FAS (et/ou aux administrateurs de domaine) qui installent et désactivent les serveurs FAS. Veillez à ne pas réutiliser le nom de domaine complet (FQDN) d’une machine peu de temps après la désactivation d’un serveur FAS.
Modèles de certificat
Si vous ne souhaitez pas utiliser le modèle de certificat Citrix_SmartcardLogon fourni avec le FAS, vous pouvez en modifier une copie. Les modifications suivantes sont prises en charge.
Renommer un modèle de certificat
Si vous souhaitez renommer le Citrix_SmartcardLogon pour qu’il corresponde à la norme de dénomination de modèle de votre organisation, vous devez :
- Créez une copie du modèle de certificat et renommez-la pour qu’elle corresponde à la norme de dénomination de modèle de votre organisation.
- Utilisez les commandes PowerShell FAS pour administrer FAS, plutôt que l’interface utilisateur administrative. (L’interface utilisateur administrative est uniquement destinée à être utilisée avec les noms de modèles par défaut de Citrix.)
- Utilisez le composant logiciel enfichable Modèles de certificat de la console MMC de Microsoft ou la commande Publish-FasMsTemplate pour publier votre modèle, et
- Utilisez la commande New-FasCertificateDefinition pour configurer FAS avec le nom de votre modèle.
Modifier les propriétés générales
Vous pouvez modifier la période de validité dans le modèle de certificat.
Ne modifiez pas la période de renouvellement. FAS ignore ce paramètre dans le modèle de certificat. FAS renouvelle automatiquement le certificat à mi-chemin de sa période de validité.
Modifier les propriétés de gestion des requêtes
Ne modifiez pas ces propriétés. FAS ignore ces paramètres dans le modèle de certificat. FAS désélectionne toujours Autoriser l’exportation de la clé privée et désélectionne Renouveler avec la même clé.
Modifier les propriétés de cryptographie
Ne modifiez pas ces propriétés. FAS ignore ces paramètres dans le modèle de certificat.
Reportez-vous à Protection de la clé privée du service d’authentification fédérée pour les paramètres équivalents fournis par FAS.
Modifier les propriétés d’attestation de clé
Ne modifiez pas ces propriétés. FAS ne prend pas en charge l’attestation de clé.
Modifier les propriétés des modèles remplacés
Ne modifiez pas ces propriétés. FAS ne prend pas en charge le remplacement de modèles.
Modifier les propriétés des extensions
Vous pouvez modifier ces paramètres pour qu’ils correspondent à la politique de votre organisation.
Remarque : Des paramètres d’extension inappropriés peuvent entraîner des problèmes de sécurité ou des certificats inutilisables.
Modifier les propriétés de sécurité
Citrix vous recommande de modifier ces paramètres pour autoriser les autorisations Lecture et Inscription uniquement pour les comptes d’ordinateur des serveurs FAS. Aucune autre autorisation n’est requise par le service FAS. Cependant, comme pour les autres modèles de certificat, vous pouvez souhaiter :
- autoriser les administrateurs à lire ou écrire le modèle
- autoriser les utilisateurs authentifiés à lire le modèle
Modifier les propriétés du nom du sujet
Vous pouvez modifier ces paramètres pour qu’ils correspondent à la politique de votre organisation, si nécessaire.
Modifier les propriétés du serveur
Bien que Citrix ne le recommande pas, vous pouvez modifier ces paramètres pour qu’ils correspondent à la politique de votre organisation, si nécessaire.
Modifier les propriétés des exigences d’émission
Ne modifiez pas ces paramètres. Ces paramètres doivent être tels qu’indiqués :
Modifier les propriétés de compatibilité
Vous pouvez modifier ces paramètres. Le paramètre doit être au moins Autorités de certification Windows Server 2003 (version de schéma 2). Cependant, FAS ne prend en charge que les autorités de certification Windows Server 2008 et ultérieures. De plus, comme expliqué ci-dessus, FAS ignore les paramètres supplémentaires disponibles en sélectionnant Autorités de certification Windows Server 2008 (version de schéma 3) ou Autorités de certification Windows Server 2012 (version de schéma 4).
Administration de l’autorité de certification
L’administrateur de l’autorité de certification est responsable de la configuration du serveur d’autorité de certification et de la clé privée du certificat d’émission qu’il utilise.
Publication de modèles
Pour qu’une autorité de certification puisse émettre des certificats basés sur un modèle fourni par l’administrateur d’entreprise, l’administrateur de l’autorité de certification doit choisir de publier ce modèle.
Une pratique de sécurité simple consiste à publier uniquement les modèles de certificat RA lors de l’installation des serveurs FAS, ou à insister sur un processus d’émission entièrement hors ligne. Dans les deux cas, l’administrateur de l’autorité de certification doit conserver un contrôle total sur l’autorisation des demandes de certificat RA et disposer d’une politique pour l’autorisation des serveurs FAS.
Paramètres du pare-feu
Généralement, l’administrateur de l’autorité de certification aura également le contrôle des paramètres du pare-feu réseau de l’autorité de certification, ce qui permettra de contrôler les connexions entrantes. L’administrateur de l’autorité de certification peut configurer les règles DCOM TCP et de pare-feu afin que seuls les serveurs FAS puissent demander des certificats.
Inscription restreinte
Par défaut, tout détenteur d’un certificat d’agent d’inscription peut émettre des certificats à n’importe quel utilisateur, en utilisant n’importe quel modèle de certificat qui autorise l’accès. Cela doit être restreint à un groupe d’utilisateurs non privilégiés en utilisant la propriété de l’autorité de certification « Restreindre les agents d’inscription ».
Modules de stratégie et audit
Pour les déploiements avancés, des modules de sécurité personnalisés peuvent être utilisés pour suivre et opposer un veto à l’émission de certificats.
Administration FAS
Le FAS dispose de plusieurs fonctionnalités de sécurité.
Restreindre StoreFront, les utilisateurs et les VDA via une ACL
Au centre du modèle de sécurité FAS se trouve le contrôle des comptes Kerberos qui peuvent accéder aux fonctionnalités :
| Vecteur d’accès | Description |
|---|---|
| StoreFront [IdP] | Ces comptes Kerberos sont considérés comme fiables pour déclarer qu’un utilisateur a été correctement authentifié. Si l’un de ces comptes est compromis, des certificats peuvent être créés et utilisés pour les utilisateurs autorisés par la configuration du FAS. |
| VDA [Relying party] | Ce sont les machines qui sont autorisées à accéder aux certificats et aux clés privées. Un handle d’informations d’identification récupéré par l’IdP est également nécessaire, de sorte qu’un compte VDA compromis dans ce groupe a une portée limitée pour attaquer le système. |
| Utilisateurs | Ceci contrôle quels utilisateurs peuvent être attestés par l’IdP. Notez qu’il y a un chevauchement avec les options de configuration de l’« Agent d’inscription restreint » au niveau de l’AC. En général, il est conseillé d’inclure uniquement les comptes non privilégiés dans cette liste. Cela empêche un compte StoreFront compromis d’élever ses privilèges à un niveau administratif supérieur. En particulier, les comptes d’administrateur de domaine ne doivent pas être autorisés par cette ACL. |
Configurer les règles
Les règles sont utiles si plusieurs déploiements XenApp® ou XenDesktop indépendants utilisent la même infrastructure de serveur FAS. Chaque règle dispose d’un ensemble distinct d’options de configuration ; en particulier, les ACL peuvent être configurées indépendamment.
Configurer l’AC et les modèles
Différents modèles de certificat et AC peuvent être configurés pour différents droits d’accès. Les configurations avancées peuvent choisir d’utiliser des certificats moins ou plus puissants, selon l’environnement. Par exemple, les utilisateurs identifiés comme « externes » peuvent avoir un certificat avec moins de privilèges que les utilisateurs « internes ».
Certificats de session et d’authentification
L’administrateur FAS peut contrôler si le certificat utilisé pour l’authentification est disponible pour une utilisation dans la session de l’utilisateur. Par exemple, cela pourrait être utilisé pour n’avoir que des certificats de « signature » disponibles en session, le certificat de « connexion » plus puissant n’étant utilisé qu’à la connexion.
Protection des clés privées et longueur des clés
L’administrateur FAS peut configurer FAS pour stocker les clés privées dans un module de sécurité matérielle (HSM) ou un module de plateforme sécurisée (TPM). Citrix recommande qu’au moins la clé privée du certificat RA soit protégée en la stockant dans un TPM ; cette option est fournie dans le cadre du processus de demande de certificat « hors ligne ».
De même, les clés privées des certificats utilisateur peuvent être stockées dans un TPM ou un HSM. Toutes les clés doivent être générées comme « non exportables » et avoir une longueur d’au moins 2048 bits.
Journaux d’événements
Le serveur FAS fournit des journaux d’événements de configuration et d’exécution détaillés, qui peuvent être utilisés pour l’audit et la détection d’intrusion.
Accès administratif et outils d’administration
Le FAS inclut des fonctionnalités d’administration à distance (Kerberos à authentification mutuelle) et des outils. Les membres du « Groupe des administrateurs locaux » ont un contrôle total sur la configuration du FAS. Cette liste doit être gérée avec soin.
Administrateurs XenApp, XenDesktop et VDA
En général, l’utilisation du FAS ne modifie pas le modèle de sécurité des administrateurs du Delivery Controller et des VDA, car le « handle d’informations d’identification » du FAS remplace simplement le « mot de passe Active Directory ». Les groupes d’administration du Controller et des VDA ne doivent contenir que des utilisateurs de confiance. Les journaux d’audit et d’événements doivent être conservés.
Sécurité générale des serveurs Windows
Tous les serveurs doivent être entièrement mis à jour et disposer d’un pare-feu standard et d’un logiciel antivirus. Les serveurs d’infrastructure critiques pour la sécurité doivent être conservés dans un emplacement physiquement sécurisé, avec une attention particulière portée au chiffrement des disques et aux options de maintenance des machines virtuelles.
Les journaux d’audit et d’événements doivent être stockés en toute sécurité sur une machine distante.
L’accès RDP doit être limité aux administrateurs autorisés. Dans la mesure du possible, les comptes d’utilisateur doivent exiger une ouverture de session par carte à puce, en particulier pour les comptes d’administrateur de l’autorité de certification et de domaine.
Informations connexes
- L’article Federated Authentication Service est la référence principale pour l’installation et la configuration du FAS.
- Les architectures FAS sont présentées dans l’article Federated Authentication Service architectures overview.
- D’autres articles « pratiques » sont présentés dans l’article Federated Authentication Service configuration and management.
Dans cet article
- Architecture réseau
- Pare-feu et sécurité réseau
- Responsabilités d’administration
- Paramètres de stratégie de groupe
- Modèles de certificat
- Administration de l’autorité de certification
- Administration FAS
- Administrateurs XenApp, XenDesktop et VDA
- Sécurité générale des serveurs Windows
- Informations connexes