How it Works
VMWARE
Loading...
A
B
C
D
E
F
G
H
L
P
S
T
Loading...
Loading...
Horizon 7.1
User Manual
90 pgs626.72 Kb0
User Manual [fr]
40 pgs384.13 Kb0
Administrator’s Guide [fr]
324 pgs2 Mb0
User Manual
26 pgs359.82 Kb0
User Manual [fr]
86 pgs689.16 Kb0
Administrator’s Guide [fr]
30 pgs331.51 Kb0
User Manual [fr]
114 pgs900.72 Kb0
User Manual [fr]
250 pgs1.53 Mb0
User Manual [fr]
210 pgs1.29 Mb0
Administrator’s Guide [fr]
76 pgs573.27 Kb0
User Manual [fr]
80 pgs603.57 Kb0
User Manual [fr]
62 pgs518.51 Kb0
Installation Manual [fr]
154 pgs1.02 Mb0
User Manual [fr]
106 pgs657.24 Kb0
User Manual
20 pgs232.05 Kb0
Table of contents
Loading...

VMWARE Horizon 7.1 User Manual [fr]

Sécurité de View
VMware Horizon 7 7.1
Ce document prend en charge la version de chacun des produits répertoriés, ainsi que toutes les versions publiées par la suite jusqu'au remplacement dudit document par une nouvelle édition. Pour rechercher des éditions plus récentes de ce document, rendez-vous sur :
http://www.vmware.com/fr/support/pubs.
Sécurité de View
Vous trouverez la documentation technique la plus récente sur le site Web de VMware à l'adresse :
hp://www.vmware.com/fr/support/
Le site Web de VMware propose également les dernières mises à jour des produits.
N’hésitez pas à nous transmettre tous vos commentaires concernant cette documentation à l’adresse suivante :
docfeedback@vmware.com
Copyright © 2009–2017 VMware, Inc. Tous droits réservés. Copyright et informations sur les marques.
VMware, Inc.
3401 Hillview Ave. Palo Alto, CA 94304 www.vmware.com
2 VMware, Inc.
VMware, Inc.
100-101 Quartier Boieldieu 92042 Paris La Défense France www.vmware.com/fr

Table des matières

Sécurité de View 5
Comptes, ressources et chiers journaux d' Horizon 7 7
1
Comptes Horizon 7 7 Ressources d' Horizon 7 8 Fichiers journaux d' Horizon 7 9
Paramètres de sécurité de View 11
2
Paramètres généraux liés à la sécurité dans View Administrator 12 Paramètres de serveur liés à la sécurité dans View Administrator 14 Paramètres liés à la sécurité dans View LDAP 15
Ports et services 17
3
Ports TCP et UDP de View 17 Services sur un hôte du Serveur de connexion View 21 Services sur un serveur de sécurité 22
Conguration des protocoles de sécurité et des suites de chirement sur une
4
instance de Serveur de connexion View ou sur un serveur de sécurité 23
Stratégies générales par défaut pour les protocoles de sécurité et les suites de chirement 24
Conguration des stratégies d'acceptation et de proposition générales 24 Congurer des stratégies d'acceptation sur des View Server individuels 25 Congurer des stratégies de proposition sur des postes de travail View 26 Protocoles et chirements anciens désactivés dans View 27
Conguration des protocoles de sécurité et des suites de chirement pour Blast
5
Secure Gateway 29
Congurer des protocoles de sécurité et des suites de chirement pour Blast Secure Gateway (BSG) 29
Déploiement de périphériques USB dans un environnement View sécurisé 31
6
Désactivation de la redirection USB pour tous les types de périphériques 31 Désactivation de la redirection USB pour des périphériques spéciques 33
Mesures de protection HTTP sur des serveurs de connexion et des serveurs de
7
sécurité 35
Normes EITF (Internet Engineering Task Force) 35 Autres mesures de protection 36
Index 39
VMware, Inc. 3
Sécurité de View
4 VMware, Inc.

Sécurité de View

Sécurité de View fournit une référence succincte sur les fonctionnalités de sécurité de VMware Horizon 7.
Comptes de connexion requis au système et à la base de données.
n
Options et paramètres de conguration qui ont des implications en matière de sécurité.
n
Ressources qui doivent être protégées, telles que des chiers et des mots de passe de conguration liés à
n
la sécurité, et contrôles d'accès recommandés pour un fonctionnement sécurisé.
Emplacement des chiers journaux et leur objectif.
n
Interfaces, ports et services externes qui doivent être ouverts ou activés pour le bon fonctionnement de
n
View.
Public cible
Ces informations sont destinées aux décideurs, aux architectes, aux administrateurs informatiques et aux autres personnes qui doivent se familiariser avec les composants de sécurité de View.
VMware, Inc.
5
Sécurité de View
6 VMware, Inc.
Comptes, ressources et fichiers
journaux d' Horizon 7 1
Le fait de posséder des comptes diérents pour des composants spéciques permet de ne pas donner aux utilisateurs un accès et des autorisations dont ils n'ont pas besoin. Connaître l'emplacement des chiers de conguration et des chiers avec des données sensibles permet de congurer la sécurité pour divers systèmes hôtes.
R À partir d'Horizon 7.0, View Agent est renommé Horizon Agent.
Ce chapitre aborde les rubriques suivantes :
« Comptes Horizon 7 », page 7
n
« Ressources d'Horizon 7 », page 8
n
« Fichiers journaux d'Horizon 7 », page 9
n

Comptes Horizon 7

Vous devez congurer des comptes système et des comptes de base de données pour administrer les composants de Horizon 7.
Tableau 11. Comptes système Horizon 7
Composant Horizon Comptes requis
Horizon Client Congurez des comptes d'utilisateurs dans Active Directory pour les utilisateurs qui ont accès à
des applications et à des postes de travail distants. Les comptes d'utilisateur doivent être des membres du groupe Utilisateurs du Bureau à distance, mais les comptes ne requièrent pas de privilèges d'administrateur Horizon.
vCenter Server Congurez dans Active Directory un compte d'utilisateur autorisé à eectuer dans vCenter
Server les opérations nécessaires à la prise en charge de Horizon 7. Pour plus d'informations sur les privilèges requis, consultez le document Installation de View.
VMware, Inc. 7
Sécurité de View
Tableau 11. Comptes système Horizon 7 (suite)
Composant Horizon Comptes requis
View Composer Créez un compte d'utilisateur dans Active Directory à utiliser avec View Composer. View
Serveur de connexion Lorsque vous installez Horizon 7, vous pouvez spécier un utilisateur de domaine spécique, le
Tableau 12. Comptes de base de données Horizon
Composant Horizon Comptes requis
base de données View Composer
Base de données des événements utilisée par le Serveur de connexion Horizon
Composer a besoin de ce compte pour associer des postes de travail de clone lié à votre domaine Active Directory.
Le compte d'utilisateur ne doit pas être un compte d'administration Horizon. Donnez au compte les privilèges minimum qu'il requiert pour créer et supprimer des objets ordinateur dans un conteneur Active Directory spécié. Par exemple, le compte ne requiert pas de privilèges d'administrateur de domaine.
Pour plus d'informations sur les privilèges requis, consultez le document Installation de View.
groupe d'administrateurs local ou un groupe d'utilisateurs de domaine spécique en tant qu'administrateurs Horizon. Nous vous recommandons de créer un groupe d'utilisateurs de domaine dédié d'administrateurs Horizon. L'utilisateur par défaut est l'utilisateur de domaine actuellement connecté.
Dans Horizon Administrator, vous pouvez utiliser  de View > Administrateurs pour modier la liste des administrateurs Horizon.
Pour plus d'informations sur les privilèges requis, consultez le document Administration de View.
Une base de données SQL Server ou Oracle stocke des données View Composer. Vous créez un compte d'administration pour la base de données que vous pouvez associer au compte d'utilisateur View Composer.
Pour plus d'informations sur la conguration d'une base de données View Composer, consultez le document Installation de View.
Une base de données SQL Server ou Oracle stocke des données d'événements Horizon. Vous créez un compte d'administration pour la base de données qu'Horizon Administrator peut utiliser an d'accéder aux données d'événements.
Pour plus d'informations sur la conguration d'une base de données View Composer, consultez le document Installation de View.
Pour réduire le risque de vulnérabilités de sécurité, eectuez les actions suivantes :
Congurez les bases de données Horizon 7 sur des serveurs distincts des autres serveurs de base de
n
données que votre entreprise utilise.
Ne permeez pas à un compte d'utilisateur d'accéder à plusieurs bases de données.
n
Congurez des comptes séparés pour accéder aux bases de données View Composer et des
n
événements.

Ressources d' Horizon 7

Horizon 7 inclut plusieurs chiers de conguration et des ressources similaires qui doivent être protégés.
Tableau 13. Ressources du Serveur de connexion Horizon et du serveur de sécurité
Resource (Ressource) Emplacement Protection
Paramètres LDAP Non applicable. Les données LDAP sont protégées
Fichiers de sauvegarde LDAP
%ProgramData%\VMWare\VDM\backups
automatiquement dans le cadre du contrôle d'accès basé sur des rôles.
Protégé par un contrôle d'accès.
8 VMware, Inc.
Tableau 13. Ressources du Serveur de connexion Horizon et du serveur de sécurité (suite)
Resource (Ressource) Emplacement Protection
locked.properties
(chier de conguration de
Secure Gateway)
absg.properties
(chier de conguration de
Blast Secure Gateway)
Fichiers journaux Reportez-vous à la section « Fichiers journaux
web.xml
(Fichier de
conguration
Tomcat)
install_directory\VMware\VMware View\Server\sslgateway\conf
install_directory\VMware\VMware View\Server\appblastgateway
d'Horizon 7 », page 9.
install_directory\VMware View\Server\broker\web apps\ROOT\Web INF

Fichiers journaux d' Horizon 7

Chapitre 1 Comptes, ressources et fichiers journaux d' Horizon 7
Assurez-vous que ce chier est protégé contre l'accès par des utilisateurs qui ne sont pas des administrateurs Horizon.
Assurez-vous que ce chier est protégé contre l'accès par des utilisateurs qui ne sont pas des administrateurs Horizon.
Protégé par un contrôle d'accès.
Protégé par un contrôle d'accès.
Horizon 7 crée des chiers journaux qui enregistrent l'installation et le fonctionnement de ses composants.
R Les chiers journaux d'Horizon 7 sont destinés à être utilisés par le support VMware. VMware vous recommande de congurer et d'utiliser la base de données des événements pour contrôler Horizon 7. Pour plus d'informations, reportez-vous aux documents Installation de View et Intégration de View.
Tableau 1‑4. Fichiers journaux d'Horizon 7
Composant Horizon Chemin d'accès au fichier et autres informations
Tous les composants (journaux d'installation)
Horizon Agent
Applications publiées Base de données des événements View congurée sur un serveur de base de données SQL
View Composer
%TEMP%\vminst.log_date_timestamp
%TEMP%\vmmsi.log_date_timestamp
<Drive Letter>:\ProgramData\VMware\VDM\logs Pour accéder aux chiers journaux d'Horizon 7 stockés dans <Lettre de
lecteur>:\ProgramData\VMware\VDM\logs, vous devez ouvrir les journaux à partir d'un
programme disposant de privilèges administrateur élevés. Cliquez avec le bouton droit sur le chier du programme et sélectionnez Exécuter en tant qu'administrateur.
Si un disque de données utilisateur (User Data Disk, UDD) est conguré, <Drive Leer peut correspondre à l'UDD.
Les journaux de PCoIP portent les noms pcoip_agent*.log et pcoip_server*.log.
Server ou Oracle. Journaux d'événements d'application Windows. Désactivé par défaut.
%system_drive%\Windows\Temp\vmware-viewcomposer-ga-new.log sur le poste de travail de clone lié.
Le journal de View Composer contient des informations sur l'exécution des scripts QuickPrep et Sysprep. Le journal enregistre l'heure de début et l'heure de n de l'exécution du script, ainsi que tous les messages de sortie ou d'erreur.
VMware, Inc. 9
Sécurité de View
Tableau 14. Fichiers journaux d'Horizon 7 (suite)
Composant Horizon Chemin d'accès au fichier et autres informations
Serveur de connexion ou serveur de sécurité
Services Horizon Base de données des événements Horizon congurée sur un serveur de base de données SQL
<Drive Letter>:\ProgramData\VMware\VDM\logs. Le répertoire des journaux est congurable dans les paramètres de conguration de journal
du chier de modèle d'administration ADMX (vdm_common.admx) ou ADM (vdm_common.adm) pour la conguration commune de View.
R Dans Horizon 7 version 7.1, les chiers de modèle d'administration ADM sont obsolètes et les chiers de modèle d'administration ADMX sont ajoutés.
Les journaux PCoIP Secure Gateway sont rédigés dans des chiers nommés SecurityGateway_*.log dans le sous-répertoire PCoIP Secure Gateway.
Les journaux Blast Secure Gateway sont rédigés dans des chiers nommés absg*.log dans le sous-répertoire Blast Secure Gateway.
Server ou Oracle. Journaux d'événements de système Windows.
10 VMware, Inc.

Paramètres de sécurité de View 2

View inclut plusieurs paramètres que vous pouvez utiliser pour régler la sécurité de la conguration. Vous pouvez accéder aux paramètres en utilisant View Administrator ou en utilisant l'utilitaire Éditeur ADSI, si nécessaire.
R Pour plus d'informations sur les paramètres de sécurité pour Horizon Client et Horizon Agent, consultez le document Sécurité d'Horizon Client et d'Horizon Agent.
Ce chapitre aborde les rubriques suivantes :
« Paramètres généraux liés à la sécurité dans View Administrator », page 12
n
« Paramètres de serveur liés à la sécurité dans View Administrator », page 14
n
« Paramètres liés à la sécurité dans View LDAP », page 15
n
VMware, Inc.
11
Sécurité de View

Paramètres généraux liés à la sécurité dans View Administrator

Les paramètres généraux relatifs à la sécurité des sessions et des connexions au client sont accessibles sous  de View > Paramètres généraux dans View Administrator.
Tableau 2‑1. Paramètres généraux liés à la sécurité
Paramètre Description
 le mot de passe de récupération de données
Mode de sécurité des messages
État de sécurité amélioré
(lecture seule)
 à nouveau les connexions par tunnel sécurisé après une interruption de réseau
Le mot de passe est requis lorsque vous restaurez la conguration View LDAP à partir d'une sauvegarde cryptée.
Lorsque vous installez Serveur de connexion View version 5.1 ou supérieure, vous fournissez un mot de passe de récupération de données. Après l'installation, vous pouvez modier ce mot de passe dans View Administrator.
Lorsque vous sauvegardez Serveur de connexion View, la conguration de View LDAP est exportée sous forme de données LDIF cryptées. Pour restaurer la sauvegarde cryptée avec l'utilitaire vdmimport, vous devez fournir le mot de passe de récupération de données. Le mot de passe doit contenir entre 1 et 128 caractères. Suivez les meilleures pratiques de votre entreprise concernant la génération de mots de passe sécurisés.
Détermine le mécanisme de sécurité utilisé lorsque des messages JMS sont transmis entre composants View.
Si le paramètre est réglé sur Désactivé, le mode de sécurité des messages est désactivé.
n
S'il est déni sur Activé, la signature des messages hérités et la vérication des
n
messages JMS sont eectuées. Les composants View rejeent les messages non signés. Ce mode prend en charge une combinaison de connexions SSL et JMS en texte brut.
S'il est déni sur Amélioré, SSL est utilisé pour toutes les connexions JMS, pour chirer
n
tous les messages. Le contrôle d'accès est également activé pour restreindre les rubriques JMS avec lesquelles les composants View peuvent échanger des messages.
Si le paramètre est réglé sur Mélangé, le mode de sécurité des messages est activé, mais
n
pas appliqué pour les composants View qui précèdent View Manager 3.0.
Le paramètre par défaut est Amélioré pour les nouvelles installations. Si vous procédez à une mise à niveau à partir d'une version précédente, le paramètre utilisé dans la version précédente est conservé.
I VMware recommande vivement de régler le mode de sécurité des messages sur Amélioré après la mise à niveau de toutes les instances du Serveur de connexion View, des serveurs de sécurité et des postes de travail View vers cee version. Le réglage Amélioré apporte de nombreuses améliorations importantes à la sécurité et des mises à jour à la le d'aente des messages (MQ).
Champ en lecture seule qui s'ache lorsque Mode de sécurité des messages est modié de Activé à Amélioré. Comme la modication est eectuée par phases, ce champ montre la progression de l'opération :
En  du redémarrage du bus de message est la première phase. Cet état s'ache
n
jusqu'à ce que vous redémarriez manuellement toutes les instances du Serveur de connexion de l'espace ou le service Composant du bus de message VMware Horizon View sur tous les hôtes de Serveur de connexion de l'espace.
Amélioré en  est l'état suivant. Dès que tous les services Composant du bus de
n
messages View ont été redémarrés, le système commence à modier le mode de sécurité des messages sur Amélioré pour tous les postes de travail et serveurs de sécurité.
Amélioré est l'état nal, indiquant que tous les composants utilisent maintenant le
n
mode de sécurité des messages Amélioré.
Détermine si les informations d'identication nécessitent une nouvelle authentication après une interruption réseau lorsque des clients Horizon Client se connectent à des postes de travail et des applications View à l'aide d'un tunnel sécurisé.
Ce paramètre ore une sécurité améliorée. Par exemple, si un ordinateur portable qui a été volé se connecte à un autre réseau, l'utilisateur ne peut pas accéder automatiquement aux postes de travail et aux applications View, car la connexion réseau a été temporairement interrompue.
Ce paramètre est désactivé par défaut.
12 VMware, Inc.
Loading...
+ 28 hidden pages
Buy Points How it Works FAQ Contact Us Questions and Suggestions Privacy Policy Cookie Policy Terms of Use