VMWARE Horizon 7.2 Sécurité de View [fr]

Sécurité de View
VMware Horizon 7 7.2
Sécurité de View
Vous trouverez la documentation technique la plus récente sur le site Web de VMware à l'adresse :
hps://docs.vmware.com/fr/
Le site Web de VMware propose également les dernières mises à jour des produits.
N’hésitez pas à nous transmettre tous vos commentaires concernant cette documentation à l’adresse suivante :
Copyright © 2009–2017 VMware, Inc. Tous droits réservés. Copyright et informations sur les marques.
VMware, Inc.
3401 Hillview Ave. Palo Alto, CA 94304 www.vmware.com
2 VMware, Inc.
VMware, Inc.
100-101 Quartier Boieldieu 92042 Paris La Défense France www.vmware.com/fr

Table des matières

Sécurité de View 5
Comptes, ressources et chiers journaux d' Horizon 7 7
1
Comptes Horizon 7 7 Ressources d' Horizon 7 8 Fichiers journaux d' Horizon 7 9
Paramètres de sécurité de View 11
2
Paramètres généraux liés à la sécurité dans View Administrator 12 Paramètres de serveur liés à la sécurité dans View Administrator 14 Paramètres liés à la sécurité dans View LDAP 15
Ports et services 17
3
Ports TCP et UDP de View 17 Services sur un hôte du Serveur de connexion View 22 Services sur un serveur de sécurité 22
Conguration des protocoles de sécurité et des suites de chirement sur une
4
instance de Serveur de connexion View ou sur un serveur de sécurité 25
Stratégies générales par défaut pour les protocoles de sécurité et les suites de chirement 26
Conguration des stratégies d'acceptation et de proposition générales 26 Congurer des stratégies d'acceptation sur des View Server individuels 28 Congurer des stratégies de proposition sur des postes de travail View 29 Protocoles et chirements anciens désactivés dans View 29
VMware, Inc.
Conguration des protocoles de sécurité et des suites de chirement pour Blast
5
Secure Gateway 31
Congurer des protocoles de sécurité et des suites de chirement pour Blast Secure Gateway (BSG) 31
Déploiement de périphériques USB dans un environnement Horizon 7
6
sécurisé 33
Désactivation de la redirection USB pour tous les types de périphériques 33 Désactivation de la redirection USB pour des périphériques spéciques 34
Mesures de protection HTTP sur des serveurs de connexion et des serveurs de
7
sécurité 37
Normes IETF (Internet Engineering Task Force) 37 Normes World Wide Web Consortium 38 Autres mesures de protection 40 Congurer des mesures de protection HTTP 42
3
Sécurité de View
Index 45
4 VMware, Inc.

Sécurité de View

Sécurité de View fournit une référence succincte sur les fonctionnalités de sécurité de VMware Horizon 7.
Comptes de connexion requis au système et à la base de données.
n
Options et paramètres de conguration qui ont des implications en matière de sécurité.
n
Ressources qui doivent être protégées, telles que des chiers et des mots de passe de conguration liés à
n
la sécurité, et contrôles d'accès recommandés pour un fonctionnement sécurisé.
Emplacement des chiers journaux et leur objectif.
n
Interfaces, ports et services externes qui doivent être ouverts ou activés pour le bon fonctionnement de
n
View.
Public cible
Ces informations sont destinées aux décideurs, aux architectes, aux administrateurs informatiques et aux autres personnes qui doivent se familiariser avec les composants de sécurité de View.
VMware, Inc.
5
Sécurité de View
6 VMware, Inc.
Comptes, ressources et fichiers
journaux d' Horizon 7 1
Le fait de posséder des comptes diérents pour des composants spéciques permet de ne pas donner aux utilisateurs un accès et des autorisations dont ils n'ont pas besoin. Connaître l'emplacement des chiers de conguration et des chiers avec des données sensibles permet de congurer la sécurité pour divers systèmes hôtes.
R À partir d'Horizon 7.0, View Agent est renommé Horizon Agent.
Ce chapitre aborde les rubriques suivantes :
« Comptes Horizon 7 », page 7
n
« Ressources d'Horizon 7 », page 8
n
« Fichiers journaux d'Horizon 7 », page 9
n

Comptes Horizon 7

Vous devez congurer des comptes système et des comptes de base de données pour administrer les composants de Horizon 7.
Tableau 11. Comptes système Horizon 7
Composant Horizon Comptes requis
Horizon Client Congurez des comptes d'utilisateurs dans Active Directory pour les utilisateurs qui ont accès à
des applications et à des postes de travail distants. Les comptes d'utilisateur doivent être des membres du groupe Utilisateurs du Bureau à distance, mais les comptes ne requièrent pas de privilèges d'administrateur Horizon.
vCenter Server Congurez dans Active Directory un compte d'utilisateur autorisé à eectuer dans vCenter
Server les opérations nécessaires à la prise en charge de Horizon 7. Pour plus d'informations sur les privilèges requis, consultez le document Installation de View.
VMware, Inc. 7
Sécurité de View
Tableau 11. Comptes système Horizon 7 (suite)
Composant Horizon Comptes requis
View Composer Créez un compte d'utilisateur dans Active Directory à utiliser avec View Composer. View
Serveur de connexion Lorsque vous installez Horizon 7, vous pouvez spécier un utilisateur de domaine spécique, le
Tableau 12. Comptes de base de données Horizon
Composant Horizon Comptes requis
base de données View Composer
Base de données des événements utilisée par le Serveur de connexion Horizon
Composer a besoin de ce compte pour associer des postes de travail de clone lié à votre domaine Active Directory.
Le compte d'utilisateur ne doit pas être un compte d'administration Horizon. Donnez au compte les privilèges minimum qu'il requiert pour créer et supprimer des objets ordinateur dans un conteneur Active Directory spécié. Par exemple, le compte ne requiert pas de privilèges d'administrateur de domaine.
Pour plus d'informations sur les privilèges requis, consultez le document Installation de View.
groupe d'administrateurs local ou un groupe d'utilisateurs de domaine spécique en tant qu'administrateurs Horizon. Nous vous recommandons de créer un groupe d'utilisateurs de domaine dédié d'administrateurs Horizon. L'utilisateur par défaut est l'utilisateur de domaine actuellement connecté.
Dans Horizon Administrator, vous pouvez utiliser  de View > Administrateurs pour modier la liste des administrateurs Horizon.
Pour plus d'informations sur les privilèges requis, consultez le document Administration de View.
Une base de données SQL Server ou Oracle stocke des données View Composer. Vous créez un compte d'administration pour la base de données que vous pouvez associer au compte d'utilisateur View Composer.
Pour plus d'informations sur la conguration d'une base de données View Composer, consultez le document Installation de View.
Une base de données SQL Server ou Oracle stocke des données d'événements Horizon. Vous créez un compte d'administration pour la base de données qu'Horizon Administrator peut utiliser an d'accéder aux données d'événements.
Pour plus d'informations sur la conguration d'une base de données View Composer, consultez le document Installation de View.
Pour réduire le risque de vulnérabilités de sécurité, eectuez les actions suivantes :
Congurez les bases de données Horizon 7 sur des serveurs distincts des autres serveurs de base de
n
données que votre entreprise utilise.
Ne permeez pas à un compte d'utilisateur d'accéder à plusieurs bases de données.
n
Congurez des comptes séparés pour accéder aux bases de données View Composer et des
n
événements.

Ressources d' Horizon 7

Horizon 7 inclut plusieurs chiers de conguration et des ressources similaires qui doivent être protégés.
Tableau 13. Ressources du Serveur de connexion Horizon et du serveur de sécurité
Resource (Ressource) Emplacement Protection
Paramètres LDAP Non applicable. Les données LDAP sont protégées
Fichiers de sauvegarde LDAP
%ProgramData%\VMWare\VDM\backups
automatiquement dans le cadre du contrôle d'accès basé sur des rôles.
Protégé par un contrôle d'accès.
8 VMware, Inc.
Tableau 13. Ressources du Serveur de connexion Horizon et du serveur de sécurité (suite)
Resource (Ressource) Emplacement Protection
locked.properties
(chier de conguration de
Secure Gateway)
absg.properties
(chier de conguration de
Blast Secure Gateway)
Fichiers journaux Reportez-vous à la section « Fichiers journaux
web.xml
(Fichier de
conguration
Tomcat)
install_directory\VMware\VMware View\Server\sslgateway\conf
install_directory\VMware\VMware View\Server\appblastgateway
d'Horizon 7 », page 9.
install_directory\VMware View\Server\broker\web apps\ROOT\Web INF

Fichiers journaux d' Horizon 7

Chapitre 1 Comptes, ressources et fichiers journaux d' Horizon 7
Assurez-vous que ce chier est protégé contre l'accès par des utilisateurs qui ne sont pas des administrateurs Horizon.
Assurez-vous que ce chier est protégé contre l'accès par des utilisateurs qui ne sont pas des administrateurs Horizon.
Protégé par un contrôle d'accès.
Protégé par un contrôle d'accès.
Horizon 7 crée des chiers journaux qui enregistrent l'installation et le fonctionnement de ses composants.
R Les chiers journaux d'Horizon 7 sont destinés à être utilisés par le support VMware. VMware vous recommande de congurer et d'utiliser la base de données des événements pour contrôler Horizon 7. Pour plus d'informations, reportez-vous aux documents Installation de View et Intégration de View.
Tableau 1‑4. Fichiers journaux d'Horizon 7
Composant Horizon Chemin d'accès au fichier et autres informations
Tous les composants (journaux d'installation)
Horizon Agent
Applications publiées Base de données des événements View congurée sur un serveur de base de données SQL
View Composer
%TEMP%\vminst.log_date_timestamp
%TEMP%\vmmsi.log_date_timestamp
<Drive Letter>:\ProgramData\VMware\VDM\logs Pour accéder aux chiers journaux d'Horizon 7 stockés dans <Lettre de
lecteur>:\ProgramData\VMware\VDM\logs, vous devez ouvrir les journaux à partir d'un
programme disposant de privilèges administrateur élevés. Cliquez avec le bouton droit sur le chier du programme et sélectionnez Exécuter en tant qu'administrateur.
Si un disque de données utilisateur (User Data Disk, UDD) est conguré, <Drive Leer peut correspondre à l'UDD.
Les journaux de PCoIP portent les noms pcoip_agent*.log et pcoip_server*.log.
Server ou Oracle. Journaux d'événements d'application Windows. Désactivé par défaut.
%system_drive%\Windows\Temp\vmware-viewcomposer-ga-new.log sur le poste de travail de clone lié.
Le journal de View Composer contient des informations sur l'exécution des scripts QuickPrep et Sysprep. Le journal enregistre l'heure de début et l'heure de n de l'exécution du script, ainsi que tous les messages de sortie ou d'erreur.
VMware, Inc. 9
Sécurité de View
Tableau 14. Fichiers journaux d'Horizon 7 (suite)
Composant Horizon Chemin d'accès au fichier et autres informations
Serveur de connexion ou serveur de sécurité
Services Horizon Base de données des événements Horizon congurée sur un serveur de base de données SQL
<Drive Letter>:\ProgramData\VMware\VDM\logs. Le répertoire des journaux est congurable dans les paramètres de conguration de journal
du chier de modèle d'administration ADMX pour la conguration commune de View (vdm_common.admx).
Les journaux PCoIP Secure Gateway sont rédigés dans des chiers nommés SecurityGateway_*.log dans le sous-répertoire PCoIP Secure Gateway.
Les journaux Blast Secure Gateway sont rédigés dans des chiers nommés absg*.log dans le sous-répertoire Blast Secure Gateway.
Server ou Oracle. Journaux d'événements de système Windows.
10 VMware, Inc.

Paramètres de sécurité de View 2

View inclut plusieurs paramètres que vous pouvez utiliser pour régler la sécurité de la conguration. Vous pouvez accéder aux paramètres en utilisant View Administrator ou en utilisant l'utilitaire Éditeur ADSI, si nécessaire.
R Pour plus d'informations sur les paramètres de sécurité pour Horizon Client et Horizon Agent, consultez le document Sécurité d'Horizon Client et d'Horizon Agent.
Ce chapitre aborde les rubriques suivantes :
« Paramètres généraux liés à la sécurité dans View Administrator », page 12
n
« Paramètres de serveur liés à la sécurité dans View Administrator », page 14
n
« Paramètres liés à la sécurité dans View LDAP », page 15
n
VMware, Inc.
11
Sécurité de View

Paramètres généraux liés à la sécurité dans View Administrator

Les paramètres généraux relatifs à la sécurité des sessions et des connexions au client sont accessibles sous  de View > Paramètres généraux dans View Administrator.
Tableau 2‑1. Paramètres généraux liés à la sécurité
Paramètre Description
 le mot de passe de récupération de données
Mode de sécurité des messages
État de sécurité amélioré
(lecture seule)
 à nouveau les connexions par tunnel sécurisé après une interruption de réseau
Le mot de passe est requis lorsque vous restaurez la conguration View LDAP à partir d'une sauvegarde cryptée.
Lorsque vous installez Serveur de connexion View version 5.1 ou supérieure, vous fournissez un mot de passe de récupération de données. Après l'installation, vous pouvez modier ce mot de passe dans View Administrator.
Lorsque vous sauvegardez Serveur de connexion View, la conguration de View LDAP est exportée sous forme de données LDIF cryptées. Pour restaurer la sauvegarde cryptée avec l'utilitaire vdmimport, vous devez fournir le mot de passe de récupération de données. Le mot de passe doit contenir entre 1 et 128 caractères. Suivez les meilleures pratiques de votre entreprise concernant la génération de mots de passe sécurisés.
Détermine le mécanisme de sécurité utilisé lorsque des messages JMS sont transmis entre composants View.
Si le paramètre est réglé sur Désactivé, le mode de sécurité des messages est désactivé.
n
S'il est déni sur Activé, la signature des messages hérités et la vérication des
n
messages JMS sont eectuées. Les composants View rejeent les messages non signés. Ce mode prend en charge une combinaison de connexions SSL et JMS en texte brut.
S'il est déni sur Amélioré, SSL est utilisé pour toutes les connexions JMS, pour chirer
n
tous les messages. Le contrôle d'accès est également activé pour restreindre les rubriques JMS avec lesquelles les composants View peuvent échanger des messages.
Si le paramètre est réglé sur Mélangé, le mode de sécurité des messages est activé, mais
n
pas appliqué pour les composants View qui précèdent View Manager 3.0.
Le paramètre par défaut est Amélioré pour les nouvelles installations. Si vous procédez à une mise à niveau à partir d'une version précédente, le paramètre utilisé dans la version précédente est conservé.
I VMware recommande vivement de régler le mode de sécurité des messages sur Amélioré après la mise à niveau de toutes les instances du Serveur de connexion View, des serveurs de sécurité et des postes de travail View vers cee version. Le réglage Amélioré apporte de nombreuses améliorations importantes à la sécurité et des mises à jour à la le d'aente des messages (MQ).
Champ en lecture seule qui s'ache lorsque Mode de sécurité des messages est modié de Activé à Amélioré. Comme la modication est eectuée par phases, ce champ montre la progression de l'opération :
En  du redémarrage du bus de message est la première phase. Cet état s'ache
n
jusqu'à ce que vous redémarriez manuellement toutes les instances du Serveur de connexion de l'espace ou le service Composant du bus de message VMware Horizon View sur tous les hôtes de Serveur de connexion de l'espace.
Amélioré en  est l'état suivant. Dès que tous les services Composant du bus de
n
messages View ont été redémarrés, le système commence à modier le mode de sécurité des messages sur Amélioré pour tous les postes de travail et serveurs de sécurité.
Amélioré est l'état nal, indiquant que tous les composants utilisent maintenant le
n
mode de sécurité des messages Amélioré.
Détermine si les informations d'identication nécessitent une nouvelle authentication après une interruption réseau lorsque des clients Horizon Client se connectent à des postes de travail et des applications View à l'aide d'un tunnel sécurisé.
Ce paramètre ore une sécurité améliorée. Par exemple, si un ordinateur portable qui a été volé se connecte à un autre réseau, l'utilisateur ne peut pas accéder automatiquement aux postes de travail et aux applications View, car la connexion réseau a été temporairement interrompue.
Ce paramètre est désactivé par défaut.
12 VMware, Inc.
Tableau 21. Paramètres généraux liés à la sécurité (suite)
Paramètre Description
Forcer la déconnexion des utilisateurs
Pour les clients prenant en charge les applications.
Si l'utilisateur cesse d'utiliser le clavier et la souris, déconnecter ses applications et supprimer les informations  SSO
Autres clients. Supprimer les
informations  SSO
Activer IPSec pour le couplage du serveur de sécurité
Délai d'expiration de la session de View Administrator
Déconnecte tous les postes de travail et toutes les applications une fois le nombre de minutes spécié écoulé depuis l'ouverture de la session utilisateur sur View. Tous les postes de travail et toutes les applications seront déconnectés en même temps, quel que soit le moment auquel l'utilisateur les a ouverts.
La valeur par défaut est de 600 minutes.
Protège les sessions d'application en l'absence d'activité de clavier ou de souris sur le périphérique client. Si ce paramètre est déni sur Après ... minutes, View, View déconnecte toutes les applications et ignore les informations d'identication SSO au terme du nombre spécié de minutes sans activité de l'utilisateur. Les sessions de postes de travail sont déconnectées. L'utilisateur doit ouvrir une nouvelle session pour se reconnecter aux applications déconnectées ou lancer un nouveau poste de travail ou une nouvelle application.
Si ce paramètre est déni sur Jamais, View ne déconnecte jamais les applications et n'ignore jamais les informations d'identication SSO suite à l'inactivité de l'utilisateur.
La valeur par défaut est Jamais.
Ignore les informations d'identication SSO au bout d'un certain temps. Ce paramètres concerne les clients qui ne prennent pas en charge l'accès à distance aux applications. Si ce paramètre est déni sur Après ... minutes, l'utilisateur doit ouvrir une nouvelle session pour se connecter à un poste de travail une fois que le nombre spécié de minutes s'est écoulé depuis qu'il s'est connecté à View, quelle que soit son activité sur le périphérique client.
La valeur par défaut est Après 15 minutes.
Détermine s'il est nécessaire d'utiliser IPSec (Internet Protocol Security) pour les connexions entre des serveurs de sécurité et des instances de Serveur de connexion View. Ce paramètre doit être désactivé avant d'installer un serveur de sécurité en mode FIPS ; sinon le couplage échoue.
Par défaut, IPSec pour les connexions du serveur de sécurité est activé.
Détermine la durée pendant laquelle une session View Administrator inactive continue avant d'expirer.
I Dénir le délai d'expiration de la session View Administrator sur un nombre de minutes élevé augmente le risque d'utilisation non autorisée de View Administrator. Soyez prudent lorsque vous autorisez une session inactive à durer longtemps.
Par défaut, le délai d'expiration de la session View Administrator est de 30 minutes. Vous pouvez dénir un délai d'expiration de session compris entre 1 et 4 320 minutes.
Chapitre 2 Paramètres de sécurité de View
Pour plus d'informations sur ces paramètres et leurs implications en termes de sécurité, reportez-vous au document Administration de View.
R SSL est requis pour toutes les connexions d'Horizon Client et de View Administrator à View. Si votre déploiement de View utilise des équilibreurs de charge ou d'autres serveurs intermédiaires client, vous pouvez décharger SSL sur eux et congurer des connexions non-SSL sur des instances de Serveur de connexion View et des serveurs de sécurité individuels. Voir « Décharger des connexions SSL sur des serveurs intermédiaires » dans le document Administration de View.
VMware, Inc. 13
Sécurité de View

Paramètres de serveur liés à la sécurité dans View Administrator

Les paramètres de serveur relatifs à la sécurité sont accessibles sous  de View > Serveurs dans View Administrator.
Tableau 2‑2. Paramètres de serveur liés à la sécurité
Paramètre Description
Utiliser PCoIP Secure Gateway pour les connexions PCoIP à la machine
Utiliser une connexion par tunnel sécurisé à la machine
Utiliser Blast Secure Gateway pour les connexions Blast à la machine
Détermine si Horizon Client établit une autre connexion sécurisée au Serveur de connexion View ou à l'hôte du serveur de sécurité lorsque les utilisateurs se connectent à des postes de travail et des applications View avec le protocole d'achage PCoIP.
Si ce paramètre est désactivé, la session de poste de travail ou d'application est établie directement entre le client et le poste de travail View ou l'hôte des services Bureau à distance (Remote Desktop Services, RDS), contournant ainsi le Serveur de connexion View ou l'hôte du serveur de sécurité.
Ce paramètre est désactivé par défaut.
Détermine si Horizon Client établit une autre connexion HTTPS au Serveur de connexion View ou à l'hôte du serveur de sécurité lorsque l'utilisateur se connecte à un poste de travail ou à une application de View.
Si ce paramètre est désactivé, la session de poste de travail ou d'application est établie directement entre le client et le poste de travail View ou l'hôte des services Bureau à distance (Remote Desktop Services, RDS), contournant ainsi le Serveur de connexion View ou l'hôte du serveur de sécurité.
Ce paramètre est activé par défaut.
Détermine si les clients qui accèdent à des postes de travail à l'aide d'un navigateur Web ou du protocole d'achage Blast Extreme utilisent Blast Secure Gateway pour établir un tunnel sécurisé avec le Serveur de connexion View.
Si le paramètre n'est pas activé, les clients utilisant une session Blast Extreme et des navigateurs Web établissent des connexions directes aux postes de travail View, en contournant le Serveur de connexion View.
Ce paramètre est désactivé par défaut.
Pour plus d'informations sur ces paramètres et leurs implications en termes de sécurité, reportez-vous au document Administration de View.
14 VMware, Inc.
Loading...
+ 32 hidden pages