Guide PoC : Citrix Secure Internet Access avec Citrix Virtual Apps and Desktops

Vue d’ensemble

Citrix安全上网fournit一堆desécurité complète fournie dans le cloud pour protéger les utilisateurs, les applications et les données contre toutes les menaces sans compromettre l’expérience des employés. Ce guide de validation de concept (PoC) est conçu pour vous aider à configurer rapidement Citrix Secure Internet Access dans votre environnement Citrix Virtual Apps and Desktops. À la fin de ce guide de PoC, vous êtes en mesure de protéger votre déploiement Citrix Virtual Apps and Desktops avec Citrix Secure Internet Access. Vous pouvez autoriser vos utilisateurs à accéder aux applications en utilisant l’accès direct à Internet (DIA) sans compromettre les performances.

Scope

Dans ce guide de validation de concept, vous rencontrez le rôle d’un administrateur Citrix et vous créez une connexion entre le déploiement Citrix Virtual Apps & Desktop de votre organisation et Citrix Secure Internet Access.

Ce guide explique comment effectuer les actions suivantes :

• Connexion à Citrix Secure Internet Access (CSIA)
• Interfaçage des groupes de sécurité CSIA avec des groupes de l’intégration de domaine
• Configuration des paramètres proxy de la plateforme cloud CSIA
• Configurez des stratégies de sécurité Web pour autoriser/refuser l’accès à certains sites Web ou catégories via la console CSIA.
• Application de stratégies à des groupes de sécurité
• Télécharger l’agent CSIA (Cloud Connector)
• Configurer l’agent CSIA (Cloud Connector) via la stratégie de l’agent
• Configurer manuellement l’agent CSIA (Cloud Connector) (FACULTATIF - Windows uniquement)
• Déploiement manuel de l’agent CSIA (Cloud Connector) sur l’image principale du VDA
• Déployer l’agent CSIA (Cloud Connector) via une stratégie de groupe AD vers une image VDA

Conditions préalables

• Microsoft Windows 7, 8, 10 (x86, x64 et ARM64)
• Microsoft Server 2008R2, 2012, 2016, 2019
• Microsoft .NET 4.5 ou supérieur
• PowerShell 7 (uniquement pour Windows 7)
• les règles de pare-feu suivantes

Exigences du réseau

Paramètres du port/Pare-feu

CSIA —> Sortant

Source	Destination	Protocole	Port	Description
CSIA	ibosscloud.com	TCP	80	Connexions proxy et pages de blocage personnalisées
		TCP	443	Récupération de script PAC via HTTPS et authentification proxy via HTTPS
		TCP	7443	Port alternatif pour la récupération de script PAC via HTTPS
		TCP	8009	Port alternatif pour les connexions proxy
		TCP	8015	Authentification par proxy sur HTTP
		TCP	8016	Port alternatif pour l’authentification par proxy
		TCP	8026	Port de catégorisation cloud pour Android Enterprise
		TCP	8080	Page Bloc par défaut
		TCP	10080	Récupération de script PAC sur HTTP
CSIA	api.ibosscloud.com	TCP	443	Récupération de script PAC via HTTPS et authentification proxy via HTTPS
		TCP	7443	Port alternatif pour la récupération de script PAC via HTTPS
		TCP	8009	Port alternatif pour les connexions proxy
		TCP	8015	Authentification par proxy sur HTTP
		TCP	8016	Port alternatif pour l’authentification par proxy
		TCP	8026	Port de catégorisation cloud pour Android Enterprise
		TCP	8080	Page Bloc par défaut
		TCP	10080	Récupération de script PAC sur HTTP
CSIA	accounts.iboss.com	TCP	443	Récupération de script PAC via HTTPS et authentification proxy via HTTPS
		TCP	7443	Port alternatif pour la récupération de script PAC via HTTPS
		TCP	8009	Port alternatif pour les connexions proxy
		TCP	8015	Authentification par proxy sur HTTP
		TCP	8016	Port alternatif pour l’authentification par proxy
		TCP	8026	Port de catégorisation cloud pour Android Enterprise
		TCP	8080	Page Bloc par défaut
		TCP	10080	Récupération de script PAC sur HTTP
CSIA	Nœud CSIA client-swg.ibosscloud.com	TCP	443	Récupération de script PAC via HTTPS et authentification proxy via HTTPS
		TCP	7443	Port alternatif pour la récupération de script PAC via HTTPS
		TCP	8009	Port alternatif pour les connexions proxy
		TCP	8015	Authentification par proxy sur HTTP
		TCP	8016	Port alternatif pour l’authentification par proxy
		TCP	8026	Port de catégorisation cloud pour Android Enterprise
		TCP	8080	Page Bloc par défaut
		TCP	10080	Récupération de script PAC sur HTTP
CSIA	Nœud CSIA client-reports.ibosscloud.com	TCP	443	Récupération de script PAC via HTTPS et authentification proxy via HTTPS
		TCP	7443	Port alternatif pour la récupération de script PAC via HTTPS
		TCP	8009	Port alternatif pour les connexions proxy
		TCP	8015	Authentification par proxy sur HTTP
		TCP	8016	Port alternatif pour l’authentification par proxy
		TCP	8026	Port de catégorisation cloud pour Android Enterprise
		TCP	8080	Page Bloc par défaut
		TCP	10080	Récupération de script PAC sur HTTP

Configuration du cloud d’accès Internet sécurisé (CSIA) de Citrix

Dans cette section, nous nous concentrons sur la configuration de CSIA dans la console d’administration.

Connectez-vous à Citrix Secure Internet Access

1. Connectez-vous à Citrix Cloud et accédez à la vignette Secure Internet Access.
   

2. Sélectionnez l’ongletConfigurationet cliquez surOuvrir Configuration Citrix SIApour accéder à la Console de configuration.
   

Configurer les paramètres PAC Citrix Secure Internet Access

1. Dans l’ongletConfiguration, accédez àEmplacements et géomapping.
   
2. Sous l’ongletZones, cliquez surModifier la zone par défaut.
   
3. 双击surParamètres PAC.
   
4. Si vous devez contourner un domaine, utilisez l’option Ajouter une fonction.
   
5. Voici les domaines et sous-domaines Citrix recommandés à ajouter au fichier PAC :
   ⋅ cloud.com & *.cloud.com
   ⋅ citrixdata.com & *.citrixdata.com
   ⋅ citrixworkspaceapi.net & *.citrixworkspaceapi.net
   ⋅ citrixworkspacesapi.net & *.citrixworkspacesapi.net
   ⋅ citrixnetworkapi.net & *.citrixnetworkapi.net
   ⋅ nssvc.net & *.nssvc.net
   ⋅ xendesktop.net & *.xendesktop.net
   ⋅ cloudapp.net & *.cloudapp.net
   ⋅ netscalergateway.net & *.netscalergateway.net
6. Notez le nœud affiché “node-clusterxxxxxx-swg.ibosscloud.com:80”. Cela doit correspondre au nœud SWG du client dans Node Collection Management
   

Interfaçage des groupes de sécurité CSIA avec des groupes de l’intégration de domaine

les utilisateurs qui se connectent à Citrix Secure Internet Access (CSIA) communiquent les informations d’unité d’organisation du domaine si elles sont disponibles à partir de leur connexion utilisateur actuelle et de leur appareil. La plateforme cloud CSIA peut être utilisée pour faire correspondre les groupes fournis par les comptes d’utilisateurs contrôlés par domaine. La corrélation entre les groupes de votre intégration de domaine et les groupes de sécurité contenus sur la plateforme cloud CSIA vous permet d’administrer les stratégies et restrictions d’une manière similaire aux stratégies de sécurité existantes au sein de votre organisation.

la stratégie d’intégration des informations sur les groupes de domaines dans la plateforme cloud CSIA consiste à modifier les groupes de sécurité pour qu’ils correspondent aux alias des groupes de domaines signalés à la plate-forme.

Exemple d’intégration

Pour démontrer l’exécution de ce concept, mappons les informations d’identification de domaine d’un utilisateur Windows dans un groupe de sécurité sur la plateforme cloud CSIA.

1. Ouvrez une invite de commande sur l’ordinateur cible et exécutez la commande « net user (nom d’utilisateur) /domain »
2. Rassemblez les alias des groupes signalés par le contrôleur de domaine.
   
3. Accédez à la plateforme cloud CSIA et modifiez le以前的杜groupeou lenom d’aliaspour correspondre à l’un des groupes signalés par l’utilisateur du domaine.
   
4. Désormais, lorsque les utilisateurs du groupe de domaines intégré s’authentifient auprès de la plateforme cloud CSIA, ils sont assignés automatiquement à leur groupe de sécurité correspondant.

Configuration des paramètres proxy de la plateforme cloud CSIA

1. Accédez au moduleProxy et mise en cache.
   
2. DéfinissezActiver les paramètres du proxysurYES.
   
3. Définissez laméthode d’authentificationde l’utilisateur sur Informations d’identification de l’utilisateur local +Connexions Cloud
   
4. 双击surEnregistrer.
   

Configurer des stratégies de sécurité Web

Dans cette section, nous nous concentrons sur la configuration des stratégies de sécurité Web CSIA dans la console d’administration. C’est l’endroit principal où nous définissons des actions sur les catégories Web.

Application de stratégies à des groupes de sécurité

1. Accédez au moduleSécurité Web.
   
2. Pour les stratégies de sécurité Web qui ont une implémentation basée sur un groupe disponible, un menu déroulant se trouve en haut de la page au-dessus du formulaire de configuration de la stratégie. L’état de ce menu déroulant indique la configuration de stratégie du groupe que vous consultez actuellement.
   
3. 双击sur le menu déroulantGroupe, puissélectionnez le groupeque vous souhaitez reconfigurer pour la stratégie de sécurité Web actuelle.
   
4. 双击surEnregistrerpour enregistrer la configuration de la stratégie actuelle uniquement dans le groupe de sécurité sélectionné dans le menu déroulantGroupe.
   ⋅Remarque :Si vous souhaitez appliquer ces paramètres à plusieurs groupes
5. ( Facultatif)双击surEnregistrer dans plusieurs groupespour ouvrir une fenêtre qui vous permet d’affecter simultanément la configuration de la stratégie actuelle à plusieurs groupes de sécurité.
   
6. Cochez lacase correspondantepour tout groupe de sécurité que vous souhaitez appliquer la configuration de stratégie actuelle.
   
7. 双击surAjouter倒ajouter les的小组安全范围为au groupe de configuration.
   les groupes peuvent être reconfigurés pour accepter uniquement les modifications de configuration qui ont été appliquées ou accepter et écraser tous les paramètres de configuration pour la stratégie actuelle.
8. la sélection par défaut estAppliquer les paramètres modifiésqui appliquent uniquement les modifications que vous avez configurées. Sélectionnez cette option pour remplacer tous les paramètres configurés pour les groupes de sécurité désignés.
   
9. Vous pouvez supprimer des groupes individuels en cliquant surSupprimerousupprimer tous les groupessélectionnés pour la configuration en cliquant surSupprimer tout. Cliquez surEnregistrerpour confirmer la configuration appliquée à tous les groupes de sécurité désignés.
   

Catégories Web

les domaines sont balisés avec des catégories Web en fonction de leur contenu. Les catégories de sites Web visités sont enregistrées dans Reporting & Analytics.

Actions de catégorie

Vous pouvez associer des actions à des catégories Web. Cela vous permet de déployer rapidement des stratégies de sécurité tout en minimisant le besoin d’autoriser ou de bloquer des URL individuelles. Les actions possibles incluent Autoriser, Bloquer, Furtif, Remplacer en douceur ou Déchiffrement SSL activé.

1. Chaque catégorie peut avoir des actions qui sont appliquées indépendamment des autres catégories.

   Action	Description
   Allow	Permet aux utilisateurs d’accéder aux sites de cette catégorie. Autoriser est l’état par défaut pour toutes les catégories.
   Bloquer	Bloque l’accès aux sites d’une catégorie particulière.
   Furtif	Signale le trafic vers cette catégorie comme des violations dans les journaux, mais autorise toujours l’accès au site.
   Remplacer en douceur	德集团l 'utilisateur介绍一个页面,但是clut une option pour contourner temporairement le bloc. Cela permet aux utilisateurs d’accéder au contenu bloqué sans nécessiter une intervention immédiate de l’administrateur. Les remplacements paramétrés durent jusqu’au lendemain à 2h00 du matin dans le fuseau horaire configuré pour la passerelle. Toute page de bloc présentée avec un remplacement logiciel apparaît dans Reporting & Analytics comme « bloqué en mode logiciel. » Une fois qu’un utilisateur a demandé un remplacement logiciel, tout trafic vers cette URL apparaît comme « autorisé » jusqu’à ce que le remplacement ait expiré.
   Décryptage SSL	Désactivez cette option pour désactiver le déchiffrement SSL pour une catégorie spécifique. Cela garantit le respect de la vie privée et les préoccupations concernant des catégories spécifiques comme les finances ou la santé. La valeur de priorité de cette catégorie ne s’applique PAS à ce paramètre. Si un site appartient à plusieurs catégories et que l’option « Déchiffrement SSL désactivé » de l’une de ces catégories est activée, ce site n’est pas déchiffré.
   Verrouiller	lorsqu’une catégorie est verrouillée par l’administrateur principal dans un état Autorisé ou Bloqué, les administrateurs délégués ne peuvent pas se connecter à l’interface de gestion de passerelle Web et modifier le statut de cette catégorie.
   Remplacer la catégorie	lorsque vous activez un remplacement de catégorie, un administrateur délégué ne peut pas se connecter à l’interface de gestion de passerelle Web et ajouter une URL à la liste d’autorisation qui contreviendrait à la règle de cette catégorie. Par exemple, la catégorie « Art » est bloquée et définie sur « Remplacements », de sorte que les administrateurs délégués ne peuvent pas ajouter art.com à la liste d’autorisation pour ce groupe.

2. 双击sur chaque icône pour basculer l’action de la catégorie Web correspondante.
   
3. Les行为你们那样贴花generalement à toutes les catégories Web peuvent être mises en œuvre à l’aide du menu déroulant Actions.
   
   REMARQUE :Faites attention à la catégorie « Non classé », car elle correspond à de nombreux sites qui ne sont pas classés

Catégorie Priorités

Si un domaine est associé à plusieurs catégories, l’action est déterminée en comparant les valeurs de priorité des catégories. Les catégories ayant une valeur de priorité plus élevée ont priorité.

Exemple :

1. Un domaine est classé à la fois comme gouvernement et piratage. Dans la configuration des catégories web, le gouvernement est autorisé avec un poids de 100 tandis que le piratage est bloqué avec un poids de 200.
2. Ce domaine serait bloqué lorsqu’il est visité par un utilisateur en raison de l’action de blocage de la catégorie Web de piratage possédant une valeur de priorité plus élevée.
3. 双击苏尔le冠军这个钇易解石entrezune valeur numérique pour reconfigurer le niveau de priorité d’une catégorie. La valeur de priorité a une plage configurable de 0 à 65535.

Paramètres supplémentaires

les paramètres pertinents pour les catégories Web sont configurés avec des bascules sousParamètres supplémentaires. La configuration d’un basculement surOuiactive le paramètre lors de la configuration d’un basculement surNondésactive le paramètre. Pour obtenir un ensemble complet de descriptions pour tous les paramètres de catégorie Web disponibles, reportez-vous au tableau suivant :

Fonctionnalité	Description
Activer l’enregistrement	Activez et désactivez l’enregistrement des tentatives de violation pour l’ensemble actuel des catégories de sites Web bloqués. Les rapports des journaux peuvent être consultés sur la page Rapports de l’ASC. Les informations du rapport incluent la date, l’heure, l’utilisateur, l’adresse du site Web et la catégorie de la violation.
Activer le mode furtif	Il vous permet de surveiller furtivement l’activité Internet sans bloquer l’accès aux sites interdits. Lorsque le mode de journalisation et le mode furtif sont activés, vous pouvez surveiller l’activité de navigation sur Internet en affichant les rapports de journal sur la page Rapports CSIA tout en restant inaperçus par les internautes sur le réseau. Remarque : Les sites Web et les applications en ligne ne sont pas bloqués lorsque l’action de la catégorie Web est configurée en mode furtif.
Activer l’analyse HTTP sur les ports non standard	Si cette fonctionnalité est activée, CSIA analyse les requêtes Web HTTP sur les ports non standard.
Autoriser les requêtes HTTP 1.0 héritées	Si cette fonctionnalité est activée, CSIA autorise les requêtes HTTP 1.0 qui manquent l’en-tête « HOST ». La désactivation de cette fonctionnalité offre un niveau de sécurité plus élevé et rend plus difficile le contournement de la sécurité. Si cette fonctionnalité est activée, elle peut offrir plus de compatibilité avec les anciens logiciels non conformes à HTTP 1.1.
Activer le vol d’identification/blocage d’URL d’adresse IP	Protège contre les tentatives potentielles d’usurpation d’identité en vous avertissant quand quelqu’un tente de voler vos informations personnelles via Internet Phishing. L’activation de cette fonctionnalité empêche également les utilisateurs de naviguer vers des sites Web à l’aide d’URL d’adresse IP.
Activer le remplacement du site bloqué	l’activation de cette fonctionnalité active une action de remplacement logiciel, permettant aux utilisateurs de se rendre sur le site appartenant à une catégorie bloquée. Lorsque ce paramètre est actif, l’utilisateur est averti qu’une page est bloquée mais fournit un bouton pour continuer quand même.
Catégorisation automatique des sites non classés	lorsque cette option est basculée sur Oui, tous les sites qui ne sont pas catégorisés sont automatiquement soumis à la catégorisation. Remarque : Lorsque cette option est définie sur Oui, les sites non classés se voient attribuer une catégorie Web « Information » ou une autre désignation de ce type. Cela n’est en vigueur que pendant que la catégorie est correctement classée. Lorsque ce commutateur est réglé sur Non, les non-catégorisés sont automatiquement désignés comme « Non évalué », qui est contrôlé comme sa propre catégorie Web.

Planification des catégories

les événements de blocage peuvent également être configurés selon une planification hebdomadaire avancée pour autoriser l’accès à des moments particuliers.

1. Définissez la planification des catégories surAutoriser les catégories sélectionnées à l’aide d’une planification avancéepour activer la fonctionnalité de planification. Cliquez surPlanification avancéepour commencer à planifier les catégories bloquées.
   
2. la planification avancée actuelle peut être configurée pour s’appliquer à toutes les catégories bloquées ou uniquement à une catégorie bloquée particulière.
   
3. Chaque jour au cours de la semaine peut être délégué des périodes spécifiques de temps que la catégorie est autorisée. Ces périodes particulières sont indiquées par un rectangle bleu.
   
4. Après avoir finalisé la planification pour une catégorie particulière, vous pouvez cliquer de nouveau sur le menu déroulant de la catégorie et sélectionner une nouvelle catégorie à configurer.
5. 双击surEnregistrerpour confirmer toutes les configurations de planification.
   

Autoriser la liste

les listes d’autorisation permettent d’accéder de manière sélective à un site Web ou à une ressource réseau spécifique. Cette fonctionnalité vous permet de remplacer les stratégies de sécurité et d’autoriser certains utilisateurs à accéder à un site Web. En particulier, vous pouvez l’utiliser pour accorder l’accès à des URL spécifiques pour un domaine qui est autrement bloqué. Ceci est parfois appelé « créer une ouverture. »

Ajout d’une URL à une liste d’autorisation

1. Accédez àStratégies de sécurité Web.
2. Dans le menu déroulant, cliquez surAutoriser la liste.
   
3. 相当tir du dessus de la section de liste, cliquez surPlage d’URL/IP.
   
4. Tapez undomaine, un sous-domaine, une URL, une adresse IP ou une plage IP. Il s’agit du seul champ obligatoire, mais de nombreux autres critères peuvent être spécifiés.
5. Dans le côté droit de la liste, cliquez sur+Ajouter. L’entrée est maintenant ajoutée à la liste.

Outil Gratter

la sectionliste d’autorisationcomprend l’outil de grattage pratique. Utilisez cette option pour identifier rapidement tous les domaines utilisés par un site Web. Dans le web moderne, de nombreux sites utilisent des ressources provenant d’autres domaines qui ne sont pas immédiatement apparents. Avec l’outil Grattage, ceux-ci sont facilement révélés et ajoutés à une liste de permis.

Une autre utilisation de l’outil Grattage consiste à n’autoriser sélectivement que des parties d’un site Web, tout en n’autorisant pas les contenus indésirables, tels que les serveurs publicitaires.

1. 相当tir du dessus de la section de liste, cliquez surGratter.
   
2. Entrez l’URL de Grattage et cliquez surAnalyser.
   
3. Sélectionnez les domaines à ajouter à la liste d’autorisation, puis cliquez sur Ajouter une sélection à la liste Autoriser.
   

liste bloquante de mots-clés/Liste d’autorisation

le filtrage des mots clés est utilisé pour inspecter les URL pour des mots spécifiques. Si un mot clé est identifié, le contenu peut être autorisé ou bloqué.

Ajout d’une URL à une liste bloquée/liste d’autorisation

1. Accédez àStratégies de sécurité Web.
2. Dans le menu déroulant, cliquez surMots-clés.
   
3. Entrez lemot-cléque vous souhaitez bloquer dans le champMot cléet spécifiez les désignations qui s’appliquent à ce mot-clé. Cliquez surAjouter.
   

Option	Description
Autoriser le mot clé	Cocher cette option permet d’utiliser le mot s’il se trouve dans l’URL d’un paramètre de mot clé.
Risque élevé	lorsque des mots désignés comme « Risque élevé » sont recherchés, une notification par courriel est envoyée à l’administrateur du groupe.
Correspondance générique	lorsqu’ils sont activés, les mots-clés sont filtrés même s’ils ne sont que des sous-chaînes d’un mot plus grand. Par exemple, une correspondance générique pour le mot-clé « base » bloque les recherches qui incluent « base » ou « baseball ». Sans correspondance de caractères génériques, il ne bloque que « base. »
Global	Cette option s’étend sur tous les groupes de sécurité lorsqu’elle est sélectionnée. Lorsque vous supprimez une entrée « Global », elle supprime l’entrée de tous les groupes de filtrage.

listes de mots clés prédéfinies

Vous pouvez activer le filtrage des listes prédéfinies de mots-clés pour adultes et à risque élevé ou ajouter d’autres mots clés manuellement.

les listes de mots-clés prédéfinies contiennent des mots-clés courants pour adultes et à risque élevé. La correspondance des caractères génériques est appliquée à tous les mots-clés de ces listes. Une correspondance générique reconnaît la séquence de caractères du mot clé n’importe où dans l’URL, y compris le nom d’hôte. La liste à risque élevé génère un courriel au destinataire des messages d’alerte lorsqu’un mot clé à risque élevé est détecté par la fonctionnalité Reporting & Analytics de la plateforme cloud CSIA.

1. Pour activer l’une ou l’autre des listes de mots clés, définissez l’option Adulte ou Risque élevé surOui. Cliquez surEnregistrer.
   

Configuration de l’agent d’Citrix Secure Internet Access

Dans cette section, nous nous concentrons sur la configuration et l’installation de l’agent Citrix Secure Internet Access (CSIA).

配置le telechargement de l经纪人相(中心思想d Connector)

1. Depuis la console d’administration CSIA, accédez àConnecter l’appareil au cloud > Cloud Connector.
   
2. 双击surConfigurer le téléchargement du connecteur
   
3. 双击sur le menu déroulantUtiliser HTTP PACet sélectionnezNon.
   (Remarque :utilisez HTTP PAC sur« Non »si vous souhaitez utiliserHTTPSpour le téléchargement PAC)
   
4. 双击surGroupe de sécuritéet sélectionnez le groupe de sécurité par défaut souhaité pour ce téléchargement du fichier d’installation particulier.
   
5. Conservez les paramètres de téléchargement du connecteur restants commepar défautet cliquez surEnregistrer.
   

Configurer les paramètres Advanced Connector de l’agent CSIA (Cloud Connector)

1. Depuis la console d’administration CSIA, accédez àConnecter l’appareil au cloud > Cloud Connector > Paramètres Advanced Connector.
   
2. Sous Paramètres globaux Activez ce qui suit :
   ⋅Activer le filtrage Security Cloud Connector
   ⋅Configurer Auto Login Cloud Connector pour utiliser la clé pour le groupe
   ⋅Utiliser le chiffrement de session
3. Sous Source IP Logging Activer -Utilisez l’adresse IP source privée du client (si disponible).
4. Sous Paramètres spécifiques au groupe, vérifiez que legroupe correctest sélectionné et cliquez surEnregistrer.
   

Télécharger Citrix Secure Internet Access Agent (Cloud Connector)

1. Depuis la console d’administration CSIA, accédez àConnecter l’appareil au cloud > Cloud Connecteurs > Download Connector.
   
2. Sous WindowsCloud Connector, cliquez surTéléchargerettélécharger tout.
   
   les packages d’installation .msi peuvent être téléchargés directement depuis la console d’administration CSIA. Avant de commencer l’installation, assurez-vous d’utiliser le package approprié pour la version de Windows et l’architecture du processeur.

Plateforme	Paquet
Windows 10 ARM64	ibsa64-win10-arm64.msi
Windows 10 x 64 ou Windows 8 x 64 ou Windows Server 2019 ou Windows Server 2016	ibsa64-win8.msi
Windows 10 x86 ou Windows 8 x86	ibsa32-win8.msi
Windows 7 x64 ou Windows Server 2012 ou Windows Server 2008R2	ibsa64.msi
Windows 7 x86	ibsa32.msi

Configurer les stratégies de l’agent CSIA dans la console d’administration CSIA

1. Dans la console d’administration CSIA, accédez àConnecter l’appareil au cloud > Stratégies de l’agent.
   
2. 双击surAjouter des stratégies d’agent.
   
3. Indiquez unnompour votre stratégie d’agent et sélectionnezAjouter une stratégie d’agent.
   
4. Pour configurer la stratégie, cliquez surModifier la stratégie de l’agent.
   

5. 双击surParamètres de l’agentet définissez les paramètres recommandés.
   

   Recommended Settings for Multi-Session OS VDA Deployments

   Setting	Recommended Value
   Multi-User Mode:	EnableMulti-User/Terminal Server Mode - Enable to support multiple user sessions when running a terminal server. This must be enabled for terminal servers even if users are not logged in simultaneously.
   Use Machine Name for User name:	DisableSetting - Use the user account name as the user name.
   Use UPN for User name:	DisableSetting - Use the Security Account Manager (SAM) account name, such as DOMAIN\user name.
   Redirect All Ports:	EnableSetting
   Bypass Private Subnets:	EnableSetting
   Captive Portal Detection:	DisableSetting
   Auto-Update Enabled:	EnableSetting
   Auto-Update Release Level:	level 1 - Mature
   Enable Windows Desktop App: (Agent is not supported Multi-User Deployments)	DisableSetting

   Recommended Settings for Single-Session OS VDA Deployments

   Setting	Recommended Value
   Multi-User Mode:	DisableMulti-User/Terminal Server Mode - Enable to support multiple user sessions when running a terminal server. This must be enabled for terminal servers even if users are not logged in simultaneously.
   Use Machine Name for User name:	DisableSetting - Use the user account name as the user name.
   Use UPN for User name:	DisableSetting - Use the Security Account Manager (SAM) account name, such as DOMAIN\user name.
   Redirect All Ports:	EnableSetting
   Bypass Private Subnets:	EnableSetting
   Captive Portal Detection:	DisableSetting
   Auto-Update Enabled:	EnableSetting
   Auto-Update Release Level:	level 1 - Mature
   Enable Windows Desktop App: (Agent is not supported on Multi-User Deployments)	EnableSetting
   Allow End Users to Disable Security:	DisableSetting
   Require Password to Disable Security:	EnableSetting
   Require Password to View Diagnostics Info:	EnableSetting

6. 双击surliaison dynamiqueet sélectionnez les groupes que vous souhaitez affecter également à la stratégie.
   
7. 双击surEnregistrer.
   

( FACULTATIF)Configuration manuelle de l’agent Citrix Secure Internet Access

l’édition .msi de l’agent CSIA pour Windows via Orca est uniquement recommandée pour le dépannage.

Orca.msi est disponible dans l’option « Télécharger tout » WindowsCloud Connector

Ouverture d’un fichier .MSI avec Orca

1. Ouvrez le fichier Zip et installez Orca.msi
   
2. localisez le fichier d’installation souhaité dans un programme explorateur de fichiers.
3. 双击avec le bouton droit sur le fichier d’installation .msi.
4. 双击surModifier avec Orca.
   

Configuration des propriétés d’un .MSI dans Orca

1. Double-cliquez pour ouvrir latable Propriétés.
   

2. Chaque propriété peut être modifiée en double-cliquant sur le champValeur de lapropriété.
   

   Recommended Settings for Multi-Session OS VDA

   Setting	Recommended Value
   Multi-User Mode: (PARAM_MULTI_USER_SUPPORT)	(1): Enable multi-user mode.Enable to support multiple user sessions when running a terminal server. This must be enabled for terminal servers even if users are not logged in simultaneously.
   Terminal Server Mode: (PARAM_TERMINAL_SERVER_MODE)	(0): Disabled- this appears to be deprecated in favor of Multi-User Support
   Use Machine Name for User name: (PARAM_USE_MACHINE_NAME_FOR_USER NAME)	(0): Disabled- Use the user account name as the user name.
   Redirect All Ports: (PARAM_REDIRECT_ALL_PORTS)	(1): Enabled- Redirect all ports to the proxy.
   Bypass Private Subnets: PARAM_BYPASS_PRIVATE_SUBNETS)	(1): Enable bypass
   Captive Portal Detection: (PARAM_CAPTIVE_PORTAL_DETECTION)	(0): Disabled
   Auto-Update Enabled: (PARAM_AUTO_UPDATE_ENABLE)	(1): Enabled– The cloud connector to be updated automatically.
   Restart After Upgrade: (PARAM_RESTART_AFTER_UPGRADE)	(0): Disabled- Does not prompt a restart.

   Recommended Settings for Single-session OS VDA

   Setting	Recommended Value
   Multi-User Mode: (PARAM_MULTI_USER_SUPPORT)	(0): Disable multi-user mode.Enable to support multiple user sessions when running a terminal server. This must be enabled for terminal servers even if users are not logged in simultaneously.
   Terminal Server Mode: (PARAM_TERMINAL_SERVER_MODE)	(0): Disabled- this appears to be deprecated in favor of Multi-User Support
   Use Machine Name for User name: (PARAM_USE_MACHINE_NAME_FOR_USER NAME)	(0): Disabled- Use the user account name as the user name.
   Redirect All Ports: (PARAM_REDIRECT_ALL_PORTS)	(1): Enabled- Redirect all ports to the proxy.
   Bypass Private Subnets: (PARAM_BYPASS_PRIVATE_SUBNETS)	(1): Enable bypass
   Captive Portal Detection: (PARAM_CAPTIVE_PORTAL_DETECTION)	(0): Disabled
   Auto-Update Enabled: (PARAM_AUTO_UPDATE_ENABLE)	(1): Enabled– The cloud connector to be updated automatically.
   Restart After Upgrade: (PARAM_RESTART_AFTER_UPGRADE)	(0): Disabled- Does not prompt a restart.

3. Dans Orca, cliquez sur l’icôneEnregistrerpour enregistrer les modifications apportées aux paramètres de Windows Cloud Connector.
   
   Remarque :Assurez-vous que les fichiers sont enregistrés dans Orca uniquement à l’aide de cette méthode(sans utiliser Enregistrer sous). Cela provoque des problèmes avec la fonctionnalité du connecteur cloud Windows s’il n’est pas enregistré de cette manière.

Déploiement de Citrix Secure Internet Access Agent sur l’image principale

Citrix vous recommande d’enregistrer des copies ou des instantanés des images principales avant de mettre à jour les machines du catalogue. La base de données conserve un historique des principales images utilisées avec chaque catalogue de machines. Vous pouvez annuler (rétablir) les machines d’un catalogue pour utiliser la version précédente de l’image principale si les utilisateurs rencontrent des problèmes avec les mises à jour que vous avez déployées sur leurs bureaux, réduisant ainsi les temps d’arrêt des utilisateurs. Ne supprimez pas, déplacez ou renommez les images principales ; sinon, vous ne pouvez pas revenir sur un catalogue pour les utiliser.

Pour les catalogues qui utilisent Provisioning Services, vous devez publier un nouveau disque virtuel pour appliquer les modifications au catalogue. Pour de plus amples informations, consultez la documentation Provisioning Services.

Après qu’une machine a été mise à jour, elle redémarre automatiquement.

Déploiement manuel de l’agent CSIA (Cloud Connector) sur l’image principale du VDA

Mettre à jour l’image principale

Avant de mettre à jour le catalogue, mettez à jour une image principale existante ou créez-en une nouvelle sur votre hyperviseur hôte.

1. Sur votre hyperviseur ou fournisseur de services de cloud, prenez un instantané de la VM et donnez à l’instantané un nom significatif. Cet instantané peut être utilisé pour rétablir (restaurer) des machines dans le catalogue, si nécessaire.
2. Mettez l’image principale sous tension et ouvrez une session.
3. Installezle package .msi de l’agent CSIA approprié pour votre plate-forme sur l’image principale.
   
4. Si l’image principale utilise un Personal vDisk, mettez à jour l’inventaire.
5. Arrêtez la VM.
6. Prenez un instantané de la machine virtuelle et donnez à l’instantané un nom significatif qui peut être reconnu lors de la mise à jour du catalogue dans Studio. Bien que Studio puisse créer un instantané, Citrix vous recommande de créer un instantané à l’aide de la console de gestion de l’hyperviseur, puis de sélectionner cet instantané dans Studio. Cette méthode vous permet de choisir un nom et une description significatifs plutôt qu’un nom généré automatiquement.

Mettre le catalogue à jour

Pour préparer et distribuer la mise à jour à toutes les machines d’un catalogue :

1. SélectionnezCatalogues de machinesdans le volet de navigation Studio.
2. Sélectionnez un catalogue, puis sélectionnezMettre à jour les machinesdans le volet Actions.
3. Sur la pageImage principale, sélectionnez l’hôte et l’image que vous souhaitez déployer.
4. Sur la pageStratégie de déploiement, choisissez quand les machines du catalogue de machines peuvent être mises à jour avec la nouvelle image principale : lors de l’arrêt suivant ou immédiatement. Voir ci-dessous pour plus de détails.
5. Vérifiez les informations de la pageRésumé, puis cliquez sur Terminer. Chaque machine redémarre automatiquement après sa mise à jour.

Déployer l’agent CSIA (Cloud Connector) via une stratégie de groupe AD vers des images VDA statiques

Créer un point de distribution

1. Créez un dossiersur un ordinateur joint AD qui agit comme serveur de fichiers.
2. Enregistrezle package .msi Agent CSIA dans ce dossier.
3. 双击avec le bouton droit surle dossier nouvellement créé,sélectionnez propriétés.
4. Accédez à l’onglet« Partage ».
5. Sélectionnez« Partage avancé ».
6. Activez « Partager ce dossier ».
7. Dans Paramètres sous Nom du partage, ajoutez un$après le nom du dossier de l’agent CSIA. (Exemple. CSIA_agent$).
8. SélectionnezAppliquer.
9. PuisFermer.

Créer un objet de stratégie de groupe

1. OuvrezGestion des stratégies de groupe.
2. 双击avec le bouton droitsur Objet de stratégie
3. SélectionnezNouveauet nommez un nouvel objet de stratégie de groupe (exemple : Déployer l’agent CSIA).
4. 双击avec le bouton droit de la sourissur l’objet de stratégie de groupe nouvellement créé ci-dessus, sélectionnez Modifier.
5. Développezle dossier Paramètres logiciels.
6. SélectionnezInstallation du logiciel.
7. 双击avec le boutondroit dans le panneau de droite.
8. SélectionnezNouveau.
9. SélectionnezPackage.
10. Dans la fenêtre correspondante, saisissez l’emplacement (chemin d’accès du fichier) de votre dossier Agent CSIA contenant le package .msi Agent CSIA.
11. Sélectionnez leMSI.
12. SélectionnezOuvrir.
13. Dans la fenêtre Déployer le logiciel, choisissez« Avancé »sous Sélectionner une méthode de déploiement.
14. Sous Déploiement, sélectionnez Désinstaller cette application lorsque…. (cela signifie que la prochaine fois que le point de terminaison exécute un gpupdate et que l’agent CSIA a été supprimé, il est également supprimé du point de terminaison).
15. SélectionnezOKetFermer.

Scénario 1 : VDA statique avec des données utilisateur stockées sur le disque local

1. Sur votre hyperviseur ou fournisseur de services cloud, prenez un instantané des VDA et donnez à l’instantané un nom significatif.
2. Dans votre Gestion des stratégies de groupe, développez votre domaine.
3. 双击avec le bouton droit sur l’emplacement de vos VDA statiques, puis sélectionnez « Lier un objet de stratégie de groupe existant ».
4. Sélectionnez l’objet de stratégie de groupe Déployer l’agent CSIA qui a été créé.
5. Sélectionnez OK.
6. Une fois la stratégie de groupe appliquée, vous devez redémarrer les VDA.

Scénario 2 : VDA statique avec données utilisateur supprimées lors de la déconnexion

1. Sur votre hyperviseur ou fournisseur de services de cloud, prenez un instantané de la VM et donnez à l’instantané un nom significatif. Cet instantané peut être utilisé pour rétablir (restaurer) des machines dans le catalogue, si nécessaire.
2. Dans votre Gestion des stratégies de groupe, développez votre domaine.
3. 双击avec le bouton droit de la souris sur l’emplacement de votre image principale, puis sélectionnez « Lier un objet de stratégie de groupe existant ».
4. Sélectionnez l’objet de stratégie de groupe Déployer l’agent CSIA qui a été créé.
5. Sélectionnez OK.
6. Une fois la stratégie de groupe appliquée, vous devez redémarrer les machines.
7. Prenez un instantané de la machine virtuelle et donnez à l’instantané un nom significatif qui est reconnu lors de la mise à jour du catalogue dans Studio. Bien que Studio puisse créer un instantané, Citrix vous recommande de créer un instantané à l’aide de la console de gestion de l’hyperviseur, puis de sélectionner cet instantané dans Studio. Cette méthode vous permet de choisir un nom et une description significatifs plutôt qu’un nom généré automatiquement.
8. Mettez à jour vos catalogues de machines dans le volet de navigation Studio. (Voir la section Mettre à jour le catalogue ci-dessus)

Scénario 3 : VDA statique non MCS avec données utilisateur stockées sur le disque local

1. Sur votre hyperviseur ou fournisseur de services de cloud, prenez un instantané de la VM et donnez à l’instantané un nom significatif. Cet instantané peut être utilisé pour rétablir (restaurer) des machines dans le catalogue, si nécessaire.
2. Dans votre Gestion des stratégies de groupe, développez votre domaine.
3. 双击avec le bouton droit de la souris sur l’emplacement de votre image principale, puis sélectionnez « Lier un objet de stratégie de groupe existant ».
4. Sélectionnez l’objet de stratégie de groupe Déployer l’agent CSIA qui a été créé.
5. Sélectionnez OK.
6. Une fois la stratégie de groupe appliquée, vous devez redémarrer les machines.

Cas d’utilisation validés

Agent CSIA déployé manuellement (Cloud Connector) sur l’image principale du VDA

MCS : Bureau groupé aléatoire

• Windows 10 Entreprise (session unique)
• Windows Server 2019 (Multi-Session)

MCS : Poold-Static Desktop

• Windows 10 Entreprise (session unique)

MCS : Bureau dédié

• Windows 10 Entreprise (session unique)

PVS : Poold-Random Desktop

• Windows 10 Entreprise (session unique)
• Windows Server 2019 (Multi-Session)

PVS : Bureau statique en pool

• Windows 10 Entreprise (session unique)

PVS : Bureau dédié

• Windows 10 Entreprise (session unique)

Non-MCS : Bureau aléatoire

• Windows 10 Entreprise (session unique)
• Windows Server 2019 (Multi-Session)

Non-MCS : Bureau statique

• Windows 10 Entreprise (session unique)

Agent CSIA déployé (Cloud Connector) via une stratégie de groupe AD vers des images VDA statiques

MCS

• VDA statique avec données utilisateur stockées sur le disque local
• VDA statique avec données utilisateur supprimées lors de la déconnexion

Non-MC

• VDA statique avec données utilisateur enregistrées sur le disque local

VDA dans différentes régions

Résolution des problèmes

Outils importants pour le dépannage

1. Journal des événements Windows
2. Tableau de bord en temps réel de l’ASC(Rapports et analyses > Journal en temps réel)
3. Journaux d’événements CSIA(Reporting & Analytics > Journaux > Journal des événements)
4. Journaux IPS CSIA(Reporting & Analytics > Journaux > Journal IPS)
5. Informations d’enregistrement pour les appareils connectés(Utilisateurs, groupes et appareils > Périphérique connecté au cloud > Infos)
6. Outil de recherche d’URL(Outils > Recherche d’URL)
7. Journalisation améliorée
   ⋅ Pour définir cela, la clé de Registre suivante doit être modifiée, variant de 0 à 4, plus la valeur la plus élevée donne une journalisation plus détaillée.
   ⋅HKEY_LOCAL_MACHINE \ SOFTWARE \ IBoss \ IBSA \ Parameters \ LogLevel
   ⋅ Une fois la clé de Registre définie, le service IBSA sous Windows Services doit être redémarré pour que le paramètre prenne effet. En vérifiant l’observateur d’événements Windows, de nombreuses entrées sont enregistrées en fonction du niveau de journal défini.
8. Journaux de l’agent Windows (C:\Windows\SysWOW64\ibsa_0.log)

Un mot-clé n’est pas bloqué

Il existe une multitude de stratégies et de variables à l’intérieur et autour des opérations de la plateforme cloud CSIA qui peuvent interférer avec le blocage correct des mots clés configurés. Se référer à ce qui suit :

1. Assurez-vous que le déchiffrement SSL est actif pour ce site Web. Les mots clés ne peuvent pas être observés ou contrôlés pour les sites Web HTTPS.
2. Si l’adresse IP source du poste de travail client ou l’adresse IP de destination du serveur Web a été ajoutée à la listeRéseau > Contourner les plages IP, les contrôles de sécurité Web ne sont pas appliqués.
3. les mots-clés configurés pour bloquer ne prennent pas effet si le site Web est ajouté àSécurité Web > Liste d’autorisation sans l’option Mots-clés/Recherche de sécuritéactivée. La case à cocher Mot-clé/SafeSearch est activée, Web Gateway autorise l’accès au site Web tout en imposant les contrôles Mot clé et Safesearch.
4. le mot-clé contient des astérisques, supprimez plutôt les astérisques et activez la correspondance des caractères génériques pour le mot-clé si c’est l’effet souhaité.
5. le mot clé comporte plusieurs mots, et la correspondance des caractères génériques n’est pas activée, ou les espaces n’étaient pas indiqués avec un signe plus (« + »).
6. l’utilisateur n’est pas associé au groupe de sécurité Web attendu sur lequel le contrôle des mots clés est activé.

Actions en conflit à partir de listes de mots clés prédéfinies

Dans certains cas, un mot dans l’une des listes intégrées de mots-clés peut bloquer le contenu par inadvertance. Pour corriger cette action, modifiez la liste spécifique de mots clés prédéfinis. Lorsque vous cliquez sur l’icône de crayon pour modifier une liste intégrée, l’interface de la plateforme cloud CSIA affiche une page de mots clés avec des cases à cocher à côté. Pour supprimer le mot clé de la liste intégrée, désactivez la case à côté du mot clé que vous souhaitez supprimer et cliquez surEnregistrer. Pour appliquer cette action à tous les groupes, cochez la case intituléeAppliquer à tous les groupes.

Identification du nœud d’Citrix Secure Internet Access du client

1. Depuis la page d’accueil, accédez à laGestion de collection de nœuds.
   
2. 双击surGroupes de nœuds.
   
3. Cela vous fournit à la fois lenœud CSIA client-reports.ibosscloud.com et les clusters denœuds CSIA client-swg.ibosscloud.com.

Intégration de Splunk avec le nœud d’Citrix Secure Internet Access

Configuration du serveur Splunk

1. Accédez à l’instance Splunk Server et cliquez sur le lienParamètresen haut de la page, suivi du lienEntrées de donnéessous la sous-section « Données ».
   
2. 双击sur le lien Ajouter un nouveau à droite de la section « UDP ».
   
3. Entrez un port dans le champ « port » (au-dessus de 1023, si possible, pour éviter les restrictions de sécurité avec le système d’exploitation). Dans le champ « Accepter la connexion à partir de », saisissez l’adresse IP de votre nœud reporter CSIA. Si rien n’est entré dans ce champ, les connexions de tous les hôtes sont acceptées. Lorsque vous avez terminé, cliquez surSuivant.
   
4. Sur la page suivante, cliquez surSélectionner le type de sourceet tapez« syslog »,puis sélectionnez-le.
   
5. Changez le contexte de l’application enRecherche et création de rapports (recherche).
   
6. Modifiez la méthode Host enIP.
   
7. 双击surRéviser(vérifier la configuration actuelle), puis surSoumettre.
   

Configuration du module de reporting et d’analyse CSIA

1. Accédez àReporting & Analytics > Transfert de journaux > Transférer à partir du journalistedans l’interface de la plateforme cloud iboss.
   
2. SousIntégration de Splunk, cliquez surActions, puis surAjouter un serveur.
   
3. Ajoutez l’adresse/nom d’hôte du serveur Splunk au « Nom d’hôte » et le numéro de port choisi sur le serveur Splunk. Ensuite, dans le menu déroulant « Splunk Integration Protocol », choisissez un protocole. Les options disponibles lors de l’ajout d’un serveur Splunk sont les suivantes :
   
4. Vous pouvez également configurer le protocole d’intégration du serveur Splunk en tant que HEC. La configuration de l’intégration avec un serveur Splunk à l’aide du protocole HEC nécessite l’acquisition du jeton HEC à partir de la configuration du serveur Splunk. Placez le jeton récupéré dans le champ Token sous le menu déroulant Splunk Integration Protocol.
   
5. Si vous implémentez un format de journalELFFpour la journalisationSplunk, le champ Taille de lot ELFF d’intégrationSplunk devient disponible pour la configuration. La valeur par défaut de la configuration est100.
   
6. Un bascule appelé « Accepter tous les certificats SSL » est disponible dans la section « Intégration Splunk » dansParamètres > Journalisation externe. Si un certificat SSL non standard tel qu’un certificat auto-signé ou un certificat signé par une autorité de certification racine non approuvée est utilisé, basculez ce bascule sur « OUI » pour contourner la vérification du certificat SSL, sinon laissez l’interrupteur hors tension.
7. Sélectionnez le format dans lequel les données du journal sont livrées dans le menu déroulant « Format du journal ». Enfin, basculez un ou plusieurs des bascules en bas de l’interface pour sélectionner les types d’informations de journalisation souhaitées. Cliquez sur le boutonEnregistrerpour mettre à jour les modifications. La journalisation commence immédiatement. Effectuez une recherche sur l’instance Splunk pour vérifier que les données sont envoyées et indexées correctement. Voir l’exemple de sortie ci-dessous.
   

Modification du port proxy

le port proxy CSIA peut être modifié, mais vous ne devez pas essayer de changer le port proxy par un port que la passerelle utilise pour d’autres services.

les ports quine peuvent pasêtre utilisés sont : 53, 139, 199, 443, 445, 953, 1080, 1344, 5432, 6001, 7009, 7080, 7443, 8008 8015, 8016, 8025, 8026, 8035, 8036, 8080, 8200, 8201, 9080, 9080, 9443, 17500, 22022

Tous les autres ports sont une alternative acceptable au port par défaut.

1. Accédez àProxy et mise en cache > Paramètres du proxy
   
2. Sous l’onglet Paramètres, entrez le numéro de port souhaité sur lequel le proxy écoute le trafic dans le champ Port proxy.
   Remarque :le port configuré pour ce paramètre est utilisé lors de la configuration des paramètres proxy dans d’autres fonctionnalités de la plate-forme. Certains ports peuvent ne pas être disponibles pour l’attribution à ce paramètre en raison de services de passerelle préconfigurés.
   
3. 双击surEnregistrerpour appliquer cette modification.
   

Annexe

liste des catégories principales

Remarque :Soyez prudent avec la catégorie « Non classé », car elle correspond à de nombreux sites qui ne sont pas classés.

Catégorie	Description
Avortement *	Sites liés à l’avortement
Publicités	Sites utilisés pour distribuer des graphiques ou du contenu publicitaire en plus des coupons en ligne, des ventes publicitaires, des bons d’achat, des offres et des offres
Contenu pour adultes	网站contenant du材料注定辅助成人。les sites de cette catégorie ne contiennent pas de nudité, mais présentent un contenu vulgaire et profane. Les sites qui s’identifient comme inappropriés pour les personnes de moins de 18 ans relèvent de cette catégorie.
Alcool/Tabac	Sites contenant de l’alcool et du tabac. Comprend également les sites liés à l’alcool tels que les bars. Les sites de cette catégorie ne contiennent pas de drogues illicites, mais peuvent discuter, encourager, promouvoir, offrir, vendre, fournir ou promouvoir l’utilisation ou la création d’alcool ou de tabac.
Art	Sites contenant de l’art ou qui discutent de l’art, y compris les musées. Peut également inclure des livres à colorier imprimables, des sculptures, des mosaïques, des tatouages, des calligraphies, des polices, des peintures, des graffitis, des dessins chrétiens ou religieux, des dessins animés, des dessins artistiques
Enchères	网站是辅助encheres等辅助encheres苏尔biens et services, en ligne et en direct
Audio & Vidéo	Sites qui contiennent du contenu audio/vidéo téléchargeable en streaming ou téléchargeable, tels que des fichiers MP3, des clips vidéo et des séries TV, en plus des sites qui vendent ce contenu.
Commercial	Sites qui représentent la présence en ligne d’une entreprise. Peut être engagé dans le commerce ou l’activité d’achat et de vente de produits et de services entre l’entreprise et le consommateur. Comprend les fabricants, les producteurs, les fournisseurs, les concessionnaires, les distributeurs, les grossistes, les détaillants, les entreprises familiales et toute autre entité orientée vers l’entreprise.
CDN*	Réseaux de diffusion de contenu (CDN) et sites liés aux CDN
Rencontres et rencontres	Sites qui offrent des services de rencontres ou aident à établir des relations amoureuses
Dictionnaire	Sites contenant de vastes collections d’informations et de connaissances. Inclut des ressources telles que des wikis, des dictionnaires lexicaux, des cartes, des recensements, des almanacs, des catalogues de bibliothèques, des sites liés à la généalogie, des informations scientifiques et des répertoires, en plus des utilitaires tels que des horloges, des calculatrices, des minuteries et des modèles.
Médicaments	Sites contenant du contenu relatif aux drogues illicites telles que les amphétamines, les barbituriques, les benzodiazépines, la cocaïne, les drogues de créateurs, l’ecstasy et l’héroïne. Ne fait pas référence à Cannabis/Marijuana
Médicaments - Contrôlé*	Sites liés aux drogues et substances contrôlées
DNS dynamique*	Sites qui utilisent des services DNS dynamiques pour mapper leurs noms de domaine à des adresses IP dynamiques.
Éducation	Les网站,fournissent des服务educatifs tels que les écoles et les universités, en plus des sites qui offrent du matériel didactique à vendre ou à consulter. Comprend des sites Web qui offrent de l’information sur les écoles et les programmes d’éducation ou de métiers, professionnels ou professionnels. Comprend également les sites parrainés par des écoles, des établissements d’enseignement, des professeurs ou des groupes d’anciens élèves.
Divertissement	Sites qui contiennent ou font la promotion de la télévision, des films, des magazines, de la radio, des livres, de la nourriture, de la mode et du mode de vie Plus précisément, les sites qui fournissent de l’information sur la culture populaire ou en font la promotion, y compris (mais sans s’y limiter) les films, les critiques cinématographiques et les discussions, les bandes-annonces, les billetterie, la télévision, les divertissements à domicile, la musique, les bandes dessinées, les romans graphiques, les nouvelles littéraires et les critiques, en plus d’autres périodiques, interviews, fans clubs, commérages de célébrités, podcasts et graphiques de musique et de films, spectacles, événements, citations, mèmes, paroles, musiciens, groupes, arts théâtraux, théâtre, opéra, orchestre.
Extreme*	Sites contenant du contenu intensément vulgaire, graphique, choquant ou dégoûtant qui serait considéré comme hautement offensant pour la plupart des individus.
Partage de fichiers	网站倒les服务,fournissent stockage de fichiers en ligne, le partage de fichiers, la synchronisation des fichiers entre les périphériques ou la sauvegarde et la restauration de données basées sur le réseau. Ces services peuvent fournir les moyens de télécharger, de télécharger, de coller, d’organiser, de publier et de partager des documents, des fichiers, du code informatique, du texte, des vidéos sans droit d’auteur, de la musique et d’autres informations formatées électroniquement dans le stockage de données virtuelles. De plus, cette catégorie couvre les services qui distribuent des logiciels pour faciliter l’échange direct de fichiers entre les utilisateurs.
Finance	Sites contenant du contenu sur les banques, les actualités financières et les astuces, le marché boursier, l’investissement, les cartes de crédit, les assurances et les prêts.
Alimentation	Sites qui contiennent du contenu lié aux restaurants, à la nourriture, à la restauration, en plus des sites qui listent, examinent, discutent, font la publicité et font la promotion de la nourriture, de la restauration, des services de restauration, de la cuisine et des recettes.
Forums	Sites contenant des forums de discussion, des salons de discussion en ligne et des forums de discussion
Freeware/Shareware*	Sites liés à la distribution de logiciels freeware et shareware
Amitié	Sites qui contiennent du matériel lié à l’amitié platonique et des sites de réseautage social.
Jeux d’argent	Sites qui font la promotion ou contiennent du contenu lié aux jeux tels que le poker et les casinos en ligne, les paris sportifs et les loteries. Sites où un utilisateur peut placer des paris ou participer à des pools de paris, loteries, ou recevoir des informations, de l’aide, des recommandations ou de la formation dans de telles activités. Cette catégorie n’inclut pas les sites qui vendent des produits liés au jeu ou des sites pour casinos/hôtels hors ligne, sauf s’ils répondent à l’une des exigences ci-dessus.
Jeux	Sites qui contiennent des jeux en ligne, ou qui fournissent des services et des informations sur les jeux électroniques, les jeux vidéo et les consoles domestiques, les jeux informatiques et les jeux de rôle. Comprend également des guides de jeu/triche et des accessoires
Gouvernement	Sites parrainés par ou représentant des organismes gouvernementaux, y compris des organisations militaires et stratégies. Peut fournir des informations sur la fiscalité, les services d’urgence et les lois de diverses entités gouvernementales. Comprend également des sites qui offrent des services d’adoption, de l’information sur l’adoption, de l’information sur l’immigration et des services d’immigration.
Fusils & Armes	Sites qui font la promotion, vendent ou fournissent de l’information sur les armes à feu, les couteaux et autres armes
Piratage*	网站是盟piratage et de piratage outils
Intégrité	网站,contiennent du contenu卧为大家干杯,aux maladies et aux affections, y compris les hôpitaux, les médecins et les médicaments d’ordonnance, y compris des sites axés principalement sur la recherche en santé. De plus, des sites qui fournissent des conseils et de l’information sur la santé générale, comme la condition physique et le bien-être, la santé personnelle, les services médicaux, les médicaments en vente libre et sur ordonnance, les effets sur la santé de la consommation légale et illégale de drogues, les thérapies parallèles et complémentaires, la dentisterie, l’optométrie et la psychiatrie. En outre, comprend les organismes d’entraide et de soutien dédiés à une maladie ou à des problèmes de santé.
Humour*	Sites principalement liés à des blagues, de l’humour ou de la comédie
Activité illégale*	Sites liés à des activités ou activités illicites illégales dans la plupart des pays
Recherche d’images/vidéos	les sites de recherche d’images et de vidéos, y compris le partage de médias (par exemple, le partage de photos) et présentent un faible risque d’inclure du contenu répréhensible tel que du matériel graphique pour adultes ou porno.
Informationnel	Sites contenant du contenu informatif tel que des informations ou des conseils régionaux
Infosec*	Sites présentant du contenu lié à la sécurité de l’information
Communication sur Internet	Sites liés à la communication Internet et à la VOIP
IoT *	Sites liés à l’Internet des objets et aux appareils IoT
Emplois	les sites qui contiennent des moteurs de recherche d’emploi et d’autres documents tels que des conseils et des stratégies de recherche d’emploi.
Enfants*	Sites principalement liés aux enfants et aux jeunes adultes
Contenu des logiciels malveillants *	Sites contenant des logiciels malveillants, des virus ou des logiciels malveillants, des pirates logiciels, des codes illégaux et du matériel lié aux pirates informatiques Une pratique courante consiste à bloquer la catégorie des programmes malveillants pour tous les groupes.
Marijuana*	Sites liés à la production, à l’utilisation ou à la vente de marijuana
Messagerie*	Site lié à la messagerie instantanée et au chat
Téléphones Portables	Sites qui vendent ou fournissent des informations et des services sur les téléphones mobiles (cellulaires)
Actualités	Sites qui fournissent des actualités et des événements, y compris les journaux en ligne. Sites qui rapportent principalement de l’information ou des commentaires sur des événements d’actualité ou des enjeux contemporains du jour. Inclut également les stations de radio d’information et les magazines d’information. Peut ne pas inclure les sites qui peuvent être mieux capturés par d’autres catégories.
Nudité*	Sites contenant toute forme de nudité
Réunions en ligne*	Sites liés au logiciel pour les réunions en ligne ou l’hébergement de réunions en ligne
Organisations	Sites qui contiennent du contenu lié à des organisations qui favorisent le bénévolat pour les organismes caritatifs tels que les organismes à but non lucratif, les fondations, les sociétés, les associations, les communautés, les institutions. Comprend également les concours reconnus (Miss Terre), les scouts garçons/filles et les organismes qui cultivent des efforts philanthropiques ou de secours.
P2P*	Sites liés au partage de fichiers Peer-to-Peer (P2P)
Domaines parqués	Sites garés, ce qui signifie que le domaine n’est associé à aucun service tel qu’un e-mail ou un site Web. Ces domaines sont souvent répertoriés « à vendre. »
Phishing*	Sites et sites utilisés dans les campagnes d’hameçonnage et de pêche sous-marine
Piratage*	Sites liés au piratage numérique
Stratégies	Sites qui contiennent du contenu stratégie, y compris ceux qui représentent des organisations ou des organisations stratégies qui font la promotion d’opinions stratégies
Pornographie - Enfant	Sites contenant du contenu destiné aux adultes, y compris des graphiques et du matériel sexuellement explicite mettant en vedette des enfants, ou semblant présenter des enfants.
Pornographie/Nudité	Sites contenant du contenu destiné aux adultes, y compris des graphiques et du matériel sexuellement explicites. Inclut art avec nudité, sex shops et sites Web avec des publicités montrant la nudité, jeux avec nudité
Sites Web privés	Sites créés par des individus contenant des expressions personnelles telles que des blogs, des journaux personnels, des expériences ou des intérêts
Services professionnels	Sites offrant des produits professionnels, immatériels, ou une expertise (par opposition aux biens matériels). Comprend des sites pour des services exécutés de manière experte par un individu ou une équipe au profit de ses clients. Les services typiques comprennent les services de nettoyage, de réparation, de comptabilité, de banque, de consultation, d’aménagement paysager, d’éducation, d’assurance, de traitement et de transport. Également, comprend le tutorat en ligne, la danse, la conduite, les arts martiaux, les cours d’instruments de musique et la rédaction de dissertation.
Immobilier	Sites axés sur l’immobilier, y compris les agents, la location et la location de résidences et de bureaux, et d’autres informations immobilières
la religion	Sites qui font la promotion ou fournissent des informations sur les croyances et pratiques religieuses
Outils d’accès à distance*	Outils d’accès à distance tels que les services de partage d’écran
Escroqueries *	Sites liés aux escroqueries
Moteurs de recherche	Sites utilisés pour effectuer des recherches sur le Web
Sexe Ed	Sites contenant du contenu relatif à l’éducation sexuelle. Le contenu peut être graphique, mais il est conçu pour informer sur le processus de reproduction, le développement sexuel, les pratiques sexuelles sécuritaires, la sexualité, le contrôle des naissances, les conseils pour un meilleur sexe et les produits d’amélioration sexuelle.
Shopping	Sites utilisés pour acheter des biens de consommation, y compris les ventes aux enchères en ligne et les petites annonces. Comprend les billets d’événement
Spam*	Sites liés au spam ou utilisés dans des campagnes de courrier indésirable
Sports	Sites relatifs au sport et aux loisirs actifs. Cela comprend les sports organisés, professionnels et compétitifs en plus des loisirs actifs tels que la pêche, le golf, la chasse, le jogging, le canoë, le tir à l’arc, les échecs, etc.
Radio/TV en continu	Sites contenant du contenu en continu à la radio ou à la télévision
Suicide*	Sites liés au suicide, y compris l’information sur le suicide
Suspicieux*	les sites qui ne contiennent pas nécessairement de logiciels malveillants ou de contenus malveillants, mais qui, en raison de certains attributs, ont été signalés comme douteux. L’analyse malveillante d’iboss classe ces sites comme « Non sécurisés », même si aucun logiciel malveillant n’est détecté. La protection heuristique des requêtes Web, si elle est active, signale également les sites classés comme suspects.
Maillot de bain	Sites qui contiennent du contenu révélateur sexuellement, mais pas de nudité. Comprend des sites de shopping pour bikini, maillots de bain, lingerie et autres vêtements intimes.
Technologie	Sites qui contiennent des technologies liées au contenu, y compris des logiciels, du matériel informatique, des sociétés technologiques et de l’aide informatique technique. De plus, les sites qui commanditent ou fournissent des informations, des nouvelles, des critiques, des opinions et une couverture de l’informatique, des appareils informatiques et de la technologie, de l’électronique grand public et de la technologie générale.
Terrorisme/Radicalisation	les sites qui présentent des groupes ou des mouvements radicaux aux convictions ou croyances antigouvernementales agressives.
Infrastructure technique*	Sites liés à l’infrastructure technologique
Barres d’outils	Sites proposant des téléchargements de barres d’outils pour les navigateurs Web
Services de traduction*	Sites fournissant des services de traduction
Transport	Sites contenant du contenu lié au transport. Cela comprend des renseignements sur les trains, les lignes d’autobus et les transports en commun, ainsi que sur les sites de vente, de promotion ou liés à des voitures, des motos, des bateaux et des aéronefs.
Voyage	Sites qui offrent des services ou des renseignements liés aux voyages tels que la discussion en ligne, la planification, le tourisme, l’hébergement et le transport, comme les compagnies aériennes, les trains et les autobus, ainsi que les horaires et les tarifs pertinents. Sites qui font la promotion ou fournissent des réservations de voyage, des expériences de voyage, des locations de véhicules, des descriptions de destinations de voyage, ou des promotions pour des hôtels/casinos ou d’autres hébergements liés au voyage. Peut inclure des festivals et des parcs d’attractions.
Violence et haine	Sites qui favorisent un comportement violent ou dépeignent gratuitement des images de mort, de gore ou de lésions corporelles
Hébergement Web*	Fournisseurs d’hébergement Web
Webmail	Sites offrant des services de messagerie Web
Serveurs proxy Web	Sites offrant des informations sur, des services ou des téléchargements de proxy Web, méthode souvent utilisée pour contourner les URL et les filtres de contenu