Gateway

So funktionieren Endpunktrichtlinien

Sie können Citrix Gateway so konfigurieren, dass überprüft wird, ob ein Benutzergerät bestimmte Sicherheitsanforderungen erfüllt, bevor sich ein Benutzer anmeldet. Dies wird als Vorauthentifizierungsrichtlinie bezeichnet. Sie können Citrix Gateway so konfigurieren, dass ein Benutzergerät auf Antivirenprogramme, Firewall, Antispam, Prozesse, Dateien, Registrierungseinträge, Internetsicherheit oder Betriebssysteme überprüft wird, die Sie in der Richtlinie angeben. Wenn das Benutzergerät den Vorauthentifizierungsscan nicht besteht, dürfen sich Benutzer nicht anmelden.

Wenn Sie zusätzliche Sicherheitsanforderungen konfigurieren müssen, die in einer Vorauthentifizierungsrichtlinie nicht verwendet werden, konfigurieren Sie eine Sitzungsrichtlinie und binden sie an einen Benutzer oder eine Gruppe. Diese Art von Richtlinie wird als Richtlinie nach der Authentifizierung bezeichnet, die während der Benutzersitzung ausgeführt wird, um sicherzustellen, dass die erforderlichen Elemente wie Antivirensoftware oder ein Prozess weiterhin zutreffen.

Wenn Sie eine Vorauthentifizierungs- oder Nachauthentifizierungsrichtlinie konfigurieren, lädt Citrix Gateway das Endpoint Analysis-Plug-In herunter und führt dann den Scan aus. Jedes Mal, wenn sich ein Benutzer anmeldet, wird das Endpoint Analysis-Plug-In automatisch ausgeführt.

Sie verwenden die folgenden drei Arten von Richtlinien, um Endpunktrichtlinien zu konfigurieren:

  • Vorauthentifizierungsrichtlinie, die einen Ja- oder Nein-Parameter verwendet. Der Scan bestimmt, ob das Benutzergerät die angegebenen Anforderungen erfüllt. Wenn der Scan fehlschlägt, kann der Benutzer keine Anmeldeinformationen auf der Anmeldeseite eingeben.
  • Sitzungsrichtlinie, die bedingt ist und für SmartAccess verwendet werden kann.
  • Client-Sicherheitsausdruck innerhalb einer Sitzungsrichtlinie. Wenn das Benutzergerät die Anforderungen des Client-Sicherheitsausdrucks nicht erfüllt, können Sie Benutzer so konfigurieren, dass sie in eine Quarantänegruppe aufgenommen werden. Wenn das Benutzergerät den Scan besteht, können Benutzer einer anderen Gruppe zugeordnet werden, für die möglicherweise zusätzliche Prüfungen erforderlich sind.

Sie können erkannte Informationen in Richtlinien integrieren, sodass Sie je nach Benutzergerät unterschiedliche Zugriffsebenen gewähren können. Beispielsweise können Sie Benutzern, die eine Remote-Verbindung von Benutzergeräten herstellen, die aktuelle Anforderungen an Antiviren- und Firewall-Software haben, vollen Zugriff mit Downloadberechtigung gewähren. Benutzern, die eine Verbindung von nicht vertrauenswürdigen Computern herstellen, können Sie eine eingeschränkte Zugriffsebene bereitstellen, die es Benutzern ermöglicht, Dokumente auf Remote-Servern zu bearbeiten, ohne sie herunterzuladen.

Die Endpunktanalyse führt die folgenden grundlegenden Schritte durch:

  • Untersucht einen ersten Satz von Informationen über das Benutzergerät, um festzustellen, welche Scans angewendet werden sollen.
  • Führt alle anwendbaren Scans aus. Wenn Benutzer versuchen, eine Verbindung herzustellen, prüft das Endpoint Analysis-Plug-In das Benutzergerät auf die in der Vorauthentifizierungs- oder Sitzungsrichtlinie angegebenen Anforderungen. Wenn das Benutzergerät den Scan besteht, können sich Benutzer anmelden. Wenn das Benutzergerät den Scan nicht besteht, dürfen sich Benutzer nicht anmelden. Hinweis: Endpoint Analysis-Scans werden abgeschlossen, bevor die Benutzersitzung eine Lizenz verwendet.
  • Vergleicht Eigenschaftswerte, die auf dem Benutzergerät erkannt wurden, mit den gewünschten Eigenschaftswerten, die in Ihren konfigurierten Scans aufgeführt sind.
  • Erzeugt eine Ausgabe, in der überprüft wird, ob die gewünschten Eigenschaftswerte gefunden wurden oder nicht.

    Achtung: Die Anweisungen zum Erstellen von Endpoint Analysis-Richtlinien sind allgemeine Richtlinien. Sie können viele Einstellungen innerhalb einer Sitzungsrichtlinie vornehmen. Spezifische Anweisungen zur Konfiguration von Sitzungsrichtlinien können Anweisungen zur Konfiguration einer bestimmten Einstellung enthalten. Diese Einstellung kann jedoch eine von vielen Einstellungen sein, die in einem Sitzungsprofil und einer Richtlinie enthalten sind.

So funktionieren Endpunktrichtlinien

In diesem Artikel