Gateway

Richtlinien nach der Authentifizierung

Wichtig:

Die Endpunktanalyse dient dazu, das Benutzergerät anhand vorab festgelegter Konformitätskriterien zu analysieren. Die Sicherheit der Endbenutzergeräte wird nicht erzwungen oder validiert. Es wird empfohlen, Endpunktsicherheitssysteme zu verwenden, um Geräte vor lokalen Administratorangriffen zu schützen.

Eine Richtlinie nach der Authentifizierung ist ein Satz generischer Regeln, die das Benutzergerät erfüllen muss, um die Sitzung aktiv zu halten. Wenn die Richtlinie fehlschlägt, endet die Verbindung zu NetScaler Gateway. Wenn Sie die Richtlinie nach der Authentifizierung konfigurieren, können Sie jede Einstellung für Benutzerverbindungen konfigurieren, die bedingt gemacht werden können.

Sie verwenden Sitzungsrichtlinien, um Richtlinien nach der Authentifizierung zu konfigurieren. Zunächst erstellen Sie die Benutzer, für die die Richtlinie gilt. Dann fügen Sie die Benutzer zu einer Gruppe hinzu. Als Nächstes binden Sie Sitzungen, Verkehrsrichtlinien und Intranet-Anwendungen an die Gruppe.

Sie können auch Gruppen als Berechtigungsgruppen angeben. Mit diesem Gruppentyp können Sie Benutzer Gruppen zuweisen, die auf einem Ausdruck zur Überprüfung des Client-Geräts innerhalb der Sitzungsrichtlinie basieren.

Sie können auch eine Richtlinie nach der Authentifizierung konfigurieren, um Benutzer in eine Quarantänegruppe zu versetzen, wenn das Benutzergerät die Anforderungen der Richtlinie nicht erfüllt. Eine einfache Richtlinie umfasst einen Ausdruck zur Überprüfung des Client-Geräts und eine Meldung. Wenn sich Benutzer in der Quarantänegruppe befinden, können sich Benutzer bei NetScaler Gateway anmelden. Sie erhalten jedoch eingeschränkten Zugriff auf Netzwerkressourcen.

Sie können keine Autorisierungsgruppe und Quarantänegruppe erstellen, indem Sie dasselbe Sitzungsprofil und dieselbe Richtlinie verwenden. Die Schritte zum Erstellen der Richtlinie nach der Authentifizierung sind dieselben. Wenn Sie die Sitzungsrichtlinie erstellen, wählen Sie entweder eine Autorisierungsgruppe oder eine Quarantänegruppe aus. Sie können zwei Sitzungsrichtlinien erstellen und jede Richtlinie an die Gruppe binden.

Richtlinien nach der Authentifizierung werden auch mit SmartAccess verwendet. Weitere Informationen zu SmartAccess finden Sie unter Konfigurieren von SmartAccess auf NetScaler Gateway.

Hinweis:

Diese Funktion funktioniert nur mit dem Citrix Secure Access-Client. Wenn sich Benutzer mit der Citrix Workspace-App anmelden, wird der Endpoint Analysis-Scan nur bei der Anmeldung ausgeführt.

Konfigurieren einer Richtlinie nach der Authentifizierung

Sie verwenden eine Sitzungsrichtlinie, um eine Richtlinie nach der Authentifizierung zu konfigurieren. Eine einfache Richtlinie umfasst einen Ausdruck zur Überprüfung des Client-Geräts und eine Meldung.

So konfigurieren Sie eine Richtlinie nach der Authentifizierung über die GUI

  1. Erweitern Sie NetScaler Gateway > Richtlinien und klicken Sie dann auf Sitzung.
  2. Klicken Sie im Detailbereich auf der Registerkarte Richtlinien auf Hinzufügen.
  3. Geben Sie im Feld Name einen Namen für die Richtlinie ein.
  4. Klicken Sie neben Profil anfordernauf Neu.
  5. Geben Sie im Feld Name einen Namen für das Profil ein.
  6. Klicken Sie auf der Registerkarte Sicherheit auf Erweiterte Einstellungen.
  7. Klicken Sie unter Client Securityauf Override Global und dann auf New.
  8. Konfigurieren Sie den Ausdruck für die Überprüfung des Client-Geräts und klicken Sie dann auf Erstellen.
  9. Wählen Sie unter Client Securityunter Quarantänegruppe eine Gruppe aus.
  10. Geben Sie im Feld Fehlermeldungdie Meldung ein, die Benutzer erhalten sollen, wenn der Scan nach der Authentifizierung fehlschlägt.
  11. Klicken Sie unter Autorisierungsgruppen auf Global überschreiben, wählen Sie eine Gruppe aus, klicken Sie auf Hinzufügen, klicken Sie auf OKund dann auf Erstellen.
  12. Wählen Sie im Dialogfeld Sitzungsrichtlinie erstellen neben Benannte Ausdrücke die Option Allgemeinaus, wählen Sie Wahrer Wertaus, klicken Sie auf Ausdruck hinzufügen, klicken Sie auf Erstellenund dann auf Schließen.

Konfigurieren Sie die Häufigkeit von Scans nach der Authentifizierung

Sie können NetScaler Gateway so konfigurieren, dass die Richtlinie nach der Authentifizierung in bestimmten Intervallen ausgeführt wird. Sie haben beispielsweise eine Richtlinie zur Überprüfung von Client-Geräten konfiguriert und möchten, dass sie alle 10 Minuten auf dem Benutzergerät ausgeführt wird. Sie können diese Häufigkeit konfigurieren, indem Sie einen benutzerdefinierten Ausdruck innerhalb der Richtlinie erstellen.

Hinweis:

Die Funktion zur Häufigkeitsprüfung für Richtlinien nach der Authentifizierung funktioniert nur mit dem Citrix Secure Access-Client. Wenn sich Benutzer mit der Citrix Workspace-App anmelden, wird der Endpoint Analysis-Scan nur bei der Anmeldung ausgeführt.

Sie können die Häufigkeit (in Minuten) festlegen, in der Sie die Richtlinie zur Überprüfung des Client-Geräts konfigurieren, indem Sie das Verfahren zur Konfiguration einer Richtlinie nach der Authentifizierung befolgen. Die folgende Abbildung zeigt, wo Sie im Dialogfeld Ausdruck hinzufügen einen Häufigkeitswert eingeben können.

Zeigt eine Abbildung des Dialogfelds zur Konfiguration der Häufigkeit von Scans nach der Authentifizierung an.

Quarantäne- und Berechtigungsgruppen

Wenn sich Benutzer bei NetScaler Gateway anmelden, weisen Sie sie einer Gruppe zu, die Sie entweder auf NetScaler Gateway oder auf einem Authentifizierungsserver im sicheren Netzwerk konfigurieren. Wenn ein Benutzer einen Scan nach der Authentifizierung nicht besteht, können Sie den Benutzer einer eingeschränkten Gruppe zuweisen, die als Quarantänegruppe bezeichnet wird und den Zugriff auf Netzwerkressourcen einschränkt.

Sie können auch Autorisierungsgruppen verwenden, um den Benutzerzugriff auf Netzwerkressourcen einzuschränken. Beispielsweise haben Sie möglicherweise eine Gruppe von Vertragspersonal, die nur Zugriff auf Ihren E-Mail-Server und eine Dateifreigabe haben. Wenn Benutzergeräte die Anforderungen für die Geräteüberprüfung erfüllen, die Sie auf NetScaler Gateway definiert haben, können Benutzer dynamisch Mitglieder von Gruppen werden.

Sie verwenden entweder globale Einstellungen oder Sitzungsrichtlinien, um Quarantäne- und Autorisierungsgruppen zu konfigurieren, die an einen Benutzer, eine Gruppe oder einen virtuellen Server gebunden sind. Sie können Benutzer anhand eines Ausdrucks zur Überprüfung des Client-Geräts innerhalb der Sitzungsrichtlinie Gruppen zuweisen. Wenn der Benutzer Mitglied einer Gruppe ist, wendet NetScaler Gateway die Sitzungsrichtlinie basierend auf der Gruppenmitgliedschaft an.

Konfigurieren von Autorisierungsgruppen

Wenn Sie einen Endpoint Analysis-Scan konfigurieren, können Sie Benutzer dynamisch zu einer Autorisierungsgruppe hinzufügen, wenn das Benutzergerät den Scan durchläuft. Beispielsweise erstellen Sie einen Endpoint Analysis-Scan, der die Domänenmitgliedschaft des Benutzergeräts überprüft. Erstellen Sie auf NetScaler Gateway eine lokale Gruppe namens Domain-Joined Computers und fügen Sie sie als Autorisierungsgruppe für alle hinzu, die den Scan bestanden haben. Wenn Benutzer der Gruppe beitreten, erben Benutzer die mit der Gruppe verknüpften Richtlinien.

Sie können Autorisierungsrichtlinien nicht global oder an einen virtuellen Server binden. Sie können Autorisierungsgruppen verwenden, um einen Standardsatz von Autorisierungsrichtlinien bereitzustellen, wenn Benutzer nicht als Mitglieder einer anderen Gruppe auf NetScaler Gateway konfiguriert sind.

So konfigurieren Sie eine Autorisierungsgruppe mithilfe einer Sitzungsrichtlinie

  1. Navigieren Sie zu NetScaler Gateway > Richtlinien und klicken Sie dann auf Sitzung.
  2. Klicken Sie im Detailbereich auf der Registerkarte Richtlinien auf Hinzufügen.
  3. Geben Sie im Feld Name einen Namen für die Richtlinie ein.
  4. Klicken Sie neben Profil anfordernauf Neu.
  5. Geben Sie im Feld Name einen Namen für das Profil ein.
  6. Klicken Sie auf der Registerkarte Sicherheit auf Erweiterte Einstellungen.
  7. Klicken Sie unter Autorisierungsgruppen auf Global überschreiben und wählen Sie eine Gruppe aus der Dropdownliste aus.
  8. Klicken Sie auf Hinzufügen, klicken Sie auf OK und dann auf Erstellen.
  9. Wählen Sie im Dialogfeld Sitzungsrichtlinie erstellen neben Benannte Ausdrücke die Option Allgemeinaus, wählen Sie Wahrer Wertaus, klicken Sie auf Ausdruck hinzufügen, klicken Sie auf Erstellen und dann auf Schließen.

Nachdem Sie die Sitzungsrichtlinie erstellt haben, können Sie sie an einen Benutzer, eine Gruppe oder einen virtuellen Server binden.

So konfigurieren Sie eine globale Berechtigungsgruppe

  1. Erweitern Sie NetScaler Gateway und klicken Sie dann auf Globale Einstellungen.
  2. Klicken Sie im Detailbereich unter Einstellungen auf Globale Einstellungen ändern.
  3. Klicken Sie auf der Registerkarte Sicherheit auf Erweiterte Einstellungen.
  4. Wählen Sie unter Autorisierungsgruppe eine Gruppe aus der Dropdownliste aus.
  5. Klicken Sie auf Hinzufügen und dann auf OK.

Wenn Sie eine Autorisierungsgruppe entweder global oder aus der Sitzungsrichtlinie entfernen möchten, wählen Sie im Dialogfeld Sicherheitseinstellungen — Erweitert die Autorisierungsgruppe aus der Liste aus und klicken Sie dann auf Entfernen.

Quarantänegruppen konfigurieren

Wenn Sie eine Quarantänegruppe konfigurieren, konfigurieren Sie den Ausdruck für die Überprüfung des Client-Geräts mithilfe des Dialogfelds Sicherheitseinstellungen — Erweiterte Einstellungen in einem Sitzungsprofil.

Um das Client-Gerät zu konfigurieren, überprüfen Sie den Ausdruck für eine Quarantänegruppe

  1. Navigieren Sie zu NetScaler Gateway > Richtlinien und klicken Sie dann auf Sitzung.
  2. Klicken Sie im Detailbereich auf der Registerkarte Richtlinien auf Hinzufügen.
  3. Geben Sie im Feld Name einen Namen für die Richtlinie ein.
  4. Klicken Sie neben Profil anfordernauf Neu.
  5. Geben Sie im Feld Name einen Namen für das Profil ein.
  6. Klicken Sie auf der Registerkarte Sicherheit auf Erweiterte Einstellungen.
  7. Klicken Sie unter Client Securityauf Override Global und dann auf New.
  8. Konfigurieren Sie im Dialogfeld Client-Ausdruck den Prüfausdruck für das Client-Gerät und klicken Sie dann auf Erstellen.
  9. Wählen Sie unter Quarantänegruppedie Gruppe aus.
  10. Geben Sie unter Fehlermeldung eine Meldung ein, die das Problem für Benutzer beschreibt, und klicken Sie dann auf Erstellen.
  11. Wählen Sie im Dialogfeld Sitzungsrichtlinie erstellen neben “Benannte Ausdrücke” die Option Allgemein, wählen Sie True und klicken Sie auf Ausdruck hinzufügen.
  12. Klicken Sie auf Erstellen und dann auf Schließen.

Nachdem Sie die Sitzungsrichtlinie erstellt haben, binden Sie sie an einen Benutzer, eine Gruppe oder einen virtuellen Server.

Hinweis:

Wenn der Endpoint Analysis-Scan fehlschlägt und der Benutzer in die Quarantänegruppe aufgenommen wird, sind die an die Quarantänegruppe gebundenen Richtlinien nur wirksam, wenn keine direkt an den Benutzer gebundenen Richtlinien vorhanden sind, die eine gleiche oder niedrigere Prioritätszahl als die an die Quarantänegruppe gebundenen Richtlinien haben.

So konfigurieren Sie eine globale Quarantänegruppe

  1. Erweitern Sie NetScaler Gateway und klicken Sie dann auf Globale Einstellungen.
  2. Klicken Sie im Detailbereich unter Einstellungen auf Globale Einstellungen ändern.
  3. Klicken Sie auf der Registerkarte Sicherheit auf Erweiterte Einstellungen.
  4. Konfigurieren Sie in Client Securityden Ausdruck zur Überprüfung des Client-Geräts.
  5. Wählen Sie unter Quarantänegruppedie Gruppe aus.
  6. Geben Sie unter Fehlermeldungeine Meldung ein, die das Problem für Benutzer beschreibt, und klicken Sie dann auf OK.
Richtlinien nach der Authentifizierung