Advanced Endpoint Analysis scans
Advanced Endpoint Analysis (EPA) wird zum Scannen von Benutzergeräten nach den auf Citrix Gateway konfigurierten Endpunktsicherheitsanforderungen verwendet. Wenn ein Benutzergerät versucht, auf Citrix Gateway zuzugreifen, wird das Gerät nach Sicherheitsinformationen wie Betriebssystem, Virenschutz, Webbrowserversionen usw. durchsucht, bevor ein Administrator Zugriff auf Citrix Gateway gewähren kann. Weitere Informationen zu den Citrix EPA-Clientsystemanforderungen finden Sie unter Endpoint Analysis-Anforderungen.
Der Advanced EPA-Scan ist ein richtlinienbasierter Scan, den Sie auf Citrix Gateway für Authentifizierungssitzungen konfigurieren können. Die Richtlinie führt eine Registrierungsprüfung auf einem Benutzergerät durch und basierend auf der Auswertung ermöglicht oder verweigert die Richtlinie den Zugriff auf das Citrix ADC-Netzwerk.
Sie können den erweiterten EPA-Scan mithilfe der GUI oder der CLI konfigurieren.
Auf der GUI
-
Erstellen Sie eine EPA-Aktion.
Navigieren Sie zu Sicherheit > AAA - Application Traffic > Policies > Authentication > Advanced Policies > Actions > EPA und klicken Sie auf Hinzufügen. Aktualisieren Sie auf der Seite EPA-Aktion für Authentifizierung erstellen die folgenden Informationen und klicken Sie auf Erstellen.
- Name: Name der EPA-Aktion.
- Standardgruppe: Die Standardgruppe, die ausgewählt wird, wenn die EPA-Prüfung erfolgreich ist.
- Quarantänegruppe: Die Quarantänegruppe, die ausgewählt wird, wenn die EPA-Prüfung fehlschlägt.
- Prozess beenden: Zeichenfolge, die den Namen eines Prozesses angibt, der vom EPA-Plug-In beendet werden soll. Mehrere Prozesse müssen durch Kommas getrennt werden.
- Dateien löschen: Zeichenfolge, die die Pfade und Namen der Dateien angibt, die vom EPA-Plug-in gelöscht werden sollen. Mehrere Dateien müssen durch Kommas getrennt werden.
- Ausdruck: Informationen zum EPA-Ausdrucksformat finden Sie in der Richtlinienreferenz für Advanced Endpoint Analysis.
-
Erstellen Sie eine entsprechende EPA-Richtlinie.
Navigieren Sie zu Sicherheit > AAA - Application Traffic > Policies > Authentication > Advanced Policies > Policies und klicken Sie auf Hinzufügen. Aktualisieren Sie auf der Seite Authentifizierungsrichtlinie erstellen die folgenden Informationen und klicken Sie auf Erstellen.
- Name: Name der erweiterten EPA-Richtlinie.
- Aktionstyp: Typ der Authentifizierungsaktion.
- Aktion: Name der Authentifizierungsaktion, die ausgeführt werden soll, wenn die Richtlinie übereinstimmt.
- Ausdruck: Informationen zum EPA-Ausdrucksformat finden Sie in der Richtlinienreferenz für Advanced Endpoint Analysis.
- Protokollaktion: Name der Nachrichtenprotokollaktion, die verwendet werden soll, wenn eine Anfrage dieser Richtlinie entspricht. Die maximal zulässige Länge beträgt 127 Zeichen.
-
Konfigurieren Sie einen virtuellen Authentifizierungsserver und ein Authentifizierungsprofil.
- Navigieren Sie zu Sicherheit > AAA - Anwendungsverkehr > Virtuelle Authentifizierungsserver und klicken Sie auf Hinzufügen.
- Navigieren Sie zu Sicherheit > AAA - Anwendungsverkehr > Authentifizierungsprofil und klicken Sie auf Erstellen.
-
Binden Sie die erweiterte EPA-Richtlinie an den virtuellen Authentifizierungsserver.
- Navigieren Sie zu Sicherheit > AAA — Anwendungsverkehr > Virtuelle Authentifizierungsserver und wählen Sie den virtuellen Authentifizierungsserver aus.
- Wählen Sie die Richtlinie im Abschnitt Erweiterte Authentifizierungsrichtlinien aus.
- Klicken Sie im Abschnitt Richtlinienbindung auf Binden.
-
Binden Sie die EPA-Richtlinie an nFactor Flow.
Einzelheiten zum Hinzufügen einer erweiterten EPA-Richtlinie als Faktor zum nFactor-Flow finden Sie unter EPA-Scan als Faktor bei der nFactor-Authentifizierung.
Über die Befehlszeilenschnittstelle
-
Erstellen Sie eine Aktion, um den EPA-Scan durchzuführen.
add authentication epaAction EPA-client-scan -csecexpr "sys.client_expr ("proc_2_firefox")" <!--NeedCopy-->
Der vorhergehende Ausdruck scannt, ob der Prozess ‘Firefox’ ausgeführt wird. Das EPA-Plug-in prüft alle 2 Minuten die Existenz des Prozesses, was durch die Ziffer ‘2’ im Scan-Ausdruck gekennzeichnet ist.
-
Ordnen Sie die EPA-Aktion einer erweiterten EPA-Richtlinie zu.
add authentication Policy EPA-check -rule true -action EPA-client-scan <!--NeedCopy-->
-
Konfigurieren Sie einen virtuellen Authentifizierungsserver und ein Authentifizierungsprofil.
add authentication vserver authnvsepa ssl -ip address 10.104.130.129 -port 443 <!--NeedCopy-->
add Authnprofile_EPA -authnVsName authnvsepa <!--NeedCopy-->
-
Binden Sie die erweiterte EPA-Richtlinie an den virtuellen Authentifizierungsserver.
bind authentication vs authnvsepa -policy EPA-check -pr 1 <!--NeedCopy-->
Upgrade EPA-Bibliotheken
So verwenden Sie die Citrix ADC GUI zum Aktualisieren von EPA-Bibliotheken:
-
Navigieren Sie zuKonfiguration > Citrix Gateway > Clientkomponenten aktualisieren.
-
Klicken Sie unter Clientkomponenten aktualisieren auf den LinkEPA-Bibliotheken aktualisieren.
-
Wählen Sie die erforderliche Datei aus und klicken Sie auf Upgrade.
Wichtig:
Bei einer Citrix Gateway-Hochverfügbarkeit müssen die EPA-Bibliotheken sowohl auf dem primären als auch auf dem sekundären Knoten aktualisiert werden.
In einem Citrix Gateway-Clustering-Setup müssen die EPA-Bibliotheken auf allen Clusterknoten aktualisiert werden.
Eine Liste der von Windows und MAC unterstützten Anwendungen von OPSWAT für Citrix ADC-Scans finden Sie unter https://support.citrix.com/article/CTX234466.
Fehlerbehebung bei erweiterten Endpoint Analysis-Scans
Um bei der Fehlerbehebung bei Advanced Endpoint Analysis-Scans zu helfen, schreiben die Client-Plug-Ins Protokollinformationen in eine Datei auf Client-Endpunktsystemen. Diese Protokolldateien befinden sich je nach Betriebssystem des Benutzers in den folgenden Verzeichnissen.
Windows Vista, Windows 7, Windows 8, Windows 8.1 und Windows 10:
C:\Users\<username>\AppData\Local\Citrix\AGEE\nsepa.txt
Windows XP:
C:\Documents and Settings\All Users\Application Data\Citrix\AGEE\nsepa.txt
Mac OS X-Systeme:
~/Library/Application Support/Citrix/EPAPlugin/epaplugin.log
(Wobei das ~-Symbol den Home-Verzeichnispfad des entsprechenden macOS-Benutzers angibt.) (Wobei das ~-Symbol den Home-Verzeichnispfad des entsprechenden macOS-Benutzers angibt.)
Ubuntu:
-
~/.citrix/nsepa.txt
-
~/.citrix/nsgcepa.txt