Ausdrücke für Geräteprüfungen vor der Authentifizierung für Benutzergeräte
Wichtig:
Die Endpunktanalyse dient dazu, das Benutzergerät anhand vorab festgelegter Konformitätskriterien zu analysieren. Die Sicherheit der Endbenutzergeräte wird nicht erzwungen oder validiert. Es wird empfohlen, Endpunktsicherheitssysteme zu verwenden, um Geräte vor lokalen Administratorangriffen zu schützen.
Citrix Gateway bietet verschiedene Endpunktkonformitätsprüfungen während der Benutzeranmeldung oder zu anderen konfigurierten Zeiten während einer Sitzung, die bei der Validierung der Benutzergeräte helfen. Nur die Benutzergeräte, die diese Prüfungen bestehen, dürfen eine Citrix Gateway-Sitzung einrichten.
Im Folgenden sind die Arten von Prüfungen auf Benutzergeräten aufgeführt, die Sie auf Citrix Gateway konfigurieren können:
- Spam-Antispam
- Antivirus
- Richtlinien für Dateien
- Sicherheit im Internet
- Betriebssystem
- Persönliche Firewall
- Prozess-Richtlinien
- Registry-Richtlinien
- Service-Richtlinien
Wenn eine Geräteüberprüfung auf dem Benutzergerät fehlschlägt, werden bis zu einer nachfolgenden Prüfung keine neuen Verbindungen hergestellt (bei Prüfungen, die in regelmäßigen Abständen durchgeführt werden). Der Datenverkehr, der über bestehende Verbindungen fließt, tunnelt jedoch weiterhin durch Citrix Gateway.
Sie können das Konfigurationsprogramm verwenden, um Vorauthentifizierungsrichtlinien oder Ausdrücke für Geräteprüfungen innerhalb von Sitzungsrichtlinien zu konfigurieren, die für die Durchführung von Prüfungen auf Benutzergeräten konzipiert sind.
Konfigurieren von Antiviren-, Firewall-, Internetsicherheit- oder Antispam-Ausdrücken
Sie konfigurieren Einstellungen für Antiviren-, Firewall-, Internetsicherheits- und Antispam-Richtlinien im Dialogfeld Ausdruck hinzufügen. Die Einstellungen für jede Richtlinie sind dieselben: Die Unterschiede sind die Werte, die Sie auswählen. Wenn Sie beispielsweise das Benutzergerät auf Norton Antivirus-Version 10 und ZoneAlarm Pro überprüfen möchten, erstellen Sie zwei Ausdrücke innerhalb der Sitzungs- oder Vorauthentifizierungsrichtlinie, die den Namen und die Versionsnummer jeder Anwendung angeben.
Wenn Sie Client Security als Ausdruckstyp auswählen, können Sie Folgendes konfigurieren:
- Komponente: Die Art der Clientsicherheit, wie Antivirus, Firewall oder Registrierungseintrag.
- Name: Der Name der Anwendung, des Prozesses, der Datei, des Registrierungseintrags oder des Betriebssystems.
- Qualifier: Die Version oder der Wert der Komponente, auf die der Ausdruck prüft.
- Operator: Überprüft, ob der Wert existiert oder dem Wert entspricht.
- Wert: Die Anwendungsversion für Antiviren-, Firewall-, Internetsicherheit- oder Antispam-Software auf dem Benutzergerät.
- Frequenz: Häufigkeit, mit der ein Scan nach der Authentifizierung ausgeführt wird, in Minuten.
- Fehlergewicht: Eine Gewichtung, die jeder in einem verschachtelten Ausdruck enthaltenen Fehlermeldung zugewiesen wird, wenn mehrere Ausdrücke unterschiedliche Fehlerzeichenfolgen aufweisen. Das Gewicht bestimmt, welche Fehlermeldung angezeigt wird.
- Frische: Definiert, wie alt eine Virusdefinition sein kann. Sie können den Ausdruck beispielsweise so konfigurieren, dass Virendefinitionen nicht älter als drei Tage sind.
So fügen Sie einer Vorauthentifizierungs- oder Sitzungsrichtlinie eine Richtlinie zur Überprüfung des Client-Geräts hinzu
- Führen Sie im Konfigurationsdienstprogramm im Navigationsbereich einen der folgenden Schritte aus:
- Erweitern Sie im Konfigurationsprogramm auf der Registerkarte Konfiguration im Navigationsbereich Citrix Gateway > Richtlinien und klicken Sie dann auf Sitzung.
- Erweitern Sie im Konfigurationsprogramm auf der Registerkarte Konfiguration im Navigationsbereich Citrix Gateway > Richtlinien > Authentifizierung/Autorisierung und klicken Sie dann auf Pre-Authentication EPA.
- Klicken Sie im Detailbereich auf der Registerkarte Richtlinien auf Hinzufügen.
- Geben Sie im Feld Name einen Namen für die Richtlinie ein.
- Klicken Sie neben Any Expression auf Hinzufügen.
- Wählen Sie im Dialogfeld Ausdruck hinzufügen unter Ausdruckstyp die Option Client-Sicherheitaus.
- Konfigurieren Sie die Einstellungen für Folgendes:
- Wählen Sie unter Komponente das Element aus, nach dem gescannt werden soll.
- Geben Sie unter Name den Namen der Anwendung ein.
- Wählen Sie unter Qualifier die Option Versionaus.
- Wählen Sie unter Operator den Wert aus.
- Geben Sie im Feld Wert die Prüfzeichenfolge für das Client-Gerät ein, klicken Sie auf OK, klicken Sie auf Erstellenund dann auf Schließen.
Konfigurieren von Dienstrichtlinien
Ein Dienst ist ein Programm, das geräuschlos auf dem Benutzergerät läuft. Wenn Sie eine Sitzungs- oder Vorauthentifizierungsrichtlinie erstellen, können Sie einen Ausdruck erstellen, der sicherstellt, dass Benutzergeräte einen bestimmten Dienst ausführen, wenn die Sitzung eingerichtet wird.
So konfigurieren Sie eine Dienstrichtlinie
- Führen Sie im Konfigurationsdienstprogramm im Navigationsbereich einen der folgenden Schritte aus:
- Erweitern Sie im Konfigurationsprogramm auf der Registerkarte Konfiguration im Navigationsbereich Citrix Gateway > Richtlinien und klicken Sie dann auf Sitzung.
- Erweitern Sie im Konfigurationsprogramm auf der Registerkarte Konfiguration im Navigationsbereich Citrix Gateway > Richtlinien > Authentifizierung/Autorisierung und klicken Sie dann auf Pre-AuthenticationEPA.
- Klicken Sie im Detailbereich auf der Registerkarte Richtlinien auf Hinzufügen.
- Geben Sie im Feld Name einen Namen für die Richtlinie ein.
- Klicken Sie neben Any Expression auf Hinzufügen.
- Wählen Sie im Dialogfeld Ausdruck hinzufügen unter Ausdruckstyp die Option Client-Sicherheitaus.
- Konfigurieren Sie die Einstellungen für Folgendes:
- Wählen Sie unter Komponente Dienst aus.
- Geben Sie unter Name den Namen des Dienstes ein.
- Lassen Sie in Qualifier das Feld leer oder wählen Sie Version.
- Führen Sie abhängig von Ihrer Auswahl in Qualifier einen der folgenden Schritte aus:
- Wenn leer gelassen, wählen Sie in Operator == oder! =
- Wenn Sie Version ausgewählt haben, geben Sie in Operator unter Wert den Wert ein, klicken Sie auf OK, und klicken Sie dann auf Schließen.
Sie können eine Liste aller verfügbaren Dienste und den Status für jeden auf einem Windows-basierten Computer an folgender Stelle überprüfen:
Systemsteuerung > Verwaltungstools > Dienste
Hinweis:
Der Dienstname für jeden Dienst variiert von seinem aufgelisteten Namen. Suchen Sie im Dialogfeld Eigenschaften nach dem Namen des Dienstes.
Konfigurieren von Prozessrichtlinien
Wenn Sie eine Sitzungs- oder Vorauthentifizierungsrichtlinie erstellen, können Sie eine Regel definieren, die erfordert, dass alle Benutzergeräte einen bestimmten Prozess ausführen müssen, wenn sich Benutzer anmelden. Der Prozess kann jede Anwendung sein und kundenspezifische Anwendungen beinhalten.
Hinweis: Die Liste aller Prozesse, die auf einem Windows-Computer ausgeführt werden, wird auf der Registerkarte Prozesse des Windows Task-Managers angezeigt.
So konfigurieren Sie eine Prozessrichtlinie
- Führen Sie im Konfigurationsdienstprogramm im Navigationsbereich einen der folgenden Schritte aus:
- Erweitern Sie im Konfigurationsprogramm auf der Registerkarte Konfiguration im Navigationsbereich Citrix Gateway\ > Richtlinien und klicken Sie dann auf Sitzung.
- Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich Citrix Gateway > Richtlinien > Authentifizierung/Autorisierung, und klicken Sie dann auf Pre-Authentication EPA.
- Klicken Sie im Detailbereich auf der Registerkarte Richtlinien auf Hinzufügen.
- Geben Sie im Feld Name einen Namen für die Richtlinie ein.
- Klicken Sie neben Any Expression auf Hinzufügen.
- Wählen Sie im Dialogfeld Ausdruck hinzufügen unter Ausdruckstyp die Option Client-Sicherheitaus.
- Konfigurieren Sie die Einstellungen für Folgendes:
- Wählen Sie unter Komponente die Option Prozess aus.
- Geben Sie unter Name den Namen der Anwendung ein.
- Wählen Sie unter Operator EXISTS oder NOTEXISTS aus, klicken Sie auf OK und dann auf Schließen.
Wenn Sie eine Endpoint Analysis-Richtlinie (Vor- oder Nachauthentifizierung) konfigurieren, um nach einem Prozess zu suchen, können Sie eine MD5-Prüfsumme konfigurieren.
Wenn Sie den Ausdruck für die Richtlinie erstellen, können Sie die MD5-Prüfsumme zu dem Prozess hinzufügen, nach dem Sie suchen. Wenn Sie beispielsweise prüfen, ob notepad.exe auf dem Benutzergerät ausgeführt wird, lautet der Ausdruck: CLIENT.APPLICATION.PROCESS (notepad.exe_md5_388b8fbc36a8558587afc90fb23a3b00) EXISTS
Konfigurieren von Betriebssystemrichtlinien
Wenn Sie eine Sitzungs- oder Vorauthentifizierungsrichtlinie erstellen, können Sie Prüfzeichenfolgen für das Client-Gerät konfigurieren, um festzustellen, ob auf dem Benutzergerät ein bestimmtes Betriebssystem ausgeführt wird, wenn sich Benutzer anmelden. Sie können den Ausdruck auch so konfigurieren, dass nach einem bestimmten Service Pack oder Hotfix gesucht wird.
Die Werte für Windows und Macintosh lauten:
Betriebssystem | Wert |
---|---|
macOS X | macOS |
Windows 8.1 | win8.1 |
Windows 8 | win8 |
Windows 7 | win7 |
Windows Vista | vista |
Windows XP | winxp |
Windows Server 2008 | win2008 |
Windows Server 2003 | win2003 |
Windows 2000 Server | win2000 |
Windows 64-Bit-Plattform | win64 |
So konfigurieren Sie eine Betriebssystemrichtlinie über die GUI
- Führen Sie im Navigationsbereich einen der folgenden Schritte aus:
- Navigieren Sie zu Citrix Gateway > Richtlinien und klicken Sie dann auf Sitzung.
- Navigieren Sie zu Citrix Gateway > Richtlinien > Vorauthentifizierung.
- Klicken Sie im Detailbereich auf der Registerkarte Richtlinien auf Hinzufügen.
- Geben Sie im Feld Name einen Namen für die Richtlinie ein.
- Wählen Sie unter Request Action eine vorhandene Aktion aus oder erstellen Sie eine.
- Klicken Sie auf Expression Editor.
- Wählen Sie unter Ausdruckstyp auswählen die Option Clientsicherheit aus.
- Konfigurieren Sie die Einstellungen für Folgendes:
- Wählen Sie unter Komponente die Option Betriebssystem aus.
- Geben Sie unterName den Namen des Betriebssystems ein.
- Führen Sie in Qualifier einen der folgenden Schritte aus:
- Lassen Sie das Feld leer
- Wählen Sie Service Pack
- Wählen Sie Hotfix
- Wählen Sie Version (nur für macOS)
- Führen Sie abhängig von Ihrer Auswahl in Schritt 7 in Operator einen der folgenden Schritte aus:
- Wenn Qualifier leer ist, wählen Sie in Operator EQUAL (= =), NOTEQUAL (! =), EXISTS oder NOTEXISTS.
- Wenn Sie Service Pack oder Hotfix ausgewählt haben, wählen Sie den Operator aus und geben Sie unter Wert den Wert ein.
- Klicken Sie auf Fertig und dann auf Schließen.
Wenn Sie ein Service Pack wie client.os (winxp).sp
konfigurieren und eine Zahl nicht im Feld Wert enthalten ist, gibt Citrix Gateway eine Fehlermeldung zurück, da der Ausdruck ungültig ist.
Wenn auf dem Betriebssystem Service Packs wie Service Pack 3 und Service Pack 4 vorhanden sind, können Sie eine Überprüfung nur für Service Pack 4 konfigurieren, da das Vorhandensein von Service Pack 4 automatisch darauf hinweist, dass frühere Service Packs vorhanden sind.
Konfiguration von Registrierungsrichtlinien
Wenn Sie eine Sitzungs- oder Vorauthentifizierungsrichtlinie erstellen, können Sie auf dem Benutzergerät nach Existenz und Wert von Registrierungseinträgen suchen. Die Sitzung wird nur eingerichtet, wenn der bestimmte Eintrag existiert oder den konfigurierten oder höheren Wert hat.
Beachten Sie beim Konfigurieren eines Registrierungsausdrucks die folgenden Richtlinien:
-
Vier umgekehrte Schrägstriche werden verwendet, um Schlüssel und Unterschlüssel zu trennen, wie z
HKEY_LOCAL_MACHINE\\\\SOFTWARE
-
Unterstriche werden verwendet, um den Unterschlüssel und den zugehörigen Wertnamen zu trennen, z. B.
HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\VirusSoftware_Version
-
Ein umgekehrter Schrägstrich (\) wird verwendet, um ein Leerzeichen zu bezeichnen, wie in den folgenden zwei Beispielen:
HKEY_LOCAL_MACHINE\\\\SOFTWARE\\Citrix\\\\Secure\ Access\ Client_ProductVersion
CLIENT.REG(HKEY_LOCAL_MACHINE\\\\Software\\\\Symantec\\Norton\ AntiVirus_Version).VALUE == 12.8.0.4 -frequency 5
Im Folgenden finden Sie einen Registrierungsausdruck, der bei der Benutzeranmeldung nach dem Registrierungsschlüssel von Citrix Secure Access Agent sucht:
CLIENT.REG(secureaccess
).VALUE==HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\CITRIX\\\\Secure\Access\Client_ProductVersion
Hinweis:
Wenn Sie nach Registrierungsschlüsseln und -werten suchen und im Dialogfeld Ausdruck Advanced Free-Form auswählen, muss der Ausdruck mit CLIENT.REG beginnen.
Registrierungsprüfungen werden unter den folgenden gängigsten fünf Typen unterstützt:
- HKEY_CLASSES_ROOT
- HKEY_CURRENT_USER
- HKEY_LOCAL_MACHINE
- HKEY_USERS
- HKEY_CURRENT_CONFIG
Zu überprüfende Registrierungswerte verwenden die folgenden Typen:
-
Zeichenfolge
Für den Zeichenfolgenwerttyp wird die Berücksichtigung von Groß- und Kleinschreibung geprüft.
-
DWORD
Für den DWORD-Typ wird der Wert verglichen und muss gleich sein.
-
Erweiterter String
Andere Typen, wie Binary und Multi-String, werden nicht unterstützt.
-
Nur der Vergleichsoperator ‘==’ wird unterstützt.
-
Andere Vergleichsoperatoren wie <, > und Vergleiche mit Berücksichtigung der Groß-/Kleinschreibung werden nicht unterstützt.
-
Die gesamte Länge der Registrierungszeichenfolge muss weniger als 256 Byte betragen.
Sie können dem Ausdruck einen Wert hinzufügen. Der Wert kann eine Softwareversion, eine Service Pack-Version oder ein anderer Wert sein, der in der Registrierung angezeigt wird. Wenn der Datenwert in der Registrierung nicht mit dem Wert übereinstimmt, mit dem Sie testen, wird Benutzern die Anmeldung verweigert.
Hinweis:
Sie können innerhalb eines Unterschlüssels nicht nach einem Wert suchen. Der Scan muss mit dem benannten Wert und dem zugehörigen Datenwert übereinstimmen.
So konfigurieren Sie eine Registrierungsrichtlinie
- Führen Sie im Konfigurationsdienstprogramm im Navigationsbereich einen der folgenden Schritte aus:
- Erweitern Sie im Konfigurationsprogramm auf der Registerkarte Konfiguration im Navigationsbereich Citrix Gateway\ > Richtlinien und klicken Sie dann auf Sitzung.
- Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich Citrix Gateway > Richtlinien > Authentifizierung/Autorisierung, und klicken Sie dann auf Pre-Authentication EPA.
- Klicken Sie im Detailbereich auf der Registerkarte Richtlinien auf Hinzufügen.
- Geben Sie im Feld Name einen Namen für die Richtlinie ein.
- Klicken Sie neben Any Expression auf Hinzufügen.
- Wählen Sie im Dialogfeld Ausdruck hinzufügen unter Ausdruckstyp die Option Client-Sicherheitaus.
- Konfigurieren Sie die Einstellungen für Folgendes:
- Wählen Sie unter Component Registry aus.
- Geben Sie unter Name den Namen des Registrierungsschlüssels ein.
- Lassen Sie in Qualifier das Feld leer oder wählen Sie Wert.
- Führen Sie unter Operator einen der folgenden Schritte aus:
- Wenn Qualifier leer gelassen wird, wählen Sie EXISTS oder NOTEXISTS
- Wenn Sie Wert in Qualifier gewählt haben, wählen Sie entweder == oder! ==
- Geben Sie unter Wert den Wert so ein, wie er im Registrierungseditor angezeigt wird, klicken Sie auf OK und dann auf Schließen.
Ausdrücke für die Geräteüberprüfung für zusammengesetzte Clients konfigurieren
Sie können Client-Geräte-Prüfzeichenfolgen kombinieren, um zusammengesetzte Client-Geräteprüfausdrücke zu bilden.
Die booleschen Operatoren, die in Citrix Gateway unterstützt werden, sind:
- Und (&&)
-
Oder ( - Nicht (!)
Für eine höhere Präzision können Sie die Zeichenfolgen in Klammern gruppieren.
Hinweis:
Wenn Sie die Befehlszeile zum Konfigurieren von Ausdrücken verwenden, verwenden Sie Klammern, um Geräteprüfausdrücke zu gruppieren, wenn Sie einen zusammengesetzten Ausdruck erstellen. Die Verwendung von Klammern verbessert das Verständnis und das Debuggen des Clientausdrucks.
Konfigurieren Sie Richtlinien mit dem Operator UND (&&)
Der AND (&&)-Operator kombiniert zwei Prüfzeichenfolgen für das Client-Gerät, sodass die kombinierte Prüfung nur dann erfolgreich ist, wenn beide Prüfungen wahr sind. Der Ausdruck wird von links nach rechts ausgewertet und wenn die erste Prüfung fehlschlägt, wird die zweite Prüfung nicht durchgeführt.
Sie können den Operator AND (&&) mit dem Schlüsselwort ‘UND’ oder den Symbolen ‘&&’ konfigurieren.
Beispiel:
Im Folgenden finden Sie eine Überprüfung des Client-Geräts, bei der festgestellt wird, ob auf dem Benutzergerät Version 7.0 von Sophos Antivirus installiert ist und ausgeführt wird. Außerdem wird überprüft, ob der Net Logon-Dienst auf demselben Computer ausgeführt wird.
CLIENT.APPLICATION.AV(sophos).version==7.0 AND CLIENT.SVC(netlogon) EXISTS
Diese Zeichenfolge kann auch wie folgt konfiguriert werden:
CLIENT.APPLICATION.AV(sophos).version==7.0 && CLIENT.SVC(netlogon) EXISTS
Konfigurieren Sie Richtlinien mit dem Operator ODER (||)
Der OR-Operator (||)
kombiniert zwei Geräteprüfzeichenfolgen. Die zusammengesetzte Prüfung ist erfolgreich, wenn eine der beiden Prüfungen wahr ist. Der Ausdruck wird von links nach rechts ausgewertet und wenn die erste Prüfung erfolgreich ist, wird die zweite Prüfung nicht durchgeführt. Wenn die erste Prüfung nicht bestanden wird, wird die zweite Prüfung durchgeführt.
Sie können den OR-Operator (||)
mit dem Schlüsselwort OR
oder dem Symbol ||
konfigurieren.
Beispiel:
Das Folgende ist eine Clientgeräteprüfung, mit der festgestellt wird, ob auf dem Benutzergerät die Datei c:\\file.txt
ist oder ob der Prozess putty.exe
darauf ausgeführt wird.
client.file(c:\\\\\\\\file.txt) EXISTS) OR (client.proc(putty.exe) EXISTS
Diese Zeichenfolge kann auch als konfiguriert werden
client.file(c:\\\\\\\\file.txt) EXISTS) || (client.proc(putty.exe) EXISTS
Konfigurieren Sie Richtlinien mit dem NOT (!) Operator
Der NOT (!) oder Negationsoperator negiert die Prüfzeichenfolge des Client-Geräts.
Beispiel:
Die folgende Client-Geräteüberprüfung ist erfolgreich, wenn die Datei c:\sophos_virus_defs.dat NICHT älter als zwei Tage ist:
\!(client.file(c:\\\\\\\\sophos\_virus\_defs.dat).timestamp==2dy)
In diesem Artikel
- Konfigurieren von Antiviren-, Firewall-, Internetsicherheit- oder Antispam-Ausdrücken
- Konfigurieren von Dienstrichtlinien
- Konfigurieren von Prozessrichtlinien
- Konfigurieren von Betriebssystemrichtlinien
- Konfiguration von Registrierungsrichtlinien
- Ausdrücke für die Geräteüberprüfung für zusammengesetzte Clients konfigurieren
- Konfigurieren Sie Richtlinien mit dem NOT (!) Operator