Advanced Endpoint Analysis scans

Advanced Endpoint Analysis (EPA) wird zum Scannen von Benutzergeräten nach den auf NetScaler Gateway konfigurierten Endpunktsicherheitsanforderungen verwendet. Wenn ein Benutzergerät versucht, auf NetScaler Gateway zuzugreifen, wird das Gerät nach Sicherheitsinformationen wie Betriebssystem, Virenschutz, Webbrowser-Versionen usw. durchsucht, bevor ein Administrator Zugriff auf NetScaler Gateway gewähren kann.

Der Advanced EPA-Scan ist ein richtlinienbasierter Scan, den Sie auf NetScaler Gateway für Authentifizierungssitzungen konfigurieren können. Die Richtlinie führt eine Registrierungsprüfung auf einem Benutzergerät durch und basierend auf der Auswertung ermöglicht oder verweigert die Richtlinie den Zugriff auf das NetScaler-Netzwerk. Weitere Informationen zu den Citrix EPA-Clientsystemanforderungen finden Sie unter Endpoint Analysis-Anforderungen.

Sie können den erweiterten EPA-Scan mithilfe der GUI oder der CLI konfigurieren.

Auf der GUI

1. Erstellen Sie eine EPA-Aktion.

   Navigieren Sie zu Sicherheit > AAA - Application Traffic > Policies > Authentication > Advanced Policies > Actions > EPA und klicken Sie auf Hinzufügen. Aktualisieren Sie auf der Seite EPA-Aktion für Authentifizierung erstellen die folgenden Informationen und klicken Sie auf Erstellen.

   • Name: Name der EPA-Aktion.
   • Standardgruppe: Die Standardgruppe, die ausgewählt wird, wenn die EPA-Prüfung erfolgreich ist.
   • Quarantänegruppe: Die Quarantänegruppe, die ausgewählt wird, wenn die EPA-Prüfung fehlschlägt.
   • Prozess beenden: Zeichenfolge, die den Namen eines Prozesses angibt, der vom EPA-Plug-In beendet werden soll. Mehrere Prozesse müssen durch Kommas getrennt werden.
   • Dateien löschen: Zeichenfolge, die die Pfade und Namen der Dateien angibt, die vom EPA-Plug-in gelöscht werden sollen. Mehrere Dateien müssen durch Kommas getrennt werden.
   • Ausdruck: Informationen zum EPA-Ausdrucksformat finden Sie in der Richtlinienreferenz für Advanced Endpoint Analysis.

   

   • EPA-Editor: Wählen Sie die Operatoren für den Produktversionsscan aus.

   

   Hinweis:

   Der Citrix EPA-Client für macOS 24.2.1.5/Der Citrix Secure Access-Client für macOS 24.02.1 und spätere Versionen unterstützt die EPA-Operatoren >, <, >=, <=, == und != im EPA-Editor. Außerdem ist die Mac OS-Option jetzt als separate Option im EPA-Editor verfügbar (Mac > Mac OS). Bisher musste der Scan der macOS-Produktversion unter Allgemein > Betriebssystem > macOS durchgeführt werden, wobei nur die Operatoren == und != verwendet wurden. Stellen Sie sicher, dass Sie NetScaler Gateway 14.1-12.x oder höher verwenden, um diese Funktion nutzen zu können.

   Mit diesen Operatoren können Sie einen Produktversionsscan Ihrer macOS-Geräte unter Mac > Mac OS durchführen. Um beispielsweise die Betriebssystemversionen von 12.4 bis 13.0 außer 12.8 zuzulassen, konfigurieren Sie den Ausdruck sys.client_expr("sys_0_MAC-OS_version_>=_12.4")&&sys.client_expr("sys_0_MAC-OS_version_<=_13.0")&&sys.client_expr("sys_0_MAC-OS_version_!=_12.8") im EPA-Editor.

2. Erstellen Sie eine entsprechende EPA-Richtlinie.

   Navigieren Sie zu Sicherheit > AAA - Application Traffic > Policies > Authentication > Advanced Policies > Policies und klicken Sie auf Hinzufügen. Aktualisieren Sie auf der Seite Authentifizierungsrichtlinie erstellen die folgenden Informationen und klicken Sie auf Erstellen.

   • Name: Name der erweiterten EPA-Richtlinie.
   • Aktionstyp: Typ der Authentifizierungsaktion.
   • Aktion: Name der Authentifizierungsaktion, die ausgeführt werden soll, wenn die Richtlinie übereinstimmt.
   • Ausdruck: Informationen zum EPA-Ausdrucksformat finden Sie in der Richtlinienreferenz für Advanced Endpoint Analysis.
   • Protokollaktion: Name der Nachrichtenprotokollaktion, die verwendet werden soll, wenn eine Anfrage dieser Richtlinie entspricht. Die maximal zulässige Länge beträgt 127 Zeichen.

   

3. Konfigurieren Sie einen virtuellen Authentifizierungsserver und ein Authentifizierungsprofil.

   • Navigieren Sie zu Sicherheit > AAA - Anwendungsverkehr > Virtuelle Authentifizierungsserver und klicken Sie auf Hinzufügen.

   

   • Navigieren Sie zu Sicherheit > AAA - Anwendungsverkehr > Authentifizierungsprofil und klicken Sie auf Erstellen.

   

4. Binden Sie die erweiterte EPA-Richtlinie an den virtuellen Authentifizierungsserver.

   • Navigieren Sie zu Sicherheit > AAA — Anwendungsverkehr > Virtuelle Authentifizierungsserver und wählen Sie den virtuellen Authentifizierungsserver aus.
   • Wählen Sie die Richtlinie im Abschnitt Erweiterte Authentifizierungsrichtlinien aus.
   • Klicken Sie im Abschnitt Richtlinienbindung auf Binden.

   

5. Binden Sie die EPA-Richtlinie an nFactor Flow.

   Einzelheiten zum Hinzufügen einer erweiterten EPA-Richtlinie als Faktor zum nFactor-Flow finden Sie unter EPA-Scan als Faktor bei der nFactor-Authentifizierung.

Über die Befehlszeilenschnittstelle

1. Erstellen Sie eine Aktion, um den EPA-Scan durchzuführen.

   add authentication epaAction EPA-client-scan -csecexpr "sys.client_expr ("proc_2_firefox")"
   <!--NeedCopy-->
   

   Der vorhergehende Ausdruck scannt, ob der Prozess ‘Firefox’ ausgeführt wird. Das EPA-Plug-in prüft alle 2 Minuten die Existenz des Prozesses, was durch die Ziffer ‘2’ im Scan-Ausdruck gekennzeichnet ist.

2. Ordnen Sie die EPA-Aktion einer erweiterten EPA-Richtlinie zu.

   add authentication Policy EPA-check -rule true -action EPA-client-scan
   <!--NeedCopy-->
   

3. Konfigurieren Sie einen virtuellen Authentifizierungsserver und ein Authentifizierungsprofil.

   add authentication vserver authnvsepa ssl -ip address 10.104.130.129 -port 443
   <!--NeedCopy-->
   

   add Authnprofile_EPA -authnVsName authnvsepa
   <!--NeedCopy-->
   

4. Binden Sie die erweiterte EPA-Richtlinie an den virtuellen Authentifizierungsserver.

   bind authentication vs authnvsepa -policy EPA-check -pr 1
   <!--NeedCopy-->
   

Upgrade EPA-Bibliotheken

So verwenden Sie die NetScaler GUI zum Aktualisieren von EPA-Bibliotheken:

1. Navigieren Sie zuKonfiguration > NetScaler Gateway > Clientkomponenten aktualisieren.

2. Klicken Sie unter Clientkomponenten aktualisieren auf den LinkEPA-Bibliotheken aktualisieren.

3. Wählen Sie die erforderliche Datei aus und klicken Sie auf Upgrade.

Wichtig:

• Bei einer NetScaler Gateway-Hochverfügbarkeit müssen die EPA-Bibliotheken sowohl auf dem primären als auch auf dem sekundären Knoten aktualisiert werden.

• In einem NetScaler Gateway-Clustering-Setup müssen die EPA-Bibliotheken auf allen Clusterknoten aktualisiert werden.

Eine Liste der von Windows und MAC unterstützten Anwendungen von OPSWAT für NetScaler-Scans finden Sie unter https://support.citrix.com/article/CTX234466.

Fehlerbehebung bei erweiterten Endpoint Analysis-Scans

Um bei der Fehlerbehebung bei Advanced Endpoint Analysis-Scans zu helfen, schreiben die Client-Plug-Ins Protokollinformationen in eine Datei auf Client-Endpunktsystemen. Diese Protokolldateien befinden sich je nach Betriebssystem des Benutzers in den folgenden Verzeichnissen.

Windows Vista, Windows 7, Windows 8, Windows 8.1 und Windows 10:

C:\Users\<username>\AppData\Local\Citrix\AGEE\nsepa.txt

Windows XP:

C:\Documents and Settings\All Users\Application Data\Citrix\AGEE\nsepa.txt

Mac OS X-Systeme:

~/Library/Application Support/Citrix/EPAPlugin/epaplugin.log

(Wobei das ~-Symbol den Home-Verzeichnispfad des entsprechenden macOS-Benutzers angibt.) (Wobei das ~-Symbol den Home-Verzeichnispfad des entsprechenden macOS-Benutzers angibt.)

Ubuntu:

• ~/.citrix/nsepa.txt

• ~/.citrix/nsgcepa.txt