Endpunktrichtlinien
Endpoint Analysis (EPA) ist ein Prozess, der das Gerät eines Benutzers scannt und Informationen wie das Vorhandensein und die Versionsstufe von Betriebssystemupdates, Antivirus-, Firewall- und Webbrowsersoftware erkennt. Mit Endpoint Analysis können Sie feststellen, ob das Gerät eines Benutzers Ihre Anforderungen erfüllt, bevor es eine Verbindung zu Ihrem Netzwerk herstellt. Es kann auch so konfiguriert werden, dass es regelmäßig nach Änderungen sucht, während der Benutzer verbunden bleibt. Sie können Dateien, Prozesse und Registrierungseinträge auf dem Benutzergerät während der Benutzersitzung überprüfen, um sicherzustellen, dass das Gerät weiterhin die Anforderungen erfüllt.
Wichtig:
- Endpoint Analysis dient zur Analyse des Benutzergeräts anhand vorab festgelegter Konformitätskriterien. Die Sicherheit von Endbenutzergeräten wird nicht validiert oder erzwungen. Es wird empfohlen, Endpunktsicherheitssysteme zu verwenden, um Geräte vor lokalen Administratorangriffen zu schützen.
- Der EPA-Client ist als eigenständiger Client verfügbar und wird auch zusammen mit dem Citrix Secure Access Client gebündelt. Der Citrix EPA-Client und der Citrix Secure Access-Client sind voneinander unabhängig.
So funktionieren Endpunkt-Richtlinien
Sie können NetScaler Gateway so konfigurieren, dass überprüft wird, ob ein Benutzergerät bestimmte Anforderungen erfüllt, bevor sich ein Benutzer anmeldet. Dies wird als Vorauthentifizierungsrichtlinie bezeichnet. Sie können NetScaler Gateway so konfigurieren, dass ein Benutzergerät auf Antivirenprogramme, Firewall, Antispam, Prozesse, Dateien, Registrierungseinträge, Internetsicherheit oder Betriebssysteme überprüft wird, die Sie in der Richtlinie angeben. Wenn das Benutzergerät den Scan vor der Authentifizierung fehlschlägt, dürfen sich Benutzer nicht anmelden.
Um andere Anforderungen zu überprüfen, die in einer Vorauthentifizierungsrichtlinie nicht verwendet werden, können Sie eine Sitzungsrichtlinie konfigurieren und sie an einen Benutzer oder eine Gruppe binden. Diese Art von Richtlinie wird als Nachauthentifizierungsrichtlinie bezeichnet, die während der Benutzersitzung ausgeführt wird, um sicherzustellen, dass die erforderlichen Kriterien, wie Antivirensoftware oder ein Prozess, konform bleiben.
Wenn Sie eine Richtlinie vor oder nach der Authentifizierung konfigurieren, lädt NetScaler Gateway das Endpoint Analysis Plug-In herunter und führt den Scan dann auf dem Benutzergerät aus. Jedes Mal, wenn sich ein Benutzer anmeldet, wird das Endpoint Analysis-Plug-In automatisch ausgeführt.
Sie können die folgenden drei Richtlinientypen verwenden, um Endpunktrichtlinien zu konfigurieren:
- Vorauthentifizierungsrichtlinie, die einen Ja- oder Nein-Parameter verwendet. Der Scan bestimmt, ob das Benutzergerät die angegebenen Anforderungen erfüllt. Wenn der Scan fehlschlägt, kann der Benutzer keine Anmeldeinformationen auf der Anmeldeseite eingeben.
- Sitzungsrichtlinie, die bedingt ist und für SmartAccess verwendet werden kann.
- Ausdruck für die Überprüfung des Clientgeräts innerhalb einer Sitzungsrichtlinie. Wenn das Benutzergerät die Anforderungen des Client-Geräteprüfungsausdrucks nicht erfüllt, können Sie Benutzer so konfigurieren, dass sie in eine Quarantänegruppe aufgenommen werden. Wenn das Benutzergerät den Scan durchläuft, können Benutzer in eine andere Gruppe eingeordnet werden, für die möglicherweise andere Überprüfungen erforderlich sind.
Sie können die erkannten Informationen in Richtlinien integrieren, sodass Sie je nach Benutzergerät unterschiedliche Zugriffsebenen gewähren können. Beispielsweise können Sie Benutzern, die eine Remote-Verbindung von Benutzergeräten herstellen, die aktuelle Anforderungen an Antiviren- und Firewall-Software haben, vollen Zugriff mit Downloadberechtigung gewähren. Für Benutzer, die eine Verbindung von nicht konformen Geräten herstellen, können Sie eine eingeschränktere Zugriffsebene bereitstellen, mit der Benutzer Dokumente auf Remoteservern bearbeiten können, ohne sie herunterladen zu müssen. Alle Geräte, auf denen EPA läuft, gelten als nicht konforme Geräte.
Endpoint Analysis führt die folgenden grundlegenden Schritte aus:
- Untersucht einen ersten Satz von Informationen über das Benutzergerät, um festzustellen, welche Scans angewendet werden sollen.
-
Führt alle anwendbaren Scans aus. Wenn Benutzer versuchen, eine Verbindung herzustellen, überprüft das Endpoint Analysis Plug-In das Benutzergerät auf die Anforderungen, die in der Vorauthentifizierungs- oder Sitzungsrichtlinie festgelegt sind Wenn das Benutzergerät den Scan besteht, können sich Benutzer anmelden. Wenn das Benutzergerät den Scan nicht besteht, dürfen sich Benutzer nicht anmelden.
Hinweis: Endpoint Analysis-Scans werden abgeschlossen, bevor die Benutzersitzung eine Lizenz verwendet.
- Vergleicht die auf dem Benutzergerät erkannten Eigenschaftswerte mit den gewünschten Eigenschaftswerten, die in Ihren konfigurierten Scans aufgeführt sind.
- Erzeugt eine Ausgabe, die überprüft, ob die gewünschten Eigenschaftswerte gefunden wurden.
Achtung:
Die Anweisungen zum Erstellen von Endpoint Analysis-Richtlinien sind allgemeine Richtlinien. Sie können viele Einstellungen innerhalb einer Sitzungsrichtlinie vornehmen. Spezifische Anweisungen zum Konfigurieren von Sitzungsrichtlinien können Anweisungen zum Konfigurieren einer bestimmten Einstellung enthalten. Diese Einstellung kann jedoch eine von vielen Einstellungen sein, die in einem Sitzungsprofil und einer Richtlinie enthalten sind.
Beispiele für EPA-Ausdrücke
Im Folgenden finden Sie Ausdrucksbeispiele für einige EPA-Komponenten wie den Prozess beenden, Dateien löschen und das Gerätezertifikat:
- Windows:
- Prozess beenden:
sys.client_expr(\“proc_0_perl\“) -killProcess processToKill.exe
- Gerätezertifikat:
sys.client_expr(“device-cert_0_0”)
- Dateien löschen:
sys.client_expr(\“proc_0_perl\“) -deletefiles “C:/removefile.txt”
- Prozess beenden:
- MAC
- Prozess beenden:
sys.client_expr(\“proc_0_perl\“) -killProcess processToKill.exe
- Gerätezertifikat:
sys.client_expr(“device-cert_0_0”)
- Dateien löschen:
sys.client_expr(\“proc_0_perl\“) -deletefiles “C:/removefile.txt”
- Prozess beenden:
Bewerten von Benutzeranmeldeoptionen
Wenn sich Benutzer anmelden, können sie den Endpoint Analysis-Scan überspringen. Wenn Benutzer den Scan überspringen, verarbeitet NetScaler Gateway diese Aktion als fehlgeschlagene Endpoint Analysis. Wenn Benutzer den Scan nicht bestehen, können sie nur auf das Webinterface oder über clientlosen Zugriff zugreifen.
Sie möchten beispielsweise Benutzern Zugriff gewähren, indem Sie den Citrix Secure Access-Client verwenden. Um sich mit dem Plug-In bei NetScaler Gateway anzumelden, müssen Benutzer eine Antivirenanwendung wie Norton Antivirus ausführen. Wenn das Benutzergerät die Anwendung nicht ausführt, können sich Benutzer nur mit Receiver anmelden und veröffentlichte Anwendungen verwenden. Sie können auch den clientlosen Zugriff konfigurieren, der den Zugriff auf bestimmte Anwendungen wie Outlook Web Access einschränkt.
Um NetScaler Gateway für dieses Anmeldeszenario zu konfigurieren, weisen Sie eine restriktive Sitzungsrichtlinie als Standardrichtlinie zu. Anschließend konfigurieren Sie die Einstellungen so, dass Benutzer auf eine privilegierte Sitzungsrichtlinie aktualisiert werden, wenn das Benutzergerät den Endpoint Analysis-Scan durchläuft. Zu diesem Zeitpunkt haben Benutzer Zugriff auf die Netzwerkebene und können sich mit dem Citrix Secure Access-Client anmelden.
Führen Sie die folgenden Schritte aus, um NetScaler Gateway so zu konfigurieren, dass zuerst die Richtlinie für restriktive Sitzungen durchzusetzen ist:
- Konfigurieren Sie die globalen Einstellungen mit aktiviertem ICA-Proxy und allen anderen erforderlichen Einstellungen, wenn die angegebene Anwendung nicht auf dem Benutzergerät ausgeführt wird.
- Erstellen Sie eine Sitzungsrichtlinie und ein Profil, die den Citrix Secure Access-Client aktivieren.
-
Erstellen Sie einen Ausdruck innerhalb des Regelabschnitts der Sitzungsrichtlinie, um die Anwendung anzugeben, z. B.
(client.application.process(symantec.exe) exists)
Wenn sich Benutzer anmelden, wird zuerst die Sitzungsrichtlinie angewendet. Wenn Endpoint Analysis fehlschlägt oder der Benutzer den Scan überspringt, ignoriert NetScaler Gateway die Einstellungen in der Sitzungsrichtlinie (der Ausdruck in der Sitzungsrichtlinie wird als falsch angesehen). Infolgedessen haben Benutzer über das Webinterface oder den clientlosen Zugriff eingeschränkt. Wenn Endpoint Analysis erfolgreich ist, wendet NetScaler Gateway die Sitzungsrichtlinie an und Benutzer haben vollen Zugriff mit dem Citrix Secure Access-Client.
Überspringen Sie den EPA-Scan
Sie können den EPA-Scan nur zur Nachauthentifizierung und zur Vorabauthentifizierung überspringen. Skip EPA ist in Browsern aller unterstützten Betriebssysteme verfügbar. Benutzer müssen auf die Schaltfläche EPA überspringen klicken, die beim Zugriff auf das Gateway angezeigt wird. Wenn Benutzer den Scan überspringen, verarbeitet NetScaler Gateway diese Aktion als fehlgeschlagene Endpoint Analysis. Wenn Benutzer den Scan nicht bestehen, können sie nur auf das Webinterface oder über clientlosen Zugriff zugreifen.
Siehe auch https://support.citrix.com/article/CTX200748.
Endpunktanalyse-Scans, die für Ubuntu unterstützt werden
Die folgenden Endpoint Analysis (EPA) -Scans werden für das EPA-Plug-In unterstützt, das für das Ubuntu-Betriebssystem installiert ist. Ein Beispielausdruck zur Konfiguration der einzelnen Scans wird zusammen mit den EPA-Scans aufgeführt. Sie können diese Ausdrücke in den Authentifizierungsrichtlinien konfigurieren.
-
Datei
- Existenz: sys.client_expr(“file_0_/home/user/test.txt”)
- MD5-Prüfsumme: sys.client_expr(“file_0/home/user/test.txt_md5 ce780e271debcc29f551546e8db3368f”)
- Text in einer Datei (Unterstützung für reguläre Ausdrücke): sys.client_expr(“file_0_/home/user/test.txt_search_cloud”)
-
Prozess
- Existenz: sys.client_expr(“proc_0_perl”)
- MD5-Prüfsumme: sys.client_expr(“proc_0perl_md5 c060d3a5f97e27066cef8c116785567a”)
- Pfad: sys.client_expr(“proc_0perl_path/usr/bin/perl”)
- Dateisystemgerät oder Mountpoint-Name: sys.client_expr(“mountpoint_0_/sys”)
Wenn Sie erweiterte Richtlinien verwenden, können die Ausdrücke für jeden Scan über die GUI generiert werden (Sicherheit > AAA > Richtlinien > Authentifizierung > Erweiterte Richtlinien > EPA).
Hinweis: Auf der Seite Ausdruckseditor können Sie für den Linux-Client Allgemein auswählen und dann Prozess, Datei oder Mount Pointauswählen.