Directivas de dispositivos de punto final
Endpoint Analysis (EPA) es un proceso que escanea el dispositivo de un usuario y detecta información, como la presencia y el nivel de versión de las actualizaciones del sistema operativo, el antivirus, el firewall y el software del explorador web. Endpoint Analysis le permite determinar si el dispositivo de un usuario cumple con sus requisitos antes de conectarse a la red. También se puede configurar para comprobar periódicamente si hay cambios mientras el usuario permanece conectado. Puede comprobar los archivos, los procesos y las entradas de registro en el dispositivo del usuario durante la sesión del usuario para asegurarse de que el dispositivo sigue cumpliendo con los requisitos.
Importante:
- El objetivo de Endpoint Analysis es analizar el dispositivo del usuario en función de criterios de cumplimiento predeterminados y no aplica ni valida la seguridad de los dispositivos de los usuarios finales. Se recomienda utilizar sistemas de seguridad de dispositivos de punto final para proteger los dispositivos de los ataques de los administradores locales.
- El cliente EPA está disponible como cliente independiente y también se incluye junto con el cliente Citrix Secure Access. El cliente de Citrix EPA y el cliente de Citrix Secure Access son independientes.
Cómo funcionan las directivas de endpoint
Puede configurar NetScaler Gateway para comprobar si un dispositivo de usuario cumple ciertos requisitos antes de que el usuario inicie sesión. Esto se denomina directiva de preautenticación. Puede configurar NetScaler Gateway para que compruebe si un dispositivo de usuario tiene antivirus, firewall, antispam, procesos, archivos, entradas de registro, seguridad de Internet o sistemas operativos que especifique en la directiva. Si el dispositivo de usuario no supera el análisis previo a la autenticación, los usuarios no pueden iniciar sesión.
Para comprobar otros requisitos que no se utilizan en una directiva de preautenticación, puede configurar una directiva de sesión y vincularla a un usuario o grupo. Este tipo de directiva se denomina directiva de posautenticación y se ejecuta durante la sesión del usuario para garantizar que los criterios requeridos, como el software antivirus o un proceso, sigan siendo compatibles.
Al configurar una directiva de preautenticación o posautenticación, NetScaler Gateway descarga el plug-in de Endpoint Analysis y, a continuación, realiza el escaneo en el dispositivo de los usuarios. Cada vez que un usuario inicia sesión, el complemento Endpoint Analysis se ejecuta automáticamente.
Puede usar los tres tipos de directivas siguientes para configurar las directivas de dispositivos de punto final:
- Directiva de preautenticación que utiliza un parámetro Sí o No. El análisis determina si el dispositivo del usuario cumple los requisitos especificados. Si se produce un error en el análisis, el usuario no puede introducir las credenciales en la página de inicio de sesión.
- Directiva de sesión condicional y que se puede utilizar para SmartAccess.
- Expresión de verificación del dispositivo cliente dentro de una directiva de sesión. Si el dispositivo de usuario no cumple con los requisitos de la expresión de verificación del dispositivo cliente, puede configurar los usuarios para que se coloquen en un grupo de cuarentena. Si el dispositivo del usuario supera el análisis, los usuarios se pueden colocar en un grupo diferente que podría requerir otras comprobaciones.
Puede incorporar la información detectada en las directivas, lo que le permite conceder diferentes niveles de acceso según el dispositivo del usuario. Por ejemplo, puede proporcionar acceso completo con permiso de descarga a los usuarios que se conectan de forma remota desde dispositivos de usuario que tienen requisitos actuales de software antivirus y firewall. Para los usuarios que se conecten desde dispositivos no compatibles, puede proporcionar un nivel de acceso más restringido que permita a los usuarios modificar documentos en servidores remotos sin descargarlos. Todos los dispositivos que ejecutan EPA se consideran dispositivos no conformes.
Endpoint Analysis realiza los siguientes pasos básicos:
- Examina un conjunto inicial de información sobre el dispositivo del usuario para determinar qué análisis se deben aplicar.
- Ejecuta todos los escaneos aplicables. Cuando los usuarios intentan conectarse, el plug-in de Endpoint Analysis comprueba en el dispositivo del usuario los requisitos especificados en la directiva de sesión o de preautenticación. Si el dispositivo del usuario supera el análisis, los usuarios pueden iniciar sesión. Si el dispositivo del usuario no supera el análisis, los usuarios no pueden iniciar sesión. Nota: Los escaneos de Endpoint Analysis finalizan antes de que la sesión del usuario utilice una licencia.
- Compara los valores de propiedad detectados en el dispositivo del usuario con los valores de propiedad deseados que figuran en los escaneos configurados.
- Produce un resultado que verifica si se han encontrado los valores de propiedad deseados.
Atención:
Las instrucciones para crear directivas de Endpoint Analysis son directrices generales. Puede tener muchas opciones de configuración dentro de una directiva de sesión. Las instrucciones específicas para configurar directivas de sesión pueden contener instrucciones para configurar una configuración específica. Sin embargo, esta configuración puede ser una de las muchas que se incluyen en un perfil y una directiva de sesión.
Ejemplos de expresiones de EPA
A continuación se muestran los ejemplos de expresión de algunos componentes de EPA, como el proceso de eliminación, la eliminación de archivos y el certificado de dispositivo:
- Windows:
- Proceso de eliminación:
sys.client_expr(\“proc_0_perl\“) -killProcess processToKill.exe
- Certificado de dispositivo:
sys.client_expr(“device-cert_0_0”)
- Eliminar archivos:
sys.client_expr(\“proc_0_perl\“) -deletefiles “C:/removefile.txt”
- Proceso de eliminación:
- MAC
- Proceso de eliminación:
sys.client_expr(\“proc_0_perl\“) -killProcess processToKill.exe
- Certificado de dispositivo:
sys.client_expr(“device-cert_0_0”)
- Eliminar archivos:
sys.client_expr(\“proc_0_perl\“) -deletefiles “C:/removefile.txt”
- Proceso de eliminación:
Evaluar opciones de inicio de sesión de usuario
Cuando los usuarios inician sesión, pueden optar por omitir el análisis de Endpoint Analysis. Si los usuarios omiten el análisis, NetScaler Gateway procesa esta acción como un análisis de punto final erróneo. Cuando los usuarios no realizan el escaneo, solo tienen acceso a la interfaz web o mediante el acceso sin cliente.
Por ejemplo, desea proporcionar acceso a los usuarios mediante el agente de Citrix Secure Access. Para iniciar sesión en NetScaler Gateway con el complemento, los usuarios deben estar ejecutando una aplicación antivirus, como Norton Antivirus. Si el dispositivo de usuario no ejecuta la aplicación, los usuarios solo pueden iniciar sesión con Receiver y utilizar aplicaciones publicadas. También puede configurar el acceso sin cliente, que restringe el acceso a aplicaciones específicas, como Outlook Web Access.
Para configurar NetScaler Gateway para lograr este caso de inicio de sesión, asigne una directiva de sesión restrictiva como directiva predeterminada. A continuación, configure la configuración para actualizar a los usuarios a una directiva de sesión privilegiada cuando el dispositivo de usuario supera el análisis de Endpoint Analysis. En ese momento, los usuarios tienen acceso a la capa de red y pueden iniciar sesión con el agente de Citrix Secure Access.
Para configurar NetScaler Gateway para que aplique primero la directiva de sesión restrictiva, lleve a cabo los siguientes pasos:
- Configure la configuración global con el proxy ICA habilitado y todos los demás ajustes necesarios si la aplicación especificada no se está ejecutando en el dispositivo del usuario.
- Cree una directiva y un perfil de sesión que habiliten el agente de Citrix Secure Access.
-
Cree una expresión dentro de la parte de reglas de la directiva de sesión para especificar la aplicación, como
(client.application.process(symantec.exe) exists)
Cuando los usuarios inician sesión, la directiva de sesión se aplica primero. Si Endpoint Analysis falla o el usuario omite el análisis, NetScaler Gateway ignora la configuración de la directiva de sesión (la expresión de la directiva de sesión se considera falsa). Como resultado, los usuarios tienen acceso restringido mediante la Interfaz Web o el acceso sin cliente. Si se aprueba Endpoint Analysis, NetScaler Gateway aplica la directiva de sesión y los usuarios tienen acceso completo al agente de Citrix Secure Access.
Omitir el escaneo de EPA
Puede omitir el análisis de EPA solo para la posautenticación y la autenticación avanzada. Skip EPA está disponible en los exploradores de todos los sistemas operativos compatibles. Los usuarios deben hacer clic en el botón Omitir EPA que aparece al acceder a la puerta de enlace. Si los usuarios omiten el análisis, NetScaler Gateway procesa esta acción como un análisis de punto final erróneo. Cuando los usuarios no realizan el escaneo, solo tienen acceso a la interfaz web o mediante el acceso sin cliente.
Consulte también https://support.citrix.com/article/CTX200748.
Análisis de endpoint Analysis compatibles con Ubuntu
Los siguientes análisis de Endpoint Analysis (EPA) son compatibles con el complemento EPA instalado para el sistema operativo Ubuntu. Se muestra una expresión de ejemplo para configurar cada uno de los escaneos junto con los escaneos de la EPA. Puede configurar estas expresiones en las directivas de autenticación.
-
Archivo
- Existencia: sys.client_expr(“file_0_/home/user/test.txt”)
- Suma de comprobación MD5: sys.client_expr(“file_0/home/user/test.txt_md5 ce780e271debcc29f551546e8db3368f”)
- Texto dentro de un archivo (permite expresiones regulares): sys.client_expr(“file_0_/home/user/test.txt_search_cloud”)
-
Process
- Existencia: sys.client_expr(“proc_0_perl”)
- Suma de comprobación MD5: sys.client_expr(“proc_0perl_md5 c060d3a5f97e27066cef8c116785567a”)
- Ruta: sys.client_expr(“proc_0perl_path/usr/bin/perl”)
- Dispositivo del sistema de archivos o Nombre del punto de montaje: sys.client_expr(“mountpoint_0_/sys”)
Si utiliza directivas avanzadas, las expresiones de cada análisis se pueden generar desde la GUI (Seguridad > AAA > Directivas > Autenticación > Directivas avanzadas > EPA).
Nota: En la página Editor de expresiones, para el cliente Linux, puede seleccionar Común y, a continuación, seleccionar Proceso, Archivo o Punto de montaje.