Gateway

Expresiones de comprobación de dispositivos de preautenticación para dispositivos de usuario

Importante:

El objetivo de Endpoint Analysis es analizar el dispositivo del usuario según criterios de cumplimiento predeterminados y no hace cumplir ni validar la seguridad de los dispositivos de los usuarios finales. Se recomienda utilizar sistemas de seguridad de dispositivos de punto final para proteger los dispositivos de los ataques de los administradores locales.

NetScaler Gateway proporciona varias comprobaciones de cumplimiento de los dispositivos de punto final durante el inicio de sesión del usuario o en otros momentos configurados durante una sesión que ayudan a validar los dispositivos de los usuarios. Solo los dispositivos de usuario que superen estas comprobaciones pueden establecer una sesión de NetScaler Gateway.

Los siguientes son los tipos de comprobaciones en los dispositivos de usuario que puede configurar en NetScaler Gateway:

  • Antispam
  • Antivirus
  • Directivas de archivos
  • Seguridad en Internet
  • Sistema operativo
  • Firewall personal
  • Directivas de procesos
  • Directivas de registro
  • Directivas de servicio

Si se produce un error en la comprobación del dispositivo del usuario, no se establecería ninguna conexión nueva hasta que se supere una comprobación posterior (en el caso de comprobaciones que se realizan a intervalos regulares); sin embargo, el tráfico que fluye a través de las conexiones existentes sigue pasando por NetScaler Gateway.

Puede utilizar la utilidad de configuración para configurar directivas de autenticación previa o expresiones de comprobación de dispositivos dentro de las directivas de sesión diseñadas para realizar comprobaciones en los dispositivos de los usuarios.

Configurar expresiones antivirus, firewall, seguridad de Internet o antispam

Los ajustes de las directivas de antivirus, firewall, seguridad de Internet y antispam se configuran en el cuadro de diálogo Agregar expresión . La configuración de cada directiva es la misma: las diferencias son los valores que selecciona. Por ejemplo, si quiere comprobar en el dispositivo de usuario la versión 10 del antivirus Norton y ZoneAlarm Pro, cree dos expresiones dentro de la directiva de sesión o autenticación previa que especifican el nombre y el número de versión de cada aplicación.

Al seleccionar Seguridad del cliente como tipo de expresión, puede configurar lo siguiente:

  • Componente: tipo de seguridad del cliente, como antivirus, firewall o entrada de registro.
  • Nombre: Nombre de la aplicación, proceso, archivo, entrada de registro o sistema operativo.
  • Calificador: la versión o el valor del componente que comprueba la expresión.
  • Operador: comprueba si el valor existe o es igual al valor.
  • Valor: versión de la aplicación para antivirus, firewall, seguridad de Internet o software antispam en el dispositivo del usuario.
  • Frecuencia: Frecuencia con la que se ejecuta un análisis posterior a la autenticación, en minutos.
  • Peso del error: ponderación asignada a cada mensaje de error contenido en una expresión anidada cuando varias expresiones tienen cadenas de error diferentes. El peso determina qué mensaje de error aparece.
  • Frescura: define la antigüedad de una definición de virus. Por ejemplo, puede configurar la expresión para que las definiciones de virus no tengan más de tres días.

Para agregar una directiva de verificación del dispositivo cliente a una directiva de preautenticación o de sesión

  1. En la utilidad de configuración, en el panel de navegación, realice una de las siguientes acciones:
    1. En la utilidad de configuración, en la ficha Configuración, en el panel de navegación, expanda NetScaler Gateway > Directivas y, a continuación, haga clic en Sesión.
    2. En la utilidad de configuración, en la pestaña Configuración, en el panel de navegación, expanda Citrix Gateway > Directivas > Autenticación/autorización y, a continuación, haga clic en Pre-Authentication EPA.
  2. En el panel de detalles, en la pestaña Políticas, haga clic en Agregar .
  3. En Nombre, escriba un nombre para la directiva.
  4. Junto a Coincidir con cualquier expresión, haga clic en Agregar.
  5. En el cuadro de diálogo Agregar expresión, en Tipo de expresión, seleccione Seguridad del cliente.
  6. Configure los ajustes para lo siguiente:
    1. En Componente, seleccione el elemento que quiere escanear.
    2. En Nombre, escriba el nombre de la aplicación.
    3. En Qualifier, selecciona Versión .
    4. En Operador, seleccione el valor.
    5. En Valor, escriba la cadena de verificación del dispositivo cliente, haga clic en Aceptar, en Crear y, a continuación, en Cerrar.

Configurar directivas de servicio

Un servicio es un programa que se ejecuta de forma silenciosa en el dispositivo del usuario. Al crear una directiva de sesión o de autenticación previa, puede crear una expresión que garantice que los dispositivos de usuario ejecuten un servicio determinado cuando se establece la sesión.

Para configurar una directiva de servicio

  1. En la utilidad de configuración, en el panel de navegación, realice una de las siguientes acciones:
    1. En la utilidad de configuración, en la pestaña Configuración, en el panel de navegación, expanda Citrix Gateway > Directivas y, a continuación, haga clic en Sesión.
    2. En la utilidad de configuración, en la pestaña Configuración, en el panel de navegación, expanda Citrix Gateway > Directivas > Autenticación/autorización y, a continuación, haga clic en Pre-AuthenticationEPA.
  2. En el panel de detalles, en la pestaña Políticas, haga clic en Agregar .
  3. En Nombre, escriba un nombre para la directiva.
  4. Junto a Coincidir con cualquier expresión, haga clic en Agregar.
  5. En el cuadro de diálogo Agregar expresión, en Tipo de expresión, seleccione Seguridad del cliente.
  6. Configure los ajustes para lo siguiente:
    1. En Componente, seleccione Servicio.
    2. En Nombre, escriba el nombre del servicio.
    3. En Calificador, déjalo en blanco o selecciona Versión.
    4. En función de su selección en Qualifier, realiza una de las siguientes acciones:
      • Si se deja en blanco, en Operador, seleccione == o! =
      • Si ha seleccionado Versión, en Operador, en Valor, escriba el valor, haga clic en Aceptar y, a continuación, haga clic en Cerrar.

Puede consultar una lista de todos los servicios disponibles y el estado de cada uno de ellos en un equipo basado en Windows en la siguiente ubicación:

Panel de control > Herramientas administrativas > Servicios

Nota:

El nombre del servicio de cada servicio varía del nombre que aparece en la lista. Compruebe el nombre del servicio en el cuadro de diálogo Propiedades.

Configurar directivas de procesos

Al crear una directiva de sesión o de autenticación previa, puede definir una regla que exija que todos los dispositivos de usuario tengan un proceso concreto ejecutándose cuando los usuarios inicien sesión. El proceso puede ser cualquier aplicación y puede incluir aplicaciones personalizadas.

Nota: La lista de todos los procesos que se ejecutan en un equipo basado en Windows aparece en la ficha Procesos del Administrador de tareas de Windows.

Para configurar una directiva de procesos

  1. En la utilidad de configuración, en el panel de navegación, realice una de las siguientes acciones:
    1. En la utilidad de configuración, en la ficha Configuración, en el panel de navegación, expanda Citrix Gateway \ > Directivas y, a continuación, haga clic en Sesión.
    2. En la utilidad de configuración, en la ficha Configuración, en el panel de navegación, expanda NetScaler Gateway > Directivas\ > Autenticación/autorizacióny, a continuación, haga clic en EPA de autenticación previa.
  2. En el panel de detalles, en la pestaña Políticas, haga clic en Agregar .
  3. En Nombre, escriba un nombre para la directiva.
  4. Junto a Coincidir con cualquier expresión, haga clic en Agregar.
  5. En el cuadro de diálogo Agregar expresión, en Tipo de expresión, seleccione Seguridad del cliente.
  6. Configure los ajustes para lo siguiente:
    1. En Componente, seleccione Proceso.
    2. En Nombre, escriba el nombre de la aplicación.
    3. En Operador, seleccione EXISTS o NOTEXISTS, haga clic en Aceptar y, a continuación, en Cerrar.

Al configurar una directiva de Endpoint Analysis (autenticación previa o posterior a la autenticación) para comprobar si hay un proceso, puede configurar una suma de comprobación MD5.

Al crear la expresión de la directiva, puede agregar la suma de comprobación MD5 al proceso que está buscando. Por ejemplo, si está comprobando si notepad.exe se está ejecutando en el dispositivo del usuario, la expresión es: CLIENT.APPLICATION.PROCESS (notepad.exe_md5_388b8fbc36a8558587afc90fb23a3b00) EXISTS

Configurar directivas del sistema operativo

Al crear una directiva de sesión o preautenticación, puede configurar las cadenas de verificación del dispositivo cliente para determinar si el dispositivo del usuario ejecuta un sistema operativo determinado cuando los usuarios inician sesión. También puede configurar la expresión para que busque un service pack o una revisión concretos.

Los valores de Windows y Macintosh son:

Sistema operativo Valor
macOS X macOS
Windows 8.1 win8.1
Windows 8 win8
Windows 7 win7
Windows Vista vista
Windows XP winxp
Windows Server 2008 win2008
Windows Server 2003 win2003
Servidor Windows 2000 win2000
Plataforma Windows de 64 bits win64

Para configurar una directiva del sistema operativo mediante la interfaz gráfica de usuario

  1. En el panel de navegación, realice una de las siguientes acciones:
    1. Vaya a Citrix Gateway > Directivas y, a continuación, haga clic en Sesión.
    2. Vaya a NetScaler Gateway > Directivas > Autenticación previa.
  2. En el panel de detalles, en la ficha Directivas, haga clic en Agregar.
  3. En Nombre, escriba un nombre para la directiva.
  4. En Solicitar acción, seleccione una acción existente o cree una.
  5. Haga clic en Editor de expresiones.
  6. En Seleccionar tipo de expresión, seleccione Seguridad del cliente.
  7. Configure los ajustes para lo siguiente:
    1. En Componente, seleccione Sistema operativo.
    2. En Nombre, escriba el nombre del sistema operativo.
    3. En Qualifier, realiza una de las siguientes acciones:
      • Deja el campo en blanco
      • Seleccione Service Pack
      • Seleccionar revisión
      • Seleccionar versión (solo para macOS)
    4. Según lo que haya seleccionado en el paso 7, en Operador, realice una de las siguientes acciones:
      • Si Qualifier está en blanco, en Operador, seleccione EQUAL (= =), NOTEQUAL (!=), EXISTS o NOTEXISTS.
      • Si ha seleccionado Service Pack o Hotfix, seleccione el operador y, en Valor, escriba el valor.
  8. Haga clic en Listo y luego en Cerrar.

Si está configurando un service pack, como client.os (winxp).sp, si no hay un número en el campo Valor, NetScaler Gateway devuelve un mensaje de error porque la expresión no es válida.

Si el sistema operativo tiene Service Pack presentes, como Service Pack 3 y Service Pack 4, puede configurar una comprobación solo para Service Pack 4, ya que la presencia de Service Pack 4 indica automáticamente que los Service Pack anteriores están presentes.

Configurar directivas de registro

Al crear una directiva de sesión o de autenticación previa, puede comprobar la existencia y el valor de las entradas del registro en el dispositivo del usuario. La sesión se establece solo si la entrada en particular existe o tiene el valor configurado o superior.

Al configurar una expresión de registro, siga las siguientes pautas:

  • Se utilizan cuatro barras diagonales inversas para separar claves y subclaves, como

    HKEY_LOCAL_MACHINE\\\\ SOFTWARE

  • Los guiones bajos se utilizan para separar la subclave y el nombre del valor asociado, como

    HKEY_LOCAL_MACHINE\\\\ SOFTWARE\\\\ VIRUSSOFTWARE_VERSION

  • Se utiliza una barra diagonal inversa (\) para indicar un espacio, como en los dos ejemplos siguientes:

    HKEY_LOCAL_MACHINE\\\\ SOFTWARE\\ Citrix\\\\ Secure\ Access\ Client_ProductVersion

    CLIENT.REG (HKEY_LOCAL_MACHINESOftwareSymantecNorton Antivirus_Version).VALUE == 12.8.0.4 -frecuencia 5

A continuación se muestra una expresión de registro que busca la clave de registro del agente de Citrix Secure Access cuando los usuarios inician sesión:

CLIENT.REG(secureaccess).VALUE==HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\CITRIX\\\\Secure\Access\Client_ProductVersion

Nota:

Si busca claves y valores del Registro, y selecciona Formato libre avanzado en el cuadro de diálogo de expresión, la expresión debe empezar por CLIENT.REG.

Las comprobaciones de registro se admiten en los cinco tipos más comunes siguientes:

  • HKEY_CLASSES_ROOT
  • HKEY_CURRENT_USER
  • HKEY_LOCAL_MACHINE
  • HKEY_USERS
  • HKEY_CURRENT_CONFIG

Los valores de registro que se van a comprobar utilizan los siguientes tipos:

  • Cadena

    Para el tipo de valor de cadena, se comprueba que se distinga entre mayúsculas

  • DWORD

    Para el tipo DWORD, el valor se compara y debe ser igual.

  • Cadena expandida

    Otros tipos, como binario y multicadena, no son compatibles.

  • Solo se admite el operador de comparación ‘==’.

  • No se admiten otros operadores de comparación, como <, > y comparaciones que distinguen mayúsculas y minúsculas.

  • La longitud total de la cadena de registro debe ser inferior a 256 bytes.

Puede agregar un valor a la expresión. El valor puede ser una versión de software, una versión del service pack o cualquier otro valor que aparezca en el registro. Si el valor de datos del registro no coincide con el valor con el que se realiza la prueba, se deniega el inicio de sesión a los usuarios.

Nota:

No se puede buscar un valor dentro de una subclave. El análisis debe coincidir con el valor nombrado y el valor de datos asociado.

Para configurar una directiva de registro

  1. En la utilidad de configuración, en el panel de navegación, realice una de las siguientes acciones:
    1. En la utilidad de configuración, en la ficha Configuración, en el panel de navegación, expanda Citrix Gateway \ > Directivas y, a continuación, haga clic en Sesión.
    2. En la utilidad de configuración, en la ficha Configuración, en el panel de navegación, expanda NetScaler Gateway > Directivas\ > Autenticación/autorizacióny, a continuación, haga clic en EPA de autenticación previa.
  2. En el panel de detalles, en la pestaña Políticas, haga clic en Agregar .
  3. En Nombre, escriba un nombre para la directiva.
  4. Junto a Coincidir con cualquier expresión, haga clic en Agregar.
  5. En el cuadro de diálogo Agregar expresión, en Tipo de expresión, seleccione Seguridad del cliente.
  6. Configure los ajustes para lo siguiente:
    1. En Componente, seleccione Registro.
    2. En Nombre, escriba el nombre de la clave de registro.
    3. En Calificador, déjalo en blanco o selecciona Valor.
    4. En Operador, realice una de las siguientes acciones:
      • Si el calificador se deja en blanco, seleccione EXISTS o NOTEXISTS
      • Si ha seleccionado Valor en Calificador, seleccione == o !==
    5. En Valor, escriba el valor tal y como aparece en el editor del registro, haga clic en Aceptar y, a continuación, haga clic en Cerrar.

Configurar expresiones de comprobación compuestas del dispositivo cliente

Puede combinar cadenas de verificación del dispositivo cliente para formar expresiones de comprobación compuestas del dispositivo cliente.

Los operadores booleanos compatibles con NetScaler Gateway son:

  • Y (&&)
  • O bien (
  • No (!)

Para mayor precisión, puede agrupar las cadenas entre paréntesis.

Nota:

Si utiliza la línea de comandos para configurar expresiones, utilice paréntesis para agrupar las expresiones de comprobación del dispositivo cuando forme una expresión compuesta. El uso de paréntesis mejora la comprensión y depuración de la expresión del cliente.

Configurar directivas con el operador AND (&&)

El operador AND (&&) funciona combinando dos cadenas de verificación del dispositivo cliente para que la comprobación compuesta solo se apruebe cuando ambas comprobaciones son verdaderas. La expresión se evalúa de izquierda a derecha y, si la primera comprobación falla, no se lleva a cabo la segunda comprobación.

Puede configurar el operador AND (&&) mediante la palabra clave “AND” o los símbolos “&&”.

Ejemplo:

Esto es una comprobación del dispositivo cliente que determina si el dispositivo del usuario tiene instalada y en ejecución la versión 7.0 del antivirus de Sophos. También comprueba si el servicio Inicio de sesión en red se está ejecutando en el mismo equipo.

CLIENT.APPLICATION.AV(sophos).version==7.0 AND CLIENT.SVC(netlogon) EXISTS

Esta cadena también se puede configurar como:

CLIENT.APPLICATION.AV(sophos).version==7.0 && CLIENT.SVC(netlogon) EXISTS

Configurar directivas con el operador OR (||)

El operador OR (||) funciona mediante la combinación de dos cadenas de verificación del dispositivo. La comprobación compuesta se aprueba cuando cualquiera de las dos comprobaciones es verdadera. La expresión se evalúa de izquierda a derecha y, si se aprueba la primera comprobación, no se lleva a cabo la segunda comprobación. Si no se aprueba la primera comprobación, se realiza la segunda comprobación.

Puede configurar el operador OR (||) mediante la palabra clave OR o el símbolo ||.

Ejemplo:

La siguiente es una comprobación del dispositivo cliente que determina si el dispositivo del usuario contiene el archivo c:\\file.txt o el proceso putty.exe en ejecución.

client.file(c:\\\\\\\\file.txt) EXISTS) OR (client.proc(putty.exe) EXISTS

Esta cadena también se puede configurar como

client.file(c:\\\\\\\\file.txt) EXISTS) || (client.proc(putty.exe) EXISTS

Configurar directivas mediante el comando NOT (!) operador

El operador NOT (!) o de negación niega la cadena de verificación del dispositivo cliente.

Ejemplo:

La siguiente comprobación del dispositivo cliente se realiza si el archivo c:\sophos_virus_defs.dat file NO tiene más de dos días:

\!(client.file(c:\\\\\\\\sophos\_virus\_defs.dat).timestamp==2dy)

Expresiones de comprobación de dispositivos de preautenticación para dispositivos de usuario