Fonctionnement des stratégies de point de terminaison
Vous pouvez configurer Citrix Gateway pour vérifier si une machine utilisateur répond à certaines exigences de sécurité avant qu’un utilisateur ouvre une session. C’est ce qu’on appelle une stratégie de préauthentification. Vous pouvez configurer Citrix Gateway pour vérifier les antivirus, le pare-feu, l’antispam, les processus, les fichiers, les entrées de Registre, la sécurité Internet ou les systèmes d’exploitation que vous spécifiez dans la stratégie. Si la machine utilisateur échoue à l’analyse de préauthentification, les utilisateurs ne sont pas autorisés à ouvrir une session.
Si vous devez configurer des exigences de sécurité supplémentaires qui ne sont pas utilisées dans une stratégie de préauthentification, vous configurez une stratégie de session et la liez à un utilisateur ou à un groupe. Ce type de stratégie est appelé stratégie de post-authentification, qui s’exécute pendant la session utilisateur pour s’assurer que les éléments requis, tels qu’un logiciel antivirus ou un processus, sont toujours vrais.
Lorsque vous configurez une stratégie de préauthentification ou de post-authentification, Citrix Gateway télécharge le plug-in Endpoint Analysis, puis exécute l’analyse. Chaque fois qu’un utilisateur ouvre une session, le plug-in Endpoint Analysis s’exécute automatiquement.
Vous utilisez les trois types de stratégies suivants pour configurer les stratégies de point de terminaison :
- Stratégie de préauthentification qui utilise un paramètre yes ou no. L’analyse détermine si la machine utilisateur répond aux exigences spécifiées. Si l’analyse échoue, l’utilisateur ne peut pas entrer d’informations d’identification sur la page d’ouverture de session.
- Stratégie de session conditionnelle qui peut être utilisée pour SmartAccess.
- Expression de sécurité client dans une stratégie de session. Si la machine utilisateur ne satisfait pas aux exigences de l’expression de sécurité client, vous pouvez configurer les utilisateurs pour qu’ils soient placés dans un groupe de quarantaine. Si la machine utilisateur réussit l’analyse, les utilisateurs peuvent être placés dans un groupe différent qui peut nécessiter des vérifications supplémentaires.
Vous pouvez incorporer les informations détectées dans des stratégies, ce qui vous permet d’accorder différents niveaux d’accès en fonction de la machine utilisateur. Par exemple, vous pouvez fournir un accès complet avec autorisation de téléchargement aux utilisateurs qui se connectent à distance à partir de machines utilisateur qui ont la configuration logicielle actuelle d’antivirus et de pare-feu. Pour les utilisateurs qui se connectent à partir d’ordinateurs non approuvés, vous pouvez fournir un niveau d’accès plus restreint qui permet aux utilisateurs de modifier des documents sur des serveurs distants sans les télécharger.
L’analyse des points de terminaison effectue les étapes de base suivantes :
- Examine un ensemble initial d’informations sur la machine utilisateur pour déterminer les analyses à appliquer.
- Exécute toutes les analyses applicables. Lorsque les utilisateurs tentent de se connecter, le plug-in Analyse de terminaison vérifie la machine utilisateur pour les exigences spécifiées dans la stratégie de préauthentification ou de session. Si la machine utilisateur réussit l’analyse, les utilisateurs sont autorisés à ouvrir une session. Si la machine utilisateur échoue à l’analyse, les utilisateurs ne sont pas autorisés à ouvrir une session. Remarque : L’analyse des points de terminaison est terminée avant que la session utilisateur n’utilise une licence.
- Compare les valeurs de propriétés détectées sur la machine utilisateur avec les valeurs de propriétés souhaitées répertoriées dans vos analyses configurées.
-
Produit une sortie vérifiant si les valeurs de propriété souhaitées sont trouvées ou non.
Attention : Les instructions de création de stratégies d’analyse des points de terminaison sont des instructions générales. Vous pouvez avoir de nombreux paramètres dans une stratégie de session. Des instructions spécifiques pour la configuration des stratégies de session peuvent contenir des instructions pour la configuration d’un paramètre spécifique ; toutefois, ce paramètre peut être l’un des nombreux paramètres contenus dans un profil de session et une stratégie.