Gateway

Analyses avancées des points de terminaison

L’analyse avancée des terminaux (EPA) est utilisée pour analyser les appareils des utilisateurs afin de vérifier les exigences de sécurité des terminaux configurées sur Citrix Gateway. Si une machine utilisateur tente d’accéder à Citrix Gateway, elle est analysée pour détecter des informations de sécurité, telles que le système d’exploitation, l’antivirus, les versions du navigateur Web, etc., avant qu’un administrateur ne puisse autoriser l’accès à Citrix Gateway. Pour plus d’informations sur la configuration système requise pour le client Citrix EPA, consultez la section Exigences relatives à Endpoint Analysis.

L’analyse Advanced EPA est une analyse basée sur des règles que vous pouvez configurer sur Citrix Gateway pour les sessions d’authentification. La stratégie effectue une vérification du Registre sur une machine utilisateur et, sur la base d’une évaluation, la stratégie autorise ou refuse l’accès au réseau Citrix ADC.

Vous pouvez configurer le scan EPA avancé à l’aide de l’interface graphique ou de l’interface de ligne de commande.

Sur l’interface graphique

  1. Créez une action EPA.

    Accédez à Sécurité > AAA - Trafic d’applications > Stratégies > Authentification > Stratégies avancées > Actions > EPA, puis cliquez sur Ajouter. Sur la page Créer une action EPA d’authentification, mettez à jour les informations suivantes et cliquez sur Créer.

    • Nom : nom de l’action de l’EPA.
    • Groupe par défaut : groupe par défaut qui est choisi lorsque le contrôle EPA réussit.
    • Groupe de quarantaine : groupe de quarantaine choisi lorsque le contrôle de l’EPA échoue.
    • Kill Process : chaîne spécifiant le nom d’un processus à terminer par le plug-in EPA. Les processus multiples doivent être séparés par des virgules.
    • Supprimer les fichiers : chaîne spécifiant les chemins et les noms des fichiers à supprimer par le plug-in EPA. Les fichiers multiples doivent être séparés par des virgules.
    • Expression : Reportez-vous à la référence d’expression de stratégie Advanced Endpoint Analysis pour le format d’expression EPA.

    Flux de travail de numérisation EPA avancé

  2. Créez une stratégie EPA correspondante.

    Accédez à Sécurité > AAA - Trafic des applications > Stratégies > Authentification > Stratégies avancées > Stratégies, puis cliquez sur Ajouter. Sur la page Créer une stratégie d’authentification, mettez à jour les informations suivantes et cliquez sur Créer.

    • Nom : nom de la stratégie avancée de l’EPA.
    • Type d’action : type de l’action d’authentification.
    • Action : nom de l’action d’authentification à effectuer si la stratégie correspond.
    • Expression : Reportez-vous à la référence d’expression de stratégie Advanced Endpoint Analysis pour le format d’expression EPA.
    • Action de journalisation : nom de l’action du journal des messages à utiliser lorsqu’une demande correspond à cette stratégie. La longueur maximale autorisée est de 127 caractères.

    Flux de travail de numérisation EPA avancé

  3. Configurez un serveur virtuel d’authentification et un profil d’authentification.

    • Accédez à Sécurité > AAA - Trafic des applications > Authentification > Serveurs virtuels et cliquez sur Ajouter.

    Flux de travail de numérisation EPA avancé

    • Accédez à Sécurité > AAA - Trafic des applications > Profil d’authentification et cliquez sur Créer.

    Flux de travail de numérisation EPA avancé

  4. Liez la stratégie EPA avancée au serveur virtuel d’authentification.

    • Accédez à Sécurité > AAA — Trafic des applications > Serveurs virtuels d’authentification et sélectionnez le serveur virtuel d’authentification.
    • Sélectionnez la stratégie dans la section Stratégies d’authentification avancées.
    • Cliquez sur Lier dans la section Liaison des stratégies.

    Flux de travail de numérisation EPA avancé

  5. Liez la stratégie de l’EPA au flux nFactor.

    Pour plus de détails sur la manière d’ajouter une stratégie EPA avancée en tant que facteur au flux nFactor, consultez le scan EPA en tant que facteur d’authentification nFactor.

Sur la CLI

  1. Créez une action pour effectuer le scan EPA.

    add authentication epaAction EPA-client-scan -csecexpr "sys.client_expr ("proc_2_firefox")"
    <!--NeedCopy-->
    

    L’expression précédente analyse si le processus « Firefox » est en cours d’exécution. Le plug-in EPA vérifie l’existence du processus toutes les 2 minutes, ce qui est indiqué par le chiffre « 2 » dans l’expression d’analyse.

  2. Associez l’action de l’EPA à une stratégie avancée de l’EPA.

    add authentication Policy EPA-check -rule true -action EPA-client-scan
    <!--NeedCopy-->
    
  3. Configurez un serveur virtuel d’authentification et un profil d’authentification.

    add authentication vserver authnvsepa ssl -ip address 10.104.130.129 -port 443
    <!--NeedCopy-->
    
    add Authnprofile_EPA -authnVsName authnvsepa
    <!--NeedCopy-->
    
  4. Liez la stratégie EPA avancée au serveur virtuel d’authentification.

    bind authentication vs authnvsepa -policy EPA-check -pr 1
    <!--NeedCopy-->
    

Mise à niveau des bibliothèques EPA

Pour utiliser l’interface graphique Citrix ADC afin de mettre à niveau les bibliothèques EPA, procédez comme suit :

  1. Accédez àConfiguration > Citrix Gateway > Mettre à jour les composants du client.

  2. Sous Mettre à jour les composants client, cliquez sur le lienMettre à niveau les bibliothèques EPA.

  3. Sélectionnez le fichier requis et cliquez sur Mettre à niveau.

Important :

  • Dans une version haute disponibilité Citrix Gateway, les bibliothèques EPA doivent être mises à niveau sur les nœuds principal et secondaire.

  • Dans une configuration de clustering Citrix Gateway, les bibliothèques EPA doivent être mises à niveau sur tous les nœuds de cluster.

Pour obtenir la liste des applications Windows et MAC prises en charge par OPSWAT pour les analyses Citrix ADC, reportez-vous à la section https://support.citrix.com/article/CTX234466.

Dépannage des analyses avancées d’Endpoint Analysis

Pour faciliter le dépannage des analyses Advanced Endpoint Analysis, les plug-ins clients écrivent des informations de journalisation dans un fichier sur les systèmes de terminaux clients. Ces fichiers journaux se trouvent dans les répertoires suivants, en fonction du système d’exploitation de l’utilisateur.

Windows Vista, Windows 7, Windows 8, Windows 8.1 et Windows 10 :

C:\Users\<username>\AppData\Local\Citrix\AGEE\nsepa.txt

Windows XP :

C:\Documents and Settings\All Users\Application Data\Citrix\AGEE\nsepa.txt

Systèmes Mac OS X :

~/Bibliothèque/Application Support/Citrix/EPAPlugin/epaplugin.log

(Où le symbole ~ indique le chemin du répertoire personnel de l’utilisateur macOS concerné.) (Où le symbole ~ indique le chemin du répertoire personnel de l’utilisateur macOS concerné.)

Ubuntu :

  • ~/.citrix/nsepa.txt

  • ~/.citrix/nsgcepa.txt

Analyses avancées des points de terminaison