Stratégies Endpoint
Endpoint Analysis (EPA) est un processus qui analyse l’appareil d’un utilisateur et détecte des informations, telles que la présence et le niveau de version des mises à jour du système d’exploitation, de l’antivirus, du pare-feu et du logiciel de navigation Web. Endpoint Analysis vous permet de déterminer si l’appareil d’un utilisateur répond à vos besoins avant qu’il ne se connecte à votre réseau. Il peut également être configuré pour vérifier périodiquement les modifications tout en maintenant la connexion de l’utilisateur. Vous pouvez vérifier les fichiers, les processus et les entrées de registre sur la machine utilisateur pendant la session utilisateur pour vous assurer que l’appareil continue de répondre aux exigences.
Important :
- Endpoint Analysis est destiné à analyser l’appareil de l’utilisateur par rapport à des critères de conformité prédéterminés et n’impose ni ne valide la sécurité des appareils des utilisateurs finaux. Il est recommandé d’utiliser des systèmes de sécurité des terminaux pour protéger les appareils contre les attaques des administrateurs locaux.
- Le client EPA est disponible en tant que client autonome et est également intégré au client Citrix Secure Access. Le client Citrix EPA et le client Citrix Secure Access sont indépendants l’un de l’autre.
Fonctionnent des stratégies Endpoint
Vous pouvez configurer Citrix Gateway pour vérifier si une machine utilisateur répond à certaines exigences avant qu’un utilisateur ne se connecte. C’est ce que l’on appelle une stratégie de pré-authentification. Vous pouvez configurer Citrix Gateway pour vérifier sur une machine utilisateur la présence d’antivirus, de pare-feu, de blocage du courrier indésirable, de processus, de fichiers, d’entrées de registre, de sécurité Internet ou de systèmes d’exploitation que vous spécifiez dans la stratégie. Si l’analyse de pré-authentification échoue sur la machine utilisateur, les utilisateurs ne sont pas autorisés à se connecter.
Pour vérifier d’autres exigences qui ne sont pas utilisées dans une stratégie de pré-authentification, vous pouvez configurer une stratégie de session et la lier à un utilisateur ou à un groupe. Ce type de stratégie est appelé stratégie de post-authentification, qui s’exécute pendant la session utilisateur afin de garantir la conformité des critères requis, tels qu’un logiciel antivirus ou un processus.
Lorsque vous configurez une stratégie de pré-authentification ou de post-authentification, Citrix Gateway télécharge le plug-in Endpoint Analysis, puis exécute le scan sur l’appareil de l’utilisateur. Chaque fois qu’un utilisateur ouvre une session, le plug-in Endpoint Analysis s’exécute automatiquement.
Vous pouvez utiliser les trois types de stratégies suivants pour configurer les stratégies relatives aux terminaux :
- Stratégie de préauthentification qui utilise un paramètre Oui ou Non. L’analyse détermine si la machine utilisateur répond aux exigences spécifiées. Si l’analyse échoue, l’utilisateur ne peut pas entrer d’informations d’identification sur la page d’ouverture de session.
- Stratégie de session conditionnelle pouvant être utilisée pour SmartAccess.
- Expression de vérification de l’appareil client dans le cadre d’une stratégie de session. Si la machine utilisateur ne répond pas aux exigences de l’expression de vérification de l’appareil client, vous pouvez configurer les utilisateurs pour qu’ils soient placés dans un groupe de quarantaine. Si la machine utilisateur réussit l’analyse, les utilisateurs peuvent être placés dans un autre groupe qui peut nécessiter d’autres vérifications.
Vous pouvez intégrer les informations détectées dans des stratégies, ce qui vous permet d’accorder différents niveaux d’accès en fonction de l’appareil utilisateur. Par exemple, vous pouvez fournir un accès complet avec une autorisation de téléchargement aux utilisateurs qui se connectent à distance à partir de machines utilisateur qui ont des exigences actuelles en matière de logiciels antivirus et de pare-feu. Pour les utilisateurs qui se connectent à partir d’appareils non conformes, vous pouvez fournir un niveau d’accès plus restreint qui permet aux utilisateurs de modifier des documents sur des serveurs distants sans les télécharger. Tous les appareils exécutant l’EPA sont considérés comme des appareils non conformes.
Endpoint Analysis effectue les étapes de base suivantes :
- Examine un premier ensemble d’informations concernant la machine utilisateur afin de déterminer les analyses à appliquer.
- Exécute toutes les analyses applicables. Lorsque les utilisateurs essaient de se connecter, le plug-in Endpoint Analysis vérifie que l’appareil utilisateur répond aux exigences spécifiées dans la stratégie de pré-authentification ou de session. Si la machine utilisateur réussit l’analyse, les utilisateurs sont autorisés à ouvrir une session. Si la machine utilisateur échoue à l’analyse, les utilisateurs ne sont pas autorisés à ouvrir une session. Remarque : Les analyses d’Endpoint Analysis sont terminées avant que la session utilisateur utilise une licence.
- Compare les valeurs de propriétés détectées sur la machine utilisateur avec les valeurs de propriétés souhaitées répertoriées dans vos scans configurés.
- Produit une sortie vérifiant si les valeurs de propriété souhaitées sont trouvées.
Attention :
Les instructions relatives à la création de stratégies Endpoint Analysis sont des instructions générales. Vous pouvez avoir plusieurs paramètres au sein d’une même stratégie de session. Les instructions spécifiques de configuration des stratégies de session peuvent contenir des instructions pour configurer un paramètre spécifique. Toutefois, ce paramètre peut être l’un des nombreux paramètres contenus dans un profil de session et une stratégie.
Exemples d’expressions EPA
Vous trouverez ci-dessous des exemples d’expression de certains composants de l’EPA tels que le processus de suppression, la suppression de fichiers et le certificat de périphérique :
- Windows :
- Kill process:
sys.client_expr(\“proc_0_perl\“) -killProcess processToKill.exe
- Device certificate :
sys.client_expr(“device-cert_0_0”)
- Delete files :
sys.client_expr(\“proc_0_perl\“) -deletefiles “C:/removefile.txt”
- Kill process:
- MAC
- Kill process:
sys.client_expr(\“proc_0_perl\“) -killProcess processToKill.exe
- Device cert:
sys.client_expr(“device-cert_0_0”)
- Delete files:
sys.client_expr(\“proc_0_perl\“) -deletefiles “C:/removefile.txt”
- Kill process:
Évaluer les options de connexion des utilisateurs
Lorsque les utilisateurs ouvrent une session, ils peuvent choisir d’ignorer l’analyse Endpoint Analysis. Si les utilisateurs ignorent l’analyse, Citrix Gateway traite cette action comme une analyse des points de terminaison ayant échoué. Lorsque les utilisateurs échouent au scan, ils n’ont accès qu’à l’interface Web ou via un accès sans client.
Par exemple, vous souhaitez fournir un accès aux utilisateurs à l’aide de l’agent Citrix Secure Access. Pour ouvrir une session sur Citrix Gateway avec le plug-in, les utilisateurs doivent exécuter une application antivirus, telle que Norton Antivirus. Si la machine utilisateur n’exécute pas l’application, les utilisateurs peuvent ouvrir une session avec Receiver uniquement et utiliser les applications publiées. Vous pouvez également configurer l’accès sans client, ce qui limite l’accès à des applications spécifiées, telles qu’Outlook Web Access.
Pour configurer Citrix Gateway afin de réaliser ce scénario d’ouverture de session, vous attribuez une stratégie de session restrictive en tant que stratégie par défaut. Vous configurez ensuite les paramètres pour mettre à niveau les utilisateurs vers une stratégie de session privilégiée lorsque la machine utilisateur réussit l’analyse Endpoint Analysis. À ce stade, les utilisateurs disposent d’un accès à la couche réseau et peuvent se connecter à l’aide de l’agent Citrix Secure Access.
Pour configurer Citrix Gateway afin qu’il applique d’abord la stratégie de session restrictive, effectuez les opérations suivantes :
- Configurez les paramètres globaux avec le proxy ICA activé et tous les autres paramètres nécessaires si l’application spécifiée n’est pas exécutée sur la machine utilisateur.
- Créez une stratégie et un profil de session qui activent l’agent Citrix Secure Access.
-
Créez une expression dans la partie règle de la stratégie de session pour spécifier l’application, telle que
(client.application.process(symantec.exe) exists)
Lorsque les utilisateurs ouvrent une session, la stratégie de session est appliquée en premier. Si Endpoint Analysis échoue ou si l’utilisateur ignore l’analyse, Citrix Gateway ignore les paramètres de la stratégie de session (l’expression de la stratégie de session est considérée comme fausse). Par conséquent, les utilisateurs ont un accès restreint à l’aide de l’interface Web ou d’un accès sans client. Si Endpoint Analysis réussit, Citrix Gateway applique la stratégie de session et les utilisateurs disposent d’un accès complet à l’agent Citrix Secure Access.
Ignorer l’analyse EPA
Vous pouvez ignorer l’analyse EPA pour la post-authentification et l’authentification avancée uniquement. Skip EPA est disponible sur les navigateurs de tous les systèmes d’exploitation pris en charge. Les utilisateurs doivent cliquer sur le bouton Ignorer l’EPA qui apparaît lorsqu’ils accèdent à la passerelle. Si les utilisateurs ignorent l’analyse, Citrix Gateway traite cette action comme une analyse des points de terminaison ayant échoué. Lorsque les utilisateurs échouent au scan, ils n’ont accès qu’à l’interface Web ou via un accès sans client.
Voir aussi https://support.citrix.com/article/CTX200748.
Analyses Endpoint Analysis prises en charge pour Ubuntu
Les analyses EPA (Endpoint Analysis) suivantes sont prises en charge pour le plug-in EPA installé pour le système d’exploitation Ubuntu. Un exemple d’expression permettant de configurer chacun des scans est répertorié avec les scans EPA. Vous pouvez configurer ces expressions dans les stratégies d’authentification.
-
Fichier
- Existence : sys.client_expr(“file_0_/home/user/test.txt”)
- Somme de contrôle MD5 : sys.client_expr(“file_0/home/user/test.txt_md5 ce780e271debcc29f551546e8db3368f”)
- Texte contenu dans un fichier (prise en charge des expressions régulières) : sys.client_expr(“file_0_/home/user/test.txt_search_cloud”)
-
Processus
- Existence : sys.client_expr(“proc_0_perl”)
- Somme de contrôle MD5 : sys.client_expr(“proc_0perl_md5 c060d3a5f97e27066cef8c116785567a”)
- Chemin : sys.client_expr(“proc_0perl_path/usr/bin/perl”)
- Nom du périphérique du système de fichiers ou du point de montage : sys.client_expr(“mountpoint_0_/sys”)
Si vous utilisez des stratégies avancées, les expressions de chaque analyse peuvent être générées à partir de l’interface graphique (Sécurité > AAA > Stratégies > Authentification > Stratégies avancées > EPA).
Remarque : Dans la page Éditeur d’expressions, pour le client Linux, vous pouvez sélectionner Commun, puis Processus, Fichier ou Point de montage.