Gateway

Expressions de contrôle des appareils de préauthentification pour les appareils utilisateurs

Important :

Endpoint Analysis vise à analyser l’appareil de l’utilisateur par rapport à des critères de conformité prédéterminés et n’applique ni ne valide la sécurité des appareils des utilisateurs finaux. Il est recommandé d’utiliser des systèmes de sécurité des terminaux pour protéger les appareils contre les attaques des administrateurs locaux.

Citrix Gateway fournit divers contrôles de conformité des terminaux lors de la connexion des utilisateurs ou à d’autres moments configurés au cours d’une session, ce qui permet de valider les machines utilisateur. Seules les machines utilisateur qui réussissent ces vérifications sont autorisées à établir une session Citrix Gateway.

Les types de contrôles sur les machines utilisateur que vous pouvez configurer sur Citrix Gateway sont les suivants :

  • Antispam
  • Antivirus
  • Stratégies de fichiers
  • Sécurité sur Internet
  • Système d’exploitation
  • Pare-feu personnel
  • Stratégies de processus
  • Stratégies de registre
  • Stratégies de service

Si une vérification de l’appareil échoue sur la machine utilisateur, aucune nouvelle connexion n’est établie avant la réussite d’une vérification ultérieure (dans le cas de vérifications effectuées à intervalles réguliers) ; toutefois, le trafic passant par les connexions existantes continue de passer par Citrix Gateway.

Vous pouvez utiliser l’utilitaire de configuration pour configurer des stratégies de préauthentification ou des expressions de contrôle des appareils dans le cadre de stratégies de session conçues pour effectuer des contrôles sur les machines des utilisateurs.

Configuration des expressions antivirus, pare-feu, sécurité Internet ou antispam

Vous configurez les paramètres de l’antivirus, du pare-feu, de la sécurité Internet et des politiques antispam dans la boîte de dialogue Ajouter une expression . Les paramètres de chaque stratégie sont les mêmes : les différences correspondent aux valeurs sélectionnées. Par exemple, si vous souhaitez vérifier la présence de Norton antivirus version 10 et de ZoneAlarm Pro sur la machine utilisateur, vous créez deux expressions dans la stratégie de session ou de pré-authentification qui spécifient le nom et le numéro de version de chaque application.

Lorsque vous sélectionnez Client Security comme type d’expression, vous pouvez configurer les éléments suivants :

  • Composant : type de sécurité client, tel qu’un antivirus, un pare-feu ou une entrée de registre.
  • Nom : nom de l’application, du processus, du fichier, de l’entrée de registre ou du système d’exploitation.
  • Qualificatif : version ou valeur du composant pour lequel l’expression vérifie.
  • Opérateur : vérifie si la valeur existe ou est égale à la valeur.
  • Valeur : version de l’application pour les logiciels antivirus, pare-feu, sécurité Internet ou antispam sur la machine utilisateur.
  • Fréquence : fréquence à laquelle une analyse post-authentification est exécutée, en minutes.
  • Poids de l’erreur : pondération attribuée à chaque message d’erreur contenu dans une expression imbriquée lorsque plusieurs expressions ont des chaînes d’erreur différentes. Le poids détermine le message d’erreur qui s’affiche.
  • Fraîcheur : définit l’âge d’une définition de virus. Par exemple, vous pouvez configurer l’expression de sorte que les définitions de virus ne datent pas de plus de trois jours.

Pour ajouter une stratégie de vérification des appareils clients à une stratégie de pré-authentification ou de session

  1. Dans l’utilitaire de configuration, dans le volet de navigation, effectuez l’une des opérations suivantes :
    1. Dans l’utilitaire de configuration, dans l’onglet Configuration, dans le volet de navigation, développez Citrix Gateway > Policies, puis cliquez sur Session.
    2. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez Citrix Gateway > Policies > Authentication/Authorization, puis cliquez sur Pre-AuthenticationEPA.
  2. Dans le volet d’informations, dans l’onglet Stratégies, cliquez sur Ajouter.
  3. Dans Nom, tapez le nom de la stratégie.
  4. En regard de Correspondance avec n’importe quelle expression, cliquez sur Ajouter.
  5. Dans la boîte de dialogue Ajouter une expression, dans Type d’expression, sélectionnez Sécurité du client.
  6. Configurez les paramètres des éléments suivants :
    1. Dans Composant, sélectionnez l’élément à analyser.
    2. Dans Nom, tapez le nom de l’application.
    3. Dans Qualifier, sélectionnez Version.
    4. Dans Opérateur, sélectionnez la valeur.
    5. Dans Valeur, tapez la chaîne de contrôle de l’appareil client, cliquez sur OK, sur Créer, puis sur Fermer.

Configuration des stratégies de service

Un service est un programme qui s’exécute en mode silencieux sur la machine utilisateur. Lorsque vous créez une stratégie de session ou de pré-authentification, vous pouvez créer une expression qui garantit que les machines utilisateur exécutent un service particulier lorsque la session est établie.

Pour configurer une stratégie de service

  1. Dans l’utilitaire de configuration, dans le volet de navigation, effectuez l’une des opérations suivantes :
    1. Dans l’utilitaire de configuration, dans l’onglet Configuration, dans le volet de navigation, développez Citrix Gateway > Policies, puis cliquez sur Session.
    2. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez Citrix Gateway > Policies > Authentication/Authorization, puis cliquez sur Pre-Authentication EPA.
  2. Dans le volet d’informations, dans l’onglet Stratégies, cliquez sur Ajouter.
  3. Dans Nom, tapez le nom de la stratégie.
  4. En regard de Correspondance avec n’importe quelle expression, cliquez sur Ajouter.
  5. Dans la boîte de dialogue Ajouter une expression, dans Type d’expression, sélectionnez Sécurité du client.
  6. Configurez les paramètres des éléments suivants :
    1. Dans Composant, sélectionnez Service.
    2. Dans Nom, tapez le nom du service.
    3. Dans Qualificatif, laissez le champ vide ou sélectionnez Version.
    4. En fonction de votre sélection dans le Qualifier, effectuez l’une des opérations suivantes :
      • Si ce champ n’est pas renseigné, dans Opérateur, sélectionnez == ou ! =
      • Si vous avez sélectionné Version, dans Opérateur, dans Valeur, tapez la valeur, cliquez sur OK, puis cliquez sur Fermer.

Vous pouvez consulter la liste de tous les services disponibles et l’état de chacun d’eux sur un ordinateur Windows à l’emplacement suivant :

Panneau de configuration >Outils d’administration > Services

Remarque :

Le nom de service de chaque service varie de son nom répertorié. Vérifiez le nom du service en consultant la boîte de dialogue Propriétés.

Configuration des stratégies de processus

Lorsque vous créez une stratégie de session ou de pré-authentification, vous pouvez définir une règle qui exige que toutes les machines utilisateur disposent d’un processus particulier en cours d’exécution lorsque les utilisateurs ouvrent une session. Le processus peut être n’importe quelle application et peut inclure des applications personnalisées.

Remarque : La liste de tous les processus exécutés sur un ordinateur Windows apparaît dans l’onglet Processus du Gestionnaire des tâches de Windows.

Pour configurer une stratégie de processus

  1. Dans l’utilitaire de configuration, dans le volet de navigation, effectuez l’une des opérations suivantes :
    1. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez Citrix Gateway \ > Policies, puis cliquez sur Session.
    2. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez Citrix Gateway > Stratégies \ > Authentification/Autorisation, puis cliquez sur EPA de pré-authentification.
  2. Dans le volet d’informations, dans l’onglet Stratégies, cliquez sur Ajouter.
  3. Dans Nom, tapez le nom de la stratégie.
  4. En regard de Correspondance avec n’importe quelle expression, cliquez sur Ajouter.
  5. Dans la boîte de dialogue Ajouter une expression, dans Type d’expression, sélectionnez Sécurité du client.
  6. Configurez les paramètres des éléments suivants :
    1. Dans Composant, sélectionnez Processus.
    2. Dans Nom, tapez le nom de l’application.
    3. Dans Opérateur, sélectionnez EXISTS ou NOTEXISTS, cliquez sur OK, puis sur Fermer.

Lorsque vous configurez une stratégie Endpoint Analysis (pré-authentification ou post-authentification) pour vérifier la présence d’un processus, vous pouvez configurer une somme de contrôle MD5.

Lorsque vous créez l’expression de la stratégie, vous pouvez ajouter la somme de contrôle MD5 au processus que vous vérifiez. Par exemple, si vous vérifiez si notepad.exe est en cours d’exécution sur la machine utilisateur, l’expression est : CLIENT.APPLICATION.PROCESS (notepad.exe_md5_388b8fbc36a8558587afc90fb23a3b00) EXISTS

Configuration des stratégies du système d’exploitation

Lorsque vous créez une session ou une stratégie de préauthentification, vous pouvez configurer des chaînes de contrôle de l’appareil client afin de déterminer si l’appareil utilisateur exécute un système d’exploitation particulier lorsque les utilisateurs se connectent. Vous pouvez également configurer l’expression pour rechercher un service pack ou un correctif logiciel particulier.

Les valeurs pour Windows et Macintosh sont les suivantes :

Système d’exploitation Valeur
macOS X macOS
Windows 8.1 win8.1
Windows 8 win8
Windows 7 win7
Windows Vista vista
Windows XP winxp
Windows Server 2008 win2008
Windows Server 2003 win2003
Serveur Windows 2000 win2000
Plateforme Windows 64 bits win64

Pour configurer une stratégie de système d’exploitation à l’aide de l’interface graphique

  1. Dans le volet de navigation, effectuez l’une des opérations suivantes :
    1. Accédez à Citrix Gateway > Politiques, puis cliquez sur Session.
    2. Accédez à Citrix Gateway > Stratégies > Préauthentification.
  2. Dans le volet d’informations, dans l’onglet Stratégies, cliquez sur Ajouter.
  3. Dans Nom, tapez le nom de la politique.
  4. Dans Demander une action, sélectionnez une action existante ou créez-en une.
  5. Cliquez sur Expression Editor.
  6. Dans Sélectionner le type d’expression, sélectionnez Client Security.
  7. Configurez les paramètres des éléments suivants :
    1. Dans Composant, sélectionnez Système d’exploitation.
    2. Dans Nom, tapez le nom du système d’exploitation.
    3. Dans Qualifier, effectuez l’une des opérations suivantes :
      • Laissez ce champ vide
      • Sélectionnez le Service Pack
      • Sélectionnez Hotfix
      • Sélectionnez la version (pour macOS uniquement)
    4. En fonction de votre sélection à l’étape 7, dans Opérateur, effectuez l’une des opérations suivantes :
      • Si le qualificatif est vide, dans Opérateur, sélectionnez EQUAL (= =), NOTEQUAL (! =), EXISTS ou NOTEXISTS.
      • Si vous avez sélectionné Service Pack ou Hotfix, sélectionnez l’opérateur et, dans Valeur, saisissez la valeur.
  8. Cliquez sur Terminé, puis cliquez sur Fermer.

Si vous configurez un Service Pack, tel que client.os,(winxp).sp si un nombre ne figure pas dans le champ Valeur, Citrix Gateway renvoie un message d’erreur car l’expression n’est pas valide.

Si le système d’exploitation comporte des Service Packs, tels que Service Pack 3 et Service Pack 4, vous pouvez configurer une vérification uniquement pour le Service Pack 4, car la présence du Service Pack 4 indique automatiquement la présence de Service Packs précédents.

Configuration des stratégies de registre

Lorsque vous créez une stratégie de session ou de pré-authentification, vous pouvez vérifier l’existence et la valeur des entrées de registre sur la machine utilisateur. La session n’est établie que si l’entrée particulière existe ou a la valeur configurée ou supérieure.

Lorsque vous configurez une expression de Registre, suivez les instructions suivantes :

  • Quatre barres obliques inverses sont utilisées pour séparer les clés et les sous-clés, telles que

    HKEY_LOCAL_MACHINE\\\\SOFTWARE

  • Les traits de soulignement sont utilisés pour séparer la sous-clé et le nom de la valeur associée, par exemple

    HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\VirusSoftware_Version

  • Une barre oblique inverse (\) est utilisée pour indiquer un espace, comme dans les deux exemples suivants :

    HKEY_LOCAL_MACHINE\\\\SOFTWARE\\Citrix\\\\Secure\ Access\ Client_ProductVersion

    CLIENT.REG(HKEY_LOCAL_MACHINE\\\\Software\\\\Symantec\\Norton\ AntiVirus_Version).VALUE == 12.8.0.4 -frequency 5

Voici une expression de registre qui recherche la clé de registre de l’agent Citrix Secure Access lorsque les utilisateurs ouvrent une session :

CLIENT.REG(secureaccess).VALUE==HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\CITRIX\\\\Secure\Access\Client_ProductVersion

Remarque :

Si vous recherchez des clés et des valeurs de registre et que vous sélectionnez Advanced Free-Form dans la boîte de dialogue Expression, l’expression doit commencer par CLIENT.REG.

Les vérifications de registre sont prises en charge sous les cinq types les plus courants suivants :

  • HKEY_CLASSES_ROOT
  • HKEY_CURRENT_USER
  • HKEY_LOCAL_MACHINE
  • HKEY_USERS
  • HKEY_CURRENT_CONFIG

Les valeurs de Registre à vérifier utilisent les types suivants :

  • Chaîne

    Pour le type de valeur de chaîne, la sensibilité à la casse est vérifiée.

  • DWORD

    Pour le type DWORD, la valeur est comparée et doit être égale.

  • String étendu

    Les autres types, tels que Binary et Multi-String, ne sont pas pris en charge.

  • Seul l’opérateur de comparaison « == » est pris en charge.

  • Les autres opérateurs de comparaison, tels que <, > et les comparaisons sensibles à la casse ne sont pas pris en charge.

  • La longueur totale de la chaîne de Registre doit être inférieure à 256 octets.

Vous pouvez ajouter une valeur à l’expression. La valeur peut être une version du logiciel, une version du Service Pack ou toute autre valeur apparaissant dans le Registre. Si la valeur des données dans le Registre ne correspond pas à la valeur que vous effectuez le test, les utilisateurs se voient refuser l’ouverture de session.

Remarque :

Vous ne pouvez pas rechercher une valeur dans une sous-clé. L’analyse doit correspondre à la valeur nommée et à la valeur de données associée.

Pour configurer une stratégie de registre

  1. Dans l’utilitaire de configuration, dans le volet de navigation, effectuez l’une des opérations suivantes :
    1. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez Citrix Gateway \ > Policies, puis cliquez sur Session.
    2. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez Citrix Gateway > Stratégies \ > Authentification/Autorisation, puis cliquez sur EPA de pré-authentification.
  2. Dans le volet d’informations, dans l’onglet Stratégies, cliquez sur Ajouter.
  3. Dans Nom, tapez le nom de la stratégie.
  4. En regard de Correspondance avec n’importe quelle expression, cliquez sur Ajouter.
  5. Dans la boîte de dialogue Ajouter une expression, dans Type d’expression, sélectionnez Sécurité du client.
  6. Configurez les paramètres des éléments suivants :
    1. Dans Composant, sélectionnez Registre.
    2. Dans Nom, tapez le nom de la clé de Registre.
    3. Dans Qualificatif, laissez le champ vide ou sélectionnez Valeur.
    4. Dans Opérateur, effectuez l’une des opérations suivantes :
      • Si le qualificatif n’est pas renseigné, sélectionnez EXISTS ou NOTEXISTS
      • Si vous avez sélectionné Valeur dans le qualificatif, sélectionnez == ou ! ==
    5. Dans Valeur, tapez la valeur telle qu’elle apparaît dans l’éditeur de registre, cliquez sur OK, puis sur Fermer.

Configurer des expressions de contrôle composées pour les appareils clients

Vous pouvez combiner des chaînes de contrôle de l’appareil client pour former des expressions de contrôle composées de l’appareil client.

Les opérateurs booléens pris en charge dans Citrix Gateway sont les suivants :

  • Et (&&)
  • Ou (
  • Non (!)

Pour plus de précision, vous pouvez regrouper les chaînes entre parenthèses.

Remarque :

Si vous utilisez la ligne de commande pour configurer des expressions, utilisez des parenthèses pour regrouper les expressions de contrôle de l’appareil lorsque vous créez une expression composée. L’utilisation de parenthèses améliore la compréhension et le débogage de l’expression client.

Configurez les stratégies avec l’opérateur AND (&&)

L’opérateur AND (&&) fonctionne en combinant deux chaînes de contrôle de l’appareil client afin que le contrôle composé soit réussi uniquement lorsque les deux vérifications sont vraies. L’expression est évaluée de gauche à droite et si la première vérification échoue, la deuxième vérification n’est pas effectuée.

Vous pouvez configurer l’opérateur AND (&&) à l’aide du mot-clé « AND » ou des symboles « &&».

Exemple:

Ce qui suit est une vérification de l’appareil client qui détermine si la version 7.0 de l’antivirus Sophos est installée et en cours d’exécution sur l’appareil utilisateur. Il vérifie également si le service Net Logon est en cours d’exécution sur le même ordinateur.

CLIENT.APPLICATION.AV(sophos).version==7.0 AND CLIENT.SVC(netlogon) EXISTS

Cette chaîne peut également être configurée comme suit :

CLIENT.APPLICATION.AV(sophos).version==7.0 && CLIENT.SVC(netlogon) EXISTS

Configurer les stratégies avec l’opérateur OR (||)

L’opérateur OR (||) fonctionne en combinant deux chaînes de contrôle de l’appareil. La vérification composée réussit lorsque l’une des vérifications est vraie. L’expression est évaluée de gauche à droite et si la première vérification réussit, la deuxième vérification n’est pas effectuée. Si le premier contrôle n’est pas réussi, le deuxième contrôle est effectué.

Vous pouvez configurer l’opérateur OR (||) à l’aide du mot-clé OR ou du symbole ||.

Exemple:

Ce qui suit est une vérification de l’appareil client qui détermine si le fichier c:\\file.txt ou le processus putty.exe est en cours d’exécution sur la machine utilisateur.

client.file(c:\\\\\\\\file.txt) EXISTS) OR (client.proc(putty.exe) EXISTS

Cette chaîne peut également être configurée comme

client.file(c:\\\\\\\\file.txt) EXISTS) || (client.proc(putty.exe) EXISTS

Configurez les stratégies à l’aide de NOT (!) opérateur

L’opérateur NOT (!) ou l’opérateur de négation annule la chaîne de contrôle de l’appareil client.

Exemple:

La vérification suivante de l’appareil client est réussie si le fichier c:\sophos_virus_defs.dat file ne date pas de plus de deux jours :

\!(client.file(c:\\\\\\\\sophos\_virus\_defs.dat).timestamp==2dy)