Analyses avancées des points de terminaison

L’analyse avancée des terminaux (EPA) est utilisée pour analyser les appareils des utilisateurs afin de vérifier les exigences de sécurité des terminaux configurées sur NetScaler Gateway. Si une machine utilisateur essaie d’accéder à NetScaler Gateway, elle est analysée pour détecter les informations de sécurité, telles que le système d’exploitation, l’antivirus, les versions des navigateurs Web, etc., avant qu’un administrateur ne puisse accorder l’accès à NetScaler Gateway.

L’analyse EPA avancée est une analyse basée sur des règles que vous pouvez configurer sur NetScaler Gateway pour les sessions d’authentification. La stratégie effectue une vérification du registre sur une machine utilisateur et, sur la base d’une évaluation, elle autorise ou refuse l’accès au réseau NetScaler. Pour plus d’informations sur la configuration système requise pour le client Citrix EPA, consultez la section Exigences relatives à Endpoint Analysis.

Vous pouvez configurer le scan EPA avancé à l’aide de l’interface graphique ou de l’interface de ligne de commande.

Sur l’interface graphique

1. Créez une action EPA.

   Accédez à Sécurité > AAA - Trafic d’applications > Stratégies > Authentification > Stratégies avancées > Actions > EPA, puis cliquez sur Ajouter. Sur la page Créer une action EPA d’authentification, mettez à jour les informations suivantes et cliquez sur Créer.

   • Nom : nom de l’action de l’EPA.
   • Groupe par défaut : groupe par défaut qui est choisi lorsque le contrôle EPA réussit.
   • Groupe de quarantaine : groupe de quarantaine choisi lorsque le contrôle de l’EPA échoue.
   • Kill Process : chaîne spécifiant le nom d’un processus à terminer par le plug-in EPA. Les processus multiples doivent être séparés par des virgules.
   • Supprimer les fichiers : chaîne spécifiant les chemins et les noms des fichiers à supprimer par le plug-in EPA. Les fichiers multiples doivent être séparés par des virgules.
   • Expression : Reportez-vous à la référence d’expression de stratégie Advanced Endpoint Analysis pour le format d’expression EPA.

   

   • EPA Editor : sélectionnez les opérateurs pour l’analyse de la version du produit.

   

   Remarque :

   Le client Citrix EPA pour macOS 24.2.1.5/Le client Citrix Secure Access pour macOS 24.02.1 et versions ultérieures prennent en charge les opérateurs EPA,>,<>=<= == et != sur l’éditeur EPA. De plus, l’option Mac OS est désormais disponible en tant qu’option distincte dans l’éditeur EPA (Mac > Mac OS). Auparavant, l’analyse de la version du produit macOS devait être effectuée dans Common > Système d’exploitation > macOS en utilisant uniquement les != opérateurs == et. Assurez-vous que vous utilisez NetScaler Gateway 14.1-12.x ou version ultérieure pour tirer parti de cette fonctionnalité.

   Vous pouvez effectuer une analyse de la version du produit de vos appareils macOS sur Mac > Mac OS à l’aide de ces opérateurs. Par exemple, pour autoriser les versions du système d’exploitation de 12.4 à 13.0, sauf 12.8, configurez l’expression dans sys.client_expr("sys_0_MAC-OS_version_>=_12.4")&&sys.client_expr("sys_0_MAC-OS_version_<=_13.0")&&sys.client_expr("sys_0_MAC-OS_version_!=_12.8") l’éditeur EPA.

2. Créez une stratégie EPA correspondante.

   Accédez à Sécurité > AAA - Trafic des applications > Stratégies > Authentification > Stratégies avancées > Stratégies, puis cliquez sur Ajouter. Sur la page Créer une stratégie d’authentification, mettez à jour les informations suivantes et cliquez sur Créer.

   • Nom : nom de la stratégie avancée de l’EPA.
   • Type d’action : type de l’action d’authentification.
   • Action : nom de l’action d’authentification à effectuer si la stratégie correspond.
   • Expression : Reportez-vous à la référence d’expression de stratégie Advanced Endpoint Analysis pour le format d’expression EPA.
   • Action de journalisation : nom de l’action du journal des messages à utiliser lorsqu’une demande correspond à cette stratégie. La longueur maximale autorisée est de 127 caractères.

   

3. Configurez un serveur virtuel d’authentification et un profil d’authentification.

   • Accédez à Sécurité > AAA - Trafic des applications > Authentification > Serveurs virtuels et cliquez sur Ajouter.

   

   • Accédez à Sécurité > AAA - Trafic des applications > Profil d’authentification et cliquez sur Créer.

   

4. Liez la stratégie EPA avancée au serveur virtuel d’authentification.

   • Accédez à Sécurité > AAA — Trafic des applications > Serveurs virtuels d’authentification et sélectionnez le serveur virtuel d’authentification.
   • Sélectionnez la stratégie dans la section Stratégies d’authentification avancées.
   • Cliquez sur Lier dans la section Liaison des stratégies.

   

5. Liez la stratégie de l’EPA au flux nFactor.

   Pour plus de détails sur la manière d’ajouter une stratégie EPA avancée en tant que facteur au flux nFactor, consultez le scan EPA en tant que facteur d’authentification nFactor.

Sur la CLI

1. Créez une action pour effectuer le scan EPA.

   add authentication epaAction EPA-client-scan -csecexpr "sys.client_expr ("proc_2_firefox")"
   <!--NeedCopy-->
   

   L’expression précédente analyse si le processus « Firefox » est en cours d’exécution. Le plug-in EPA vérifie l’existence du processus toutes les 2 minutes, ce qui est indiqué par le chiffre « 2 » dans l’expression d’analyse.

2. Associez l’action de l’EPA à une stratégie avancée de l’EPA.

   add authentication Policy EPA-check -rule true -action EPA-client-scan
   <!--NeedCopy-->
   

3. Configurez un serveur virtuel d’authentification et un profil d’authentification.

   add authentication vserver authnvsepa ssl -ip address 10.104.130.129 -port 443
   <!--NeedCopy-->
   

   add Authnprofile_EPA -authnVsName authnvsepa
   <!--NeedCopy-->
   

4. Liez la stratégie EPA avancée au serveur virtuel d’authentification.

   bind authentication vs authnvsepa -policy EPA-check -pr 1
   <!--NeedCopy-->
   

Mise à niveau des bibliothèques EPA

Pour utiliser l’interface graphique NetScaler afin de mettre à niveau les bibliothèques EPA :

1. Accédez àConfiguration > NetScaler Gateway > Mettre à jour les composants du client.

2. Sous Mettre à jour les composants client, cliquez sur le lienMettre à niveau les bibliothèques EPA.

3. Sélectionnez le fichier requis et cliquez sur Mettre à niveau.

Important :

• Dans le cadre d’une haute disponibilité de NetScaler Gateway, les bibliothèques EPA doivent être mises à niveau à la fois sur les nœuds principal et secondaire.

• Dans une configuration de clustering NetScaler Gateway, les bibliothèques EPA doivent être mises à niveau sur tous les nœuds du cluster.

Pour obtenir la liste des applications Windows et MAC prises en charge par OPSWAT pour les scans NetScaler, consultez. https://support.citrix.com/article/CTX234466

Dépannage des analyses avancées d’Endpoint Analysis

Pour faciliter le dépannage des analyses Advanced Endpoint Analysis, les plug-ins clients écrivent des informations de journalisation dans un fichier sur les systèmes de terminaux clients. Ces fichiers journaux se trouvent dans les répertoires suivants, en fonction du système d’exploitation de l’utilisateur.

Windows Vista, Windows 7, Windows 8, Windows 8.1 et Windows 10 :

C:\Users\<username>\AppData\Local\Citrix\AGEE\nsepa.txt

Windows XP :

C:\Documents and Settings\All Users\Application Data\Citrix\AGEE\nsepa.txt

Systèmes Mac OS X :

~/Bibliothèque/Application Support/Citrix/EPAPlugin/epaplugin.log

(Où le symbole ~ indique le chemin du répertoire personnel de l’utilisateur macOS concerné.) (Où le symbole ~ indique le chemin du répertoire personnel de l’utilisateur macOS concerné.)

Ubuntu :

• ~/.citrix/nsepa.txt

• ~/.citrix/nsgcepa.txt