エンドポイントポリシー
Endpoint Analysis (EPA) は、ユーザーのデバイスをスキャンして、オペレーティングシステムの更新、ウイルス対策、ファイアウォール、Web ブラウザーソフトウェアの有無やバージョンレベルなどの情報を検出するプロセスです。Endpoint Analysis では、ネットワークに接続する前に、ユーザーのデバイスが要件を満たしているかどうかを判断できます。また、ユーザーが接続している間に変更がないか定期的に確認するように設定することもできます。ユーザーセッション中にユーザーデバイス上のファイル、プロセス、およびレジストリエントリをチェックして、デバイスが引き続き要件を満たしていることを確認できます。
重要:
- Endpoint Analysisは、事前に定められたコンプライアンス基準に照らしてユーザーデバイスを分析することを目的としており、エンドユーザーデバイスのセキュリティを強制または検証するものではありません。ローカル管理者による攻撃からデバイスを保護するには、エンドポイントセキュリティシステムを使用することをお勧めします。
- EPAクライアントはスタンドアロンクライアントとして使用でき、Citrix Secure Accessクライアントにバンドルされています。Citrix EPAクライアントとCitrix Secure Accessクライアントは相互に独立しています。
エンドポイントポリシーの仕組み
ユーザーがログオンする前に、ユーザーデバイスが特定の要件を満たしているかどうかを確認するようにNetScaler Gateway を構成できます。これは事前認証ポリシーと呼ばれます。ポリシー内で指定したウイルス対策、ファイアウォール、スパム対策、プロセス、ファイル、レジストリエントリ、インターネットセキュリティ、またはオペレーティングシステムについて、ユーザーデバイスをチェックするようにNetScaler Gateway を構成できます。ユーザーデバイスが事前認証スキャンに失敗した場合、ユーザーはログオンできません。
事前認証ポリシーで使用されていない他の要件を確認するには、セッションポリシーを設定し、それをユーザーまたはグループにバインドできます。このタイプのポリシーは「認証後ポリシー」と呼ばれ、ウイルス対策ソフトウェアやプロセスなどの必要な基準が常に準拠していることを確認するためにユーザーセッション中に実行されます。
事前認証または認証後のポリシーを構成すると、NetScaler Gateway はEndpoint Analysisプラグインをダウンロードし、ユーザーのデバイスでスキャンを実行します。ユーザーがログオンするたびに、Endpoint Analysis プラグインが自動的に実行されます。
次の 3 種類のポリシーを使用してエンドポイントポリシーを設定できます。
- Yes または No パラメータを使用する事前認証ポリシー。このスキャンでは、ユーザーデバイスが指定された要件を満たしているかどうかが判断されます。スキャンが失敗した場合、ユーザーはログオンページで資格情報を入力できません。
- 条件付きで、SmartAccess に使用できるセッションポリシー。
- セッションポリシー内のクライアントデバイスチェック表現。ユーザーデバイスがクライアントデバイスチェック式の要件を満たしていない場合、ユーザーを隔離グループに入れるように構成できます。ユーザーデバイスがスキャンに合格すると、ユーザーは別のグループに配置され、他のチェックが必要になる場合があります。
検出された情報をポリシーに組み込んで、ユーザーデバイスに基づいてさまざまなレベルのアクセス権限を付与できます。たとえば、最新のウイルス対策ソフトウェアおよびファイアウォールソフトウェア要件を持つユーザーデバイスからリモート接続するユーザーに、ダウンロード権限を持つフルアクセスを提供できます。準拠していないデバイスから接続するユーザーには、より制限されたアクセスレベルを提供して、ユーザーがダウンロードせずにリモートサーバー上のドキュメントを編集できるようにすることができます。EPA を実行しているすべてのデバイスは非準拠デバイスとみなされます。
エンドポイント分析は、次の基本手順を実行します。
- ユーザーデバイスに関する情報の初期セットを調べ、適用するスキャンを決定します。
-
該当するすべてのスキャンを実行します。ユーザーが接続しようとすると、Endpoint Analysisプラグインは、事前認証またはセッションポリシーで指定された要件についてユーザーデバイスをチェックします。ユーザーデバイスがスキャンに合格すると、ユーザーはログオンできます。ユーザーデバイスがスキャンに失敗すると、ユーザーはログオンできなくなります。
注: Endpoint Analysis のスキャンは、ユーザーセッションがライセンスを使用する前に完了します。
- ユーザーデバイス上で検出されたプロパティ値と、構成済みのスキャンにリストされている目的のプロパティ値を比較します。
- 目的のプロパティ値が見つかったかどうかを確認する出力を生成します。
重要:
エンドポイント分析ポリシーの作成手順は、一般的なガイドラインです。1 つのセッションポリシー内に多数の設定を適用できます。セッションポリシーを構成する具体的な手順には、特定の設定を構成するための指示が含まれている場合があります。ただし、この設定は、セッションプロファイルとポリシーに含まれる多くの設定の 1 つになる場合があります。
EPA 表現のサンプル
以下は、強制終了プロセス、ファイル削除、デバイス証明書などの一部の EPA コンポーネントの表現例です。
- Windows:
- 強制終了プロセス:
sys.client_expr(\“proc_0_perl\“) -killProcess processToKill.exe
- デバイス証明書:
sys.client_expr(“device-cert_0_0”)
- ファイルの削除:
sys.client_expr(\“proc_0_perl\“) -deletefiles “C:/removefile.txt”
- 強制終了プロセス:
- MAC
- 強制終了プロセス:
sys.client_expr(\“proc_0_perl\“) -killProcess processToKill.exe
- デバイス証明書:
sys.client_expr(“device-cert_0_0”)
- ファイルの削除:
sys.client_expr(\“proc_0_perl\“) -deletefiles “C:/removefile.txt”
- 強制終了プロセス:
ユーザーログオンオプションの評価
ユーザーがログオンするときに、エンドポイント分析のスキャンをスキップするように選択できます。ユーザーがスキャンをスキップすると、NetScaler Gateway はこのアクションを失敗したエンドポイント分析として処理します。ユーザーがスキャンに失敗した場合、Web Interfaceにアクセスするか、クライアントレスアクセスを介してのみアクセスできます。
たとえば、Citrix Secure Accessクライアントを使用してユーザーにアクセスできるようにしたいとします。プラグインを使用してNetScaler Gateway にログオンするには、ユーザーがノートンアンチウイルスなどのウイルス対策アプリケーションを実行している必要があります。ユーザーデバイスでアプリケーションが実行されていない場合、ユーザーはReceiverのみでログオンし、公開アプリケーションを使用できます。また、Outlook Web Access などの特定のアプリケーションへのアクセスを制限するクライアントレスアクセスを構成することもできます。
このログオンシナリオを実現するようにNetScaler Gateway を構成するには、制限付きセッションポリシーをデフォルトポリシーとして割り当てます。次に、ユーザーデバイスがEndpoint Analysisスキャンに合格したときに、ユーザーを特権セッションポリシーにアップグレードするように設定を構成します。その時点で、ユーザーはネットワークレイヤーにアクセスでき、Citrix Secure Accessクライアントでログオンできます。
制限付きセッションポリシーを最初に強制するようにNetScaler Gateway を構成するには、次の手順に従います。
- ICAプロキシを有効にしてグローバル設定を構成し、指定したアプリケーションがユーザーデバイス上で実行されていない場合は、他のすべての必要な設定を構成します。
- Citrix Secure Accessクライアントを有効にするセッションポリシーとプロファイルを作成します。
-
セッションポリシーのルール部分に、次のような式を作成してアプリケーションを指定します。
(client.application.process(symantec.exe) exists)
ユーザーがログオンすると、最初にセッションポリシーが適用されます。エンドポイント分析が失敗した場合、またはユーザーがスキャンをスキップした場合、NetScaler Gateway はセッションポリシーの設定を無視します(セッションポリシーの式は偽と見なされます)。その結果、ユーザは Web インターフェイスまたはクライアントレスアクセスを使用したアクセスが制限されます。エンドポイント分析に合格すると、NetScaler Gatewayがセッションポリシーを適用し、ユーザーはCitrix Secure Accessクライアントにフルアクセスできるようになります。
EPA スキャンをスキップする
EPA スキャンをスキップできるのは、認証後および事前認証のみです。Skip EPA は、サポートされているすべてのオペレーティングシステムのブラウザで利用できます。ユーザーは、ゲートウェイにアクセスするときに表示される [ Skip EPA ] ボタンをクリックする必要があります。ユーザーがスキャンをスキップすると、NetScaler Gateway はこのアクションを失敗したエンドポイント分析として処理します。ユーザーがスキャンに失敗した場合、Web Interfaceにアクセスするか、クライアントレスアクセスを介してのみアクセスできます。
「https://support.citrix.com/article/CTX200748」も参照してください。
Ubuntu でサポートされるエンドポイント分析スキャン
次のエンドポイント分析 (EPA) スキャンは、Ubuntu オペレーティングシステム用にインストールされた EPA プラグインでサポートされています。各スキャンを設定するためのサンプル式は、EPA スキャンとともに一覧表示されています。これらの式は、認証ポリシーで設定できます。
-
ファイル
- 存在:sys.client_expr(“file_0_/home/user/test.txt”)
- MD5 チェックサム:sys.client_expr (“file_0/home/user/test.txt_md5 ce780e271debcc29f551546e8db3368f”)
- ファイル内のテキスト (正規表現サポート): sys.client_expr ((“file_0_/home/user/test.txt_search_cloud”)
-
プロセス
- 存在:sys.client_expr(“proc_0_perl”)
- MD5 チェックサム:sys.client_expr(“proc_0perl_md5 c060d3a5f97e27066cef8c116785567a”)
- パス:sys.client_expr(“proc_0perl_path/usr/bin/perl”)
- ファイルシステムデバイスまたはマウントポイント名:sys.client_expr(“mountpoint_0_/sys”)
高度なポリシーを使用している場合、各スキャンの式は GUI から生成できます([セキュリティ] > [AAA] > [ポリシー] > [認証] > [高度なポリシー] > [EPA])。
注: Linux クライアントの [式エディタ] ページで、[ 共通] を選択し、[プロセス]、[ファイル]、 または [ マウントポイント] を選択できます。