Advanced Endpoint Analysisスキャン
高度なエンドポイント分析(EPA)は、NetScaler Gatewayで設定されたエンドポイントセキュリティ要件についてユーザーデバイスをスキャンするために使用されます。ユーザーデバイスがNetScaler Gatewayにアクセスしようとすると、管理者がNetScaler Gatewayへのアクセスを許可する前に、オペレーティングシステム、ウイルス対策、Webブラウザーのバージョンなどのセキュリティ情報がデバイスからスキャンされます。
高度なEPAスキャンは、NetScaler Gatewayで認証セッション用に構成できるポリシーベースのスキャンです。このポリシーは、ユーザーデバイス上でレジストリチェックを実行し、評価に基づいて、NetScaler ADCネットワークへのアクセスを許可または拒否します。Citrix EPA クライアントのシステム要件について詳しくは、「 エンドポイント分析要件」を参照してください。
GUI または CLI を使用して高度な EPA スキャンを設定できます。
GUI について
-
EPA アクションを作成します。
[ セキュリティ] > [AAA-アプリケーショントラフィック] > [ポリシー] > [認証] > [詳細ポリシー] > [アクション] > [EPA ] に移動し、[ 追加] をクリックします。「 認証 EPA アクションの作成 」ページで、次の情報を更新し、「 作成」をクリックします。
- 名前:EPA アクションの名前。
- デフォルトグループ:EPA チェックが成功したときに選択されるデフォルトグループ。
- 検疫グループ:EPA チェックが失敗したときに選択される検疫グループ。
- Kill Process: EPA プラグインによって終了されるプロセスの名前を指定する文字列。複数のプロセスはカンマで区切る必要があります。
- ファイルの削除:EPA プラグインによって削除されるファイルのパスと名前を指定する文字列。複数のファイルはカンマで区切る必要があります。
- 表現:EPA 表現形式については、 アドバンスドエンドポイント分析ポリシー表現リファレンスを参照してください 。
- EPA エディタ:製品バージョンスキャンのオペレータを選択します。
注:
macOS 24.2.1.5向けCitrix EPAクライアント/macOS 24.02.1以降のバージョン用のCitrix Secure Accessクライアントは、EPAエディター上のEPA演算子
>
、<
、>=
、<=
、==
、および!=
をサポートします。 また、 Mac OS オプションが EPA エディタの個別のオプションとして使用できるようになりました (Mac > Mac OS)。以前は、macOS 製品バージョンのスキャンは、[共通]>[オペレーティングシステム]>[MacOS] で==
および!=
演算子のみを使用して実行する必要がありました。この機能を利用するには、NetScaler Gateway 14.1-12.x以降を使用していることを確認してください。これらのオペレータを使用して、 Mac > Mac OS で macOS デバイスの製品バージョンをスキャンできます。たとえば、12.8を除く12.4から13.0までのOSバージョンを許可するには、EPAエディターで式
sys.client_expr("sys_0_MAC-OS_version_>=_12.4")&&sys.client_expr("sys_0_MAC-OS_version_<=_13.0")&&sys.client_expr("sys_0_MAC-OS_version_!=_12.8")
を設定します。 -
対応する EPA ポリシーを作成します。
[ セキュリティ] > [AAA-アプリケーショントラフィック] > [ポリシー] > [認証] > [詳細ポリシー] > [ポリシー ] に移動し、[ 追加] をクリックします。「 認証ポリシーの作成 」ページで、次の情報を更新し、「 作成」をクリックします。
- 名前:詳細な EPA ポリシーの名前。
- アクションタイプ:認証アクションのタイプ。
- アクション:ポリシーが一致した場合に実行される認証アクションの名前。
- 表現:EPA 表現形式については、 アドバンスドエンドポイント分析ポリシー表現リファレンスを参照してください 。
- ログアクション:リクエストがこのポリシーに一致する場合に使用するメッセージログアクションの名前。最大許容長は 127 文字です。
-
認証仮想サーバーと認証プロファイルを設定します。
- [ セキュリティ] > [AAA-アプリケーショントラフィック] > [認証仮想サーバ ] に移動し、[ 追加] をクリックします。
- [ セキュリティ] > [AAA-アプリケーショントラフィック] > [認証プロファイル ] に移動し、[ 作成] をクリックします。
-
高度な EPA ポリシーを認証仮想サーバーにバインドします。
- [ セキュリティ] > [AAA-アプリケーショントラフィック] > [認証仮想サーバー ] に移動し、認証仮想サーバーを選択します。
- 「 詳細認証ポリシー」セクションでポリシーを選択します 。
- 「 ポリシーバインディング 」セクションの「 バインド 」をクリックします。
-
EPA ポリシーを nFactor フローにバインドします。
高度な EPA ポリシーを nFactor フローの要素として追加する方法の詳細については、 nFactor 認証の要素としての EPA スキャンを参照してください。
CLI で
-
EPA スキャンを実行するアクションを作成します。
add authentication epaAction EPA-client-scan -csecexpr "sys.client_expr ("proc_2_firefox")" <!--NeedCopy-->
上記の式は、プロセス「Firefox」が実行されているかどうかをスキャンします。EPA プラグインは、スキャン式の数字「2」で表される 2 分ごとにプロセスの存在をチェックします。
-
EPA アクションを高度な EPA ポリシーに関連付けます。
add authentication Policy EPA-check -rule true -action EPA-client-scan <!--NeedCopy-->
-
認証仮想サーバーと認証プロファイルを設定します。
add authentication vserver authnvsepa ssl -ip address 10.104.130.129 -port 443 <!--NeedCopy-->
add Authnprofile_EPA -authnVsName authnvsepa <!--NeedCopy-->
-
高度な EPA ポリシーを認証仮想サーバーにバインドします。
bind authentication vs authnvsepa -policy EPA-check -pr 1 <!--NeedCopy-->
EPA ライブラリをアップグレードする
NetScaler GUIを使用してEPAライブラリをアップグレードするには:
-
[構成]>[NetScaler Gateway]>[クライアントコンポーネントの更新]に移動します。
-
[ クライアントコンポーネントの更新] で、 [EPA ライブラリのアップグレード ] リンクをクリックします。
-
必要なファイルを選択し、[アップグレード( Upgrade)] をクリックします。
重要:
NetScaler Gateway の高可用性では、EPAライブラリをプライマリノードとセカンダリノードの両方でアップグレードする必要があります。
NetScaler Gateway クラスタリングセットアップでは、すべてのクラスタノードでEPAライブラリをアップグレードする必要があります。
NetScaler スキャン用の OPSWAT でサポートされているWindowsおよびMACアプリケーションのリストについては、https://support.citrix.com/article/CTX234466を参照してください。
高度なエンドポイント分析スキャンのトラブルシューティング
Advanced Endpoint Analysis スキャンのトラブルシューティングに役立つように、クライアントプラグインはクライアントエンドポイントシステム上のファイルにログ情報を書き込みます。これらのログファイルは、ユーザーのオペレーティングシステムに応じて、次のディレクトリにあります。
Windows Vista、Windows 7、Windows 8、Windows 8.1、Windows 10:
C:\\ Users\\\ <username\ >\ AppData\\ ローカル\\ Citrix\\ AGEE\\ nsepa.txt
Windows XP:
C:\Documents と設定\ すべてのユーザー\ アプリケーションデータ\ Citrix\ AGEE\ nsepa.txt
Mac OS Xシステム:
~/ライブラリ/アプリケーション Support/Citrix/EPAPlugin/epaplugin.log
(ここで、~ 記号は該当する macOS ユーザーのホームディレクトリパスを示します。) (ここで、~ 記号は該当する macOS ユーザーのホームディレクトリパスを示します。)
Ubuntu:
-
~/.citrix/nsepa.txt
-
~/.citrix/nsgcepa.txt