端点策略
端点分析 (EPA) 是一个扫描用户设备并检测信息的过程,例如操作系统更新、防病毒、防火墙和 Web 浏览器软件的存在和版本级别。端点分析允许您在用户的设备连接到您的网络之前确定其是否满足您的要求。也可以将其配置为在用户保持连接状态时定期检查是否有任何更改。您可以在用户会话期间检查用户设备上的文件、进程和注册表项,以确保该设备继续满足要求。
重要:
- Endpoint Analysis 旨在根据预先确定的合规性标准分析用户设备,并不强制或验证最终用户设备的安全性。建议使用端点安全系统来保护设备免受本地管理员攻击。
- EPA 客户端可作为独立客户端使用,还与 Citrix Secure Access 客户端捆绑在一起。Citrix EPA 客户端和 Citrix Secure Access 客户端相互独立。
端点策略的工作方式
您可以将 NetScaler Gateway 配置为在用户登录之前检查用户设备是否满足特定要求。这称为预身份验证策略。您可以将 NetScaler Gateway 配置为检查用户设备中是否存在您在策略中指定的防病毒、防火墙、反垃圾邮件、进程、文件、注册表项、Internet 安全或操作系统。如果用户设备未通过预身份验证扫描,则不允许用户登录。
要验证预身份验证策略中未使用的其他要求,您可以配置会话策略并将其绑定到用户或组。这种类型的策略称为身份验证后策略,它在用户会话期间运行,以确保所需的标准(例如防病毒软件或进程)保持合规。
配置预身份验证或身份验证后策略时,NetScaler Gateway 会下载端点分析插件,然后在用户的设备上运行扫描。每次用户登录时,Endpoint Analysis 插件都会自动运行。
您可以使用以下三种类型的策略来配置端点策略:
- 使用“是”或“否”参数的预身份验证策略。扫描将确定用户设备是否满足指定的要求。如果扫描失败,用户将无法在登录页面上输入凭据。
- 会话策略是有条件的,可用于 SmartAccess。
- 会话策略中的客户端设备检查表达式。如果用户设备未能满足客户端设备检查表达式的要求,则可以将用户配置为置于隔离组中。如果用户设备通过扫描,则可以将用户置于可能需要其他检查的其他组中。
您可以将检测到的信息合并到策略中,从而可以根据用户设备授予不同的访问级别。例如,您可以向从具有当前防病毒和防火墙软件要求的用户设备远程连接的用户提供具有下载权限的完全访问权限。对于从不兼容设备连接的用户,您可以提供更严格的访问级别,允许用户在远程服务器上编辑文档,而无需下载文档。所有运行 EPA 的设备都被视为不合规设备。
端点分析执行以下基本步骤:
- 检查有关用户设备的初始信息集,以确定要应用哪些扫描。
-
运行所有适用的扫描。当用户尝试连接时,Endpoint Analysis 插件会检查用户设备是否满足预身份验证或会话策略中指定的要求。如果用户设备通过扫描,则允许用户登录。如果用户设备扫描失败,则不允许用户登录。
注意: 端点分析扫描在用户会话使用许可证之前完成。
- 将用户设备上检测到的属性值与配置的扫描中列出的所需属性值进行比较。
- 生成输出,验证是否找到所需的属性值。
注意:
创建端点分析策略的说明只是一般准则。一个会话策略中可以有许多设置。配置会话策略的具体说明可能包含配置特定设置的说明。但是,该设置可以是会话配置文件和策略中包含的许多设置之一。
EPA 表达式示例
以下是某些 EPA 组件的表达式示例,例如终止进程、删除文件和设备证书:
- Windows:
- 终止进程:
sys.client_expr(\“proc_0_perl\“) -killProcess processToKill.exe
- 设备证书:
sys.client_expr(“device-cert_0_0”)
- 删除文件:
sys.client_expr(\“proc_0_perl\“) -deletefiles “C:/removefile.txt”
- 终止进程:
- MAC
- 终止进程:
sys.client_expr(\“proc_0_perl\“) -killProcess processToKill.exe
- 设备证书:
sys.client_expr(“device-cert_0_0”)
- 删除文件:
sys.client_expr(\“proc_0_perl\“) -deletefiles “C:/removefile.txt”
- 终止进程:
评估用户登录选项
用户登录时,他们可以选择跳过端点分析扫描。如果用户跳过扫描,NetScaler Gateway 将此操作作为失败的端点分析处理。当用户扫描失败时,他们只能访问 Web Interface 或者通过无客户端访问获得。
例如,您想使用 Citrix Secure Access 客户端为用户提供访问权限。要使用插件登录 NetScaler Gateway,用户必须运行防病毒应用程序,例如诺顿防病毒软件。如果用户设备未运行应用程序,则用户只能使用 Receiver 登录并使用已发布的应用程序。您还可以配置无客户端访问,这将限制对指定应用程序(如 Outlook Web Access)的访问。
要配置 NetScaler Gateway 以实现此登录方案,请将限制性会话策略分配为默认策略。然后,您可以配置设置,以便在用户设备通过 Endpoint Analysis 扫描时将用户升级到特权会话策略。此时,用户可以访问网络层,可以使用 Citrix Secure Access 客户端登录。
要将 NetScaler Gateway 配置为首先强制执行限制性会话策略,请执行以下步骤:
- 如果指定的应用程序未在用户设备上运行,请在启用 ICA 代理的情况下配置全局设置和所有其他必要设置。
- 创建启用 Citrix Secure Access 客户端的会话策略和配置文件。
-
在会话策略的规则部分中创建一个表达式来指定应用程序,例如
(client.application.process(symantec.exe) exists)
用户登录时,首先应用会话策略。如果端点分析失败或用户跳过扫描,NetScaler Gateway 将忽略会话策略中的设置(会话策略中的表达式被视为 false)。因此,用户可以使用 Web Interface 或无客户端访问限制访问。如果端点分析通过,NetScaler Gateway 将应用会话策略,用户拥有对 Citrix Secure Access 客户端的完全访问权限。
跳过 EPA 扫描
您只能跳过身份验证后和高级身份验证的 EPA 扫描。所有支持的操作系统的浏览器都可以使用 Skip EPA。用户必须单击访问网关时出现的“跳过 EPA”按钮。如果用户跳过扫描,NetScaler Gateway 将此操作作为失败的端点分析处理。当用户扫描失败时,他们只能访问 Web Interface 或者通过无客户端访问获得。
另请参阅https://support.citrix.com/article/CTX200748。
Ubuntu 支持的端点分析扫描
为 Ubuntu 操作系统安装的 EPA 插件支持以下端点分析 (EPA) 扫描。列出了配置每项扫描的示例表达式以及 EPA 扫描。您可以在身份验证策略中配置这些表达式。
-
文件
- 存在:: sys.client_expr(“file_0_/home/user/test.txt”)
- MD5 校验和:sys.client_expr(“file_0/home/user/test.txt_md5 ce780e271debcc29f551546e8db3368f”)
- 文件中的文本(支持正则表达式):sys.client_expr(“file_0_/home/user/test.txt_search_cloud”)
-
进程
- 存在:sys.client_expr(“proc_0_perl”)
- MD5 校验和:sys.client_expr(“proc_0perl_md5 c060d3a5f97e27066cef8c116785567a”)
- 路径:sys.client_expr(“proc_0perl_path/usr/bin/perl”)
- 文件系统设备或装载点名称:sys.client_expr(“mountpoint_0_/sys”)
如果您使用的是高级策略,则可以从 GUI 生成每次扫描的表达式(安全 > AAA > 策略 > 身份验证 > 高级策略 > EPA)。
注意: 在“表达式编辑器”页中,对于 Linux 客户端,可以选择“公 用”, 然后选择“进程”、“文件”或“挂载点”。