Citrix Gateway

Funktionsweise von Endpunktrichtlinien

Sie können Citrix Gateway so konfigurieren, dass überprüft wird, ob ein Benutzergerät bestimmte Sicherheitsanforderungen erfüllt, bevor sich ein Benutzer anmeldet. Dies wird als Vorauthentifizierungsrichtlinie bezeichnet. Sie können Citrix Gateway so konfigurieren, dass ein Benutzergerät auf Virenschutz, Firewall, Antispam, Prozesse, Dateien, Registrierungseinträge, Internetsicherheit oder Betriebssysteme überprüft, die Sie in der Richtlinie angeben. Wenn das Benutzergerät die Überprüfung der Vorauthentifizierung fehlschlägt, ist es Benutzern nicht gestattet, sich anzumelden.

Wenn Sie zusätzliche Sicherheitsanforderungen konfigurieren müssen, die nicht in einer Vorauthentifizierungsrichtlinie verwendet werden, konfigurieren Sie eine Sitzungsrichtlinie und binden sie an einen Benutzer oder eine Gruppe. Dieser Richtlinientyp wird als Richtlinie nach der Authentifizierung bezeichnet, die während der Benutzersitzung ausgeführt wird, um sicherzustellen, dass die erforderlichen Elemente wie Antivirensoftware oder ein Prozess weiterhin erfüllt sind.

Wenn Sie eine Vorauthentifizierungs- oder Nachauthentifizierungsrichtlinie konfigurieren, lädt Citrix Gateway das Endpoint Analysis-Plug-In herunter und führt dann den Scan aus. Jedes Mal, wenn sich ein Benutzer anmeldet, wird das Endpoint Analysis-Plug-In automatisch ausgeführt.

Sie verwenden die folgenden drei Arten von Richtlinien, um Endpunktrichtlinien zu konfigurieren:

  • Vorauthentifizierungsrichtlinie, die einen yes oder no -Parameter verwendet. Der Scan bestimmt, ob das Benutzergerät die angegebenen Anforderungen erfüllt. Wenn der Scan fehlschlägt, kann der Benutzer keine Anmeldeinformationen auf der Anmeldeseite eingeben.
  • Sitzungsrichtlinie, die bedingt ist und für SmartAccess verwendet werden kann.
  • Client-Sicherheitsausdruck innerhalb einer Sitzungsrichtlinie. Wenn das Benutzergerät die Anforderungen des Client-Sicherheitsausdrucks nicht erfüllt, können Sie Benutzer so konfigurieren, dass sie in eine Quarantänegruppe eingefügt werden. Wenn das Benutzergerät den Scan bestanden hat, können Benutzer in eine andere Gruppe eingefügt werden, für die möglicherweise zusätzliche Prüfungen erforderlich sind.

Sie können erkannte Informationen in Richtlinien integrieren, sodass Sie je nach Benutzergerät unterschiedliche Zugriffsebenen gewähren können. Beispielsweise können Sie Benutzern, die eine Remoteverbindung von Benutzergeräten herstellen, die aktuelle Antivirus- und Firewall-Softwareanforderungen haben, vollen Zugriff mit Downloadberechtigung gewähren. Für Benutzer, die eine Verbindung von nicht vertrauenswürdigen Computern herstellen, können Sie eine eingeschränkte Zugriffsebene bereitstellen, mit der Benutzer Dokumente auf Remoteservern bearbeiten können, ohne sie herunterzuladen.

Die Endpunktanalyse führt die folgenden grundlegenden Schritte durch:

  • Überprüft einen ersten Satz von Informationen über das Benutzergerät, um festzustellen, welche Scans angewendet werden sollen.
  • Führt alle anwendbaren Scans aus. Wenn Benutzer versuchen, eine Verbindung herzustellen, überprüft das Endpoint Analysis-Plug-In das Benutzergerät auf die Anforderungen, die in der Vorauthentifizierungs- oder Sitzungsrichtlinie angegeben sind. Wenn das Benutzergerät den Scan bestanden hat, dürfen sich Benutzer anmelden. Wenn das Benutzergerät den Scan fehlschlägt, ist es Benutzern nicht gestattet, sich anzumelden. Hinweis: Die Endpunktanalyse wird abgeschlossen, bevor die Benutzersitzung eine Lizenz verwendet.
  • Vergleicht Eigenschaftswerte, die auf dem Benutzergerät erkannt wurden, mit den gewünschten Eigenschaftswerten, die in den konfigurierten Scans aufgeführt sind.
  • Erzeugt eine Ausgabe, die überprüft, ob gewünschte Eigenschaftswerte gefunden werden.

    Achtung: Die Anweisungen zum Erstellen von Endpunktanalyse-Richtlinien sind allgemeine Richtlinien. Sie können viele Einstellungen innerhalb einer Sitzungsrichtlinie haben. Spezifische Anweisungen zum Konfigurieren von Sitzungsrichtlinien können Anweisungen zum Konfigurieren einer bestimmten Einstellung enthalten. Diese Einstellung kann jedoch eine von vielen Einstellungen sein, die in einem Sitzungsprofil und einer Richtlinie enthalten sind.

Funktionsweise von Endpunktrichtlinien