Citrix Gateway

Advanced Endpoint Analysis scans

Advanced Endpoint Analysis (EPA) wird zum Scannen von Benutzergeräten auf die auf einer Citrix Gateway-Appliance konfigurierte Endpunktsicherheitsanforderung verwendet. Wenn ein Benutzergerät versucht, auf das Citrix Gateway-Gerät zuzugreifen, wird das Gerät nach Sicherheitsinformationen wie Betriebssystem, Antivirenprogramm, Webbrowser-Versionen usw. gescannt, bevor ein Administrator Zugriff auf das Citrix Gateway-Gerät gewähren kann.

Der erweiterte EPA-Scan ist ein richtlinienbasierter Scan, den Sie auf einer Citrix Gateway-Appliance für Vorauthentifizierungs- und Nachauthentifizierungssitzungen konfigurieren können. Die Richtlinie führt eine Registrierungsprüfung auf einem Benutzergerät durch und basierend auf der Auswertung ermöglicht oder verweigert die Richtlinie den Zugriff auf das Citrix ADC-Netzwerk.

Sie können zwei Arten von EPA-Scan durchführen, OPSWAT-Scan und Systemscan. Im folgenden Abschnitt werden die Scan-Typen und ihre Details erläutert.

OPSWAT-Scan. Der Scanmechanismus bietet Sicherheit auf verschiedenen Ebenen wie:

  • Produktspezifischer Scan
  • Anbieterspezifischer Scan
  • Generischer Scan

Produktspezifischer Scan: Sie können Scan-Kriterien für ein bestimmtes Produkt konfigurieren (zum Beispiel Avast! Kostenloses Antivirus), das von einem bestimmten Anbieter (z. B. AVAST Software a.s.) für eine Kategorie (z. B.Antivirus). Der Zugriff wird nur den Computern gewährt, die die angegebenen Kriterien erfüllen.**

Herstellerspezifischer Scan: Sie können Scan-Kriterien für einen bestimmten Anbieter (z. B. AVAST Software a.s.) einer Kategorie (z. B.Antivirus). Der konfigurierte Scan prüft alle vom Anbieter angebotenen Produkte auf die angegebenen Kriterien. Der Zugriff wird nur den Computern gewährt, die die angegebenen Kriterien erfüllen.

Generischer Scan: Sie können Scan-Kriterien für eine bestimmte Kategorie konfigurieren (z. B. Antivirus). Der konfigurierte Scan prüft alle Anbieter und die von den Anbietern angebotenen Produkte auf die angegebenen Kriterien. Der Zugriff wird nur den Computern gewährt, die die angegebenen Kriterien erfüllen.

Systemscan. Der Systemscan bietet Sicherheit für Attribute auf Systemebene wie die MAC-Adresse. Sie können Scan-Kriterien für ein Systemattribut konfigurieren (z. B. MAC-Adresse). Der Zugriff wird nur den Computern gewährt, die die angegebenen Kriterien erfüllen.

Konfigurieren erweiterter Endpoint Analysis-Scans

Sie können zwei Arten von EPA-Scan konfigurieren: OPSWAT-Scan und Systemscan.

OPSWAT-Scan

Die folgenden OPSWAT-Scans sind auf einer Citrix Gateway-Appliance konfiguriert.

  • Produktspezifischer Scan
  • Anbieterspezifischer Scan
  • Generischer Scan

Hinweis:

Scannt, dass ein bestimmter Produktsupport in der GUI angezeigt wird. Außerdem nimmt die folgende OPSWAT-Scankonfiguration die Vorauthentifizierung EPA als Beispiel. OPSWAT-Scan kann auch für EPA nach der Authentifizierung konfiguriert werden.

Konfigurieren Sie produktspezifischen OPSWAT-Scan

So verwenden Sie die Citrix ADC GUI zum Konfigurieren eines produktspezifischen OPSWAT-Scans:

  1. Navigieren Sie zu Konfiguration > Citrix Gateway > Globale Einstellungen.

  2. Klicken Sie auf der SeiteGlobale Einstellungen auf Link Vorauthentifizierungseinstellungen ändern.

  3. Klicken Sie auf der Seite AAA-Vorauthentifizierungsparameter konfigurieren auf den Link OPSWAT EPA Editor.

  4. Wählen Sie im Bereich Ausdruckseditor das Betriebssystem aus.

    Ausdrucks-Edi

  5. Wählen Sie die Kategorie aus, zum Beispiel Antivirus.

    Wählen Sie Antivirus

  6. Wählen Sie den Anbieter aus, zum Beispiel AVAST Software a.s.

    Anbieter wählen

  7. Wähle das Produkt aus, zum Beispiel Avast! Kostenloses Antivirus.

    Produkt wählen

  8. Klicken Sie neben dem Dropdownmenü des Produkts auf +, um den Produktscan zu konfigurieren.

    Scan konfigurieren

  9. Geben Sie optional einen Wert für die Häufigkeit des Scans ein, wenn Sie einen regelmäßigen Scan wünschen.

    Konfigurieren Sie Frequenz

Konfigurieren des herstellerspezifischen OPSWAT-Scans

So verwenden Sie die Citrix ADC GUI zum Konfigurieren des herstellerspezifischen OPSWAT-Scans:

  1. Navigieren Sie zu Konfiguration > Citrix Gateway > Globale Einstellungen.

  2. Klicken Sie auf der SeiteGlobale Einstellungen auf Link Vorauthentifizierungseinstellungen ändern.

  3. Klicken Sie auf der Seite AAA-Vorauthentifizierungsparameter konfigurieren auf den Link OPSWAT EPA Editor .

  4. Wählen Sie im Bereich Ausdruckseditor das Betriebssystem aus.

    Ausdrucks-Edi

  5. Wählen Sie die Kategorie aus, zum Beispiel Antivirus.

    Kategorie wählen

  6. Wählen Sie den Anbieter aus, zum Beispiel AVAST Software a.s.

    Anbieter wählen

  7. Wählen Sie den generischen herstellerspezifischen Scan “AVAST Software a.s.” Scannen aus.

    Anbieterspezifischen Scan auswählen

  8. Klicken Sie neben dem Dropdownmenü des Produkts auf +, um Ihren Scan zu konfigurieren.

    Scan konfigurieren

  9. Geben Sie optional einen Wert für die Häufigkeit des Scans ein, wenn Sie einen regelmäßigen Scan wünschen.

    Konfigurieren Sie Frequenz

Konfigurieren Sie den generischen OPSWAT

So verwenden Sie die Citrix ADC GUI zum Konfigurieren des generischen OPSWAT-Scans:

  1. Navigieren Sie zu Konfiguration > Citrix Gateway > Globale Einstellungen.

  2. Klicken Sie auf der Seite Globale Einstellungen auf LinkVorauthentifizierungseinstellungen ändern .

  3. Klicken Sie auf der Seite AAA-Vorauthentifizierungsparameter konfigurieren auf den Link OPSWAT EPA Editor .

  4. Wählen Sie im Bereich Ausdruckseditor das Betriebssystem aus.

    Ausdrucks-Edi

  5. Wählen Sie die Kategorie aus, zum Beispiel Antivirus.

    Kategorie wählen

  6. Wählen Sie den kategoriespezifischen Scan “Generisch”, zum Beispiel Generischer Antivirus-Produktscan.

    Wählen Sie ein Generikum

  7. Klicken Sie neben dem Dropdownmenü des Produkts auf +, um Ihren Scan zu konfigurieren.

    Scan konfigurieren

  8. Geben Sie optional einen Wert für die Häufigkeit des Scans ein, wenn Sie einen regelmäßigen Scan wünschen.

    Konfigurieren Sie Frequenz

Systemscan

Die folgenden Systemscans sind auf einem Citrix Gateway-Gerät konfiguriert.

  • MAC-Adresse
  • Domain-Check
  • Numerische Registrierung
  • Nicht-numerische Registrierung
  • Windows-Update

So verwenden Sie die Citrix ADC GUI zum Konfigurieren des OPSWAT-Systemscans:

  1. Navigieren Sie zu Konfiguration > Citrix Gateway > Globale Einstellungen.

  2. Klicken Sie auf der SeiteGlobale Einstellungen auf Link Vorauthentifizierungseinstellungen ändern.

  3. Klicken Sie auf der Seite AAA-Vorauthentifizierungsparameter konfigurieren auf den Link OPSWAT EPA Editor .

  4. Wählen Sie im Bereich Ausdruckseditor das Betriebssystem aus.

    Ausdrucks-Edi

  5. Wählen Sie den gewünschten Systemscan aus dem Dropdownmenü aus. Zum Beispiel MAC-Adresse.

    Wählen Sie den Scan-Typ

  6. Klicken Sie auf das + neben dem Dropdownmenü Produkt, um Ihren Scan zu konfigurieren.

    Scan konfigurieren

  7. Geben Sie optional einen Wert für die Häufigkeit des Scans ein, wenn Sie einen regelmäßigen Scan wünschen.

    Konfigurieren Sie Frequenz

So konfigurieren Sie ein Vorauthentifizierungsprofil mithilfe erweiterter Endpoint Analysis-Ausdrücke

  1. Navigieren Sie zu Citrix Gateway > Richtlinien.
  2. Wählen Sie Vorauthentifizierungaus.
  3. Klicken Sie im Detailbereich auf der Registerkarte Richtlinien auf Hinzufügen.
  4. Geben Sie einen Namen für das Profil ein.
  5. Wähle eine Aktion aus.
  6. Geben Sie optional die Namen aller Prozesse ein, die gestoppt werden sollen, oder Dateien, die auf dem Client-Endpunktsystem gelöscht werden sollen.
  7. Klicken Sie auf Erstellen.

Ihr Profil ist jetzt für die Verwendung in einer Vorauthentifizierungsrichtlinie als Anforderungsaktion verfügbar.

So konfigurieren Sie eine Vorauthentifizierungsrichtlinie mithilfe erweiterter Endpoint Analysis-Ausdrücke

  1. Navigieren Sie zu Citrix Gateway > Richtlinien.
  2. Wählen Sie Vorauthentifizierungaus.
  3. Klicken Sie im Detailbereich auf der Registerkarte Richtlinien auf Hinzufügen.
  4. Geben Sie einen Namen für die Richtlinie ein.
  5. Wählen Sie im Menü Aktion anfordern das gewünschte Profil aus.
  6. Wählen Sie im Ausdrucksbereich OPSWAT EPA Editoraus.
  7. Wählen Sie im ersten Menü ein Client-Betriebssystem aus.
  8. Wählen Sie im zweiten Menü einen Scan-Typ aus.
  9. Wenn Sie mit dem Erstellen der Richtlinie fertig sind, klicken Sie auf Erstellen.

Binden Sie Ihre Advanced Endpoint Analysis-Vorauthentifizierungsrichtlinie, um sie zu aktivieren.

So binden Sie eine Vorauthentifizierungsrichtlinie

  1. Navigieren Sie zu Citrix Gateway > Richtlinien.
  2. Wählen Sie Vorauthentifizierungaus.
  3. Klicken Sie im Detailbereich auf der Registerkarte Richtlinien auf Hinzufügen.
  4. Wählen Sie im Menü Aktion die Option Globale Bindungenaus.
  5. Klicken Sie auf Binden.
  6. Aktivieren Sie im daraufhin angezeigten Bereich Richtlinien das Kontrollkästchen neben der gewünschten Richtlinie.
  7. Klicken Sie auf Einfügen.
  8. Der Richtlinie wird automatisch eine Priorität (Gewicht) zugewiesen. Klicken Sie auf den Eintrag Priorität, um nach Bedarf zu bearbeiten.
  9. Klicken Sie auf OK, um die Richtlinie zu binden.

So konfigurieren Sie eine erweiterte Endpoint Analysis-Richtlinie für bestimmte Sitzungen

  1. Navigieren Sie zu Citrix Gateway > Richtlinien.
  2. Wählen Sie Sitzungaus.
  3. Klicken Sie im Detailbereich auf der Registerkarte Richtlinien auf Hinzufügen.
  4. Geben Sie einen Namen für die Richtlinie ein.
  5. Führen Sie im Menü Aktion einen der folgenden Schritte aus:
    • a. Wählen Sie eine bestehende Aktion aus.
    • b. Klicken Sie auf das Plus-Symbol, um die Konfigurationsparameter anzuzeigen, die von der Sitzungsrichtlinie festgelegt werden können. Klicken Sie auf das Kontrollkästchen Global überschreiben rechts neben einer Konfigurationsoption, um sie zu aktivieren. Klicken Sie auf Create.
  6. Wählen Sie im Ausdrucksbereich OPSWAT EPA Editoraus.
  7. Wählen Sie im Menü ein Client-Betriebssystem aus.
  8. Wählen Sie im zweiten Pull-Menü einen Scan-Typ aus.
  9. Wenn Sie mit dem Erstellen der Richtlinie fertig sind, klicken Sie auf Erstellen.

Binden Sie Ihre Erweiterte Endpoint Analysis-Sitzungsrichtlinie, um sie zu aktivieren.

So binden Sie eine Sitzungsrichtlinie

  1. Navigieren Sie zu Citrix Gateway > Richtlinien.
  2. Wählen Sie Sitzungaus.
  3. Klicken Sie im Detailbereich auf der Registerkarte Richtlinien auf Hinzufügen.
  4. Wählen Sie im Menü Aktion die Option Globale Bindungenaus.
  5. Klicken Sie auf Binden.
  6. Aktivieren Sie im daraufhin angezeigten Bereich Richtlinien das Kontrollkästchen neben der gewünschten Richtlinie.
  7. Klicken Sie auf Einfügen.
  8. Der Richtlinie wird automatisch eine Priorität (Gewicht) zugewiesen. Klicken Sie auf den Eintrag Priorität, um nach Bedarf zu bearbeiten.
  9. Klicken Sie auf OK, um die Richtlinie zu binden.

Upgrade EPA-Bibliotheken

So verwenden Sie die Citrix ADC GUI zum Aktualisieren von EPA-Bibliotheken:

  1. Navigieren Sie zuKonfiguration > Citrix Gateway > Clientkomponenten aktualisieren.

  2. Klicken Sie unter Clientkomponenten aktualisieren auf den LinkEPA-Bibliotheken aktualisieren .

  3. Wählen Sie die erforderliche Datei aus und klicken Sie auf Upgrade.

Wichtig:

  • Bei einer Citrix Gateway-Hochverfügbarkeit müssen die EPA-Bibliotheken sowohl auf dem primären als auch auf dem sekundären Knoten aktualisiert werden.

  • In einem Citrix Gateway-Clustering-Setup müssen die EPA-Bibliotheken auf allen Clusterknoten aktualisiert werden.

Eine Liste der von Windows und MAC unterstützten Anwendungen von OPSWAT für Citrix ADC-Scans finden Sie unter https://support.citrix.com/article/CTX234466.

Fehlerbehebung bei erweiterten Endpoint Analysis-Scans

Um bei der Fehlerbehebung bei Advanced Endpoint Analysis-Scans zu helfen, schreiben die Client-Plug-Ins Protokollinformationen in eine Datei auf Client-Endpunktsystemen. Diese Protokolldateien befinden sich je nach Betriebssystem des Benutzers in den folgenden Verzeichnissen.

Windows Vista, Windows 7, Windows 8, Windows 8.1 und Windows 10:

C:\Users\<username>\AppData\Local\Citrix\AGEE\nsepa.txt

Windows XP:

C:\Documents and Settings\All Users\Application Data\Citrix\AGEE\nsepa.txt

Mac OS X-Systeme:

~/Library/Application Support/Citrix/EPAPlugin/epaplugin.log

(Wo das ~-Symbol den Home-Verzeichnispfad des relevanten macOS-Benutzers angibt.)

Advanced Endpoint Analysis scans