Citrix Gateway

Richtlinien für Endgeräte

Endpoint Analysis ist ein Prozess, der ein Benutzergerät scannt und Informationen wie das Vorhandensein und die Versionsebene eines Betriebssystems sowie von Antiviren-, Firewall- oder Webbrowser-Software erkennt. Sie können Endpoint Analysis verwenden, um zu überprüfen, ob das Benutzergerät Ihren Anforderungen entspricht, bevor Sie ihm erlauben, eine Verbindung zu Ihrem Netzwerk herzustellen oder nach der Benutzeranmeldung verbunden zu bleiben. Sie können Dateien, Prozesse und Registrierungseinträge auf dem Benutzergerät während der Benutzersitzung überwachen, um sicherzustellen, dass das Gerät weiterhin die Anforderungen erfüllt.

So funktionieren Endpunkt-Richtlinien

Sie können Citrix Gateway so konfigurieren, dass überprüft wird, ob ein Benutzergerät bestimmte Sicherheitsanforderungen erfüllt, bevor sich ein Benutzer anmeldet. Dies wird als Vorauthentifizierungsrichtlinie bezeichnet. Sie können Citrix Gateway so konfigurieren, dass ein Benutzergerät auf Antivirenprogramme, Firewall, Antispam, Prozesse, Dateien, Registrierungseinträge, Internetsicherheit oder Betriebssysteme überprüft wird, die Sie in der Richtlinie angeben. Wenn das Benutzergerät den Vorauthentifizierungsscan nicht besteht, dürfen sich Benutzer nicht anmelden.

Wenn Sie andere Sicherheitsanforderungen konfigurieren müssen, die in einer Vorauthentifizierungsrichtlinie nicht verwendet werden, konfigurieren Sie eine Sitzungsrichtlinie und binden sie an einen Benutzer oder eine Gruppe. Diese Art von Richtlinie wird als Richtlinie nach der Authentifizierung bezeichnet, die während der Benutzersitzung ausgeführt wird, um sicherzustellen, dass die erforderlichen Elemente wie Antivirensoftware oder ein Prozess weiterhin zutreffen.

Wenn Sie eine Vorauthentifizierungs- oder Nachauthentifizierungsrichtlinie konfigurieren, lädt Citrix Gateway das Endpoint Analysis-Plug-In herunter und führt dann den Scan aus. Jedes Mal, wenn sich ein Benutzer anmeldet, wird das Endpoint Analysis-Plug-In automatisch ausgeführt.

Sie verwenden die folgenden drei Arten von Richtlinien, um Endpunktrichtlinien zu konfigurieren:

  • Vorauthentifizierungsrichtlinie, die einen Ja- oder Nein-Parameter verwendet. Der Scan bestimmt, ob das Benutzergerät die angegebenen Anforderungen erfüllt. Wenn der Scan fehlschlägt, kann der Benutzer keine Anmeldeinformationen auf der Anmeldeseite eingeben.
  • Sitzungsrichtlinie, die bedingt ist und für SmartAccess verwendet werden kann.
  • Client-Sicherheitsausdruck innerhalb einer Sitzungsrichtlinie. Wenn das Benutzergerät die Anforderungen des Client-Sicherheitsausdrucks nicht erfüllt, können Sie Benutzer so konfigurieren, dass sie in eine Quarantänegruppe aufgenommen werden. Wenn das Benutzergerät den Scan durchläuft, können Benutzer in eine andere Gruppe eingeordnet werden, für die möglicherweise andere Überprüfungen erforderlich sind.

Sie können erkannte Informationen in Richtlinien integrieren, sodass Sie je nach Benutzergerät unterschiedliche Zugriffsebenen gewähren können. Beispielsweise können Sie Benutzern, die eine Remote-Verbindung von Benutzergeräten herstellen, die aktuelle Anforderungen an Antiviren- und Firewall-Software haben, vollen Zugriff mit Downloadberechtigung gewähren. Benutzern, die eine Verbindung von nicht vertrauenswürdigen Computern herstellen, können Sie eine eingeschränkte Zugriffsebene bereitstellen, die es Benutzern ermöglicht, Dokumente auf Remote-Servern zu bearbeiten, ohne sie herunterzuladen.

Endpoint Analysis führt die folgenden grundlegenden Schritte aus:

  • Untersucht einen ersten Satz von Informationen über das Benutzergerät, um festzustellen, welche Scans angewendet werden sollen.
  • Führt alle anwendbaren Scans aus. Wenn Benutzer versuchen, eine Verbindung herzustellen, prüft das Endpoint Analysis-Plug-In das Benutzergerät auf die in der Vorauthentifizierungs- oder Sitzungsrichtlinie angegebenen Anforderungen. Wenn das Benutzergerät den Scan besteht, können sich Benutzer anmelden. Wenn das Benutzergerät den Scan nicht besteht, dürfen sich Benutzer nicht anmelden. Hinweis: Endpoint Analysis-Scans werden abgeschlossen, bevor die Benutzersitzung eine Lizenz verwendet.
  • Vergleicht Eigenschaftswerte, die auf dem Benutzergerät erkannt wurden, mit den gewünschten Eigenschaftswerten, die in Ihren konfigurierten Scans aufgeführt sind.
  • Erzeugt eine Ausgabe, die überprüft, ob die gewünschten Eigenschaftswerte gefunden werden.

    Achtung:

    Die Anweisungen zum Erstellen von Endpoint Analysis-Richtlinien sind allgemeine Richtlinien. Sie können viele Einstellungen innerhalb einer Sitzungsrichtlinie vornehmen. Spezifische Anweisungen zum Konfigurieren von Sitzungsrichtlinien können Anweisungen zum Konfigurieren einer bestimmten Einstellung enthalten. Diese Einstellung kann jedoch eine von vielen Einstellungen sein, die in einem Sitzungsprofil und einer Richtlinie enthalten sind.

Bewerten von Benutzeranmeldeoptionen

Wenn sich Benutzer anmelden, können sie den Endpoint Analysis-Scan überspringen. Wenn Benutzer den Scan überspringen, verarbeitet Citrix Gateway diese Aktion als fehlgeschlagene Endpoint Analysis. Wenn Benutzer den Scan nicht bestehen, können sie nur auf das Webinterface oder über clientlosen Zugriff zugreifen.

Sie möchten Benutzern beispielsweise mit Citrix Secure Access Agent Zugriff gewähren. Um sich mit dem Plug-In bei Citrix Gateway anzumelden, müssen Benutzer eine Antivirenanwendung wie Norton Antivirus ausführen. Wenn das Benutzergerät die Anwendung nicht ausführt, können sich Benutzer nur mit Receiver anmelden und veröffentlichte Anwendungen verwenden. Sie können auch den clientlosen Zugriff konfigurieren, der den Zugriff auf bestimmte Anwendungen wie Outlook Web Access einschränkt.

Um Citrix Gateway für dieses Anmeldeszenario zu konfigurieren, weisen Sie eine restriktive Sitzungsrichtlinie als Standardrichtlinie zu. Anschließend konfigurieren Sie die Einstellungen so, dass Benutzer auf eine privilegierte Sitzungsrichtlinie aktualisiert werden, wenn das Benutzergerät den Endpoint Analysis-Scan durchläuft. Zu diesem Zeitpunkt haben Benutzer Zugriff auf Netzwerkebene und können sich mit Citrix Secure Access Agent anmelden.

Führen Sie die folgenden Schritte aus, um Citrix Gateway so zu konfigurieren, dass zuerst die Richtlinie für restriktive Sitzungen durchzusetzen ist:

  • Konfigurieren Sie die globalen Einstellungen mit aktiviertem ICA-Proxy und allen anderen erforderlichen Einstellungen, wenn die angegebene Anwendung nicht auf dem Benutzergerät ausgeführt wird.

  • Erstellen Sie eine Sitzungsrichtlinie und ein Profil, das Citrix Secure Access Agent aktiviert

  • Erstellen Sie einen Ausdruck innerhalb des Regelabschnitts der Sitzungsrichtlinie, um die Anwendung anzugeben, z. B.:

    (client.application.process (symantec.exe) existiert)

Wenn sich Benutzer anmelden, wird zuerst die Sitzungsrichtlinie angewendet. Wenn Endpoint Analysis fehlschlägt oder der Benutzer den Scan überspringt, ignoriert Citrix Gateway die Einstellungen in der Sitzungsrichtlinie (der Ausdruck in der Sitzungsrichtlinie wird als falsch angesehen). Infolgedessen haben Benutzer über das Webinterface oder den clientlosen Zugriff eingeschränkt. Wenn Endpoint Analysis erfolgreich ist, wendet Citrix Gateway die Sitzungsrichtlinie an, und Benutzer haben vollen Zugriff auf Citrix Secure Access Agent.

Überspringen Sie den EPA-Scan

Sie können den EPA-Scan nur zur Nachauthentifizierung und zur Vorabauthentifizierung überspringen. Skip EPA ist in Browsern aller unterstützten Betriebssysteme verfügbar. Benutzer müssen auf die Schaltfläche EPA überspringen klicken, die beim Zugriff auf das Gateway angezeigt wird. Wenn Benutzer den Scan überspringen, verarbeitet Citrix Gateway diese Aktion als fehlgeschlagene Endpoint Analysis. Wenn Benutzer den Scan nicht bestehen, können sie nur auf das Webinterface oder über clientlosen Zugriff zugreifen.

Siehe auch https://support.citrix.com/article/CTX200748.

Endpoint Analysis-Scans werden für Ubuntu unterstützt

Die folgenden Endpoint Analysis (EPA) -Scans werden für das EPA-Plug-In unterstützt, das für das Ubuntu-Betriebssystem installiert ist. Ein Beispielausdruck zum Konfigurieren der einzelnen Scans wird zusammen mit EPA-Scans aufgeführt. Sie können diese Ausdrücke in den Authentifizierungsrichtlinien konfigurieren.

  • Datei
    • Existenz - CLIENT.FILE (/home/user/test.txt) EXISTS
    • MD5-Prüfsumme - CLIENT.FILE(/home/user/test.txt).MD5 == ce780e271debcc29f551546e8db3368f
    • Text in einer Datei (Unterstützung für reguläre Ausdrücke) - CLIENT.FILE(/home/user/test.txt).SEARCH == citrix
  • Prozess
    • Existenz - CLIENT.APPLICATION.PROCESS(perl) EXISTS
    • MD5-Prüfsumme - CLIENT.APPLICATION.PROCESS(perl).MD5 == c060d3a5f97e27066cef8c116785567a
    • Pfad - CLIENT.APPLICATION.PROCESS(perl).PATH == /usr/bin/perl
  • Dateisystemgerät oder Mountpoint-Name - CLIENT.MOUNTPOINT(/sys) EXISTS

Wenn Sie erweiterte Richtlinien verwenden, können die Ausdrücke für jeden Scan über die GUI generiert werden (Sicherheit > AAA > Richtlinien > Authentifizierung > Erweiterte Richtlinien > EPA).

Hinweis: Auf der Seite Ausdruckseditor können Sie für den Linux-Client Allgemein auswählen und dann Prozess, Datei oder Mount Pointauswählen.

EPA-Scanrichtlinien

Richtlinien für Endgeräte