Citrix Gateway

Sicherheitsausdrücke für die Vorauthentifizierung für Benutzergeräte

Citrix Gateway bietet verschiedene Endpunktsicherheitsprüfungen während der Benutzeranmeldung oder zu anderen konfigurierten Zeiten während einer Sitzung, die zur Verbesserung der Sicherheit beitragen. Nur die Benutzergeräte, die diese Sicherheitsüberprüfungen bestehen, dürfen eine Citrix Gateway-Sitzung einrichten.

Im Folgenden sind die Arten von Sicherheitsüberprüfungen auf Benutzergeräten aufgeführt, die Sie auf Citrix Gateway konfigurieren können:

  • Spam-Antispam
  • Antivirus
  • Richtlinien für Dateien
  • Sicherheit im Internet
  • Betriebssystem
  • Persönliche Firewall
  • Prozess-Richtlinien
  • Registry-Richtlinien
  • Service-Richtlinien

Wenn eine Sicherheitsüberprüfung auf dem Benutzergerät fehlschlägt, werden keine neuen Verbindungen hergestellt, bis eine nachfolgende Überprüfung bestanden wurde (bei Überprüfungen, die in regelmäßigen Abständen erfolgen). Der Datenverkehr, der durch bestehende Verbindungen fließt, tunnelt jedoch weiterhin durch Citrix Gateway.

Sie können das Konfigurationsdienstprogramm verwenden, um Vorauthentifizierungsrichtlinien oder Sicherheitsausdrücke in Sitzungsrichtlinien zu konfigurieren, die für die Durchführung von Sicherheitsüberprüfungen auf Benutzergeräten ausgelegt sind.

Konfigurieren von Antiviren-, Firewall-, Internetsicherheit- oder Antispam-Ausdrücken

Sie konfigurieren Einstellungen für Antiviren-, Firewall-, Internetsicherheit- und Antispam-Richtlinien im Dialogfeld Ausdruck hinzufügen . Die Einstellungen für jede Richtlinie sind dieselben: Die Unterschiede sind die Werte, die Sie auswählen. Wenn Sie beispielsweise das Benutzergerät auf Norton Antivirus-Version 10 und ZoneAlarm Pro überprüfen möchten, erstellen Sie zwei Ausdrücke innerhalb der Sitzungs- oder Vorauthentifizierungsrichtlinie, die den Namen und die Versionsnummer jeder Anwendung angeben.

Wenn Sie Client Security als Ausdruckstyp auswählen, können Sie Folgendes konfigurieren:

  • Komponente: Die Art der Clientsicherheit, wie Antivirus, Firewall oder Registrierungseintrag.
  • Name: Der Name der Anwendung, des Prozesses, der Datei, des Registrierungseintrags oder des Betriebssystems.
  • Qualifier: Die Version oder der Wert der Komponente, auf die der Ausdruck prüft.
  • Operator: Überprüft, ob der Wert existiert oder dem Wert entspricht.
  • Wert: Die Anwendungsversion für Antiviren-, Firewall-, Internetsicherheit- oder Antispam-Software auf dem Benutzergerät.
  • Frequenz: Häufigkeit, mit der ein Scan nach der Authentifizierung ausgeführt wird, in Minuten.
  • Fehlergewicht: Eine Gewichtung, die jeder in einem verschachtelten Ausdruck enthaltenen Fehlermeldung zugewiesen wird, wenn mehrere Ausdrücke unterschiedliche Fehlerzeichenfolgen aufweisen. Das Gewicht bestimmt, welche Fehlermeldung angezeigt wird.
  • Frische: Definiert, wie alt eine Virusdefinition sein kann. Sie können den Ausdruck beispielsweise so konfigurieren, dass Virendefinitionen nicht älter als drei Tage sind.

Hinzufügen einer Client-Sicherheitsrichtlinie zu einer Vorauthentifizierungs- oder Sitzungsrichtlinie

  1. Führen Sie im Konfigurationsdienstprogramm im Navigationsbereich einen der folgenden Schritte aus:
    1. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich Citrix Gateway > Richtlinien, und klicken Sie dann auf Sitzung.
    2. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich Citrix Gateway > Richtlinien > Authentifizierung/Autorisierung, und klicken Sie dann auf VorauthentifizierungEPA.
  2. Klicken Sie im Detailbereich auf der Registerkarte Richtlinien auf Hinzufügen.
  3. Geben Sie im Feld Name einen Namen für die Richtlinie ein.
  4. Klicken Sie neben Any Expression auf Hinzufügen.
  5. Wählen Sie im Dialogfeld Ausdruck hinzufügen unter Ausdruckstyp die Option Clientsicherheitaus.
  6. Konfigurieren Sie die Einstellungen für Folgendes:
    1. Wählen Sie unter Komponente das Element aus, nach dem gescannt werden soll.
    2. Geben Sie unter Name den Namen der Anwendung ein.
    3. Wählen Sie im Qualifier Versionaus.
    4. Wählen Sie unter Operator den Wert aus.
    5. Geben Sie unter Wert die Client-Sicherheitszeichenfolge ein, klicken Sie auf OK, klicken Sie auf Erstellenund dann auf Schließen.

Konfigurieren von Dienstrichtlinien

Ein Dienst ist ein Programm, das geräuschlos auf dem Benutzergerät läuft. Wenn Sie eine Sitzungs- oder Vorauthentifizierungsrichtlinie erstellen, können Sie einen Ausdruck erstellen, der sicherstellt, dass Benutzergeräte einen bestimmten Dienst ausführen, wenn die Sitzung eingerichtet wird.

So konfigurieren Sie eine Dienstrichtlinie

  1. Führen Sie im Konfigurationsdienstprogramm im Navigationsbereich einen der folgenden Schritte aus:
    1. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich Citrix Gateway > Richtlinien, und klicken Sie dann auf Sitzung.
    2. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich Citrix Gateway > Richtlinien > Authentifizierung/Autorisierung, und klicken Sie dann auf Pre-Authentication EPA.
  2. Klicken Sie im Detailbereich auf der Registerkarte Richtlinien auf Hinzufügen.
  3. Geben Sie im Feld Name einen Namen für die Richtlinie ein.
  4. Klicken Sie neben Any Expression auf Hinzufügen.
  5. Wählen Sie im Dialogfeld “Ausdruck hinzufügen” unter “Ausdruckstyp” die Option “Clientsicherheit” aus.
  6. Konfigurieren Sie die Einstellungen für Folgendes:
    1. Wählen Sie unter Komponente Dienst aus.
    2. Geben Sie unter Name den Namen des Dienstes ein.
    3. Lassen Sie in Qualifier das Feld leer oder wählen Sie Version.
    4. Führen Sie abhängig von Ihrer Auswahl in Qualifier einen der folgenden Schritte aus:
      • Wenn leer gelassen, wählen Sie in Operator == oder! =
      • Wenn Sie Version ausgewählt haben, geben Sie in Operator unter Wert den Wert ein, klicken Sie auf OK, und klicken Sie dann auf Schließen.

Sie können eine Liste aller verfügbaren Dienste und den Status für jeden auf einem Windows-basierten Computer an folgender Stelle überprüfen:

Systemsteuerung > Verwaltung > Dienste

Hinweis:

Der Dienstname für jeden Dienst variiert von seinem aufgelisteten Namen. Suchen Sie im Dialogfeld Eigenschaften nach dem Namen des Dienstes.

Konfigurieren von Prozessrichtlinien

Wenn Sie eine Sitzungs- oder Vorauthentifizierungsrichtlinie erstellen, können Sie eine Regel definieren, die erfordert, dass alle Benutzergeräte einen bestimmten Prozess ausführen müssen, wenn sich Benutzer anmelden. Der Prozess kann jede Anwendung sein und kundenspezifische Anwendungen beinhalten.

Hinweis: Die Liste aller Prozesse, die auf einem Windows-basierten Computer ausgeführt werden, wird auf der Registerkarte Prozesse des Windows Task-Managers angezeigt.

So konfigurieren Sie eine Prozessrichtlinie

  1. Führen Sie im Konfigurationsdienstprogramm im Navigationsbereich einen der folgenden Schritte aus:
    1. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich Citrix Gateway > Richtlinien, und klicken Sie dann auf Sitzung.
    2. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich Citrix Gateway > Richtlinien > Authentifizierung/Autorisierung, und klicken Sie dann auf Pre-Authentication EPA.
  2. Klicken Sie im Detailbereich auf der Registerkarte Richtlinien auf Hinzufügen.
  3. Geben Sie im Feld Name einen Namen für die Richtlinie ein.
  4. Klicken Sie neben Any Expression auf Hinzufügen.
  5. Wählen Sie im Dialogfeld “Ausdruck hinzufügen” unter “Ausdruckstyp” die Option “Clientsicherheit” aus.
  6. Konfigurieren Sie die Einstellungen für Folgendes:
    1. Wählen Sie unter Komponente die Option Prozess aus.
    2. Geben Sie unter Name den Namen der Anwendung ein.
    3. Wählen Sie unter Operator EXISTS oder NOTEXISTS aus, klicken Sie auf OK und dann auf Schließen.

Wenn Sie eine Endpoint Analysis-Richtlinie (Vor- oder Nachauthentifizierung) konfigurieren, um nach einem Prozess zu suchen, können Sie eine MD5-Prüfsumme konfigurieren.

Wenn Sie den Ausdruck für die Richtlinie erstellen, können Sie die MD5-Prüfsumme zu dem Prozess hinzufügen, nach dem Sie suchen. Wenn Sie beispielsweise prüfen, ob notepad.exe auf dem Benutzergerät ausgeführt wird, lautet der Ausdruck: CLIENT.APPLICATION.PROCESS (notepad.exe_md5_388b8fbc36a8558587afc90fb23a3b00) EXISTS

Konfigurieren von Betriebssystemrichtlinien

Wenn Sie eine Sitzungs- oder Vorauthentifizierungsrichtlinie erstellen, können Sie Client-Sicherheitszeichenfolgen konfigurieren, um festzustellen, ob das Benutzergerät bei der Benutzeranmeldung ein bestimmtes Betriebssystem ausführt. Sie können den Ausdruck auch so konfigurieren, dass nach einem bestimmten Service Pack oder Hotfix gesucht wird.

Die Werte für Windows und Macintosh lauten:

Betriebssystem Wert
macOS X macOS
Windows 8.1 win8.1
Windows 8 win8
Windows 7 win7
Windows Vista vista
Windows XP winxp
Windows Server 2008 win2008
Windows Server 2003 win2003
Windows 2000 Server win2000
Windows 64-Bit-Plattform win64

So konfigurieren Sie eine Betriebssystemrichtlinie über die GUI

  1. Führen Sie im Navigationsbereich einen der folgenden Schritte aus:
    1. Navigieren Sie zu Citrix Gateway > Richtlinien und klicken Sie dann auf Sitzung.
    2. Navigieren Sie zu Citrix Gateway > Richtlinien > Vorauthentifizierung.
  2. Klicken Sie im Detailbereich auf der Registerkarte Richtlinien auf Hinzufügen.
  3. Geben Sie im Feld Name einen Namen für die Richtlinie ein.
  4. Wählen Sie unter Request Action eine vorhandene Aktion aus oder erstellen Sie eine.
  5. Klicken Sie auf Expression Editor.
  6. Wählen Sie unter Ausdruckstyp auswählen die Option Clientsicherheit aus.
  7. Konfigurieren Sie die Einstellungen für Folgendes:
    1. Wählen Sie unter Komponente die Option Betriebssystem aus.
    2. Geben Sie unterName den Namen des Betriebssystems ein.
    3. Führen Sie in Qualifier einen der folgenden Schritte aus:
      • Lassen Sie das Feld leer
      • Wählen Sie Service Pack
      • Wählen Sie Hotfix
      • Wählen Sie Version (nur für macOS)
    4. Führen Sie abhängig von Ihrer Auswahl in Schritt 7 in Operator einen der folgenden Schritte aus:
      • Wenn Qualifier leer ist, wählen Sie in Operator EQUAL (= =), NOTEQUAL (! =), EXISTS oder NOTEXISTS.
      • Wenn Sie Service Pack oder Hotfix ausgewählt haben, wählen Sie den Operator aus und geben Sie unter Wert den Wert ein.
  8. Klicken Sie auf Fertig und dann auf Schließen.

Wenn Sie ein Service Pack wie client.os (winxp).spkonfigurieren und eine Zahl nicht im Feld Wert enthalten ist, gibt Citrix Gateway eine Fehlermeldung zurück, da der Ausdruck ungültig ist.

Wenn auf dem Betriebssystem Service Packs wie Service Pack 3 und Service Pack 4 vorhanden sind, können Sie eine Überprüfung nur für Service Pack 4 konfigurieren, da das Vorhandensein von Service Pack 4 automatisch darauf hinweist, dass frühere Service Packs vorhanden sind.

Konfiguration von Registrierungsrichtlinien

Wenn Sie eine Sitzungs- oder Vorauthentifizierungsrichtlinie erstellen, können Sie auf dem Benutzergerät nach Existenz und Wert von Registrierungseinträgen suchen. Die Sitzung wird nur eingerichtet, wenn der bestimmte Eintrag existiert oder den konfigurierten oder höheren Wert hat.

Beachten Sie beim Konfigurieren eines Registrierungsausdrucks die folgenden Richtlinien:

  • Vier umgekehrte Schrägstriche werden verwendet, um Schlüssel und Unterschlüssel zu trennen, wie z

    HKEY_LOCAL_MACHINE\\\\SOFTWARE

  • Unterstriche werden verwendet, um den Unterschlüssel und den zugehörigen Wertnamen zu trennen, z. B.

    HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\VirusSoftware_Version

  • Ein umgekehrter Schrägstrich (\) wird verwendet, um ein Leerzeichen zu bezeichnen, wie in den folgenden zwei Beispielen:

    HKEY_LOCAL_MACHINE\\\\SOFTWARE\\Citrix\\\\Secure\ Access\ Client_ProductVersion

    CLIENT.REG(HKEY_LOCAL_MACHINE\\\\Software\\\\Symantec\\Norton\ AntiVirus_Version).VALUE == 12.8.0.4 -frequency 5

Im Folgenden finden Sie einen Registrierungsausdruck, der bei der Benutzeranmeldung nach dem Registrierungsschlüssel von Citrix Secure Access Agent sucht:

CLIENT.REG(secureaccess).VALUE==HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\CITRIX\\\\Secure\Access\Client_ProductVersion

Hinweis: Wenn Sie nach Registrierungsschlüsseln und Werten suchen und im Dialogfeld Ausdruck die Option Erweiterte Freiform auswählen, muss der Ausdruck mit CLIENT.REG beginnen.

Registrierungsprüfungen werden unter den folgenden gängigsten fünf Typen unterstützt:

  • HKEY_CLASSES_ROOT
  • HKEY_CURRENT_USER
  • HKEY_LOCAL_MACHINE
  • HKEY_USERS
  • HKEY_CURRENT_CONFIG

Zu überprüfende Registrierungswerte verwenden die folgenden Typen:

  • Zeichenfolge

    Für den Zeichenfolgenwerttyp wird die Berücksichtigung von Groß- und Kleinschreibung geprüft.

  • DWORD

    Für den DWORD-Typ wird der Wert verglichen und muss gleich sein.

  • Erweiterter String

    Andere Typen, wie Binary und Multi-String, werden nicht unterstützt.

  • Nur der Vergleichsoperator ‘==’ wird unterstützt.

  • Andere Vergleichsoperatoren wie <, > und Vergleiche mit Berücksichtigung der Groß-/Kleinschreibung werden nicht unterstützt.

  • Die gesamte Länge der Registrierungszeichenfolge muss weniger als 256 Byte betragen.

Sie können dem Ausdruck einen Wert hinzufügen. Der Wert kann eine Softwareversion, eine Service Pack-Version oder ein anderer Wert sein, der in der Registrierung angezeigt wird. Wenn der Datenwert in der Registrierung nicht mit dem Wert übereinstimmt, mit dem Sie testen, wird Benutzern die Anmeldung verweigert.

Hinweis:

Sie können innerhalb eines Unterschlüssels nicht nach einem Wert suchen. Der Scan muss mit dem benannten Wert und dem zugehörigen Datenwert übereinstimmen.

So konfigurieren Sie eine Registrierungsrichtlinie

  1. Führen Sie im Konfigurationsdienstprogramm im Navigationsbereich einen der folgenden Schritte aus:
    1. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich Citrix Gateway > Richtlinien, und klicken Sie dann auf Sitzung.
    2. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich Citrix Gateway > Richtlinien > Authentifizierung/Autorisierung, und klicken Sie dann auf Pre-Authentication EPA.
  2. Klicken Sie im Detailbereich auf der Registerkarte Richtlinien auf Hinzufügen.
  3. Geben Sie im Feld Name einen Namen für die Richtlinie ein.
  4. Klicken Sie neben Any Expression auf Hinzufügen.
  5. Wählen Sie im Dialogfeld “Ausdruck hinzufügen” unter “Ausdruckstyp” die Option “Clientsicherheit” aus.
  6. Konfigurieren Sie die Einstellungen für Folgendes:
    1. Wählen Sie unter Component Registry aus.
    2. Geben Sie unter Name den Namen des Registrierungsschlüssels ein.
    3. Lassen Sie in Qualifier das Feld leer oder wählen Sie Wert.
    4. Führen Sie unter Operator einen der folgenden Schritte aus:
      • Wenn Qualifier leer gelassen wird, wählen Sie EXISTS oder NOTEXISTS
      • Wenn Sie Wert in Qualifier gewählt haben, wählen Sie entweder == oder! ==
    5. Geben Sie unter Wert den Wert so ein, wie er im Registrierungseditor angezeigt wird, klicken Sie auf OK und dann auf Schließen.

Konfigurieren von Sicherheitsausdrücken für zusammengesetzte Cli

Sie können Client-Sicherheitszeichenfolgen kombinieren, um zusammengesetzte Client-Sicherheitsausdrücke zu bilden.

Die booleschen Operatoren, die in Citrix Gateway unterstützt werden, sind:

  • Und (&&)
  • Oder (||)
  • Nicht (!)

Für eine höhere Präzision können Sie die Zeichenfolgen in Klammern gruppieren.

Hinweis:

Wenn Sie die Befehlszeile zum Konfigurieren von Ausdrücken verwenden, verwenden Sie Klammern, um Sicherheitsausdrücke zu gruppieren, wenn Sie einen zusammengesetzten Ausdruck bilden. Die Verwendung von Klammern verbessert das Verständnis und das Debuggen des Clientausdrucks.

Konfigurieren Sie Richtlinien mit dem Operator UND (&&)

Der Operator AND (&&) kombiniert zwei Client-Sicherheitszeichenfolgen, sodass die zusammengesetzte Prüfung nur dann bestanden wird, wenn beide Prüfungen wahr sind. Der Ausdruck wird von links nach rechts ausgewertet und wenn die erste Prüfung fehlschlägt, wird die zweite Prüfung nicht durchgeführt.

Sie können den Operator AND (&&) mit dem Schlüsselwort ‘UND’ oder den Symbolen ‘&&’ konfigurieren.

Beispiel:

Das Folgende ist eine Client-Sicherheitsprüfung, die bestimmt, ob auf dem Benutzergerät Version 7.0 von Sophos Antivirus installiert ist und ausgeführt wird. Außerdem wird überprüft, ob der Net Logon-Dienst auf demselben Computer ausgeführt wird.

CLIENT.APPLICATION.AV(sophos).version==7.0 AND CLIENT.SVC(netlogon) EXISTS

Diese Zeichenfolge kann auch wie folgt konfiguriert werden:

CLIENT.APPLICATION.AV(sophos).version==7.0 && CLIENT.SVC(netlogon) EXISTS

Konfigurieren Sie Richtlinien mit dem Operator ODER (||)

Der ODER-Operator (   ) verwendet eine Kombination von zwei Sicherheitszeichenfolgen. Die zusammengesetzte Prüfung ist erfolgreich, wenn eine der beiden Prüfungen wahr ist. Der Ausdruck wird von links nach rechts ausgewertet und wenn die erste Prüfung erfolgreich ist, wird die zweite Prüfung nicht durchgeführt. Wenn die erste Prüfung nicht bestanden wird, wird die zweite Prüfung durchgeführt.
Sie können den ODER-Operator konfigurieren (   ), der das Schlüsselwort ‘ODER’ oder diese Symbole verwendet: ‘   ’.

Beispiel:

Das Folgende ist eine Client-Sicherheitsprüfung, mit der festgestellt wird, ob auf dem Benutzergerät entweder die Datei c:\file.txt oder der laufende Prozess putty.exe enthalten ist.

client.file(c:\\\\file.txt) EXISTS) OR (client.proc(putty.exe) EXISTS

Diese Zeichenfolge kann auch als konfiguriert werden

client.file(c:\\\\file.txt) EXISTS)   (client.proc(putty.exe) EXISTS

Konfigurieren Sie Richtlinien mit dem NOT (!) Operator

Das NICHT (!) oder der Negationsoperator negiert die Client-Sicherheitszeichenfolge.

Beispiel:

Die folgende Client-Sicherheitsprüfung ist erfolgreich, wenn die Datei c:\sophos_virus_defs.dat NICHT älter als zwei Tage ist:

\!(client.file(c:\\\\\\\\sophos\_virus\_defs.dat).timestamp==2dy)