Cómo funcionan las directivas de endpoint

Puede configurar Citrix Gateway para comprobar si un dispositivo de usuario cumple ciertos requisitos de seguridad antes de que un usuario inicie sesión. Esto se denomina directiva de autenticación previa. Puede configurar Citrix Gateway para que compruebe en un dispositivo de usuario antivirus, firewall, antispam, procesos, archivos, entradas del registro, seguridad de Internet o sistemas operativos especificados en la directiva. Si el dispositivo de usuario falla el análisis de autenticación previa, no se permite a los usuarios iniciar sesión.

Si necesita configurar requisitos de seguridad adicionales que no se utilizan en una directiva de autenticación previa, configure una directiva de sesión y la vincule a un usuario o grupo. Este tipo de directiva se denomina directiva posterior a la autenticación, que se ejecuta durante la sesión del usuario para garantizar que los elementos necesarios, como el software antivirus o un proceso, sigan siendo verdaderos.

Cuando configura una directiva de autenticación previa o posterior, Citrix Gateway descarga el complemento Endpoint Analysis y, a continuación, ejecuta el análisis. Cada vez que un usuario inicia sesión, el complemento Endpoint Analysis se ejecuta automáticamente.

Utilice los tres tipos de directivas siguientes para configurar las directivas de endpoint:

  • Directiva de autenticación previa que utiliza un parámetro yes o no. El análisis determina si el dispositivo del usuario cumple los requisitos especificados. Si se produce un error en el análisis, el usuario no puede introducir credenciales en la página de inicio de sesión.
  • Política de sesión que es condicional y se puede utilizar para SmartAccess.
  • Expresión de seguridad del cliente dentro de una directiva de sesión. Si el dispositivo de usuario no cumple los requisitos de la expresión de seguridad del cliente, puede configurar los usuarios para que se coloquen en un grupo de cuarentena. Si el dispositivo de usuario pasa el análisis, los usuarios se pueden colocar en un grupo diferente que podría requerir comprobaciones adicionales.

Puede incorporar la información detectada en las directivas, lo que le permite conceder diferentes niveles de acceso en función del dispositivo del usuario. Por ejemplo, puede proporcionar acceso completo con permiso de descarga a los usuarios que se conectan de forma remota desde dispositivos de usuario que tienen requisitos actuales de software antivirus y firewall. Para los usuarios que se conectan desde equipos que no son de confianza, puede proporcionar un nivel de acceso más restringido que permita a los usuarios editar documentos en servidores remotos sin descargarlos.

El análisis de puntos finales realiza los siguientes pasos básicos:

  • Examina un conjunto inicial de información sobre el dispositivo del usuario para determinar qué análisis aplicar.
  • Ejecuta todos los análisis aplicables. Cuando los usuarios intentan conectarse, el complemento Endpoint Analysis comprueba en el dispositivo del usuario los requisitos especificados en la directiva de autenticación previa o sesión. Si el dispositivo de usuario pasa el análisis, los usuarios pueden iniciar sesión. Si el dispositivo de usuario falla el análisis, no se permite a los usuarios iniciar sesión. Nota: Los análisis de Endpoint Analysis se completan antes de que la sesión de usuario utilice una licencia.
  • Compara los valores de propiedad detectados en el dispositivo de usuario con los valores de propiedad deseados enumerados en los análisis configurados.
  • Produce una salida que verifica si se encuentran o no los valores de propiedad deseados.

    Atención: las instrucciones para crear directivas de análisis de puntos finales son directrices generales. Puede tener muchas configuraciones dentro de una directiva de sesión. Las instrucciones específicas para configurar directivas de sesión pueden contener instrucciones para configurar una configuración específica; sin embargo, esa configuración puede ser una de las muchas configuraciones contenidas en un perfil y una directiva de sesión.

Cómo funcionan las directivas de endpoint