Documentación de productos
Citrix Gateway
Current Release 13.0 12.1
Ver PDF

Directivas de dispositivos de punto final

November 21, 2022
Contribución de: 
C

Endpoint Analysis (EPA) es un proceso que escanea el dispositivo de un usuario y detecta información, como la presencia y el nivel de versión de las actualizaciones del sistema operativo, el antivirus, el firewall y el software del explorador web. Endpoint Analysis le permite determinar si el dispositivo de un usuario cumple con sus requisitos antes de conectarse a la red. También se puede configurar para comprobar periódicamente si hay cambios mientras el usuario permanece conectado. Puede comprobar los archivos, los procesos y las entradas de registro en el dispositivo del usuario durante la sesión del usuario para asegurarse de que el dispositivo sigue cumpliendo con los requisitos.

Importante:

El objetivo de Endpoint Analysis es analizar el dispositivo del usuario según criterios de cumplimiento predeterminados y no hace cumplir ni validar la seguridad de los dispositivos de los usuarios finales. Se recomienda utilizar sistemas de seguridad de dispositivos de punto final para proteger los dispositivos de los ataques de los administradores locales.

Cómo funcionan las directivas de endpoint

Puede configurar Citrix Gateway para comprobar si un dispositivo de usuario cumple ciertos requisitos antes de que el usuario inicie sesión. Esto se denomina directiva de preautenticación. Puede configurar Citrix Gateway para que compruebe si un dispositivo de usuario tiene antivirus, firewall, antispam, procesos, archivos, entradas de registro, seguridad de Internet o sistemas operativos que especifique en la directiva. Si el dispositivo de usuario no supera el análisis previo a la autenticación, los usuarios no pueden iniciar sesión.

Para comprobar otros requisitos que no se utilizan en una directiva de preautenticación, puede configurar una directiva de sesión y vincularla a un usuario o grupo. Este tipo de directiva se denomina directiva de posautenticación y se ejecuta durante la sesión del usuario para garantizar que los criterios requeridos, como el software antivirus o un proceso, sigan siendo compatibles.

Al configurar una directiva de preautenticación o posautenticación, Citrix Gateway descarga el plug-in de Endpoint Analysis y, a continuación, realiza el escaneo en el dispositivo de los usuarios. Cada vez que un usuario inicia sesión, el complemento Endpoint Analysis se ejecuta automáticamente.

Puede usar los tres tipos de directivas siguientes para configurar las directivas de dispositivos de punto final:

  • Directiva de preautenticación que utiliza un parámetro Sí o No. El análisis determina si el dispositivo del usuario cumple los requisitos especificados. Si se produce un error en el análisis, el usuario no puede introducir las credenciales en la página de inicio de sesión.
  • Directiva de sesión condicional y que se puede utilizar para SmartAccess.
  • Expresión de verificación del dispositivo cliente dentro de una directiva de sesión. Si el dispositivo de usuario no cumple con los requisitos de la expresión de verificación del dispositivo cliente, puede configurar los usuarios para que se coloquen en un grupo de cuarentena. Si el dispositivo del usuario supera el análisis, los usuarios se pueden colocar en un grupo diferente que podría requerir otras comprobaciones.

Puede incorporar la información detectada en las directivas, lo que le permite conceder diferentes niveles de acceso según el dispositivo del usuario. Por ejemplo, puede proporcionar acceso completo con permiso de descarga a los usuarios que se conectan de forma remota desde dispositivos de usuario que tienen requisitos actuales de software antivirus y firewall. Para los usuarios que se conecten desde dispositivos no compatibles, puede proporcionar un nivel de acceso más restringido que permita a los usuarios modificar documentos en servidores remotos sin descargarlos. Todos los dispositivos que ejecutan la EPA se consideran dispositivos no conformes.

Endpoint Analysis realiza los siguientes pasos básicos:

  • Examina un conjunto inicial de información sobre el dispositivo del usuario para determinar qué análisis se deben aplicar.

  • Ejecuta todos los escaneos aplicables. Cuando los usuarios intentan conectarse, el plug-in de Endpoint Analysis comprueba en el dispositivo del usuario los requisitos especificados en la directiva de sesión o de preautenticación. Si el dispositivo del usuario supera el análisis, los usuarios pueden iniciar sesión. Si el dispositivo del usuario no supera el análisis, los usuarios no pueden iniciar sesión.

    Nota: Los escaneos de Endpoint Analysis finalizan antes de que la sesión del usuario utilice una licencia.

  • Compara los valores de las propiedades detectados en el dispositivo del usuario con los valores de propiedad deseados que figuran en los escaneos configurados.
  • Produce un resultado que verifica si se han encontrado los valores de propiedad deseados.

Atención:

Las instrucciones para crear directivas de Endpoint Analysis son directrices generales. Puede tener muchas opciones de configuración dentro de una directiva de sesión. Las instrucciones específicas para configurar directivas de sesión pueden contener instrucciones para configurar una configuración específica. Sin embargo, esta configuración puede ser una de las muchas que se incluyen en un perfil y una directiva de sesión.

Evaluar opciones de inicio de sesión de usuario

Cuando los usuarios inician sesión, pueden optar por omitir el análisis de Endpoint Analysis. Si los usuarios omiten el análisis, Citrix Gateway procesa esta acción como un análisis de punto final erróneo. Cuando los usuarios no realizan el escaneo, solo tienen acceso a la interfaz web o mediante el acceso sin cliente.

Por ejemplo, desea proporcionar acceso a los usuarios mediante el agente de Citrix Secure Access. Para iniciar sesión en Citrix Gateway con el complemento, los usuarios deben estar ejecutando una aplicación antivirus, como Norton Antivirus. Si el dispositivo de usuario no ejecuta la aplicación, los usuarios solo pueden iniciar sesión con Receiver y utilizar aplicaciones publicadas. También puede configurar el acceso sin cliente, que restringe el acceso a aplicaciones específicas, como Outlook Web Access.

Para configurar Citrix Gateway para lograr este caso de inicio de sesión, asigne una directiva de sesión restrictiva como directiva predeterminada. A continuación, configure la configuración para actualizar a los usuarios a una directiva de sesión privilegiada cuando el dispositivo de usuario supera el análisis de Endpoint Analysis. En ese momento, los usuarios tienen acceso a la capa de red y pueden iniciar sesión con el agente de Citrix Secure Access.

Para configurar Citrix Gateway para que aplique primero la directiva de sesión restrictiva, lleve a cabo los siguientes pasos:

  • Configure la configuración global con el proxy ICA habilitado y todos los demás ajustes necesarios si la aplicación especificada no se está ejecutando en el dispositivo del usuario.
  • Cree una directiva y un perfil de sesión que habiliten el agente de Citrix Secure Access.

  • Cree una expresión dentro de la parte de reglas de la directiva de sesión para especificar la aplicación, como (client.application.process(symantec.exe) exists)

    Cuando los usuarios inician sesión, la directiva de sesión se aplica primero. Si Endpoint Analysis falla o el usuario omite el análisis, Citrix Gateway ignora la configuración de la directiva de sesión (la expresión de la directiva de sesión se considera falsa). Como resultado, los usuarios tienen acceso restringido mediante la Interfaz Web o el acceso sin cliente. Si se aprueba Endpoint Analysis, Citrix Gateway aplica la directiva de sesión y los usuarios tienen acceso completo al agente de Citrix Secure Access.

Omitir el escaneo de la EPA

Puede omitir el análisis de la EPA solo para la posautenticación y la autenticación avanzada. Skip EPA está disponible en los exploradores de todos los sistemas operativos compatibles. Los usuarios deben hacer clic en el botón Omitir EPA que aparece al acceder a la puerta de enlace. Si los usuarios omiten el análisis, Citrix Gateway procesa esta acción como un análisis de punto final erróneo. Cuando los usuarios no realizan el escaneo, solo tienen acceso a la interfaz web o mediante el acceso sin cliente.

Consulte también https://support.citrix.com/article/CTX200748.

Análisis de endpoint Analysis compatibles con Ubuntu

Los siguientes análisis de Endpoint Analysis (EPA) son compatibles con el complemento EPA instalado para el sistema operativo Ubuntu. La expresión de ejemplo para configurar cada uno de los escaneos aparece junto con los análisis de la EPA. Puede configurar estas expresiones en las directivas de autenticación.

  • Archivo
    • Existencia - CLIENT.FILE(/home/user/test.txt) EXISTS
    • Suma de comprobación MD5 - CLIENT.FILE(/home/user/test.txt).MD5 == ce780e271debcc29f551546e8db3368f
    • Texto dentro de un archivo (compatibilidad con expresiones regulares) - CLIENT.FILE(/home/user/test.txt).SEARCH == citrix
  • Process
    • Existencia - CLIENT.APPLICATION.PROCESS(perl) EXISTS
    • Suma de comprobación MD5 - CLIENT.APPLICATION.PROCESS(perl).MD5 == c060d3a5f97e27066cef8c116785567a
    • Ruta - CLIENT.APPLICATION.PROCESS(perl).PATH == /usr/bin/perl
  • Nombre del dispositivo del sistema de archivos o del punto de montaje: CLIENT.MOUNTPOINT (/sys) EXISTS

Si utiliza directivas avanzadas, las expresiones de cada análisis se pueden generar desde la GUI (Seguridad > AAA > Directivas > Autenticación > Directivas avanzadas > EPA).

Nota: En la página Editor de expresiones, para el cliente Linux, puede seleccionar Común y, a continuación, seleccionar Proceso, Archivo o Punto de montaje.

Directivas de análisis de la EPA

Directivas de dispositivos de punto final
November 21, 2022
Contribución de: 
C
November 21, 2022
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento
© 1999- Cloud Software Group, Inc. All rights reserved.