Citrix Gateway

Expresiones de seguridad de autenticación previa para dispositivos de usuario

Citrix Gateway proporciona varias comprobaciones de seguridad de dispositivos de punto final durante el inicio de sesión del usuario o en otros momentos configurados durante una sesión que ayudan a mejorar la seguridad. Solo los dispositivos de usuario que superan estas comprobaciones de seguridad pueden establecer una sesión de Citrix Gateway.

A continuación se indican los tipos de comprobaciones de seguridad de los dispositivos de usuario que se pueden configurar en Citrix Gateway:

  • Antispam
  • Antivirus
  • Directivas de archivos
  • Seguridad en Internet
  • Sistema operativo
  • Firewall personal
  • Directivas de procesos
  • Directivas de registro
  • Directivas de servicio

Si se produce un error en una comprobación de seguridad en el dispositivo del usuario, no se realizan nuevas conexiones hasta que se aprueba una comprobación posterior (en el caso de las comprobaciones que se realizan a intervalos regulares); sin embargo, el tráfico que fluye a través de las conexiones existentes continúa pasando por un túnel a través de Citrix Gateway.

Puede utilizar la utilidad de configuración para configurar directivas de autenticación previa o expresiones de seguridad dentro de las directivas de sesión diseñadas para llevar a cabo comprobaciones de seguridad en los dispositivos de los usuarios.

Configurar expresiones antivirus, firewall, seguridad de Internet o antispam

La configuración de las directivas antivirus, firewall, seguridad de Internet y antispam se configura en el cuadro de diálogo Agregar expresión. La configuración de cada directiva es la misma: las diferencias son los valores que selecciona. Por ejemplo, si quiere comprobar en el dispositivo de usuario la versión 10 del antivirus Norton y ZoneAlarm Pro, cree dos expresiones dentro de la directiva de sesión o autenticación previa que especifican el nombre y el número de versión de cada aplicación.

Al seleccionar Seguridad del cliente como tipo de expresión, puede configurar lo siguiente:

  • Componente: tipo de seguridad del cliente, como antivirus, firewall o entrada de registro.
  • Nombre: Nombre de la aplicación, proceso, archivo, entrada de registro o sistema operativo.
  • Calificador: la versión o el valor del componente que comprueba la expresión.
  • Operador: comprueba si el valor existe o es igual al valor.
  • Valor: versión de la aplicación para antivirus, firewall, seguridad de Internet o software antispam en el dispositivo del usuario.
  • Frecuencia: Frecuencia con la que se ejecuta un análisis posterior a la autenticación, en minutos.
  • Peso del error: ponderación asignada a cada mensaje de error contenido en una expresión anidada cuando varias expresiones tienen cadenas de error diferentes. El peso determina qué mensaje de error aparece.
  • Frescura: define la antigüedad de una definición de virus. Por ejemplo, puede configurar la expresión para que las definiciones de virus no tengan más de tres días.

Para agregar una directiva de seguridad de cliente a una directiva de sesión o de autenticación previa

  1. En la utilidad de configuración, en el panel de navegación, realice una de las siguientes acciones:
    1. En la utilidad de configuración, en la ficha Configuración, en el panel de navegación, expanda Citrix Gateway > Directivas y, a continuación, haga clic en Sesión.
    2. En la utilidad de configuración, en la ficha Configuración, en el panel de navegación, expanda Citrix Gateway > Directivas > Autenticación/autorizacióny, a continuación, haga clic en EPA de autenticación previa.
  2. En el panel de detalles, en la ficha Directivas, haga clic en Agregar.
  3. En Nombre, escriba un nombre para la directiva.
  4. Junto a Coincidir con cualquier expresión, haga clic en Agregar.
  5. En el cuadro de diálogo Agregar expresión, en Tipo de expresión, seleccione Seguridad del cliente.
  6. Configure los ajustes para lo siguiente:
    1. En Componente, seleccione el elemento que quiere escanear.
    2. En Nombre, escriba el nombre de la aplicación.
    3. En Qualifier, selecciona Versión.
    4. En Operador, seleccione el valor.
    5. En Valor, escriba la cadena de seguridad del cliente, haga clic en Aceptar, en Crear y, a continuación, en Cerrar.

Configurar directivas de servicio

Un servicio es un programa que se ejecuta de forma silenciosa en el dispositivo del usuario. Al crear una directiva de sesión o de autenticación previa, puede crear una expresión que garantice que los dispositivos de usuario ejecuten un servicio determinado cuando se establece la sesión.

Para configurar una directiva de servicio

  1. En la utilidad de configuración, en el panel de navegación, realice una de las siguientes acciones:
    1. En la utilidad de configuración, en la ficha Configuración, en el panel de navegación, expanda Citrix Gateway\ > Directivas y, a continuación, haga clic en Sesión.
    2. En la utilidad de configuración, en la ficha Configuración, en el panel de navegación, expanda Citrix Gateway > Directivas\ > Autenticación/autorizacióny, a continuación, haga clic en EPA de autenticación previa.
  2. En el panel de detalles, en la ficha Directivas, haga clic en Agregar.
  3. En Nombre, escriba un nombre para la directiva.
  4. Junto a Coincidir con cualquier expresión, haga clic en Agregar.
  5. En el cuadro de diálogo Agregar expresión, en Tipo de expresión, seleccione Seguridad del cliente.
  6. Configure los ajustes para lo siguiente:
    1. En Componente, seleccione Servicio.
    2. En Nombre, escriba el nombre del servicio.
    3. En Calificador, déjalo en blanco o selecciona Versión.
    4. En función de su selección en Qualifier, realiza una de las siguientes acciones:
      • Si se deja en blanco, en Operador, seleccione == o! =
      • Si ha seleccionado Versión, en Operador, en Valor, escriba el valor, haga clic en Aceptar y, a continuación, haga clic en Cerrar.

Puede consultar una lista de todos los servicios disponibles y el estado de cada uno de ellos en un equipo basado en Windows en la siguiente ubicación:

Panel de control > Herramientas administrativas > Servicios

Nota:

El nombre del servicio de cada servicio varía del nombre que aparece en la lista. Compruebe el nombre del servicio en el cuadro de diálogo Propiedades.

Configurar directivas de procesos

Al crear una directiva de sesión o de autenticación previa, puede definir una regla que exija que todos los dispositivos de usuario tengan un proceso concreto ejecutándose cuando los usuarios inicien sesión. El proceso puede ser cualquier aplicación y puede incluir aplicaciones personalizadas.

Nota: La lista de todos los procesos que se ejecutan en un equipo basado en Windows aparece en la ficha Procesos del Administrador de tareas de Windows.

Para configurar una directiva de procesos

  1. En la utilidad de configuración, en el panel de navegación, realice una de las siguientes acciones:
    1. En la utilidad de configuración, en la ficha Configuración, en el panel de navegación, expanda Citrix Gateway\ > Directivas y, a continuación, haga clic en Sesión.
    2. En la utilidad de configuración, en la ficha Configuración, en el panel de navegación, expanda Citrix Gateway > Directivas\ > Autenticación/autorizacióny, a continuación, haga clic en EPA de autenticación previa.
  2. En el panel de detalles, en la ficha Directivas, haga clic en Agregar.
  3. En Nombre, escriba un nombre para la directiva.
  4. Junto a Coincidir con cualquier expresión, haga clic en Agregar.
  5. En el cuadro de diálogo Agregar expresión, en Tipo de expresión, seleccione Seguridad del cliente.
  6. Configure los ajustes para lo siguiente:
    1. En Componente, seleccione Proceso.
    2. En Nombre, escriba el nombre de la aplicación.
    3. En Operador, seleccione EXISTS o NOTEXISTS, haga clic en Aceptar y, a continuación, en Cerrar.

Al configurar una directiva de Endpoint Analysis (autenticación previa o posterior a la autenticación) para comprobar si hay un proceso, puede configurar una suma de comprobación MD5.

Al crear la expresión de la directiva, puede agregar la suma de comprobación MD5 al proceso que está buscando. Por ejemplo, si está comprobando si notepad.exe se está ejecutando en el dispositivo del usuario, la expresión es: CLIENT.APPLICATION.PROCESS (notepad.exe_md5_388b8fbc36a8558587afc90fb23a3b00) EXISTS

Configurar directivas del sistema operativo

Al crear una directiva de sesión o de autenticación previa, puede configurar cadenas de seguridad del cliente para determinar si el dispositivo de usuario ejecuta un sistema operativo concreto cuando los usuarios inician sesión. También puede configurar la expresión para que busque un service pack o una revisión concretos.

Los valores de Windows y Macintosh son:

Sistema operativo Valor
macOS X macOS
Windows 8.1 win8.1
Windows 8 win8
Windows 7 win7
Windows Vista vista
Windows XP winxp
Windows Server 2008 win2008
Windows Server 2003 win2003
Servidor Windows 2000 win2000
Plataforma Windows de 64 bits win64

Para configurar una directiva del sistema operativo mediante la interfaz gráfica de usuario

  1. En el panel de navegación, realice una de las siguientes acciones:
    1. Vaya a Citrix Gateway > Directivas y haga clic en Sesión.
    2. Vaya a Citrix Gateway > Directivas > Autenticación previa.
  2. En el panel de detalles, en la ficha Directivas, haga clic en Agregar.
  3. En Nombre, escriba un nombre para la directiva.
  4. En Solicitar acción, seleccione una acción existente o cree una.
  5. Haga clic en Editor de expresiones.
  6. En Seleccionar tipo de expresión, seleccione Seguridad del cliente.
  7. Configure los ajustes para lo siguiente:
    1. En Componente, seleccione Sistema operativo.
    2. En Nombre, escriba el nombre del sistema operativo.
    3. En Qualifier, realiza una de las siguientes acciones:
      • Deja el campo en blanco
      • Seleccione Service Pack
      • Seleccionar revisión
      • Seleccionar versión (solo para macOS)
    4. Según lo que haya seleccionado en el paso 7, en Operador, realice una de las siguientes acciones:
      • Si Qualifier está en blanco, en Operador, seleccione EQUAL (= =), NOTEQUAL (!=), EXISTS o NOTEXISTS.
      • Si ha seleccionado Service Pack o Hotfix, seleccione el operador y, en Valor, escriba el valor.
  8. Haga clic en Listo y luego en Cerrar.

Si está configurando un service pack, como client.os (winxp).sp, si no hay un número en el campo Valor, Citrix Gateway devuelve un mensaje de error porque la expresión no es válida.

Si el sistema operativo tiene Service Pack presentes, como Service Pack 3 y Service Pack 4, puede configurar una comprobación solo para Service Pack 4, ya que la presencia de Service Pack 4 indica automáticamente que los Service Pack anteriores están presentes.

Configurar directivas de registro

Al crear una directiva de sesión o de autenticación previa, puede comprobar la existencia y el valor de las entradas del registro en el dispositivo del usuario. La sesión se establece solo si la entrada en particular existe o tiene el valor configurado o superior.

Al configurar una expresión de registro, siga las siguientes pautas:

  • Se utilizan cuatro barras diagonales inversas para separar claves y subclaves, como

    HKEY_LOCAL_MACHINE\\\\ SOFTWARE

  • Los guiones bajos se utilizan para separar la subclave y el nombre del valor asociado, como

    HKEY_LOCAL_MACHINE\\\\ SOFTWARE\\\\ VIRUSSOFTWARE_VERSION

  • Se utiliza una barra diagonal inversa (\) para indicar un espacio, como en los dos ejemplos siguientes:

    HKEY_LOCAL_MACHINE\\\\ SOFTWARE\\ Citrix\\\\ Secure\ Access\ Client_ProductVersion

    CLIENT.REG (HKEY_LOCAL_MACHINESOftwareSymantecNorton Antivirus_Version).VALUE == 12.8.0.4 -frecuencia 5

A continuación se muestra una expresión de registro que busca la clave de registro del agente de Citrix Secure Access cuando los usuarios inician sesión:

CLIENT.REG(secureaccess).VALUE==HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\CITRIX\\\\Secure\Access\Client_ProductVersion

Nota: Si está buscando claves y valores del Registro y seleccione Forma libre avanzada en el cuadro de diálogo Expresión, la expresión debe comenzar por CLIENT.REG

Las comprobaciones de registro se admiten en los cinco tipos más comunes siguientes:

  • HKEY_CLASSES_ROOT
  • HKEY_CURRENT_USER
  • HKEY_LOCAL_MACHINE
  • HKEY_USERS
  • HKEY_CURRENT_CONFIG

Los valores de registro que se van a comprobar utilizan los siguientes tipos:

  • Cadena

    Para el tipo de valor de cadena, se comprueba que se distinga entre mayúsculas

  • DWORD

    Para el tipo DWORD, el valor se compara y debe ser igual.

  • Cadena expandida

    Otros tipos, como binario y multicadena, no son compatibles.

  • Solo se admite el operador de comparación ‘==’.

  • No se admiten otros operadores de comparación, como <, > y comparaciones que distinguen mayúsculas y minúsculas.

  • La longitud total de la cadena de registro debe ser inferior a 256 bytes.

Puede agregar un valor a la expresión. El valor puede ser una versión de software, una versión del service pack o cualquier otro valor que aparezca en el registro. Si el valor de datos del registro no coincide con el valor con el que se realiza la prueba, se deniega el inicio de sesión a los usuarios.

Nota:

No se puede buscar un valor dentro de una subclave. El análisis debe coincidir con el valor nombrado y el valor de datos asociado.

Para configurar una directiva de registro

  1. En la utilidad de configuración, en el panel de navegación, realice una de las siguientes acciones:
    1. En la utilidad de configuración, en la ficha Configuración, en el panel de navegación, expanda Citrix Gateway\ > Directivas y, a continuación, haga clic en Sesión.
    2. En la utilidad de configuración, en la ficha Configuración, en el panel de navegación, expanda Citrix Gateway > Directivas\ > Autenticación/autorizacióny, a continuación, haga clic en EPA de autenticación previa.
  2. En el panel de detalles, en la ficha Directivas, haga clic en Agregar.
  3. En Nombre, escriba un nombre para la directiva.
  4. Junto a Coincidir con cualquier expresión, haga clic en Agregar.
  5. En el cuadro de diálogo Agregar expresión, en Tipo de expresión, seleccione Seguridad del cliente.
  6. Configure los ajustes para lo siguiente:
    1. En Componente, seleccione Registro.
    2. En Nombre, escriba el nombre de la clave de registro.
    3. En Calificador, déjalo en blanco o selecciona Valor.
    4. En Operador, realice una de las siguientes acciones:
      • Si el calificador se deja en blanco, seleccione EXISTS o NOTEXISTS
      • Si ha seleccionado Valor en Calificador, seleccione == o !==
    5. En Valor, escriba el valor tal y como aparece en el editor del registro, haga clic en Aceptar y, a continuación, haga clic en Cerrar.

Configurar expresiones de seguridad compuestas de

Puede combinar cadenas de seguridad del cliente para formar expresiones de seguridad de cliente compuestas.

Los operadores booleanos compatibles con Citrix Gateway son:

  • Y (&&)
  • O (||)
  • No (!)

Para mayor precisión, puede agrupar las cadenas entre paréntesis.

Nota:

Si utiliza la línea de comandos para configurar expresiones, utilice paréntesis para agrupar las expresiones de seguridad cuando forme una expresión compuesta. El uso de paréntesis mejora la comprensión y depuración de la expresión del cliente.

Configurar directivas con el operador AND (&&)

El operador AND (&&) funciona combinando dos cadenas de seguridad de cliente para que la comprobación compuesta pase solo cuando ambas comprobaciones son verdaderas. La expresión se evalúa de izquierda a derecha y, si la primera comprobación falla, no se lleva a cabo la segunda comprobación.

Puede configurar el operador AND (&&) mediante la palabra clave “AND” o los símbolos “&&”.

Ejemplo:

A continuación se muestra una comprobación de seguridad del cliente que determina si el dispositivo del usuario tiene la versión 7.0 del antivirus Sophos instalada y en ejecución. También comprueba si el servicio Inicio de sesión en red se está ejecutando en el mismo equipo.

CLIENT.APPLICATION.AV(sophos).version==7.0 AND CLIENT.SVC(netlogon) EXISTS

Esta cadena también se puede configurar como:

CLIENT.APPLICATION.AV(sophos).version==7.0 && CLIENT.SVC(netlogon) EXISTS

Configurar directivas con el operador OR (||)

El OR (   ) funciona combinando dos cadenas de seguridad. La comprobación compuesta se aprueba cuando cualquiera de las dos comprobaciones es verdadera. La expresión se evalúa de izquierda a derecha y, si se aprueba la primera comprobación, no se lleva a cabo la segunda comprobación. Si no se aprueba la primera comprobación, se realiza la segunda comprobación.
Puede configurar el OR (   ) mediante la palabra clave “OR” o los símbolos ‘   ’.

Ejemplo:

La siguiente es una comprobación de seguridad del cliente que determina si el dispositivo del usuario tiene el archivo c:\file.txt o el proceso putty.exe ejecutándose en él.

client.file(c:\\\\file.txt) EXISTS) OR (client.proc(putty.exe) EXISTS

Esta cadena también se puede configurar como

client.file(c:\\\\file.txt) EXISTS)   (client.proc(putty.exe) EXISTS

Configurar directivas mediante el comando NOT (!) operador

El NOT (!) o el operador de negación niega la cadena de seguridad del cliente.

Ejemplo:

La siguiente comprobación de seguridad del cliente se realiza si el archivo c:\sophos_virus_defs.dat file NO tiene más de dos días de antigüedad:

\!(client.file(c:\\\\\\\\sophos\_virus\_defs.dat).timestamp==2dy)

Expresiones de seguridad de autenticación previa para dispositivos de usuario