Fonctionnement des stratégies de point de terminaison

Vous pouvez configurer Citrix Gateway pour vérifier si une machine utilisateur répond à certaines exigences de sécurité avant qu’un utilisateur ouvre une session. C’est ce qu’on appelle une stratégie de préauthentification. Vous pouvez configurer Citrix Gateway pour vérifier la présence d’un antivirus, d’un pare-feu, d’un antispam, de processus, de fichiers, d’entrées de Registre, de sécurité Internet ou de systèmes d’exploitation que vous spécifiez dans la stratégie. Si la machine utilisateur échoue à l’analyse de préauthentification, les utilisateurs ne sont pas autorisés à ouvrir une session.

Si vous devez configurer des exigences de sécurité supplémentaires qui ne sont pas utilisées dans une stratégie de préauthentification, vous configurez une stratégie de session et la liez à un utilisateur ou un groupe. Ce type de stratégie est appelé stratégie de post-authentification, qui s’exécute pendant la session utilisateur pour s’assurer que les éléments requis, tels qu’un logiciel antivirus ou un processus, sont toujours vrais.

Lorsque vous configurez une stratégie de préauthentification ou de post-authentification, Citrix Gateway télécharge le plug-in Endpoint Analysis, puis exécute l’analyse. Chaque fois qu’un utilisateur ouvre une session, le plug-in Endpoint Analysis s’exécute automatiquement.

Vous utilisez les trois types de stratégies suivants pour configurer les stratégies de point de terminaison :

  • Stratégie de préauthentification utilisant un paramètre yes ou no. L’analyse détermine si la machine utilisateur répond aux exigences spécifiées. Si l’analyse échoue, l’utilisateur ne peut pas entrer d’informations d’identification sur la page d’ouverture de session.
  • Stratégie de session conditionnelle et pouvant être utilisée pour SmartAccess.
  • Expression de sécurité client dans une stratégie de session. Si la machine utilisateur ne répond pas aux exigences de l’expression de sécurité client, vous pouvez configurer les utilisateurs pour qu’ils soient placés dans un groupe de quarantaine. Si la machine utilisateur passe l’analyse, les utilisateurs peuvent être placés dans un autre groupe qui peut nécessiter des vérifications supplémentaires.

Vous pouvez incorporer des informations détectées dans des stratégies, ce qui vous permet d’accorder différents niveaux d’accès en fonction de la machine utilisateur. Par exemple, vous pouvez fournir un accès complet avec l’autorisation de téléchargement aux utilisateurs qui se connectent à distance à partir de périphériques utilisateur qui ont des exigences actuelles en matière d’antivirus et de pare-feu. Pour les utilisateurs qui se connectent à partir d’ordinateurs non approuvés, vous pouvez fournir un niveau d’accès plus restreint qui permet aux utilisateurs de modifier des documents sur des serveurs distants sans les télécharger.

L’analyse des points de terminaison effectue les étapes de base suivantes :

  • Examine un ensemble initial d’informations sur la machine utilisateur pour déterminer les analyses à appliquer.
  • Exécute toutes les analyses applicables. Lorsque les utilisateurs tentent de se connecter, le plug-in Endpoint Analysis vérifie la machine utilisateur pour les exigences spécifiées dans la stratégie de préauthentification ou de session. Si la machine utilisateur passe l’analyse, les utilisateurs sont autorisés à ouvrir une session. Si la machine utilisateur échoue à l’analyse, les utilisateurs ne sont pas autorisés à ouvrir une session. Remarque : les analyses des points de terminaison se terminent avant que la session utilisateur utilise une licence.
  • Compare les valeurs de propriétés détectées sur la machine utilisateur avec les valeurs de propriétés souhaitées répertoriées dans vos analyses configurées.
  • Produit une sortie vérifiant si les valeurs de propriété souhaitées sont trouvées ou non.

    Attention : Les instructions pour créer des stratégies d’analyse des points de terminaison sont des directives générales. Vous pouvez avoir plusieurs paramètres dans une stratégie de session. Des instructions spécifiques pour la configuration des stratégies de session peuvent contenir des instructions pour configurer un paramètre spécifique. Toutefois, ce paramètre peut être l’un des nombreux paramètres contenus dans un profil et une stratégie de session.

Fonctionnement des stratégies de point de terminaison