Citrix Gateway

Analyses avancées des points de terminaison

Advanced Endpoint Analysis (EPA) est utilisé pour analyser les machines utilisateur à la recherche des exigences de sécurité des terminaux configurées sur un dispositif Citrix Gateway. Si une machine utilisateur tente d’accéder au dispositif Citrix Gateway, elle est analysée à la recherche d’informations de sécurité, telles que le système d’exploitation, l’antivirus, les versions du navigateur Web, etc., avant qu’un administrateur puisse accorder l’accès au dispositif Citrix Gateway.

L’analyse EPA avancée est une analyse basée sur des stratégies que vous pouvez configurer sur un dispositif Citrix Gateway pour les sessions de pré-authentification et de post-authentification. La stratégie effectue une vérification du Registre sur une machine utilisateur et, sur la base d’une évaluation, la stratégie autorise ou refuse l’accès au réseau Citrix ADC.

Vous pouvez effectuer deux types d’analyse EPA : l’analyse OPSWAT et l’analyse du système. La section suivante explique les types d’analyse et leurs détails.

Analyse OPSWAT. Le mécanisme d’analyse assure la sécurité à différents niveaux, tels que :

  • Analyse spécifique au produit
  • Analyse spécifique au fournisseur
  • Analyse générique

Analyse spécifique au produit : Vous pouvez configurer des critères d’analyse pour un produit particulier (par exemple, Avast ! Antivirus gratuit) proposé par un fournisseur particulier (par exemple AVAST Software a.s.), pour une catégorie (par exemple Antivirus). L’accès n’est accordé qu’aux ordinateurs répondant aux critères spécifiés.**

Analyse spécifique au fournisseur : Vous pouvez configurer des critères d’analyse pour un fournisseur particulier (par exemple AVAST Software a.s.), d’une catégorie (par exemple Antivirus). L’analyse configurée vérifie les critères spécifiés pour tous les produits proposés par le fournisseur. L’accès n’est accordé qu’aux ordinateurs répondant aux critères spécifiés.

Analyse générique : Vous pouvez configurer des critères d’analyse pour une catégorie particulière (par exemple, Antivirus). L’analyse configurée vérifie les critères spécifiés pour tous les fournisseurs et les produits proposés par les fournisseurs. L’accès n’est accordé qu’aux ordinateurs répondant aux critères spécifiés.

Analyse du système. L’analyse du système assure la sécurité des attributs de niveau système tels que l’adresse MAC. Vous pouvez configurer des critères d’analyse pour un attribut système (par exemple, l’ adresse MAC). L’accès n’est accordé qu’aux ordinateurs répondant aux critères spécifiés.

Configurer les analyses d’analyse avancée des points de terminaison

Vous pouvez configurer deux types d’analyse EPA, l’analyse OPSWAT et l’analyse du système.

Balayage OPSWAT

Les analyses OPSWAT suivantes sont configurées sur un dispositif Citrix Gateway.

  • Analyse spécifique au produit
  • Analyse spécifique au fournisseur
  • Analyse générique

Remarque :

analyse si un support produit particulier est affiché dans l’interface graphique. De plus, la configuration d’analyse OPSWAT suivante prend l’exemple de l’EPA pré-authentification. L’analyse OPSWAT peut également être configurée pour l’EPA post-authentification.

Configuration de l’analyse OPSWAT spécifique au produit

Pour utiliser l’interface graphique Citrix ADC afin de configurer l’analyse OPSWAT spécifique au produit, procédez comme suit :

  1. Accédez à Configuration > Citrix Gateway > Paramètres globaux.

  2. Sur la pageParamètres globaux, cliquez surle lien Modifier les paramètres de pré-authentification .

  3. Sur la page Configurer le paramètre de pré-authentification AAA, cliquez sur le lien OPSWAT EPA Editor .

  4. Dans la zone Expression Editor, sélectionnez le système d’exploitation.

    Éditeur d'expressions

  5. Sélectionnez la catégorie, par exemple Antivirus.

    Sélectionnez Antivirus

  6. Sélectionnez le fournisseur, par exemple AVAST Software a.s.

    Sélectionnez un fournisseur

  7. Sélectionnez le produit, par exemple Avast ! Antivirus gratuit.

    Sélectionnez un produit

  8. Cliquez sur + en regard du menu déroulant du produit pour configurer l’analyse du produit.

    Configuration de l'analyse

  9. Le cas échéant, saisissez une valeur pour la fréquence de l’analyse si vous souhaitez effectuer un balayage périodique.

    Configuration de la fréquence

Configuration de l’analyse OPSWAT spécifique au fournisseur

Pour utiliser l’interface graphique Citrix ADC afin de configurer l’analyse OPSWAT spécifique au fournisseur :

  1. Accédez à Configuration > Citrix Gateway > Paramètres globaux.

  2. Sur la pageParamètres globaux, cliquez surle lien Modifier les paramètres de pré-authentification .

  3. Sur la page Configurer le paramètre de pré-authentification AAA, cliquez sur le lien OPSWAT EPA Editor .

  4. Dans la zone Expression Editor, sélectionnez le système d’exploitation.

    Éditeur d'expressions

  5. Sélectionnez la catégorie, par exemple Antivirus.

    Sélectionnez une catégorie

  6. Sélectionnez le fournisseur, par exemple AVAST Software a.s.

    Sélectionnez un fournisseur

  7. Sélectionnez l’analyse générique « AVAST Software a.s » Scan spécifique au fournisseur.

    Sélectionnez une analyse spécifique au fournisseur

  8. Cliquez sur + en regard du menu déroulant du produit pour configurer votre analyse.

    Configuration de l'analyse

  9. Le cas échéant, saisissez une valeur pour la fréquence de l’analyse si vous souhaitez effectuer un balayage périodique.

    Configuration de la fréquence

Configuration de l’analyse OPSWAT générique

Pour utiliser l’interface graphique Citrix ADC afin de configurer l’analyse OPSWAT générique :

  1. Accédez à Configuration > Citrix Gateway > Paramètres globaux.

  2. Sur la page Paramètres globaux, cliquez surle lien Modifier les paramètres de pré-authentification .

  3. Sur la page Configurer le paramètre de pré-authentification AAA, cliquez sur le lien OPSWAT EPA Editor .

  4. Dans la zone Expression Editor, sélectionnez le système d’exploitation.

    Éditeur d'expressions

  5. Sélectionnez la catégorie, par exemple Antivirus.

    Sélectionnez une catégorie

  6. Sélectionnez l’analyse spécifique à la catégorie « Générique », par exemple Analyse des produits antivirus génériques.

    Sélectionnez un produit générique

  7. Cliquez sur + en regard du menu déroulant du produit pour configurer votre analyse.

    Configuration de l'analyse

  8. Le cas échéant, entrez une valeur pour la fréquence de l’analyse si vous souhaitez effectuer une analyse périodique.

    Configuration de la fréquence

Analyse du système

Les analyses système suivantes sont configurées sur un dispositif Citrix Gateway.

  • Adresse MAC
  • Vérification du domaine
  • Registre numérique
  • Registre non numérique
  • Mise à jour Windows

Pour utiliser l’interface graphique Citrix ADC afin de configurer l’analyse du système OPSWAT, procédez comme suit :

  1. Accédez à Configuration > Citrix Gateway > Paramètres globaux.

  2. Sur la pageParamètres globaux, cliquez surle lien Modifier les paramètres de pré-authentification .

  3. Sur la page Configurer le paramètre de pré-authentification AAA, cliquez sur le lien OPSWAT EPA Editor .

  4. Dans la zone Expression Editor, sélectionnez le système d’exploitation.

    Éditeur d'expressions

  5. Sélectionnez l’analyse système souhaitée dans le menu déroulant. Par exemple, adresse MAC.

    Sélectionnez le type d'analyse

  6. Cliquez sur le signe + en regard du menu déroulant du produit pour configurer votre analyse.

    Configuration de l'analyse

  7. Le cas échéant, entrez une valeur pour la fréquence de l’analyse si vous souhaitez effectuer une analyse périodique.

    Configuration de la fréquence

Pour configurer un profil de pré-authentification à l’aide d’expressions Endpoint Analysis avancées

  1. Accédez à Citrix Gateway > Stratégies.
  2. Sélectionnez Préauthentification.
  3. Dans le volet d’informations, sous l’onglet Stratégies, cliquez sur Ajouter.
  4. Saisissez un nom pour le profil.
  5. Sélectionnez une action.
  6. Vous pouvez également entrer les noms des processus à arrêter ou des fichiers à supprimer sur le système de point de terminaison client.
  7. Cliquez sur Créer.

Votre profil peut désormais être utilisé dans une stratégie de pré-authentification en tant qu’action de demande.

Pour configurer une stratégie de pré-authentification à l’aide d’expressions Endpoint Analysis avancées

  1. Accédez à Citrix Gateway > Stratégies.
  2. Sélectionnez Préauthentification.
  3. Dans le volet d’informations, sous l’onglet Stratégies, cliquez sur Ajouter.
  4. Entrez un nom pour la stratégie.
  5. Dans le menu Demander une action, sélectionnez le profil souhaité.
  6. Dans le volet Expression, sélectionnez OPSWAT EPA Editor.
  7. Dans le premier menu, sélectionnez un système d’exploitation client.
  8. Dans le deuxième menu, sélectionnez un type de numérisation.
  9. Lorsque vous avez fini de créer la stratégie, cliquez sur Créer.

Liez votre stratégie de pré-authentification Advanced Endpoint Analysis pour l’activer.

Pour lier une stratégie de pré-authentification

  1. Accédez à Citrix Gateway > Stratégies.
  2. Sélectionnez Préauthentification.
  3. Dans le volet d’informations, sous l’onglet Stratégies, cliquez sur Ajouter.
  4. Dans le menu Action, sélectionnez Liaisons globales.
  5. Cliquez sur Bind.
  6. Dans le volet de détails Stratégies qui s’affiche, cochez la case en regard de la stratégie souhaitée.
  7. Cliquez sur Insérer.
  8. Une priorité (pondération) est automatiquement attribuée à la stratégie. Cliquez sur l’entrée Priorité pour la modifier si nécessaire.
  9. Cliquez sur OK pour lier la stratégie.

Pour configurer une stratégie Endpoint Analysis avancée pour des sessions spécifiques

  1. Accédez à Citrix Gateway > Stratégies.
  2. Sélectionnez Session.
  3. Dans le volet d’informations, sous l’onglet Stratégies, cliquez sur Ajouter.
  4. Entrez un nom pour la stratégie.
  5. Dans le menu Action, effectuez l’une des opérations suivantes :
    • a. Sélectionnez une action existante.
    • b. Cliquez sur l’icône Plus pour afficher les paramètres de configuration qui peuvent être définis par la stratégie de session. Cliquez sur la case à cocher Override Global située à droite d’une option de configuration pour l’activer. Sélectionnez Créer.
  6. Dans le volet Expression, sélectionnez OPSWAT EPA Editor.
  7. Dans le menu, sélectionnez un système d’exploitation client.
  8. Dans le deuxième menu déroulant, sélectionnez un type de numérisation.
  9. Lorsque vous avez fini de créer la stratégie, cliquez sur Créer.

Liez votre stratégie de session Advanced Endpoint Analysis pour l’activer.

Pour lier une stratégie de session

  1. Accédez à Citrix Gateway > Stratégies.
  2. Sélectionnez Session.
  3. Dans le volet d’informations, sous l’onglet Stratégies, cliquez sur Ajouter.
  4. Dans le menu Action, sélectionnez Liaisons globales.
  5. Cliquez sur Bind.
  6. Dans le volet de détails Stratégies qui s’affiche, cochez la case en regard de la stratégie souhaitée.
  7. Cliquez sur Insérer.
  8. Une priorité (pondération) est automatiquement attribuée à la stratégie. Cliquez sur l’entrée Priorité pour la modifier si nécessaire.
  9. Cliquez sur OK pour lier la stratégie.

Mise à niveau des bibliothèques EPA

Pour utiliser l’interface graphique Citrix ADC afin de mettre à niveau les bibliothèques EPA, procédez comme suit :

  1. Accédez àConfiguration > Citrix Gateway > Mettre à jour les composants du client.

  2. Sous Mettre à jour les composants client, cliquez sur le lienMettre à niveau les bibliothèques EPA .

  3. Sélectionnez le fichier requis et cliquez sur Mettre à niveau.

Important :

  • Dans une version haute disponibilité Citrix Gateway, les bibliothèques EPA doivent être mises à niveau sur les nœuds principal et secondaire.

  • Dans une configuration de clustering Citrix Gateway, les bibliothèques EPA doivent être mises à niveau sur tous les nœuds de cluster.

Pour obtenir la liste des applications Windows et MAC prises en charge par OPSWAT pour les analyses Citrix ADC, reportez-vous à la section https://support.citrix.com/article/CTX234466.

Dépannage des analyses avancées d’Endpoint Analysis

Pour faciliter le dépannage des analyses Advanced Endpoint Analysis, les plug-ins clients écrivent des informations de journalisation dans un fichier sur les systèmes de terminaux clients. Ces fichiers journaux se trouvent dans les répertoires suivants, en fonction du système d’exploitation de l’utilisateur.

Windows Vista, Windows 7, Windows 8, Windows 8.1 et Windows 10 :

C:\Users\<username>\AppData\Local\Citrix\AGEE\nsepa.txt

Windows XP :

C:\Documents and Settings\All Users\Application Data\Citrix\AGEE\nsepa.txt

Systèmes Mac OS X :

~/Bibliothèque/Application Support/Citrix/EPAPlugin/epaplugin.log

(Où le symbole ~ indique le chemin du répertoire de base de l’utilisateur macOS concerné.)

Analyses avancées des points de terminaison