Analyses avancées des points de terminaison
Advanced Endpoint Analysis (EPA) est utilisé pour analyser les machines utilisateur à la recherche des exigences de sécurité des terminaux configurées sur un dispositif Citrix Gateway. Si une machine utilisateur tente d’accéder au dispositif Citrix Gateway, elle est analysée à la recherche d’informations de sécurité, telles que le système d’exploitation, l’antivirus, les versions du navigateur Web, etc., avant qu’un administrateur puisse accorder l’accès au dispositif Citrix Gateway.
L’analyse EPA avancée est une analyse basée sur des stratégies que vous pouvez configurer sur un dispositif Citrix Gateway pour les sessions de pré-authentification et de post-authentification. La stratégie effectue une vérification du Registre sur une machine utilisateur et, sur la base d’une évaluation, la stratégie autorise ou refuse l’accès au réseau Citrix ADC.
Vous pouvez effectuer deux types d’analyse EPA : l’analyse OPSWAT et l’analyse du système. La section suivante explique les types d’analyse et leurs détails.
Analyse OPSWAT. Le mécanisme d’analyse assure la sécurité à différents niveaux, tels que :
- Analyse spécifique au produit
- Analyse spécifique au fournisseur
- Analyse générique
Analyse spécifique au produit : Vous pouvez configurer des critères d’analyse pour un produit particulier (par exemple, Avast ! Antivirus gratuit) proposé par un fournisseur particulier (par exemple AVAST Software a.s.), pour une catégorie (par exemple Antivirus). L’accès n’est accordé qu’aux ordinateurs répondant aux critères spécifiés.**
Analyse spécifique au fournisseur : Vous pouvez configurer des critères d’analyse pour un fournisseur particulier (par exemple AVAST Software a.s.), d’une catégorie (par exemple Antivirus). L’analyse configurée vérifie les critères spécifiés pour tous les produits proposés par le fournisseur. L’accès n’est accordé qu’aux ordinateurs répondant aux critères spécifiés.
Analyse générique : Vous pouvez configurer des critères d’analyse pour une catégorie particulière (par exemple, Antivirus). L’analyse configurée vérifie les critères spécifiés pour tous les fournisseurs et les produits proposés par les fournisseurs. L’accès n’est accordé qu’aux ordinateurs répondant aux critères spécifiés.
Analyse du système. L’analyse du système assure la sécurité des attributs de niveau système tels que l’adresse MAC. Vous pouvez configurer des critères d’analyse pour un attribut système (par exemple, l’ adresse MAC). L’accès n’est accordé qu’aux ordinateurs répondant aux critères spécifiés.
Configurer les analyses d’analyse avancée des points de terminaison
Vous pouvez configurer deux types d’analyse EPA, l’analyse OPSWAT et l’analyse du système.
Balayage OPSWAT
Les analyses OPSWAT suivantes sont configurées sur un dispositif Citrix Gateway.
- Analyse spécifique au produit
- Analyse spécifique au fournisseur
- Analyse générique
Remarque :
analyse si un support produit particulier est affiché dans l’interface graphique. De plus, la configuration d’analyse OPSWAT suivante prend l’exemple de l’EPA pré-authentification. L’analyse OPSWAT peut également être configurée pour l’EPA post-authentification.
Configuration de l’analyse OPSWAT spécifique au produit
Pour utiliser l’interface graphique Citrix ADC afin de configurer l’analyse OPSWAT spécifique au produit, procédez comme suit :
-
Accédez à Configuration > Citrix Gateway > Paramètres globaux.
-
Sur la pageParamètres globaux, cliquez surle lien Modifier les paramètres de pré-authentification .
-
Sur la page Configurer le paramètre de pré-authentification AAA, cliquez sur le lien OPSWAT EPA Editor .
-
Dans la zone Expression Editor, sélectionnez le système d’exploitation.
-
Sélectionnez la catégorie, par exemple Antivirus.
-
Sélectionnez le fournisseur, par exemple AVAST Software a.s.
-
Sélectionnez le produit, par exemple Avast ! Antivirus gratuit.
-
Cliquez sur + en regard du menu déroulant du produit pour configurer l’analyse du produit.
-
Le cas échéant, saisissez une valeur pour la fréquence de l’analyse si vous souhaitez effectuer un balayage périodique.
Configuration de l’analyse OPSWAT spécifique au fournisseur
Pour utiliser l’interface graphique Citrix ADC afin de configurer l’analyse OPSWAT spécifique au fournisseur :
-
Accédez à Configuration > Citrix Gateway > Paramètres globaux.
-
Sur la pageParamètres globaux, cliquez surle lien Modifier les paramètres de pré-authentification .
-
Sur la page Configurer le paramètre de pré-authentification AAA, cliquez sur le lien OPSWAT EPA Editor .
-
Dans la zone Expression Editor, sélectionnez le système d’exploitation.
-
Sélectionnez la catégorie, par exemple Antivirus.
-
Sélectionnez le fournisseur, par exemple AVAST Software a.s.
-
Sélectionnez l’analyse générique « AVAST Software a.s » Scan spécifique au fournisseur.
-
Cliquez sur + en regard du menu déroulant du produit pour configurer votre analyse.
-
Le cas échéant, saisissez une valeur pour la fréquence de l’analyse si vous souhaitez effectuer un balayage périodique.
Configuration de l’analyse OPSWAT générique
Pour utiliser l’interface graphique Citrix ADC afin de configurer l’analyse OPSWAT générique :
-
Accédez à Configuration > Citrix Gateway > Paramètres globaux.
-
Sur la page Paramètres globaux, cliquez surle lien Modifier les paramètres de pré-authentification .
-
Sur la page Configurer le paramètre de pré-authentification AAA, cliquez sur le lien OPSWAT EPA Editor .
-
Dans la zone Expression Editor, sélectionnez le système d’exploitation.
-
Sélectionnez la catégorie, par exemple Antivirus.
-
Sélectionnez l’analyse spécifique à la catégorie « Générique », par exemple Analyse des produits antivirus génériques.
-
Cliquez sur + en regard du menu déroulant du produit pour configurer votre analyse.
-
Le cas échéant, entrez une valeur pour la fréquence de l’analyse si vous souhaitez effectuer une analyse périodique.
Analyse du système
Les analyses système suivantes sont configurées sur un dispositif Citrix Gateway.
- Adresse MAC
- Vérification du domaine
- Registre numérique
- Registre non numérique
- Mise à jour Windows
Pour utiliser l’interface graphique Citrix ADC afin de configurer l’analyse du système OPSWAT, procédez comme suit :
-
Accédez à Configuration > Citrix Gateway > Paramètres globaux.
-
Sur la pageParamètres globaux, cliquez surle lien Modifier les paramètres de pré-authentification .
-
Sur la page Configurer le paramètre de pré-authentification AAA, cliquez sur le lien OPSWAT EPA Editor .
-
Dans la zone Expression Editor, sélectionnez le système d’exploitation.
-
Sélectionnez l’analyse système souhaitée dans le menu déroulant. Par exemple, adresse MAC.
-
Cliquez sur le signe + en regard du menu déroulant du produit pour configurer votre analyse.
-
Le cas échéant, entrez une valeur pour la fréquence de l’analyse si vous souhaitez effectuer une analyse périodique.
Pour configurer un profil de pré-authentification à l’aide d’expressions Endpoint Analysis avancées
- Accédez à Citrix Gateway > Stratégies.
- Sélectionnez Préauthentification.
- Dans le volet d’informations, sous l’onglet Stratégies, cliquez sur Ajouter.
- Saisissez un nom pour le profil.
- Sélectionnez une action.
- Vous pouvez également entrer les noms des processus à arrêter ou des fichiers à supprimer sur le système de point de terminaison client.
- Cliquez sur Créer.
Votre profil peut désormais être utilisé dans une stratégie de pré-authentification en tant qu’action de demande.
Pour configurer une stratégie de pré-authentification à l’aide d’expressions Endpoint Analysis avancées
- Accédez à Citrix Gateway > Stratégies.
- Sélectionnez Préauthentification.
- Dans le volet d’informations, sous l’onglet Stratégies, cliquez sur Ajouter.
- Entrez un nom pour la stratégie.
- Dans le menu Demander une action, sélectionnez le profil souhaité.
- Dans le volet Expression, sélectionnez OPSWAT EPA Editor.
- Dans le premier menu, sélectionnez un système d’exploitation client.
- Dans le deuxième menu, sélectionnez un type de numérisation.
- Lorsque vous avez fini de créer la stratégie, cliquez sur Créer.
Liez votre stratégie de pré-authentification Advanced Endpoint Analysis pour l’activer.
Pour lier une stratégie de pré-authentification
- Accédez à Citrix Gateway > Stratégies.
- Sélectionnez Préauthentification.
- Dans le volet d’informations, sous l’onglet Stratégies, cliquez sur Ajouter.
- Dans le menu Action, sélectionnez Liaisons globales.
- Cliquez sur Bind.
- Dans le volet de détails Stratégies qui s’affiche, cochez la case en regard de la stratégie souhaitée.
- Cliquez sur Insérer.
- Une priorité (pondération) est automatiquement attribuée à la stratégie. Cliquez sur l’entrée Priorité pour la modifier si nécessaire.
- Cliquez sur OK pour lier la stratégie.
Pour configurer une stratégie Endpoint Analysis avancée pour des sessions spécifiques
- Accédez à Citrix Gateway > Stratégies.
- Sélectionnez Session.
- Dans le volet d’informations, sous l’onglet Stratégies, cliquez sur Ajouter.
- Entrez un nom pour la stratégie.
- Dans le menu Action, effectuez l’une des opérations suivantes :
- a. Sélectionnez une action existante.
- b. Cliquez sur l’icône Plus pour afficher les paramètres de configuration qui peuvent être définis par la stratégie de session. Cliquez sur la case à cocher Override Global située à droite d’une option de configuration pour l’activer. Sélectionnez Créer.
- Dans le volet Expression, sélectionnez OPSWAT EPA Editor.
- Dans le menu, sélectionnez un système d’exploitation client.
- Dans le deuxième menu déroulant, sélectionnez un type de numérisation.
- Lorsque vous avez fini de créer la stratégie, cliquez sur Créer.
Liez votre stratégie de session Advanced Endpoint Analysis pour l’activer.
Pour lier une stratégie de session
- Accédez à Citrix Gateway > Stratégies.
- Sélectionnez Session.
- Dans le volet d’informations, sous l’onglet Stratégies, cliquez sur Ajouter.
- Dans le menu Action, sélectionnez Liaisons globales.
- Cliquez sur Bind.
- Dans le volet de détails Stratégies qui s’affiche, cochez la case en regard de la stratégie souhaitée.
- Cliquez sur Insérer.
- Une priorité (pondération) est automatiquement attribuée à la stratégie. Cliquez sur l’entrée Priorité pour la modifier si nécessaire.
- Cliquez sur OK pour lier la stratégie.
Mise à niveau des bibliothèques EPA
Pour utiliser l’interface graphique Citrix ADC afin de mettre à niveau les bibliothèques EPA, procédez comme suit :
-
Accédez àConfiguration > Citrix Gateway > Mettre à jour les composants du client.
-
Sous Mettre à jour les composants client, cliquez sur le lienMettre à niveau les bibliothèques EPA .
-
Sélectionnez le fichier requis et cliquez sur Mettre à niveau.
Important :
Dans une version haute disponibilité Citrix Gateway, les bibliothèques EPA doivent être mises à niveau sur les nœuds principal et secondaire.
Dans une configuration de clustering Citrix Gateway, les bibliothèques EPA doivent être mises à niveau sur tous les nœuds de cluster.
Pour obtenir la liste des applications Windows et MAC prises en charge par OPSWAT pour les analyses Citrix ADC, reportez-vous à la section https://support.citrix.com/article/CTX234466.
Dépannage des analyses avancées d’Endpoint Analysis
Pour faciliter le dépannage des analyses Advanced Endpoint Analysis, les plug-ins clients écrivent des informations de journalisation dans un fichier sur les systèmes de terminaux clients. Ces fichiers journaux se trouvent dans les répertoires suivants, en fonction du système d’exploitation de l’utilisateur.
Windows Vista, Windows 7, Windows 8, Windows 8.1 et Windows 10 :
C:\Users\<username>\AppData\Local\Citrix\AGEE\nsepa.txt
Windows XP :
C:\Documents and Settings\All Users\Application Data\Citrix\AGEE\nsepa.txt
Systèmes Mac OS X :
~/Bibliothèque/Application Support/Citrix/EPAPlugin/epaplugin.log
(Où le symbole ~ indique le chemin du répertoire de base de l’utilisateur macOS concerné.)