Citrix Gateway

Stratégies Endpoint

L’analyse des points de terminaison est un processus qui analyse une machine utilisateur et détecte des informations, telles que la présence et le niveau de version d’un système d’exploitation, d’un antivirus, d’un pare-feu ou d’un navigateur Web. Vous pouvez utiliser Endpoint Analysis pour vérifier que la machine utilisateur répond à vos exigences avant de l’autoriser à se connecter à votre réseau ou à rester connecté une fois que les utilisateurs se connectent. Vous pouvez surveiller les fichiers, les processus et les entrées de registre sur la machine utilisateur pendant la session utilisateur pour vous assurer que l’appareil continue de répondre aux exigences.

Fonctionnent des stratégies Endpoint

Vous pouvez configurer Citrix Gateway pour vérifier si une machine utilisateur répond à certaines exigences de sécurité avant qu’un utilisateur ne se connecte. C’est ce qu’on appelle une stratégie de pré-authentification. Vous pouvez configurer Citrix Gateway pour vérifier sur une machine utilisateur la présence d’antivirus, de pare-feu, de blocage du courrier indésirable, de processus, de fichiers, d’entrées de registre, de sécurité Internet ou de systèmes d’exploitation que vous spécifiez dans la stratégie. Si l’analyse de pré-authentification échoue sur la machine utilisateur, les utilisateurs ne sont pas autorisés à ouvrir une session.

Si vous devez configurer d’autres exigences de sécurité qui ne sont pas utilisées dans une stratégie de pré-authentification, vous configurez une stratégie de session et vous la liez à un utilisateur ou à un groupe. Ce type de stratégie est appelé stratégie de post-authentification, qui s’exécute pendant la session utilisateur pour s’assurer que les éléments requis, tels qu’un logiciel antivirus ou un processus, sont toujours vrais.

Lorsque vous configurez une stratégie de pré-authentification ou de post-authentification, Citrix Gateway télécharge le plug-in Endpoint Analysis, puis exécute l’analyse. Chaque fois qu’un utilisateur ouvre une session, le plug-in Endpoint Analysis s’exécute automatiquement.

Vous utilisez les trois types de stratégies suivants pour configurer les stratégies de point de terminaison :

  • Stratégie de pré-authentification qui utilise un paramètre oui ou non. L’analyse détermine si la machine utilisateur répond aux exigences spécifiées. Si l’analyse échoue, l’utilisateur ne peut pas entrer d’informations d’identification sur la page d’ouverture de session.
  • Stratégie de session conditionnelle pouvant être utilisée pour SmartAccess.
  • Expression de sécurité client au sein d’une stratégie de session. Si la machine utilisateur ne répond pas aux exigences de l’expression de sécurité client, vous pouvez configurer les utilisateurs pour qu’ils soient placés dans un groupe de quarantaine. Si la machine utilisateur réussit l’analyse, les utilisateurs peuvent être placés dans un autre groupe qui peut nécessiter d’autres vérifications.

Vous pouvez incorporer les informations détectées dans les stratégies, ce qui vous permet d’accorder différents niveaux d’accès en fonction de la machine utilisateur. Par exemple, vous pouvez fournir un accès complet avec une autorisation de téléchargement aux utilisateurs qui se connectent à distance à partir de machines utilisateur qui ont des exigences actuelles en matière de logiciels antivirus et de pare-feu. Pour les utilisateurs qui se connectent à partir d’ordinateurs non approuvés, vous pouvez fournir un niveau d’accès plus restreint qui permet aux utilisateurs de modifier des documents sur des serveurs distants sans les télécharger.

Endpoint Analysis effectue les étapes de base suivantes :

  • Examine un premier ensemble d’informations concernant la machine utilisateur afin de déterminer les analyses à appliquer.
  • Exécute toutes les analyses applicables. Lorsque les utilisateurs tentent de se connecter, le plug-in Endpoint Analysis vérifie sur la machine utilisateur les exigences spécifiées dans la stratégie de pré-authentification ou de session. Si la machine utilisateur réussit l’analyse, les utilisateurs sont autorisés à ouvrir une session. Si la machine utilisateur échoue à l’analyse, les utilisateurs ne sont pas autorisés à ouvrir une session. Remarque : Les analyses Endpoint Analysis sont terminées avant que la session utilisateur n’utilise une licence.
  • Compare les valeurs de propriétés détectées sur la machine utilisateur aux valeurs de propriété souhaitées répertoriées dans vos analyses configurées.
  • Produit une sortie qui vérifie si les valeurs de propriété souhaitées sont trouvées.

    Attention :

    Les instructions relatives à la création de stratégies Endpoint Analysis sont des instructions générales. Vous pouvez avoir plusieurs paramètres au sein d’une même stratégie de session. Les instructions spécifiques de configuration des stratégies de session peuvent contenir des instructions pour configurer un paramètre spécifique. Toutefois, ce paramètre peut être l’un des nombreux paramètres contenus dans un profil de session et une stratégie.

Évaluer les options de connexion des utilisateurs

Lorsque les utilisateurs ouvrent une session, ils peuvent choisir d’ignorer l’analyse Endpoint Analysis. Si les utilisateurs ignorent l’analyse, Citrix Gateway traite cette action comme une analyse des points de terminaison ayant échoué. Lorsque les utilisateurs échouent à l’analyse, ils peuvent uniquement accéder à l’interface Web ou via un accès sans client.

Par exemple, vous souhaitez fournir un accès aux utilisateurs à l’aide de l’agent Citrix Secure Access. Pour ouvrir une session sur Citrix Gateway avec le plug-in, les utilisateurs doivent exécuter une application antivirus, telle que Norton Antivirus. Si la machine utilisateur n’exécute pas l’application, les utilisateurs peuvent ouvrir une session avec Receiver uniquement et utiliser les applications publiées. Vous pouvez également configurer l’accès sans client, ce qui limite l’accès à des applications spécifiées, telles qu’Outlook Web Access.

Pour configurer Citrix Gateway afin de réaliser ce scénario d’ouverture de session, vous attribuez une stratégie de session restrictive en tant que stratégie par défaut. Vous configurez ensuite les paramètres pour mettre à niveau les utilisateurs vers une stratégie de session privilégiée lorsque la machine utilisateur réussit l’analyse Endpoint Analysis. À ce stade, les utilisateurs ont accès à la couche réseau et peuvent ouvrir une session avec l’agent Citrix Secure Access.

Pour configurer Citrix Gateway afin qu’il applique d’abord la stratégie de session restrictive, effectuez les opérations suivantes :

  • Configurez les paramètres globaux avec le proxy ICA activé et tous les autres paramètres nécessaires si l’application spécifiée n’est pas exécutée sur la machine utilisateur.

  • Créez une stratégie et un profil de session qui activent l’agent Citrix Secure Access.

  • Créez une expression dans la partie règle de la stratégie de session pour spécifier l’application, par exemple :

    (client.application.process (symantec.exe) existe)

Lorsque les utilisateurs ouvrent une session, la stratégie de session est appliquée en premier. Si Endpoint Analysis échoue ou si l’utilisateur ignore l’analyse, Citrix Gateway ignore les paramètres de la stratégie de session (l’expression de la stratégie de session est considérée comme fausse). Par conséquent, les utilisateurs ont un accès restreint à l’aide de l’interface Web ou d’un accès sans client. Si Endpoint Analysis réussit, Citrix Gateway applique la stratégie de session et les utilisateurs disposent d’un accès complet à l’agent Citrix Secure Access.

Ignorer l’analyse EPA

Vous pouvez ignorer l’analyse EPA pour la post-authentification et l’authentification avancée uniquement. Skip EPA est disponible sur les navigateurs de tous les systèmes d’exploitation pris en charge. Les utilisateurs doivent cliquer sur le bouton Ignorer l’EPA qui apparaît lors de l’accès à la passerelle. Si les utilisateurs ignorent l’analyse, Citrix Gateway traite cette action comme une analyse des points de terminaison ayant échoué. Lorsque les utilisateurs échouent à l’analyse, ils peuvent uniquement accéder à l’interface Web ou via un accès sans client.

Voir aussi https://support.citrix.com/article/CTX200748.

Analyses Endpoint Analysis prises en charge pour Ubuntu

Les analyses EPA (Endpoint Analysis) suivantes sont prises en charge pour le plug-in EPA installé pour le système d’exploitation Ubuntu. Un exemple d’expression permettant de configurer chacune des analyses est répertorié avec les analyses EPA. Vous pouvez configurer ces expressions dans les stratégies d’authentification.

  • Fichier
    • Existence - CLIENT.FILE(/home/user/test.txt) EXISTS
    • Somme de contrôle MD5 - CLIENT.FILE (/home/user/test.txt) .MD5 == ce780e271debcc29f551546e8db3368f
    • Texte dans un fichier (prise en charge des expressions régulières) - CLIENT.FILE (/home/user/test.txt) .SEARCH == citrix
  • Processus
    • Existence - CLIENT.APPLICATION.PROCESS(perl) EXISTS
    • Somme de contrôle MD5 - CLIENT.APPLICATION.PROCESS (perl) .MD5 = c060d3a5f97e27066cef8c116785567a
    • Chemin d’accès - CLIENT.APPLICATION.PROCESS (perl) .PATH == /usr/bin/perl
  • Nom du périphérique du système de fichiers ou du point de montage - CLIENT.MOUNTPOINT (/sys) EXISTS

Si vous utilisez des stratégies avancées, les expressions de chaque analyse peuvent être générées à partir de l’interface graphique (Sécurité > AAA > Stratégies > Authentification > Stratégies avancées > EPA).

Remarque : Dans la page Éditeur d’expressions, pour le client Linux, vous pouvez sélectionner Commun, puis Processus, Fichier ou Point de montage.

Stratégies d'analyse EPA

Stratégies Endpoint