Citrix Gateway

Expressions de sécurité de pré-authentification pour les machines utilisateur

Citrix Gateway fournit divers contrôles de sécurité des terminaux lors de l’ouverture de session de l’utilisateur ou à d’autres moments configurés au cours d’une session, ce qui contribue à améliorer la sécurité. Seules les machines utilisateur qui réussissent ces contrôles de sécurité sont autorisées à établir une session Citrix Gateway.

Voici les types de contrôles de sécurité sur les machines utilisateur que vous pouvez configurer sur Citrix Gateway :

  • Antispam
  • Antivirus
  • Stratégies de fichiers
  • Sécurité sur Internet
  • Système d’exploitation
  • Pare-feu personnel
  • Politiques de processus
  • Stratégies de registre
  • Politiques de service

Si une vérification de sécurité échoue sur la machine utilisateur, aucune nouvelle connexion n’est effectuée jusqu’à ce qu’une vérification ultérieure soit effectuée (dans le cas de vérifications à intervalles réguliers). Toutefois, le trafic circulant via les connexions existantes continue de passer par Citrix Gateway.

Vous pouvez utiliser l’utilitaire de configuration pour configurer des stratégies de pré-authentification ou des expressions de sécurité au sein des stratégies de session conçues pour effectuer des contrôles de sécurité sur les machines utilisateur.

Configuration des expressions antivirus, pare-feu, sécurité Internet ou antispam

Vous configurez les paramètres des stratégies antivirus, de pare-feu, de sécurité Internet et de blocage du courrier indésirable dans la boîte de dialogue Ajouter une expression . Les paramètres de chaque stratégie sont les mêmes : les différences correspondent aux valeurs sélectionnées. Par exemple, si vous souhaitez vérifier la présence de Norton antivirus version 10 et de ZoneAlarm Pro sur la machine utilisateur, vous créez deux expressions dans la stratégie de session ou de pré-authentification qui spécifient le nom et le numéro de version de chaque application.

Lorsque vous sélectionnez Client Security comme type d’expression, vous pouvez configurer les éléments suivants :

  • Composant : type de sécurité client, tel qu’un antivirus, un pare-feu ou une entrée de registre.
  • Nom : nom de l’application, du processus, du fichier, de l’entrée de registre ou du système d’exploitation.
  • Qualificatif : version ou valeur du composant pour lequel l’expression vérifie.
  • Opérateur : vérifie si la valeur existe ou est égale à la valeur.
  • Valeur : version de l’application pour les logiciels antivirus, pare-feu, sécurité Internet ou antispam sur la machine utilisateur.
  • Fréquence : fréquence à laquelle une analyse post-authentification est exécutée, en minutes.
  • Poids de l’erreur : pondération attribuée à chaque message d’erreur contenu dans une expression imbriquée lorsque plusieurs expressions ont des chaînes d’erreur différentes. Le poids détermine le message d’erreur qui s’affiche.
  • Fraîcheur : définit l’âge d’une définition de virus. Par exemple, vous pouvez configurer l’expression de sorte que les définitions de virus ne datent pas de plus de trois jours.

Pour ajouter une stratégie de sécurité client à une stratégie de pré-authentification ou de session

  1. Dans l’utilitaire de configuration, dans le volet de navigation, effectuez l’une des opérations suivantes :
    1. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez Citrix Gateway > Stratégies, puis cliquez sur Session.
    2. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez Citrix Gateway > Stratégies > Authentification/Autorisation, puis cliquez sur EPA de pré-authentification.
  2. Dans le volet d’informations, sous l’onglet Stratégies, cliquez sur Ajouter.
  3. Dans Nom, saisissez le nom de la stratégie.
  4. En regard de Correspondance avec n’importe quelle expression, cliquez sur Ajouter.
  5. Dans la boîte de dialogue Ajouter une expression, dans Type d’expression, sélectionnez Sécurité du client.
  6. Configurez les paramètres des éléments suivants :
    1. Dans Composant, sélectionnez l’élément à analyser.
    2. Dans Nom, tapez le nom de l’application.
    3. Dans Qualificatif, sélectionnez Version.
    4. Dans Opérateur, sélectionnez la valeur.
    5. Dans Valeur, tapez la chaîne de sécurité du client, cliquez sur OK, cliquez sur Créer, puis cliquez sur Fermer.

Configuration des stratégies de service

Un service est un programme qui s’exécute en mode silencieux sur la machine utilisateur. Lorsque vous créez une stratégie de session ou de pré-authentification, vous pouvez créer une expression qui garantit que les machines utilisateur exécutent un service particulier lorsque la session est établie.

Pour configurer une stratégie de service

  1. Dans l’utilitaire de configuration, dans le volet de navigation, effectuez l’une des opérations suivantes :
    1. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez Citrix Gateway \ > Stratégies, puis cliquez sur Session.
    2. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez Citrix Gateway > Stratégies \ > Authentification/Autorisation, puis cliquez sur EPA de pré-authentification.
  2. Dans le volet d’informations, sous l’onglet Stratégies, cliquez sur Ajouter.
  3. Dans Nom, saisissez le nom de la stratégie.
  4. En regard de Correspondance avec n’importe quelle expression, cliquez sur Ajouter.
  5. Dans la boîte de dialogue Ajouter une expression, dans Type d’expression, sélectionnez Sécurité du client.
  6. Configurez les paramètres des éléments suivants :
    1. Dans Composant, sélectionnez Service.
    2. Dans Nom, tapez le nom du service.
    3. Dans Qualificatif, laissez le champ vide ou sélectionnez Version.
    4. En fonction de votre sélection dans le Qualifier, effectuez l’une des opérations suivantes :
      • Si ce champ n’est pas renseigné, dans Opérateur, sélectionnez == ou ! =
      • Si vous avez sélectionné Version, dans Opérateur, dans Valeur, tapez la valeur, cliquez sur OK, puis cliquez sur Fermer.

Vous pouvez consulter la liste de tous les services disponibles et l’état de chacun d’eux sur un ordinateur Windows à l’emplacement suivant :

Panneau de configuration > Outils d’administration > Services

Remarque :

Le nom de service de chaque service varie de son nom répertorié. Vérifiez le nom du service en consultant la boîte de dialogue Propriétés.

Configuration des stratégies de processus

Lorsque vous créez une stratégie de session ou de pré-authentification, vous pouvez définir une règle qui exige que toutes les machines utilisateur disposent d’un processus particulier en cours d’exécution lorsque les utilisateurs ouvrent une session. Le processus peut être n’importe quelle application et peut inclure des applications personnalisées.

Remarque : La liste de tous les processus exécutés sur un ordinateur Windows apparaît dans l’onglet Processus du Gestionnaire des tâches Windows.

Pour configurer une stratégie de processus

  1. Dans l’utilitaire de configuration, dans le volet de navigation, effectuez l’une des opérations suivantes :
    1. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez Citrix Gateway \ > Stratégies, puis cliquez sur Session.
    2. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez Citrix Gateway > Stratégies \ > Authentification/Autorisation, puis cliquez sur EPA de pré-authentification.
  2. Dans le volet d’informations, sous l’onglet Stratégies, cliquez sur Ajouter.
  3. Dans Nom, saisissez le nom de la stratégie.
  4. En regard de Correspondance avec n’importe quelle expression, cliquez sur Ajouter.
  5. Dans la boîte de dialogue Ajouter une expression, dans Type d’expression, sélectionnez Sécurité du client.
  6. Configurez les paramètres des éléments suivants :
    1. Dans Composant, sélectionnez Processus.
    2. Dans Nom, tapez le nom de l’application.
    3. Dans Opérateur, sélectionnez EXISTS ou NOTEXISTS, cliquez sur OK, puis sur Fermer.

Lorsque vous configurez une stratégie Endpoint Analysis (pré-authentification ou post-authentification) pour vérifier la présence d’un processus, vous pouvez configurer une somme de contrôle MD5.

Lorsque vous créez l’expression de la stratégie, vous pouvez ajouter la somme de contrôle MD5 au processus que vous vérifiez. Par exemple, si vous vérifiez si notepad.exe est en cours d’exécution sur la machine utilisateur, l’expression est : CLIENT.APPLICATION.PROCESS (notepad.exe_md5_388b8fbc36a8558587afc90fb23a3b00) EXISTS

Configuration des stratégies du système d’exploitation

Lorsque vous créez une stratégie de session ou de pré-authentification, vous pouvez configurer des chaînes de sécurité client pour déterminer si la machine utilisateur exécute un système d’exploitation particulier lorsque les utilisateurs ouvrent une session. Vous pouvez également configurer l’expression pour rechercher un service pack ou un correctif logiciel particulier.

Les valeurs pour Windows et Macintosh sont les suivantes :

Système d’exploitation Valeur
MacOS X macOS
Windows 8.1 win8.1
Windows 8 win8
Windows 7 win7
Windows Vista vista
Windows XP winxp
Windows Server 2008 win2008
Windows Server 2003 win2003
Serveur Windows 2000 win2000
Plateforme Windows 64 bits win64

Pour configurer une stratégie de système d’exploitation à l’aide de l’interface graphique

  1. Dans le volet de navigation, effectuez l’une des opérations suivantes :
    1. Accédez à Citrix Gateway > Stratégies, puis cliquez sur Session.
    2. Accédez à Citrix Gateway > Stratégies > Préauthentification.
  2. Dans le volet d’informations, sous l’onglet Stratégies, cliquez sur Ajouter.
  3. Dans Nom, saisissez le nom de la stratégie.
  4. Dans Demander une action, sélectionnez une action existante ou créez-en une.
  5. Cliquez sur Expression Editor.
  6. Dans Sélectionner le type d’expression, sélectionnez Client Security.
  7. Configurez les paramètres des éléments suivants :
    1. Dans Composant, sélectionnez Système d’exploitation.
    2. Dans Nom, tapez le nom du système d’exploitation.
    3. Dans Qualifier, effectuez l’une des opérations suivantes :
      • Laissez ce champ vide
      • Sélectionnez le Service Pack
      • Sélectionnez Hotfix
      • Sélectionnez la version (pour macOS uniquement)
    4. En fonction de votre sélection à l’étape 7, dans Opérateur, effectuez l’une des opérations suivantes :
      • Si le qualificatif est vide, dans Opérateur, sélectionnez EQUAL (= =), NOTEQUAL (! =), EXISTS ou NOTEXISTS.
      • Si vous avez sélectionné Service Pack ou Hotfix, sélectionnez l’opérateur et, dans Valeur, saisissez la valeur.
  8. Cliquez sur Terminé, puis cliquez sur Fermer.

Si vous configurez un Service Pack, tel que client.os (winxp).sp, si un nombre ne figure pas dans le champ Valeur, Citrix Gateway renvoie un message d’erreur car l’expression n’est pas valide.

Si le système d’exploitation comporte des Service Packs, tels que Service Pack 3 et Service Pack 4, vous pouvez configurer une vérification uniquement pour le Service Pack 4, car la présence du Service Pack 4 indique automatiquement la présence de Service Packs précédents.

Configuration des stratégies de registre

Lorsque vous créez une stratégie de session ou de pré-authentification, vous pouvez vérifier l’existence et la valeur des entrées de registre sur la machine utilisateur. La session n’est établie que si l’entrée particulière existe ou a la valeur configurée ou supérieure.

Lorsque vous configurez une expression de Registre, suivez les instructions suivantes :

  • Quatre barres obliques inverses sont utilisées pour séparer les clés et les sous-clés, telles que

    HKEY_LOCAL_MACHINE\\\\SOFTWARE

  • Les traits de soulignement sont utilisés pour séparer la sous-clé et le nom de la valeur associée, par exemple

    HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\VirusSoftware_Version

  • Une barre oblique inverse (\) est utilisée pour indiquer un espace, comme dans les deux exemples suivants :

    HKEY_LOCAL_MACHINE\\\\SOFTWARE\\Citrix\\\\Secure\ Access\ Client_ProductVersion

    CLIENT.REG(HKEY_LOCAL_MACHINE\\\\Software\\\\Symantec\\Norton\ AntiVirus_Version).VALUE == 12.8.0.4 -frequency 5

Voici une expression de registre qui recherche la clé de registre de l’agent Citrix Secure Access lorsque les utilisateurs ouvrent une session :

CLIENT.REG(secureaccess).VALUE==HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\CITRIX\\\\Secure\Access\Client_ProductVersion

Remarque : Si vous effectuez une recherche de clés et de valeurs de Registre et que vous sélectionnez Forme libre avancée dans la boîte de dialogue Expression, l’expression doit commencer par CLIENT.REG

Les vérifications de registre sont prises en charge sous les cinq types les plus courants suivants :

  • HKEY_CLASSES_ROOT
  • HKEY_CURRENT_USER
  • HKEY_LOCAL_MACHINE
  • HKEY_USERS
  • HKEY_CURRENT_CONFIG

Les valeurs de Registre à vérifier utilisent les types suivants :

  • Chaîne

    Pour le type de valeur de chaîne, la sensibilité à la casse est vérifiée.

  • DWORD

    Pour le type DWORD, la valeur est comparée et doit être égale.

  • String étendu

    Les autres types, tels que Binary et Multi-String, ne sont pas pris en charge.

  • Seul l’opérateur de comparaison « == » est pris en charge.

  • Les autres opérateurs de comparaison, tels que <, > et les comparaisons sensibles à la casse ne sont pas pris en charge.

  • La longueur totale de la chaîne de Registre doit être inférieure à 256 octets.

Vous pouvez ajouter une valeur à l’expression. La valeur peut être une version du logiciel, une version du Service Pack ou toute autre valeur apparaissant dans le Registre. Si la valeur des données dans le Registre ne correspond pas à la valeur que vous effectuez le test, les utilisateurs se voient refuser l’ouverture de session.

Remarque :

Vous ne pouvez pas rechercher une valeur dans une sous-clé. L’analyse doit correspondre à la valeur nommée et à la valeur de données associée.

Pour configurer une stratégie de registre

  1. Dans l’utilitaire de configuration, dans le volet de navigation, effectuez l’une des opérations suivantes :
    1. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez Citrix Gateway \ > Stratégies, puis cliquez sur Session.
    2. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez Citrix Gateway > Stratégies \ > Authentification/Autorisation, puis cliquez sur EPA de pré-authentification.
  2. Dans le volet d’informations, sous l’onglet Stratégies, cliquez sur Ajouter.
  3. Dans Nom, saisissez le nom de la stratégie.
  4. En regard de Correspondance avec n’importe quelle expression, cliquez sur Ajouter.
  5. Dans la boîte de dialogue Ajouter une expression, dans Type d’expression, sélectionnez Sécurité du client.
  6. Configurez les paramètres des éléments suivants :
    1. Dans Composant, sélectionnez Registre.
    2. Dans Nom, tapez le nom de la clé de Registre.
    3. Dans Qualificatif, laissez le champ vide ou sélectionnez Valeur.
    4. Dans Opérateur, effectuez l’une des opérations suivantes :
      • Si le qualificatif n’est pas renseigné, sélectionnez EXISTS ou NOTEXISTS
      • Si vous avez sélectionné Valeur dans le qualificatif, sélectionnez == ou ! ==
    5. Dans Valeur, tapez la valeur telle qu’elle apparaît dans l’éditeur de registre, cliquez sur OK, puis sur Fermer.

Configuration des expressions de sécurité client composées

Vous pouvez combiner des chaînes de sécurité client pour former des expressions de sécurité client composées.

Les opérateurs booléens pris en charge dans Citrix Gateway sont les suivants :

  • Et (&&)
  • Ou (||)
  • Non (!)

Pour plus de précision, vous pouvez regrouper les chaînes entre parenthèses.

Remarque :

Si vous utilisez la ligne de commande pour configurer des expressions, utilisez des parenthèses pour regrouper les expressions de sécurité lorsque vous formez une expression composée. L’utilisation de parenthèses améliore la compréhension et le débogage de l’expression client.

Configurez les stratégies avec l’opérateur AND (&&)

L’opérateur AND (&&) fonctionne en combinant deux chaînes de sécurité client de sorte que la vérification composée ne passe que lorsque les deux vérifications sont vraies. L’expression est évaluée de gauche à droite et si la première vérification échoue, la deuxième vérification n’est pas effectuée.

Vous pouvez configurer l’opérateur AND (&&) à l’aide du mot-clé « AND » ou des symboles « &&».

Exemple :

Voici une vérification de sécurité du client qui détermine si la version 7.0 de l’antivirus Sophos est installée et en cours d’exécution sur la machine utilisateur. Il vérifie également si le service Net Logon est en cours d’exécution sur le même ordinateur.

CLIENT.APPLICATION.AV(sophos).version==7.0 AND CLIENT.SVC(netlogon) EXISTS

Cette chaîne peut également être configurée comme suit :

CLIENT.APPLICATION.AV(sophos).version==7.0 && CLIENT.SVC(netlogon) EXISTS

Configurer les stratégies avec l’opérateur OR (||)

L’opérateur OR (   ) fonctionne en combinant deux chaînes de sécurité. La vérification composée réussit lorsque l’une des vérifications est vraie. L’expression est évaluée de gauche à droite et si la première vérification réussit, la deuxième vérification n’est pas effectuée. Si le premier contrôle n’est pas réussi, le deuxième contrôle est effectué.
Vous pouvez configurer l’opérateur OR (   ) à l’aide du mot clé « OR » ou des symboles ‘   ’.

Exemple :

Voici une vérification de sécurité du client qui détermine si la machine utilisateur contient soit le fichier c:\file.txt, soit le processus putty.exe en cours d’exécution.

client.file(c:\\\\file.txt) EXISTS) OR (client.proc(putty.exe) EXISTS

Cette chaîne peut également être configurée comme

client.file(c:\\\\file.txt) EXISTS)   (client.proc(putty.exe) EXISTS

Configurez les stratégies à l’aide de NOT (!) opérateur

Le NOT (!) ou l’opérateur de négation annule la chaîne de sécurité du client.

Exemple :

La vérification de sécurité du client suivante réussit si le fichier c:\sophos_virus_defs.dat file n’a PAS plus de deux jours :

\!(client.file(c:\\\\\\\\sophos\_virus\_defs.dat).timestamp==2dy)