终端节点策略的工作原理

您可以将 Citrix Gateway 配置为在用户登录之前检查用户设备是否满足某些安全要求。这称为预身份验证策略。您可以将 Citrix Gateway 配置为检查用户设备是否存在防病毒、防火墙、反垃圾邮件、进程、文件、注册表项、Internet 安全或您在策略中指定的操作系统。如果用户设备未能进行身份验证预扫描,则不允许用户登录。

如果需要配置未在预身份验证策略中使用的其他安全要求,请配置会话策略并将其绑定到用户或组。此类策略称为身份验证后策略,该策略在用户会话期间运行,以确保所需项目(如防病毒软件或进程)仍然为真。

配置预身份验证或身份验证后策略时,Citrix Gateway 会下载端点分析插件,然后运行扫描。每次用户登录时,端点分析插件都会自动运行。

您可以使用以下三种类型的策略配置终端节点策略:

  • 使用是或否参数的预身份验证策略。扫描将确定用户设备是否满足指定的要求。如果扫描失败,用户将无法在登录页面上输入凭据。
  • 具有条件且可用于智能访问的会话策略。
  • 会话策略中的客户端安全表达式。如果用户设备未能满足客户端安全表达式的要求,则可以将用户配置为放入隔离组。如果用户设备通过扫描,则可将用户置于另一个可能需要进行额外检查的组中。

您可以将检测到的信息合并到策略中,从而使您能够根据用户设备授予不同级别的访问权限。例如,您可以为从具有当前防病毒和防火墙软件要求的用户设备远程连接的用户提供具有下载权限的完全访问权限。对于从不受信任的计算机连接的用户,您可以提供更受限制的访问级别,允许用户在远程服务器上编辑文档而无需下载文档。

端点分析执行以下基本步骤:

  • 检查有关用户设备的初始信息集,以确定应用哪些扫描。
  • 运行所有适用的扫描。当用户尝试连接时,端点分析插件会检查用户设备是否符合预身份验证或会话策略中指定的要求。如果用户设备通过扫描,则允许用户登录。如果用户设备扫描失败,则不允许用户登录。 注意:端点分析扫描在用户会话使用许可证之前完成。
  • 将在用户设备上检测到的属性值与配置扫描中列出的所需属性值进行比较。
  • 生成一个输出,验证是否找到所需的属性值。

    注意: 有关创建终端分析策略的说明是一般准则。一个会话策略中可以有多个设置。配置会话策略的具体说明可能包含配置特定设置的说明;但是,该设置可以是会话配置文件和策略中包含的许多设置之一。

终端节点策略的工作原理