场景 2

此场景介绍了如何为不受信任的设备启用 App Protection。

可信设备和不可信设备有许多定义。在这种情况下,假设端点分析 (EPA) 扫描成功后设备是可信的。所有其他设备均被视为不可信设备。

  1. 配置自适应身份验证
  2. 请使用以下步骤通过 EPA 扫描创建身份验证策略:

    1. 登录 Citrix ADC 管理 UI。在 Configuration(配置)选项卡中,导航到 Security(安全)> AAA-Application Traffic(AAA-应用程序流量)-> Virtual Servers(虚拟服务器)。单击要使用的虚拟服务器,在本例中为 auth_vs

      Virtual servers(虚拟服务器)

    2. 导航到 Authentication Policies(身份验证策略)> Add Binding(添加绑定)

      身份验证策略

      添加绑定

    3. 单击添加以创建策略。

      策略绑定

    4. 根据 EPA 扫描创建身份验证策略。请输入策略的名称。选择操作类型EPA。单击添加创建操作。

      创建身份验证策略

      此时将显示 Create Authentication EPA Action(创建身份验证 EPA 操作)屏幕。

      创建身份验证 EPA

    5. Create Authentication EPA Action(创建身份验证 EPA 操作)屏幕上,输入以下详细信息,然后单击 Create(创建)以创建操作:
      • Name(名称):EPA 操作的名称。在这种情况下为 EPA_Action_FileExists
      • Default Group(默认组):输入默认组的名称。如果 EPA 表达式为 True,则将用户添加到默认组中。本例中的默认组FileExists
      • Quarantine Group(隔离组):输入隔离组的名称。如果 EPA 表达式为 False,则将用户添加到隔离组中。
      • Expression(表达式):添加要扫描的 EPA 表达式。在本示例中,如果存在特定文件,我们认为 EPA 扫描是成功的:sys.client_expr("file_0_C:\\\\epa\\\\avinstalled.txt")

      您将返回到 Create Authentication Policy(创建身份验证策略)屏幕。

    6. 在表达式编辑器中输入 true,然后单击创建

      身份验证 EPA 为 true

      您将返回到策略绑定屏幕。

    7. Policy Binding(策略绑定)屏幕上,执行以下操作:

      1. 选择 Goto 表达式NEXT

      2. Select Next Factor(选择下一个因素)部分中,选择您在 Application Delivery Controller (ADC) 中为身份验证配置的 LDAP 策略。

      3. 单击绑定

        策略绑定详细信息

  3. 为可信设备创建智能访问策略:

    1. auth_vs 服务器的Authentication Virtual Server(身份验证虚拟服务器)页面上选择 Smart Access Policies(智能访问策略)。

      身份验证虚拟服务器

    2. 单击 Add Binding(添加绑定)。

      添加绑定

    3. Policy Binding(策略绑定)屏幕上,单击 Select Policy(选择策略)部分中的添加

      选择策略

      此时将显示 Create Authentication Smart Access Policy(创建身份验证智能访问策略)屏幕。

      身份验证智能访问

    4. Create Authentication Smart Access Policy(创建身份验证智能访问策略)屏幕上,输入智能访问策略的名称,然后单击添加以创建智能访问配置文件。

      此时将显示 Create Authentication Smart Access Profile(创建身份验证智能访问配置文件)屏幕。

    5. 为操作添加名称。在 Tags(标记)中输入 trusted(可信)。稍后将在 Broker 访问策略规则中引用该标记进行配置。单击创建

      创建身份验证配置文件

      您将返回到 Create Authentication Smart Access Policy(创建身份验证智能访问策略)屏幕。

    6. Expression(表达式)部分中,输入您要为其推送标记的表达式。在本例中,因为要为可信设备推送标记,所以请输入 AAA.USER.IS_MEMBER_OF("FileExists")。单击创建

      可信设备的标记

      您将返回到策略绑定屏幕。

    7. 选择 End(结尾)作为 Goto Expression(Goto 表达式) ,然后单击 Bind(绑定)。

      选择 End 表达式

  4. 为不可信设备创建智能访问策略:

    1. 按照上一步的说明进行操作,子步骤 vvi 除外。

    2. 对于子步骤 v,请在 Create Authentication Smart Access Profile(创建身份验证智能访问配置文件)屏幕上,为操作添加名称。在 Tags(标记)中输入 untrusted(不可信)。稍后将在 Broker 访问策略规则中引用该标记进行配置。单击创建

    3. 对于子步骤 vi,请在 Create Authentication Smart Access Policy(创建身份验证智能访问策略)屏幕的 Expression(表达式)部分中,输入要推送标记的表达式。在本例中,因为要为不可信设备推送标记,所以请输入 AAA.USER.IS_MEMBER_OF("FileExists").NOT

  5. 配置 Broker 访问策略规则:

    1. 按照 Citrix 博客 Getting started with PowerShell automation for Citrix Cloud(Citrix Cloud 的 PowerShell 自动化入门)中的说明,安装 Citrix PowerShell SDK 并连接到 Citrix Cloud API。

    2. 运行命令 Get-BrokerAccessPolicyRule

      显示存在的所有交付组的所有 Broker 访问策略的列表。

    3. 找到要更改的交付组的 DesktopGroupUid

      桌面组 UID

    4. 使用以下命令获取仅应用于特定交付组的策略:

      Get-BrokerAccessPolicyRule -DesktopGroupUid 7

    5. 要过滤使用可信设备的用户,请使用以下命令创建另一个 Broker 访问策略:

      New-BrokerAccessPolicyRule -Name CAP_Desktops_AG_Trusted-DesktopGroupUid 7 - AllowedConnections ViaAG -AllowedProtocols HDX, RDP -AllowedUsers AnyAuthenticated - AllowRestart $true -Enabled $true-IncludedSmartAccessFilterEnabled $true

    6. 要为可信设备禁用 App Protection,为不可信设备启用 App Protection,请使用以下命令:

      Set-BrokerAccessPolicyRule CAP_Desktops_AG_trusted -IncludedSmartAccessTags Workspace:trusted -AppProtectionKeyLoggingRequired $false -AppProtectionScreenCaptureRequired $false

      Set-BrokerAccessPolicyRule CAP_Desktops_AG -IncludedSmartAccessTags Workspace:untrusted -AppProtectionKeyLoggingRequired $true -AppProtectionScreenCaptureRequired $true

  6. 验证:

    注销 Citrix Workspace 应用程序并重新登录。从满足 EPA 扫描条件的可信设备启动受保护的资源。您会看到 App Protection 策略未应用。从不受信任的设备启动相同的资源。您会看到 App Protection 策略已应用。

场景 2

在本文中