端点策略如何工作
通过配置“Citrix Gateway”,可以在用户登录前检查设备是否满足一定的安全要求。这称为预认证策略。您可以配置Citrix网关来检查用户设备是否存在您在策略中指定的反病毒、防火墙、反垃圾邮件、进程、文件、注册表项、Internet安全或操作系统。如果用户设备鉴权前扫描失败,则不允许用户登录。
如果需要配置认证前策略中未使用的额外安全要求,则需要配置会话策略,并将会话策略与用户或组绑定。这种类型的策略称为认证后策略,它在用户会话期间运行,以确保所需的项目(如防病毒软件或进程)仍然正确。
当您配置身份验证前或身份验证后策略时,Citrix Gateway将下载Endpoint Analysis插件,然后运行扫描。每次用户登录时,Endpoint Analysis插件都会自动运行。
您可以使用以下三种类型的策略来配置端点策略:
- 使用yes或no参数的预认证策略。扫描确定用户设备是否满足指定的要求。如果扫描失败,用户将无法在登录页面上输入凭据。
- 可用于SmartAccess的有条件会话策略。
- 会话策略中的客户端安全表达式。如果用户设备未能满足客户端安全表达式的要求,可以将用户配置为将其放入隔离组。如果用户设备通过了扫描,则可以将用户放到需要进行额外检查的不同组中。
您可以将检测到的信息合并到策略中,以便根据用户设备授予不同级别的访问权限。例如,您可以为从具有当前防病毒和防火墙软件需求的用户设备远程连接的用户提供完全访问和下载权限。对于从不受信任的计算机连接的用户,可以提供更严格的访问级别,允许用户在远程服务器上编辑文档,而不需要下载文档。
端点分析执行以下基本步骤:
- 检查关于用户设备的初始信息集,以确定要应用哪些扫描。
- 运行所有适用的扫描。当用户尝试连接时,Endpoint Analysis插件将检查用户设备,以确定在预认证或会话策略中指定的需求。如果用户设备通过扫描,则允许用户登录。如果用户设备扫描失败,则不允许用户登录。注意:端点分析扫描在用户会话使用许可证之前完成。
- 将用户设备上检测到的属性值与配置扫描中列出的所需属性值进行比较。
生成一个输出,验证是否找到所需的属性值。
注意:创建端点分析策略的说明是通用指南。在一个会话策略中可以有多个设置。配置会话策略的特定指令可能包含配置特定设置的指令;但是,该设置可以是会话配置文件和策略中包含的许多设置之一。
端点策略如何工作
在这篇文章中
复制!
失败了!