高级端点分析扫描

高级端点分析（EPA）用于扫描用户设备，以了解Citrix网关设备上配置的端点安全要求。如果用户设备试图访问Citrix网关设备，则在管理员授予对Citrix网关设备的访问权限之前，会扫描设备以获取安全信息，如操作系统、防病毒软件、web浏览器版本等。

Advanced EPA扫描是一种基于策略的扫描，您可以在Citrix Gateway设备上为认证前和认证后会话配置该扫描。该策略在用户设备上执行注册表检查，并根据评估结果，允许或拒绝访问Citrix ADC网络。

您可以执行两种类型的EPA扫描，OPSWAT扫描和系统扫描。以下部分解释了扫描类型及其详细信息。

OPSWAT扫描。扫描机制提供不同级别的安全性，例如:

• 特定于产品的扫描
• 特定于供应商的扫描
• 一般的扫描

特定于产品的扫描:您可以为特定的产品配置扫描条件(例如前卫！免费杀毒软件)，由特定供应商(例如AVAST软件公司.)，对于一个类别(例如防病毒)。访问权限仅授予满足指定条件的计算机。**

特定于供应商的扫描:您可以为特定的供应商配置扫描条件(例如AVAST软件公司.)，一个类别(例如防病毒）.配置的扫描检查供应商提供的所有产品的指定标准。访问权限只授予满足指定条件的计算机。

通用扫描：您可以为特定类别配置扫描条件（例如防病毒）.配置的扫描检查所有供应商和供应商提供的产品的指定标准。访问权限只授予满足指定条件的计算机。

系统扫描。系统扫描为系统级属性(如MAC地址)提供了安全性。可为系统属性设置扫描条件，例如MAC地址)。访问权限仅授予满足指定条件的计算机。

配置高级端点分析扫描

可以配置EPA扫描、OPSWAT扫描和System扫描两种方式。

OPSWAT扫描

在Citrix Gateway设备上配置了以下OPSWAT扫描。

• 特定于产品的扫描
• 特定于供应商的扫描
• 一般的扫描

注意:

扫描特定的产品支持是否显示在GUI中。此外，以下OPSWAT扫描配置以预认证EPA为例。OPSWAT扫描也可以配置为认证后EPA。

配置特定于产品的OPSWAT扫描

使用Citrix ADC GUI配置特定于产品的OPSWAT扫描:

1. 导航到配置>Citrix网关>全局设置．

2. 在全局设置页面,点击更改预验证设置链接。

3. 在配置AAA预验证参数页面,点击OPSWAT EPA编辑器链接。

4. 在表达式编辑器区域，选择操作系统。

5. 例如，选择类别防病毒．

6. 例如，选择供应商AVAST软件公司．

7. 例如，选择产品前卫！免费杀毒软件．

8. 点击+在产品下拉菜单旁边配置产品扫描。

9. 如果需要定期扫描，可以选择输入扫描频率值。

配置特定于供应商的OPSWAT扫描

使用Citrix ADC GUI配置特定于供应商的OPSWAT扫描:

1. 导航到配置>Citrix网关>全局设置．

2. 在全局设置页面,点击更改预验证设置链接。

3. 在配置AAA预验证参数页面中，单击OPSWAT EPA编辑器链接。

4. 在表达式编辑器区域，选择操作系统。

5. 例如，选择类别防病毒．

6. 例如，选择供应商AVAST软件公司。

7. 选择通用' AVAST软件a.s '扫描供应商特定扫描。

8. 点击+在产品下拉菜单旁边配置您的扫描。

9. 如果需要定期扫描，可以选择输入扫描频率值。

配置通用OPSWAT扫描

使用Citrix ADC GUI配置通用OPSWAT扫描:

1. 导航到配置>Citrix网关>全局设置．

2. 在“全局设置”页面上，单击更改预验证设置链接。

3. 在配置上AAA Preauthentication参数页面,点击OPSWAT EPA编辑器链接。

4. 在表达式编辑器区域，选择操作系统。

5. 例如，选择类别防病毒．

6. 例如，选择“通用”类别特定扫描通用防病毒产品扫描．

7. 点击+在产品下拉菜单旁边配置您的扫描。

8. 如果需要定期扫描，可以选择输入扫描频率值。

系统扫描

在Citrix Gateway设备上配置了以下系统扫描。

• MAC地址
• 域检查
• 数字注册
• 非数字注册
• Windows更新

使用Citrix ADC GUI配置OPSWAT系统扫描:

1. 导航到配置>Citrix网关>全局设置．

2. 在全局设置页面,点击更改预验证设置链接。

3. 在配置AAA预验证参数页面中，单击OPSWAT EPA编辑器链接。

4. 在表达式编辑器区域，选择操作系统。

5. 从下拉菜单中选择所需的系统扫描。例如MAC地址．

6. 单击+在产品下拉菜单旁边配置您的扫描。

7. 如果需要定期扫描，可以选择输入扫描频率值。

使用高级端点分析表达式配置身份验证前配置文件

1. 导航到Citrix网关>策略．
2. 选择预认证．
3. 在“详细信息”窗格中的“策略”选项卡上，单击添加．
4. 输入概要文件的名称。
5. 选择一个行动。
6. （可选）输入客户端端点系统上要停止的任何进程或要删除的文件的名称。
7. 点击创建．

您的配置文件现在可以作为请求操作在预认证策略中使用。

使用高级端点分析表达式配置身份验证前策略

1. 导航到Citrix网关>策略．
2. 选择预认证．
3. 在“详细信息”窗格中的“策略”选项卡上，单击添加．
4. 输入策略的名称。
5. 从请求行动菜单，选择所需的配置文件。
6. 在Expression窗格中，选择OPSWAT EPA编辑器．
7. 在第一个菜单中，选择客户端操作系统。
8. 在第二个菜单中，选择扫描类型。
9. 构建完策略后，单击创建．

绑定高级端点分析预验证策略以启用它。

绑定认证前策略

1. 导航到Citrix网关>策略．
2. 选择预认证．
3. 在“详细信息”窗格中的“策略”选项卡上，单击添加．
4. 从行动菜单，选择全局绑定．
5. 点击绑定．
6. 在出现的策略详细信息窗格中，选中所需策略旁边的复选框。
7. 点击插入．
8. 策略被自动分配一个优先级(权重)。单击Priority项以根据需要进行编辑。
9. 点击好吧绑定策略。

为特定会话配置高级端点分析策略

1. 导航到Citrix网关>策略．
2. 选择会话．
3. 在“详细信息”窗格中的“策略”选项卡上，单击添加．
4. 输入策略的名称。
5. 在行动菜单中，执行以下操作之一：
   • A.选择现有操作。
   • b、 单击加号图标以显示可由会话策略设置的配置参数。单击覆盖全球复选框右侧的配置选项来激活它。选择创建．
6. 在Expression窗格中，选择OPSWAT EPA编辑器．
7. 在菜单中选择客户端操作系统。
8. 在第二个拉动菜单中，选择扫描类型。
9. 构建完策略后，单击创建．

绑定高级端点分析会话策略以启用它。

绑定会话策略的步骤

1. 导航到Citrix网关>策略．
2. 选择会话．
3. 在“详细信息”窗格中的“策略”选项卡上，单击添加．
4. 从行动菜单，选择全局绑定．
5. 点击绑定．
6. 在出现的策略详细信息窗格中，选中所需策略旁边的复选框。
7. 点击插入．
8. 策略被自动分配一个优先级(权重)。单击Priority项以根据需要进行编辑。
9. 点击好吧绑定策略。

升级EPA库

要使用Citrix ADC GUI升级EPA库，请执行以下操作：

1. 导航到配置> Citrix Gateway >更新客户端组件．

2. 下更新客户端组件,点击升级EPA库链接。

3. 选择所需的文件并单击升级．

重要的是:

• 在Citrix Gateway高可用性中，必须在主节点和辅助节点上升级EPA Libraries。

• 在Citrix网关群集设置中，必须在所有群集节点上升级EPA库。

有关OPSWAT为Citrix ADC扫描支持的Windows和MAC应用程序列表，请参阅https://support.citrix.com/article/CTX234466．

高级端点分析扫描故障排除

为了帮助排除高级端点分析扫描的故障，客户机插件将日志信息写入客户机端点系统的文件。根据用户的操作系统，可以在以下目录中找到这些日志文件。

Windows Vista、Windows 7、Windows 8、Windows 8.1和Windows 10:

当地C:\Users\ <用户名> \ AppData \ \ Citrix \ AGEE \ nsepa.txt

Windows XP:

C:\Documents and Settings\All用户\应用数据\Citrix\AGEE\nsep .txt

Mac OS X系统:

~ /图书馆/应用支持/ Citrix / EPAPlugin / epaplugin.log

(其中~符号表示相关macOS用户的主目录路径。)