Endgeräte-Sicherheitsprüfung mit deviceTRUST: Windows Update-Stand & Browser-Versionen als Zugangskriterium für Citrix

Im vorherigen Beitrag unserer deviceTrust-Blogserie haben wir gezeigt, wie sich mit deviceTRUST die Zwischenablage in Citrix dynamisch, abhängig vom Endgeräte-Kontext, steuern lässt. In diesem Artikel gehen wir einen Schritt weiter und betrachten zwei zentrale Sicherheitsfaktoren, die beim Zugriff auf Citrix-Umgebungen häufig unterschätzt werden: 

• Der Update- und Patchstand des Betriebssystems (Windows / macOS) 
• Die Aktualität der installierten Browser 

Beide Faktoren sind essenziell, um Schwachstellen, Exploits und kompromittierte Clients zuverlässig auszuschließen. Mit den integrierten Kontextmodellen von deviceTRUST lassen sie sich einfach, granular und in Echtzeit kontrollieren. 

1. Prüfung des Windows/macOS-Updatestands als Zugriffskriterium

Ein aktueller Betriebssystem-Patchstand ist eine Grundvoraussetzung für sichere Zugriffe auf virtuelle Desktops und Anwendungen. deviceTRUST liefert hierfür das Kontextmodell Operating System Update, das sowohl Windows- als auch macOS-Endgeräte bewertet. 

Die folgende Abbildung zeigt beispielhaft die vollständige Entscheidungslogik: 

So bewertet deviceTRUST den OS-Patchstand

1.2 Verbindung & OS-Erkennung

Die Bewertung erfolgt nur, wenn: 

• deviceTRUST auf dem Endgerät aktiv verbunden ist 

• das Gerät ein Windows- oder macOS-System ist

1.3 Zeit seit dem letzten Update-Check

Hat das Endgerät länger als 14 Tage nicht nach Updates gesucht, stuft deviceTRUST den Status als: 

➡️ Check Required  ein.

So wird verhindert, dass Geräte mit unzuverlässigem Patchstand zugelassen werden. 

1.4 Windows: KB-Updates erkennen 

deviceTRUST prüft folgende Kategorien: 

• Critical KB 

• Security KB 

• Update KB 

Sind alle leer → Up To Date
Existieren ausstehende KBs → Pending Updates 

1.5 macOS: Update Counter prüfen 

• Update Count = 0 → Up To Date 

• Update Count  ≠0 → Pending Updates 

Kontext-Ergebnisse 

Der finale Zustand des Geräts ist einer dieser drei Werte: 

• Up To Date 

• Pending Updates 

• Check Required 

Diese Ergebnisse können anschließend direkt durch deviceTRUST Actions ausgewertet werden — etwa um den Zugriff zu blockieren, Warnmeldungen anzuzeigen (z.B. den Benutzer zur Durchführung von Updates aufzufordern), oder die Session einzuschränken. 

2. Browser-Updateprüfung: Chrome, Edge, Firefox & Safari als Sicherheitsfaktor

Moderne Angriffe erfolgen zunehmend über Browser-Exploits, Rendering-Engine-Schwachstellen oder manipulierte Websites. 

Gleichzeitig entwickeln sich Browser immer stärker zu eigenständigen Betriebssystemen im Betriebssystem:
Sie verwalten eigene Zertifikate, Passwortcontainer, Prozesse, Add-ons, JavaScript-Engines, Sandboxing-Mechanismen und ein eigenes Update-Lifecycle.
Daher ist eine regelmäßige Bewertung ihrer Sicherheit unverzichtbar. 

deviceTRUST bietet hierfür ein Multipath-Kontextmodell, das mehrere Browser simultan analysieren kann. 

Die folgende Abbildung zeigt eine beispielhafte Konfiguration: 

Was prüft das Browser-Kontextmodell? 

 Welche Browser installiert sind 

 Standardbrowser 

 Versionsstände

 Vergleich gegen definierte Mindestversionen 

 Gleichzeitige Auswertung aller gültigen Browserpfade 

Hinweis: Da alle großen Browser (Chrome, Edge, Firefox, Safari) mindestens einmal im Monat eine neue Haupt- oder Sicherheitsversion veröffentlichen, ist es zwingend notwendig, auch die Mindestversionen im deviceTRUST-Kontext regelmäßig anzupassen. Die Mindestversion ist daher kein statischer Wert, sondern muss aktiv gepflegt werden. 

Unterstützte Browser: 

• Microsoft Edge

• Google Chrome

• Mozilla Firefox

• Apple Safari (macOS) 

Beispiel: Mindestversionen 

Wird eine der Mindestversionen unterschritten, generiert deviceTRUST: 

• Edge Outdated

• Chrome Outdated

• Firefox Outdated

• Safari Outdated 

Ist ein Browser aktuell oder existiert zusätzlich ein zweiter, aktueller Browser, kann weiterhin ein korrekter Pfad „Supported“ ausgelöst werden. 

3. Kontextmodelle erklärt:Left-Most Path vs. AllPaths (Multipath) 

Um die Funktionsweise beider Prüfmodelle zu verstehen, ist es wichtig, die grundlegenden Auswertungslogiken von deviceTRUST zu kennen.
Vor allem, weil für die beiden Anwendungsfälle dieses Artikels zwei verschiedene Modelle genutzt werden. 

Left-Most Path – ideal für OS-Updateprüfungen 

Das Modell Left-Most Path ist vergleichbar mit einer klassischen If–Else-Struktur: 

• deviceTRUST durchläuft alle Pfade von oben nach unten 

• der erste zutreffende Pfad liefert das Ergebnis 

• alle nachfolgenden Pfade werden ignoriert 

Wann sinnvoll? 

Wenn nur ein Ergebnis korrekt sein kann. 

Beispiel: 

• Ein Gerät kann nicht gleichzeitig Up To Date und Pending Updates sein.
  → daher ist Left-Most Path hier exakt das richtige Modell. 

All Paths (Multipath) – ideal für Browserprüfung 

Beim All Paths / Multipath-Modell werden alle gültigen Pfade ausgewertet: 

• Alle Browser werden einzeln geprüft 

• Alle passenden Ergebnisse werden zurückgegeben 

• Mehrere Resultate gleichzeitig möglich 

Wann sinnvoll? 

Wenn mehrere parallele Bewertungen existieren. 

Beispiel: 

• Chrome aktuell 

• Edge veraltet 

deviceTRUST liefert dann gleichzeitig: 

• Edge Outdated 

• Chrome Supported 

Dieses Verhalten wäre im Left-Most-Modell nicht abbildbar. 

Fazit 

Mit deviceTRUST kann der Sicherheitszustand von Endgeräten präzise und in Echtzeit bewertet werden. Durch die Kombination aus: 

• OS-Patchstand (Left-Most Path) 

• Browser-Versionen (All Paths / Multipath)

steht ein zuverlässiger Mechanismus zur Verfügung, um unsichere oder veraltete Clients wirksam vom Zugriff auf Citrix-Umgebungen auszuschließen. 

Gerade in Zeiten dezentraler Arbeit und wachsender Cyberbedrohungen ist diese kontextbasierte Zugangskontrolle ein entscheidendes Werkzeug für jede moderne Zero-Trust-Strategie.