تتناول هذه المقالة كيفية إنشاء ملفات تعريف وضع الجهاز والتحقق من الجهاز للتأكد من السماح فقط للأجهزة التي تفي بمتطلبات الأمان بالاتصال بالشبكة.
تسمح لك ملفات تعريف وضع الجهاز والتحقق من الجهاز بفرض متطلبات الامتثال على المستخدمين عن بُعد قبل السماح لهم بالاتصال بالشبكة. يمكنك استخدامها في سياسة اتصال العميل وجدار حماية الإنترنت وWAN لتعريف متطلبات الجهاز المحددة.
على سبيل المثال، يمكنك إنشاء تحقق من الجهاز لموفر معين لمكافحة البرمجيات الضارة، المنتج، والإصدار. يتحقق العميل من تثبيت هذه البرمجيات على الجهاز قبل الاتصال بالشبكة. يتصل العميل بالشبكة فقط إذا حدد أن هذه البرمجيات مثبتة على الجهاز. لمزيد من المعلومات حول تدفق اتصال العميل، انظر فهم تدفق اتصال العميل في كاتو.
يمكن تكوين عمليات تحقق متنوعة للجهاز. ارجع إلى قسم عمليات التحقق من الأجهزة المدعومة للحصول على قائمة بعمليات التحقق من الأجهزة المتوفرة والعمل مع عمليات التحقق من الأجهزة والميزات المحددة لمزيد من المعلومات عن كل عملية تحقق.
يمكن إضافة عمليات تحقق الجهاز إلى ملفات تعريف الجهاز التي يمكن أن تحتوي على عدة فحوصات. يمكن إضافة ملفات تعريف الجهاز إلى سياسة اتصال العميل لتحديد الأجهزة المسموح لها بالاتصال بالشبكة.
يمكن أيضًا استخدام ملفات تعريف الجهاز في جدار حماية الإنترنت وWAN لإنشاء قواعد تتضمن الوصول المشروط استنادًا إلى الجهاز الفعلي للمستخدم النهائي. لمزيد من المعلومات حول استخدام عمليات تحقق الجهاز في سياسة جدار الحماية، انظر إضافة شروط الجهاز إلى قواعد جدار الحماية. يمكنك مراقبة عدد الأجهزة التي امتثلت لكل ملف موقف الجهاز على لوحة معلومات المستخدمين البعيدين.
ملاحظة
ملاحظة: مدعوم من:
-
عميل Windows v5.7
-
عميل macOS v5.8
-
عميل Linux v5.3
تُطبق ملفات تعريف وضع الجهاز على الأجهزة المتصلة بشبكتك خلف Socket. يتيح لك ذلك تطبيق نفس ملفات تعريف وضع الجهاز، بغض النظر عن الموقع الفعلي للجهاز. على سبيل المثال، يعمل موظف مبيعات يومين في المكتب وثلاثة أيام عن بُعد. يتم تطبيق ملف تعريف وضع الجهاز على جهازهم في أي وقت ومكان يتصلون فيه بـ كاتو.
هذه هي متطلبات نسخة العميل الدنيا لعمليات تحقق الجهاز. انظر العمل مع عمليات التحقق من الأجهزة والميزات المحددة للحصول على تفاصيل حول كل عملية تحقق.
|
تحقق الجهاز |
Windows |
macOS |
Linux |
iOS |
Android |
|---|---|---|---|---|---|
|
مكافحة البرامج الضارة |
5.2 |
5.2 |
5.1 |
||
|
جدار حماية |
5.4 |
5.2 |
5.1 |
||
|
تشفير القرص |
5.5 |
5.6 |
|||
|
إدارة التصحيحات |
5.5 |
5.2 |
5.2 |
||
|
شهادة الجهاز |
5.5 |
5.4 |
5.1 |
5.3 |
5.0.1.115 |
|
DLP |
5.9 |
5.4.3 |
5.2 |
||
|
نسخة عميل كاتو |
5.0 |
5.0 |
5.0 |
||
|
العملية الجارية |
5.11 |
5.7 |
|||
|
مفاتيح التسجيل |
5.11 |
||||
|
قائمة الخصائص (plist) |
5.7 |
||||
|
تُطبق عمليات تحقق الجهاز على المستخدمين في المكتب |
5.7 |
5.3 |
يشير المربع الفارغ إلى أن تحقق الجهاز غير مدعوم على نظام التشغيل.
يمكن أن يتضمن كل تحقق من الأجهزة هذه الإعدادات:
-
نوع اختبار جهاز واحد (مثل مكافحة البرامج الضارة أو جدار الحماية)
-
موفر، منتج، وإصدار (لكل الفحوصات ما عدا العملية الجارية، مفتاح التسجيل، وقائمة الخصائص)
-
يمكنك اختيار أي إصدار، إصدار محدد، أو إصدار أدنى (أكبر من)
ملاحظة: في فحص جهاز الجدار الناري، إذا اخترت جدار الحماية المدمج في macOS من Apple، فإن رقم الإصدار يشير إلى رقم إصدار macOS
-
بالنسبة لفحوص وضع الجهاز لمكافحة البرمجيات الضارة، الجدار الناري، إدارة التصحيحات، وDLP يمكنك إنشاء فحص عام لأي موفر أو منتج مدعوم. على سبيل المثال، يمكنك إنشاء فحص للسماح بالوصول إلى جهاز مثبت عليه أي من حلول المكافحة البرمجيات الضارة المدعومة. لقائمة بالموفرين والمنتجات المدعومة، انظر القوائم المنسدلة في قسم البائع في لوحة التحقق من الجهاز الجديد.
-
تحدد عمليات تحقق الجهاز المعايير التي يجب أن يفي بها الجهاز للاتصال بالشبكة. بعد إنشاء الفحص، أضفه إلى ملف تعريف جهاز لفرض متطلبات الوضع.
بعد إنشاء فحص جهاز، يمكنك إضافته إلى ملف تعريف جهاز ليتم تضمينه في القواعد في سياسة اتصال العميل أو سياسة جدار الحماية لفرض متطلبات الوضع.
لتكوين ملف تعريف جهاز:
-
من قائمة التنقل، اختر الموارد > وضع الجهاز.
-
انقر فوق علامة التبويب ملفات تعريف وضع الجهاز.
-
انقر فوق جديد.
تفتح لوحة ملف تعريف جهاز جديد.
-
قم بتكوين الإعدادات لملف تعريف الجهاز، وأضف عمليات تحقق الجهاز المطلوبة (التي قمت بإنشائها في القسم السابق).
-
انقر فوق تطبيق ثم انقر فوق حفظ.
تقوم عمليات التحقق من الأجهزة بتقييم موقف الجهاز خلال عملية اتصال العميل. لمتابعة تقييم وضع الجهاز بعد اتصال العميل، يمكنك تمكين فحص الجهاز ليتم تشغيله عدة مرات وتكوين تكرار الفحص. بشكل افتراضي، تُجرى الفحوصات الدورية كل 10 دقائق.
لفهم تجربة المستخدم في حالة فشل تحقق دوري، انظر تكوين سياسة اتصال العميل.
عند إنشاء ملف تعريف جهاز يحتوي على فحوصات متعددة، هناك علاقة ولذا بينها. هذا يعني أن الجهاز يجب أن يفي بمتطلبات جميع عمليات التحقق من الجهاز لتطبيق إجراء القاعدة على الجهاز.
يوضح المثال التالي ملف تعريف الجهاز النموذجي الذي يتضمن هذه الفحوصات:
يتم تحديد المعلومات المهمة حول عمليات التحقق من الأجهزة المحددة والميزات في الأقسام التالية.
يمكنك إنشاء عمليات تحقق للأجهزة للحصول على الشهادات المثبتة على جهاز المستخدم النهائي المحدد في حسابك. استخدم صفحة شهادات التوقيع (الوصول > الوصول إلى العميل > شهادات التوقيع) لتحميل شهادات التوقيع لحسابك. تتحقق العملية من أنه توجد شهادة مثبتة على الجهاز تطابق واحدة من شهادات التوقيع المحددة لحسابك.
يمكنك تعريف مسارات أقراص واحدة أو أكثر مشفرة (يتم تشفير المسار الجذري بالكامل، على سبيل المثال C:\). يتم دعم التشفير المعتمد على البرامج فقط (لا يتم دعم التشفير المعتمد على الأجهزة).
بالنسبة للأجهزة ذات الأقسام المتعددة، يمكنك تحديد أي قسم مشفر. عند تعريف مسارات أقراص متعددة لجهاز واحد، تتحقق العملية من أن جميع المسارات مشفرة.
تدعم عمليات التحقق من العمليات الجارية على أجهزة Windows وmacOS.
يمكنك إنشاء عملية تحقق للأجهزة للتحقق من أن عملية معينة تعمل على الجهاز وأنها موقعة بالشهادة المحددة. لتكوين هذا التحقق، يمكنك تضمين إما اسم العملية أو المسار الكامل لها وبصمة الشهادة التوقيع.
يمكنك تحديد بصمة الشهادة التوقيع داخل خصائص العملية. على سبيل المثال، بالنسبة للعملية CatoClient.exe تكون بصمة الشهادة التوقيع 81d821c152fa98db1c950b87d435122e5a0b451d.
لتحديد بصمة الشهادة التوقيع:
-
انقر بزر الماوس الأيمن على العملية وحدد الخصائص.
-
في علامة التبويب التوقيعات الرقمية، حدد الشهادة المطلوبة وانقر على التفاصيل.
يتم عرض نافذة تفاصيل التوقيع الرقمي.
-
انقر على عرض الشهادة.
-
في علامة التبويب التفاصيل، انقر على بصمة.
تظهر بصمة الشهادة التوقيع.
ملاحظة: اسم العملية ومسارها ليسا حساسي الأحرف.
يمكنك إنشاء عملية تحقق للأجهزة للتحقق من أن عملية معينة تعمل على الجهاز وموقعة بواسطة معرف الفريق المحدد. لتحديد معرف الفريق، في الطرفية قم بتشغيل الأمر codesign متبوعًا بالمسار الكامل للعملية. يتم إرجاع معرف الفريق. على سبيل المثال، للعملية /Applications/CatoClient.app/Contents/MacOS/CatoClient، معرف الفريق هو CKGSB8CH43:
يمكن أن تحتوي أسماء العمليات على حروف يونيكود وهي حساسة لحالة الأحرف.
لإنشاء عملية تحقق لمفتاح تسجيل تحتاج إلى تحديد:
-
المسار الكامل لمفتاح التسجيل
-
اسم القيمة (يمكنك اختيار التحقق من القيمة الافتراضية أو قيمة محددة)
-
بيانات القيمة (يمكنك اختيار التحقق من أي قيمة أو قيمة محددة)
ملاحظة
ملاحظة: لا يتم دعم الحروف غير ASCII لمفاتيح التسجيل أو أسماء القيم.
جميع أنواع البيانات مدعومة. في مفتاح تسجيل متعدد الخيوط، قم بفصل الأسطر بالرمز العمودي (|). صيغة البيانات في قيمة ثنائية أو نوع قيمة ثنائية هي التمثيل السداسي لأول 16 بايت، على سبيل المثال 0102030405060708090A0B0C0D0E0F10.
لتحديد اسم القيمة وبيانات القيمة، في محرر التسجيل، انقر نقرًا مزدوجًا على مفتاح التسجيل الذي تريد التحقق منه. في المثال أدناه، اسم قيمة المفتاح هو start_minimized وبيانات قيمة المفتاح هي 0.
لإنشاء عملية تحقق لملف قائمة الخصائص (plist) تحتاج إلى تحديد المسار الكامل للملف plist للتحقق منه. يمكنك تكوين التحقق للتحقق من أن:
-
وجود مفتاح محدد في ملف plist عن طريق تحديد أي قيمة
-
وجود مفتاح وقيمة محددين في ملف plist عن طريق تحديد محدد.
لتحديد اسم المفتاح والقيمة داخل ملف plist، افتح الملف باستخدام محرر نصوص. في المثال أدناه، اسم المفتاح هو Label والقيمة هي com.catonetworks.mac.CatoClient.helper.
أنواع بيانات plist التالية مدعومة:
-
سلاسل نصية
-
العدادات الصحيحة
-
هذه الأنواع المتداخلة للبيانات:
-
سلسلة نصية
-
العدادات الصحيحة
-
في بعض الأحيان تحتاج إلى استيعاب العملاء في مؤسستك الذين لا يدعمون حاليًا وضعية الجهاز، والسماح لهؤلاء العملاء بالوصول إلى الشبكة. عند تكوين فحص الجهاز، يسمح لك قسم المعايير باختيار السلوك للعملاء الذين لا يدعمون وضعية الجهاز.
عندما يتطابق عميل غير مدعوم مع الإعدادات لقاعدة باستثناء الملف الشخصي، فإن هذه هي خيارات السلوك:
-
تخطي فحص الجهاز، والسماح للعملاء غير المدعومين بالاتصال بالشبكة
-
حظر العملاء غير المدعومين لأنهم لا يستطيعون تلبية متطلبات فحص الجهاز
نوصي بتقليل نطاق وتأثير فحوصات الجهاز التي تسمح للعملاء غير المدعومين في مؤسستك. كلما قل عدد العملاء غير المدعومين المسموح لهم، كانت سياسة اتصال العميل أقوى.
لا توجد تعليقات
الرجاء تسجيل الدخول لترك تعليق.