إنشاء ملفات تشكيل وضع الجهاز وفحوصات الجهاز

تناقش هذه المقالة كيفية إنشاء ملفات تشكيل وضع الجهاز وفحوصات الجهاز للتأكد من أنه يُسمح فقط للأجهزة التي تلبي متطلبات الأمان بالاتصال بالشبكة.

نظرة عامة

تتيح لك ملفات تشكيل وضع الجهاز والفحوصات فرض متطلبات الامتثال للمستخدمين البعيدين قبل السماح لهم بالاتصال بالشبكة. يمكنك استخدامها في سياسة اتصال العميل وجدار حماية الإنترنت وWAN لتحديد متطلبات الجهاز المحددة.

على سبيل المثال، يمكنك إنشاء فحص جهاز لبائع معين لمكافحة البرامج الضارة، المنتج والإصدار. يتحقق العميل من تثبيت هذا البرنامج على الجهاز قبل الاتصال بالشبكة. يتصل العميل بالشبكة فقط إذا حدد أن هذا البرنامج مثبت على الجهاز. لمزيد من المعلومات حول تدفق اتصال العميل، يرجى مراجعة فهم تدفق اتصال العميل في كاتو.

يمكن تكوين فحوصات جهاز متنوعة. راجع قسم التحقق من الأجهزة المدعومة للحصول على قائمة بالتحقق من الأجهزة المتاحة وراجع العمل مع عمليات التحقق والميزات الخاصة لمزيد من المعلومات حول كل تحقق.

يمكن إضافة فحوصات الجهاز إلى ملفات تشكيل الجهاز التي يمكن أن تحتوي على فحوصات متعددة. يمكن إضافة ملفات تشكيل الجهاز إلى سياسة اتصال العميل لتحديد الأجهزة المسموح لها بالاتصال بالشبكة.

يمكن أيضًا استخدام ملفات تشكيل الجهاز في جدار حماية الإنترنت وWAN لإنشاء قواعد تشمل الوصول المشروط بناءً على الجهاز الفعلي للمستخدم النهائي. لمزيد من المعلومات حول استخدام فحوصات الجهاز في سياسة الجدار الناري، اطلع على إضافة شروط الجهاز لقواعد الجدار الناري. يمكنك مراقبة عدد الأجهزة التي امتثلت لكل ملف وضعية الجهاز على لوحة تحكم المستخدمين عن بُعد.

عمليات التحقق من الأجهزة في مكتب

ملاحظة

ملاحظة: مدعوم من:

  • عميل Windows v5.7

  • عميل macOS v5.8

  • عميل Linux v5.3

يتم تطبيق ملفات تشكيل وضع الجهاز على الأجهزة التي تتصل بشبكتك خلف سوكت. يتيح لك تطبيق نفس ملفات تشكيل وضع الجهاز بغض النظر عن الموقع الفيزيائي للجهاز. على سبيل المثال، يعمل مدير المبيعات يومين في المكتب وثلاثة أيام عن بُعد. يتم تطبيق ملف تشكيل وضع الجهاز على جهازهم في أي وقت وأينما يتصلون بكاتو.

التحقق من الأجهزة المدعومة

هذه هي متطلبات الإصدار الأدنى للعميل لفحوصات الجهاز. راجع العمل مع عمليات التحقق والميزات الخاصة للحصول على تفاصيل حول كل تحقق جهاز.

فحص الجهاز

Windows

macOS

Linux

iOS

Android

مكافحة البرامج الضارة

5.2

5.2

5.1

   

جدار الناري

5.4

5.2

5.1

   

تشفير القرص

5.5

5.6

     

إدارة التصحيح

5.5

5.2

5.2

   

شهادة الجهاز

5.5

5.4

5.1

5.3

5.0.1.115

DLP

5.9

5.4.3

5.2

   

إصدار عميل كاتو

5.0

5.0

5.0

   

عملية جارية

5.11

5.7

     

مفاتيح التسجيل

5.11

       

قائمة الخصائص (plist)

 

5.7

     

تُطبق فحوصات الجهاز للمستخدمين في المكتب

5.7

 

5.3

   

يشير الصندوق الفارغ إلى أن فحص الجهاز غير مدعوم على نظام التشغيل.

القواعد المعروفة

  • بعد إنشاء فحص جهاز، تحتاج الصفحة إلى التحديث لكي يتم تضمين الفحص الجديد في ملف تشكيل الجهاز

  • في المكتب، إذا تم ضبط الفحص الدوري على 0، يتحقق العميل من وضع الجهاز كل 10 دقائق

    • للمستخدمين عن بُعد، إذا كان التحقق الدوري مضبوطًا على 0، فإن العميل يتحقق فقط من وضعية الجهاز عند الاتصال بالشبكة

التحضير لاستخدام عمليات التحقق من الأجهزة

يمكن أن يشمل كل فحص جهاز هذه الإعدادات:

  • نوع اختبار جهاز واحد (على سبيل المثال، مكافحة البرامج الضارة أو جدار الناري)

  • بائع، منتج، وإصدار (لكل الفحوصات باستثناء العملية الجارية، مفتاح التسجيل، وقائمة الخصائص)

    • يمكنك اختيار أي إصدار، إصدار محدد، أو إصدار أدنى (أكبر من)

      ملاحظة: في فحص جهاز للجدار الناري، إذا اخترت جدار الناري المدمج في نظام تشغيل Apple macOS، يشير رقم الإصدار إلى رقم إصدار macOS

    • لفحوصات تشكيل وضع الجهاز لمكافحة البرامج الضارة، جدار الناري، إدارة التصحيح، وDLP يمكنك إنشاء فحص عام لأي بائع مدعوم أو منتج. على سبيل المثال، يمكنك إنشاء فحص للسماح بالوصول إلى جهاز مثبت عليه أي من حلول مكافحة البرامج الضارة المدعومة. لمزيد من المعلومات بشأن المورّدين والمنتجات المدعومة، انظر القوائم المنسدلة في قسم بائع من لوحة فحص الجهاز الجديد.

اعداد عمليات التحقق من الأجهزة

تحدد فحوصات الجهاز المعايير التي يجب أن يفي بها الجهاز للاتصال بالشبكة. بعد إنشاء الفحص، أضفه إلى ملف تشكيل الجهاز لفرض متطلبات الوضع.

image1.png

لتكوين فحص جهاز:

  1. من قائمة التنقل، اختر الموارد > تشكيل الجهاز.

  2. اختر علامة التبويب فحوصات الجهاز.

  3. انقر جديد. يفتح جهاز فحص جديد.

    لوحة فحوصات الجهاز
  4. تكوين إعدادات فحص الجهاز.

  5. انقر تطبيق ثم انقر حفظ.

تكوين ملفات الجهاز الشخصية

بعد إنشاء فحص جهاز، يمكنك إضافته إلى ملف تشكيل الجهاز ليتم تضمينه في القواعد في سياسة اتصال العميل أو سياسة الجدار الناري لفرض متطلبات الوضع.

ملفات تشكيل الجهاز

لتكوين ملف تشكيل الجهاز:

  1. من قائمة التنقل، اختر الموارد > تشكيل الجهاز.

  2. انقر على علامة التبويب ملفات تشكيل الجهاز.

  3. انقر جديد.

    يفتح ملف تشكيل جهاز جديد.

  4. تكوين الإعدادات لملف تشكيل الجهاز، وأضف الفحوصات المطلوبة فحوصات الجهاز (التي أنشأتها في القسم السابق).

  5. انقر تطبيق ثم انقر حفظ.

اعداد عمليات التحقق الدورية

تقوم عمليات التحقق من الجهاز بتقييم وضعية الجهاز أثناء عملية اتصال العميل. للاستمرار في تقييم وضع الجهاز بعد اتصال العميل، يمكنك تمكين فحص الجهاز للتشغيل عدة مرات وتكوين تردد الفحص. افتراضيًا، يتم تشغيل الفحوصات الدورية كل 10 دقائق.

لفهم تجربة المستخدم في حالة فشل تحقق دوري، راجع اعداد سياسة الاتصال بالعميل.

Period_Check.png

لتكوين الفحوصات الدورية:

  1. من قائمة التنقل، اختر الموارد > تشكيل الجهاز.

  2. انقر على علامة التبويب الإعدادات.

  3. حدد تردد الفحص بالدقائق.

  4. انقر حفظ.

إنشاء ملف شخصي مع عمليات تحقق متعددة

عند إنشاء ملف تشكيل جهاز مع فحوصات متعددة، هناك علاقة AND بينهما. هذا يعني أن الجهاز يجب أن يفي بمتطلبات كل فحوصات الجهاز ليتم تطبيق إجراء القاعدة على الجهاز.

يُظهر المثال التالي ملف تشكيل الجهاز العينة الذي يتضمن هذه الفحوصات:

  • إدارة التصحيح - عينة إدارة التصحيح

  • تشفير القرص - عينة تشفير القرص

Device_Profile_FW_AM.png

العمل مع عمليات التحقق والميزات الخاصة

يتم توضيح معلومات هامة حول فحوصات الجهاز والميزات المحددة في الأقسام التالية.

العمل مع عمليات تحقق شهادة الجهاز

يمكنك إنشاء تحقق جهاز للشهادات المثبتة على أجهزة المستخدم النهائي. يؤكد التحقق أن زوج مفتاح شهادة المستخدم مثبت على الجهاز وتم توقيعه وإصداره من قبل إحدى السلطات الشهادات المرتبطة بحسابك. لكي يتحقق من الوضعية اكتشاف الشهادة، يجب أن تكون مثبتة في متجر شهادات شخصية الجهاز المحلي كمفتاح مستخدم مزدوج مشترك.

تعتبر فقط شهادات RSA صالحة لوضعية الجهاز.

العمل مع عمليات تحقق تشفير القرص

يمكنك تحديد مسار أو أكثر للأقراص المشفرة (المسار الجذري بالكامل مشفر، على سبيل المثال C:\). يتم دعم التشفير بواسطة البرامج فقط (التشفير بواسطة الأجهزة غير مدعوم).

بالنسبة للأجهزة التي تحتوي على عدة تقسيمات، يمكنك تحديد أي تقسيم مشفر. عند تعريف العديد من المسارات للأقراص لجهاز، يتحقق الفحص من أن جميع المسارات مشفرة.

العمل مع عمليات تحقق إصدار عميل كاتو

يمكنك إنشاء فحوصات للأجهزة للإصدار الخاص بالعميل المثبت على جهاز المستخدم النهائي.

  • للسماح بإصدار محدد للعميل، استخدم عامل التشغيل ​Equals

  • للسماح بإصدار معين من العميل، استخدم العامل يساوي أو أكبر

العمل مع عمليات التحقق من العمليات الجارية

فحوصات العملية الجارية مدعومة على أجهزة Windows وmacOS.

تشغيل عمليات التحقق من العمليات على أجهزة Windows

يمكنك إنشاء فحص لجهاز للتحقق من أن عملية تجري على الجهاز وتم توقيعها من قِبل الشهادة المحددة. لتكوين هذا الفحص، يمكنك تضمين إما اسم العملية أو المسار الكامل للعملية وطباعة بصمة الشهادة الموقعة.

يمكنك تحديد طباعة بصمة الشهادة الموقعة ضمن خصائص العملية. على سبيل المثال، للعملية CatoClient.exe طباعة بصمة الشهادة الموقعة هي 81d821c152fa98db1c950b87d435122e5a0b451d.

Thmprint.png

لتحديد طباعة بصمة الشهادة الموقعة:

  1. انقر بزر الفأرة الأيمن على العملية واختر خصائص.

  2. في علامة التبويب التوقيعات الرقمية، اختر الشهادة المطلوبة وانقر تفاصيل.

    يتم عرض نافذة تفاصيل التوقيع الرقمي.

  3. انقر عرض الشهادة.

  4. في علامة التبويب تفاصيل، انقر على بصمة.

    يتم عرض بصمة الشهادة الموقعة.

ملاحظة: اسم العملية ومسار العملية غير حساس لحالة الأحرف.

تشغيل عمليات التحقق من العمليات على أجهزة macOS

يمكنك إنشاء فحص لجهاز للتحقق من أن عملية تجري على الجهاز وتم توقيعها من قِبل ID الفريق المحدد. لتحديد ID الفريق، في نافذة الطرفية قم بتشغيل الأمر codesign متبوعًا بالمسار الكامل للعملية. يتم إرجاع ID الفريق. على سبيل المثال، للعملية /Applications/CatoClient.app/Contents/MacOS/CatoClient، ID الفريق هو CKGSB8CH43:

macosprocess.png

يمكن أن تحتوي أسماء العمليات على أحرف يونيكود وتكون حساسة لحالة الأحرف.

قيود معروفة لعمليات تحقق العمليات على أجهزة macOS
  • التحقق من التطبيقات غير مدعوم، يجب تضمين المسار الكامل للعملية في الاعدادات

  • التحقق من العمليات التي ليس لها معرف الفريق، مثل العمليات الداخلية لنظام macOS، غير مدعوم

العمل مع عمليات تحقق مفاتيح التسجيل

لإنشاء تحقق لمفتاح التسجيل تحتاج إلى تحديد:

  • المسار الكامل لمفتاح التسجيل

  • اسم القيمة (يمكنك اختيار التحقق من القيمة الافتراضية أو قيمة محددة)

  • بيانات القيمة (يمكنك اختيار التحقق من أي قيمة أو قيمة محددة)

ملاحظة

ملاحظة: لا يتم دعم الأحرف غير ASCII لأسماء مفاتيح التسجيل أو أسماء القيم.

جميع أنواع البيانات مدعومة. في مفتاح تسجيل متعدد السطر، قم بفصل الخطوط برمز الشريط العمودي (|). صيغة البيانات في قيمة ثنائية أو نوع قيمة ثنائية هي تمثيل HEX للـ 16 بايت الأول، على سبيل المثال 0102030405060708090A0B0C0D0E0F10.

لتحديد اسم القيمة وبيانات القيمة، في محرر السجل، انقر مزدوجاً على مفتاح التسجيل الذي تتحقق منه. في المثال أدناه اسم قيمة المفتاح هو start_minimized وبيانات قيمة المفتاح هي 0.

Reg_Key.png

العمل مع التحقق من قائمة الخصائص

لإنشاء تحقق لملف قائمة الخصائص (plist) تحتاج إلى تحديد المسار الكامل للملف للتحقق. يمكنك إعداد التحقق ليتحقق من أن:

  • يوجد مفتاح محدد في plist عن طريق اختيار أي قيمة

  • يوجد مفتاح وقيمة محددة في plist عن طريق اختيار محدد.

لتحديد اسم المفتاح والقيمة داخل plist، افتح الملف بمحرر نصوص. في المثال أدناه، اسم المفتاح هو Label والقيمة هي com.catonetworks.mac.CatoClient.helper.

plist.png

أنواع بيانات القائمة المدعومة

هذه الأنواع من البيانات plist مدعومة:

  • سلاسل

  • أعداد صحيحة

  • هذه الأنواع من البيانات المتداخلة:

    • سلسلة

    • أعداد صحيحة

قيود معروفة للتحقق من قائمة الخصائص

  • يمكن أن يحتوي اسم المسار فقط على أحرف UTF-8

  • ملفات plist الموجودة في مجلدات المستخدم غير مدعومة

العمل مع الحماية في الوقت الحقيقي

في قسم المعايير، يمكنك أيضًا اختيار تمكين الحماية في الوقت الحقيقي، ويتم التحقق المستمر من أن الجهاز المتصل يطابق تحقق الجهاز.

العمل مع عملاء كاتو غير المدعومين

أحيانًا تحتاج إلى استيعاب العملاء في مؤسستك الذين لا يدعمون حاليًا وضعية الجهاز، ويمكّنهم الوصول إلى الشبكة. عندما تعد تحقق الجهاز، يسمح لك قسم المعايير باختيار السلوك للعملاء الذين لا يدعمون وضعية الجهاز.

عندما يطابق عميل غير مدعوم الإعدادات لقواعد باستثناء الملف الشخصي، هذه هي خيارات السلوك:

  • تجاوز تحقق الجهاز، وقم بالسماح للعملاء غير المدعومين بالاتصال بالشبكة

  • اعمل على حجب العملاء غير المدعومين لأنهم لا يمكنهم تلبية متطلبات تحقق الجهاز

نوصي بتقليل نطاق وتأثير تحقق الجهاز الذي يسمح للعملاء غير المدعومين في مؤسستك. كلما قل عدد العملاء غير المدعومين الذين يُسمح لهم، زادت قوة سياسة الاتصال بالعملاء.

هل كان هذا المقال مفيداً؟

3 من 4 وجدوا هذا مفيداً

لا توجد تعليقات