تناقش هذه المقالة كيفية إنشاء ملفات تشكيل وضع الجهاز وفحوصات الجهاز للتأكد من أنه يُسمح فقط للأجهزة التي تلبي متطلبات الأمان بالاتصال بالشبكة.
تتيح لك ملفات تشكيل وضع الجهاز والفحوصات فرض متطلبات الامتثال للمستخدمين البعيدين قبل السماح لهم بالاتصال بالشبكة. يمكنك استخدامها في سياسة اتصال العميل وجدار حماية الإنترنت وWAN لتحديد متطلبات الجهاز المحددة.
على سبيل المثال، يمكنك إنشاء فحص جهاز لبائع معين لمكافحة البرامج الضارة، المنتج والإصدار. يتحقق العميل من تثبيت هذا البرنامج على الجهاز قبل الاتصال بالشبكة. يتصل العميل بالشبكة فقط إذا حدد أن هذا البرنامج مثبت على الجهاز. لمزيد من المعلومات حول تدفق اتصال العميل، يرجى مراجعة فهم تدفق اتصال العميل في كاتو.
يمكن تكوين فحوصات جهاز متنوعة. راجع قسم التحقق من الأجهزة المدعومة للحصول على قائمة بالتحقق من الأجهزة المتاحة وراجع العمل مع عمليات التحقق والميزات الخاصة لمزيد من المعلومات حول كل تحقق.
يمكن إضافة فحوصات الجهاز إلى ملفات تشكيل الجهاز التي يمكن أن تحتوي على فحوصات متعددة. يمكن إضافة ملفات تشكيل الجهاز إلى سياسة اتصال العميل لتحديد الأجهزة المسموح لها بالاتصال بالشبكة.
يمكن أيضًا استخدام ملفات تشكيل الجهاز في جدار حماية الإنترنت وWAN لإنشاء قواعد تشمل الوصول المشروط بناءً على الجهاز الفعلي للمستخدم النهائي. لمزيد من المعلومات حول استخدام فحوصات الجهاز في سياسة الجدار الناري، اطلع على إضافة شروط الجهاز لقواعد الجدار الناري. يمكنك مراقبة عدد الأجهزة التي امتثلت لكل ملف وضعية الجهاز على لوحة تحكم المستخدمين عن بُعد.
ملاحظة
ملاحظة: مدعوم من:
-
عميل Windows v5.7
-
عميل macOS v5.8
-
عميل Linux v5.3
يتم تطبيق ملفات تشكيل وضع الجهاز على الأجهزة التي تتصل بشبكتك خلف سوكت. يتيح لك تطبيق نفس ملفات تشكيل وضع الجهاز بغض النظر عن الموقع الفيزيائي للجهاز. على سبيل المثال، يعمل مدير المبيعات يومين في المكتب وثلاثة أيام عن بُعد. يتم تطبيق ملف تشكيل وضع الجهاز على جهازهم في أي وقت وأينما يتصلون بكاتو.
هذه هي متطلبات الإصدار الأدنى للعميل لفحوصات الجهاز. راجع العمل مع عمليات التحقق والميزات الخاصة للحصول على تفاصيل حول كل تحقق جهاز.
فحص الجهاز |
Windows |
macOS |
Linux |
iOS |
Android |
---|---|---|---|---|---|
مكافحة البرامج الضارة |
5.2 |
5.2 |
5.1 |
||
جدار الناري |
5.4 |
5.2 |
5.1 |
||
تشفير القرص |
5.5 |
5.6 |
|||
إدارة التصحيح |
5.5 |
5.2 |
5.2 |
||
شهادة الجهاز |
5.5 |
5.4 |
5.1 |
5.3 |
5.0.1.115 |
DLP |
5.9 |
5.4.3 |
5.2 |
||
إصدار عميل كاتو |
5.0 |
5.0 |
5.0 |
||
عملية جارية |
5.11 |
5.7 |
|||
مفاتيح التسجيل |
5.11 |
||||
قائمة الخصائص (plist) |
5.7 |
||||
تُطبق فحوصات الجهاز للمستخدمين في المكتب |
5.7 |
5.3 |
يشير الصندوق الفارغ إلى أن فحص الجهاز غير مدعوم على نظام التشغيل.
-
بعد إنشاء فحص جهاز، تحتاج الصفحة إلى التحديث لكي يتم تضمين الفحص الجديد في ملف تشكيل الجهاز
-
في المكتب، إذا تم ضبط الفحص الدوري على 0، يتحقق العميل من وضع الجهاز كل 10 دقائق
- للمستخدمين عن بُعد، إذا كان التحقق الدوري مضبوطًا على 0، فإن العميل يتحقق فقط من وضعية الجهاز عند الاتصال بالشبكة
يمكن أن يشمل كل فحص جهاز هذه الإعدادات:
-
نوع اختبار جهاز واحد (على سبيل المثال، مكافحة البرامج الضارة أو جدار الناري)
-
بائع، منتج، وإصدار (لكل الفحوصات باستثناء العملية الجارية، مفتاح التسجيل، وقائمة الخصائص)
-
يمكنك اختيار أي إصدار، إصدار محدد، أو إصدار أدنى (أكبر من)
ملاحظة: في فحص جهاز للجدار الناري، إذا اخترت جدار الناري المدمج في نظام تشغيل Apple macOS، يشير رقم الإصدار إلى رقم إصدار macOS
-
لفحوصات تشكيل وضع الجهاز لمكافحة البرامج الضارة، جدار الناري، إدارة التصحيح، وDLP يمكنك إنشاء فحص عام لأي بائع مدعوم أو منتج. على سبيل المثال، يمكنك إنشاء فحص للسماح بالوصول إلى جهاز مثبت عليه أي من حلول مكافحة البرامج الضارة المدعومة. لمزيد من المعلومات بشأن المورّدين والمنتجات المدعومة، انظر القوائم المنسدلة في قسم بائع من لوحة فحص الجهاز الجديد.
-
تحدد فحوصات الجهاز المعايير التي يجب أن يفي بها الجهاز للاتصال بالشبكة. بعد إنشاء الفحص، أضفه إلى ملف تشكيل الجهاز لفرض متطلبات الوضع.
بعد إنشاء فحص جهاز، يمكنك إضافته إلى ملف تشكيل الجهاز ليتم تضمينه في القواعد في سياسة اتصال العميل أو سياسة الجدار الناري لفرض متطلبات الوضع.
لتكوين ملف تشكيل الجهاز:
-
من قائمة التنقل، اختر الموارد > تشكيل الجهاز.
-
انقر على علامة التبويب ملفات تشكيل الجهاز.
-
انقر جديد.
يفتح ملف تشكيل جهاز جديد.
-
تكوين الإعدادات لملف تشكيل الجهاز، وأضف الفحوصات المطلوبة فحوصات الجهاز (التي أنشأتها في القسم السابق).
-
انقر تطبيق ثم انقر حفظ.
تقوم عمليات التحقق من الجهاز بتقييم وضعية الجهاز أثناء عملية اتصال العميل. للاستمرار في تقييم وضع الجهاز بعد اتصال العميل، يمكنك تمكين فحص الجهاز للتشغيل عدة مرات وتكوين تردد الفحص. افتراضيًا، يتم تشغيل الفحوصات الدورية كل 10 دقائق.
لفهم تجربة المستخدم في حالة فشل تحقق دوري، راجع اعداد سياسة الاتصال بالعميل.
عند إنشاء ملف تشكيل جهاز مع فحوصات متعددة، هناك علاقة AND بينهما. هذا يعني أن الجهاز يجب أن يفي بمتطلبات كل فحوصات الجهاز ليتم تطبيق إجراء القاعدة على الجهاز.
يُظهر المثال التالي ملف تشكيل الجهاز العينة الذي يتضمن هذه الفحوصات:
يتم توضيح معلومات هامة حول فحوصات الجهاز والميزات المحددة في الأقسام التالية.
يمكنك إنشاء تحقق جهاز للشهادات المثبتة على أجهزة المستخدم النهائي. يؤكد التحقق أن زوج مفتاح شهادة المستخدم مثبت على الجهاز وتم توقيعه وإصداره من قبل إحدى السلطات الشهادات المرتبطة بحسابك. لكي يتحقق من الوضعية اكتشاف الشهادة، يجب أن تكون مثبتة في متجر شهادات شخصية الجهاز المحلي كمفتاح مستخدم مزدوج مشترك.
تعتبر فقط شهادات RSA صالحة لوضعية الجهاز.
يمكنك تحديد مسار أو أكثر للأقراص المشفرة (المسار الجذري بالكامل مشفر، على سبيل المثال C:\
). يتم دعم التشفير بواسطة البرامج فقط (التشفير بواسطة الأجهزة غير مدعوم).
بالنسبة للأجهزة التي تحتوي على عدة تقسيمات، يمكنك تحديد أي تقسيم مشفر. عند تعريف العديد من المسارات للأقراص لجهاز، يتحقق الفحص من أن جميع المسارات مشفرة.
فحوصات العملية الجارية مدعومة على أجهزة Windows وmacOS.
يمكنك إنشاء فحص لجهاز للتحقق من أن عملية تجري على الجهاز وتم توقيعها من قِبل الشهادة المحددة. لتكوين هذا الفحص، يمكنك تضمين إما اسم العملية أو المسار الكامل للعملية وطباعة بصمة الشهادة الموقعة.
يمكنك تحديد طباعة بصمة الشهادة الموقعة ضمن خصائص العملية. على سبيل المثال، للعملية CatoClient.exe
طباعة بصمة الشهادة الموقعة هي 81d821c152fa98db1c950b87d435122e5a0b451d
.
لتحديد طباعة بصمة الشهادة الموقعة:
-
انقر بزر الفأرة الأيمن على العملية واختر خصائص.
-
في علامة التبويب التوقيعات الرقمية، اختر الشهادة المطلوبة وانقر تفاصيل.
يتم عرض نافذة تفاصيل التوقيع الرقمي.
-
انقر عرض الشهادة.
-
في علامة التبويب تفاصيل، انقر على بصمة.
يتم عرض بصمة الشهادة الموقعة.
ملاحظة: اسم العملية ومسار العملية غير حساس لحالة الأحرف.
يمكنك إنشاء فحص لجهاز للتحقق من أن عملية تجري على الجهاز وتم توقيعها من قِبل ID الفريق المحدد. لتحديد ID الفريق، في نافذة الطرفية قم بتشغيل الأمر codesign
متبوعًا بالمسار الكامل للعملية. يتم إرجاع ID الفريق. على سبيل المثال، للعملية /Applications/CatoClient.app/Contents/MacOS/CatoClient
، ID الفريق هو CKGSB8CH43
:
يمكن أن تحتوي أسماء العمليات على أحرف يونيكود وتكون حساسة لحالة الأحرف.
لإنشاء تحقق لمفتاح التسجيل تحتاج إلى تحديد:
-
المسار الكامل لمفتاح التسجيل
-
اسم القيمة (يمكنك اختيار التحقق من القيمة الافتراضية أو قيمة محددة)
-
بيانات القيمة (يمكنك اختيار التحقق من أي قيمة أو قيمة محددة)
ملاحظة
ملاحظة: لا يتم دعم الأحرف غير ASCII لأسماء مفاتيح التسجيل أو أسماء القيم.
جميع أنواع البيانات مدعومة. في مفتاح تسجيل متعدد السطر، قم بفصل الخطوط برمز الشريط العمودي (|
). صيغة البيانات في قيمة ثنائية أو نوع قيمة ثنائية هي تمثيل HEX للـ 16 بايت الأول، على سبيل المثال 0102030405060708090A0B0C0D0E0F10
.
لتحديد اسم القيمة وبيانات القيمة، في محرر السجل، انقر مزدوجاً على مفتاح التسجيل الذي تتحقق منه. في المثال أدناه اسم قيمة المفتاح هو start_minimized
وبيانات قيمة المفتاح هي 0
.
لإنشاء تحقق لملف قائمة الخصائص (plist) تحتاج إلى تحديد المسار الكامل للملف للتحقق. يمكنك إعداد التحقق ليتحقق من أن:
-
يوجد مفتاح محدد في plist عن طريق اختيار أي قيمة
-
يوجد مفتاح وقيمة محددة في plist عن طريق اختيار محدد.
لتحديد اسم المفتاح والقيمة داخل plist، افتح الملف بمحرر نصوص. في المثال أدناه، اسم المفتاح هو Label
والقيمة هي com.catonetworks.mac.CatoClient.helper
.
هذه الأنواع من البيانات plist مدعومة:
-
سلاسل
-
أعداد صحيحة
-
هذه الأنواع من البيانات المتداخلة:
-
سلسلة
-
أعداد صحيحة
-
أحيانًا تحتاج إلى استيعاب العملاء في مؤسستك الذين لا يدعمون حاليًا وضعية الجهاز، ويمكّنهم الوصول إلى الشبكة. عندما تعد تحقق الجهاز، يسمح لك قسم المعايير باختيار السلوك للعملاء الذين لا يدعمون وضعية الجهاز.
عندما يطابق عميل غير مدعوم الإعدادات لقواعد باستثناء الملف الشخصي، هذه هي خيارات السلوك:
-
تجاوز تحقق الجهاز، وقم بالسماح للعملاء غير المدعومين بالاتصال بالشبكة
-
اعمل على حجب العملاء غير المدعومين لأنهم لا يمكنهم تلبية متطلبات تحقق الجهاز
نوصي بتقليل نطاق وتأثير تحقق الجهاز الذي يسمح للعملاء غير المدعومين في مؤسستك. كلما قل عدد العملاء غير المدعومين الذين يُسمح لهم، زادت قوة سياسة الاتصال بالعملاء.
لا توجد تعليقات
الرجاء تسجيل الدخول لترك تعليق.