Este artículo discute cómo crear Perfiles de Postura de Dispositivo y Verificaciones de Dispositivo para asegurarse de que solo los dispositivos que cumplan con los requisitos de seguridad puedan conectarse a la red.
El Perfil de Postura de Dispositivo y las Verificaciones le permiten aplicar requisitos de cumplimiento para usuarios remotos antes de que se les permita conectarse a la Red. Puede usarlos en la Política de Conectividad del Cliente y el firewall de Internet y WAN para definir los requisitos específicos del dispositivo.
Por ejemplo, puede crear una Verificación de Dispositivo para un proveedor, producto y versión específicos de Anti-Malware. El Cliente verifica que este software esté instalado en el dispositivo antes de conectarse a la red. El Cliente solo se conecta a la red si identifica que este software está instalado en el dispositivo. Para más información sobre el flujo de Conexión del Cliente, consulte Understanding the Cato Client Connection Flow.
Pueden configurarse varias Verificaciones de Dispositivo. Consulte la sección Verificaciones de Dispositivo Soportadas para una lista de Verificaciones de Dispositivo Disponibles y la sección Trabajando con Verificaciones de Dispositivo y Características Específicas para información adicional sobre cada verificación.
Las Verificaciones de Dispositivo pueden añadirse a Perfiles de Dispositivo que pueden contener múltiples verificaciones. Los Perfiles de Dispositivo pueden añadirse a la Política de Conectividad del Cliente para determinar qué dispositivos pueden conectarse a la red.
Los Perfiles de Dispositivo también pueden usarse en el firewall de Internet y WAN para crear reglas que incluyan acceso condicional basado en el dispositivo real del usuario final. Para más información sobre el uso de Verificaciones de Dispositivo en una política de firewall, consulte Adding Device Conditions to Firewall Rules. Puede monitorear el número de dispositivos que han cumplido con cada Perfil de Postura de Dispositivo en el Panel de control de Usuarios Remotos.
Para obtener más información sobre cómo mejorar la efectividad de las Verificaciones de Dispositivo, consulte Política de Acceso de Cliente - Verificaciones de Postura Mejoradas.
Mejor Práctica: Recomendamos que habilite la configuración de Postura Avanzada para que el Cliente verifique continuamente la postura del dispositivo. Para más información, consulte Política de Acceso de Cliente - Verificaciones de Postura Mejoradas.
Nota
Nota: Compatible a partir de:
- Cliente Windows v5.7
- Cliente macOS v5.8
- Cliente Linux v5.3
Los Perfiles de Postura de Dispositivo se aplican a dispositivos que se conectan a su red detrás de un Socket. Esto le permite aplicar los mismos Perfiles de Postura de Dispositivo, independientemente de la ubicación física del dispositivo. Por ejemplo, un ejecutivo de ventas trabaja dos días en la oficina y tres días de forma remota. El Perfil de Postura de Dispositivo se aplica a su dispositivo siempre que se conecten a Cato.
Estos son los requisitos mínimos del Cliente en versión para las Verificaciones de Dispositivo. Consulte Trabajar con Verificaciones de Dispositivo Específicas y Características para obtener detalles sobre cada Verificación de Dispositivo.
| Verificación de Dispositivo | Windows | macOS | Linux | iOS | Android |
|---|---|---|---|---|---|
| Anti-Malware | 5.2 | 5.2 | 5.1 | ||
| Firewall | 5.4 | 5.2 | 5.1 | ||
| Encriptación de Disco | 5.5 | 5.6 | |||
| Gestión de Parches | 5.5 | 5.2 | 5.2 | ||
| Certificado de Dispositivo | 5.5 | 5.4 | 5.1 | 5.3 | 5.0.1.115 |
| DLP | 5.9 | 5.4.3 | 5.2 | ||
| Versión del cliente Cato | 5.0 | 5.0 | 5.0 | ||
| Proceso en ejecución | 5.11 | 5.7 | |||
| Claves de Registro | 5.11 | ||||
| Lista de Propiedades (plist) | 5.7 | ||||
| Verificaciones de Dispositivo aplicadas para usuarios en una oficina | 5.7 | 5.8 | 5.3 |
Una caja vacía indica que la Verificación de Dispositivo no es compatible con el Sistema Operativo.
- Después de crear una Verificación de Dispositivo, la página debe ser actualizada para que la nueva verificación pueda ser incluida en un Perfil de Dispositivo
-
En una oficina, si la verificación periódica se establece en 0, el Cliente verifica la Postura del Dispositivo cada 10 minutos
- Para usuarios remotos, si la verificación periódica está configurada en 0, solo verifica la Postura del Dispositivo cuando el Cliente se conecta a la red
Cada Verificación de Dispositivo puede incluir estas configuraciones:
- Un Tipo de Prueba de Dispositivo (por ejemplo, Anti-Malware o Firewall)
-
Un proveedor, producto, y versión (para todas las verificaciones excepto Proceso en Ejecución, Clave del Registro y Lista de Propiedades)
-
Puede elegir cualquier versión, una versión específica, o una versión mínima (mayor que)
Nota: En una verificación de dispositivo de Firewall, si selecciona el firewall incorporado de Apple macOS, el número de versión se refiere al número de versión de macOS
- Para las verificaciones de postura de dispositivo Anti-Malware, Firewall, Gestión de Parches y DLP, puede crear una Verificación General para cualquier proveedor o producto compatible. Por ejemplo, puede crear una Verificación para permitir acceso a un dispositivo con cualquiera de las soluciones Anti-Malware compatibles instaladas. Para una lista de proveedores y productos compatibles, vea las listas desplegables en la sección Proveedor del panel de Nuevo Chequeo de Dispositivo.
-
Las Verificaciones de Dispositivo definen los criterios que debe cumplir un dispositivo para conectarse a la red. Después de crear una Verificación, añádala a un Perfil de Dispositivo para hacer cumplir los requisitos de postura.
Para configurar una Verificación de Dispositivo:
- Desde el menú de navegación, seleccione Recursos > Postura del Dispositivo.
- Seleccione la pestaña Verificaciones de Dispositivo.
-
Haga clic en Nuevo. Se abre el panel de Nueva Verificación de Dispositivo.
- Configure los ajustes para la Verificación de Dispositivo.
- Haz clic en Aplicar y luego haz clic en Guardar.
Después de crear una Verificación de Dispositivo, puede añadirla a un Perfil de Dispositivo para incluirla en reglas en la Política de Conectividad del Cliente o política de firewall para hacer cumplir los requisitos de postura.
Para configurar un Perfil de Dispositivo:
- Desde el menú de navegación, seleccione Recursos > Postura del Dispositivo.
- Haz clic en la pestaña Perfiles de Postura de Dispositivo.
-
Haga clic en Nuevo.
Se abre el panel de Nuevo Perfil de Dispositivo.
- Configure los ajustes para el Perfil de Dispositivo, y agregue las Verificaciones de Dispositivo requeridas (que haya creado en la sección anterior).
- Haz clic en Aplicar y luego haz clic en Guardar.
Cuando crea un Perfil de Dispositivo con múltiples chequeos, hay una relación Y entre ellos. Esto significa que un dispositivo debe cumplir los requisitos de todas las Verificaciones de Dispositivo para aplicar la acción de regla al dispositivo.
El siguiente ejemplo muestra el Perfil de Dispositivo de Muestra, que incluye estos chequeos:
- Gestión de Parches - Ejemplo de Gestión de Parches
- Encriptación de Disco - Ejemplo de Encriptación de Disco
Información importante sobre verificaciones de dispositivo específicas y características se describe en las siguientes secciones.
Puede crear Verificaciones de Dispositivo para certificados que están instalados en el dispositivo del usuario final que está definido para su cuenta. La verificación confirma que un par de claves de certificado de usuario está instalado en el dispositivo y ha sido firmado y emitido por una de las autoridades certificadoras asociadas con su cuenta. Para que la verificación de postura detecte el certificado, debe estar instalado en el Almacén de Certificados Personales de la Máquina Local como un certificado de usuario de par de claves combinado.
Solo los certificados RSA son válidos para la Postura del Dispositivo.
Puede definir una o más rutas de unidad que están cifradas (la ruta raíz completa está cifrada, por ejemplo, C:\). Solo se admite el cifrado basado en software (no se admite cifrado basado en hardware).
Para dispositivos con múltiples particiones, puede especificar qué partición está cifrada. Cuando define múltiples rutas de unidad para un dispositivo, la Verificación valida que todas las rutas estén cifradas.
Puede crear Verificaciones de Dispositivo para la versión del Cliente instalada en el dispositivo del usuario final.
- Para permitir una versión exacta del cliente, use el operador Igual a
- Para permitir una versión específica del cliente, use el operador Igual o superior
Los Controles de Procesos en Ejecución son compatibles en dispositivos Windows y macOS.
Puede crear una Comprobación de Dispositivo para verificar que se está ejecutando un proceso en el dispositivo, validando opcionalmente que está firmado por un certificado ID especificado. Para configurar esta Comprobación, puede incluir el nombre del proceso o la ruta completa del proceso y, opcionalmente, la Huella Digital del Certificado del Firmante.
Puedes identificar la Huella Digital del Certificado Firmante dentro de las Propiedades del proceso. Por ejemplo, para el proceso CatoClient.exe la Huella Digital del Certificado Firmante es 81d821c152fa98db1c950b87d435122e5a0b451d.
Para identificar la Huella digital del certificado de firmante:
- Haz clic derecho sobre el proceso y selecciona Propiedades.
-
En la pestaña Firmas Digitales, selecciona el certificado requerido y haz clic en Detalles.
Se muestra la ventana Detalles de la Firma Digital.
- Haz clic en Ver Certificado.
-
En la pestaña Detalles, haz clic en Huella Digital.
Se muestra la Huella Digital del Certificado Firmante.
Nota: El nombre del proceso y la ruta del proceso no distinguen entre mayúsculas y minúsculas.
Puede crear una Comprobación de Dispositivo para verificar que se está ejecutando un proceso en el dispositivo, validando opcionalmente que está firmado por un Team ID especificado. Para identificar el ID de Equipo, en el terminal ejecuta el comando codesign seguido de la ruta completa del proceso. El ID de Equipo se muestra. Por ejemplo, para el proceso /Applications/CatoClient.app/Contents/MacOS/CatoClient, el ID de Equipo es CKGSB8CH43:
Los nombres de los procesos pueden contener caracteres unicode y distinguen entre mayúsculas y minúsculas.
Para crear un control de Clave de Registro, debes especificar el:
- Ruta completa de clave de registro
- Nombre de Valor (puedes elegir verificar el valor predeterminado o un valor específico)
- Datos de Valor (puedes elegir verificar cualquier valor o un valor específico)
Nota
Nota: No se admiten caracteres no ASCII para claves de registro o nombres de valor.
Todos los tipos de datos son compatibles. En una Clave de Registro de Múltiples Cadenas, separa las líneas con un símbolo de barra vertical (| ). El formato de los datos en un Valor Binario o tipo de Valor Binario es la representación HEX de los primeros 16 bytes, por ejemplo, 0102030405060708090A0B0C0D0E0F10.
Para identificar el Nombre del Valor y los Datos del Valor, en el Editor de Registro, haz doble clic en la Clave de Registro que estás verificando. En el ejemplo a continuación, el Nombre de Valor de la Clave es start_minimized y los Datos de Valor de la Clave son 0.
Para crear un control para un archivo de Lista de Propiedades (plist), debes especificar la ruta completa del archivo plist a verificar. Puedes configurar el Control para verificar que:
- Una clave específica existe en el plist seleccionando Cualquier Valor
- Una clave y valor específicos existen en el plist seleccionando Específico.
Para identificar el nombre de la clave y el valor dentro de un plist, abre el archivo con un editor de texto. En el ejemplo a continuación, el nombre de la clave es Label y el valor es com.catonetworks.mac.CatoClient.helper.
Estos tipos de datos plist son soportados:
- Cadenas
- Enteros
-
Estos tipos de datos anidados:
- Cadena
- Enteros
A veces necesitas acomodar Clients en tu organización que actualmente no admiten la Postura de Dispositivo, y permitir que estos Clients accedan a la network. Cuando configuras un Control de Dispositivo, la sección Criterios te permite elegir el comportamiento para Clients que no admiten la Postura de Dispositivo.
Cuando un Client no soportado coincide con la configuración de una regla excepto por el perfil, estas son las opciones de comportamiento:
- Omitir la Verificación de Dispositivo y permitir que los Clientes no compatibles se conecten a la red
- Bloquear Clientes no compatibles porque no pueden cumplir los requisitos de la Verificación de Dispositivo
Recomendamos que minimices el alcance y el impacto de los Controles de Dispositivo que permiten Clients no soportados en tu organización. Cuantos menos Clients no soportados se permitan, más fuerte será la Política de Conectividad del Cliente.
El Cliente de Cato usa las siguientes versiones de OPSWAT:
Clientes Windows
- Cliente Windows v5.17 utiliza OPSWAT v4.3.4761
- Cliente Windows v5.16 utiliza OPSWAT v4.3.4582
- Cliente Windows v5.15 utiliza OPSWAT v4.3.4548
- Cliente Windows v5.14.5 utiliza OPSWAT v4.3.4373
- Cliente Windows v5.14 utiliza OPSWAT v4.3.4487
- Cliente Windows v5.13 utiliza OPSWAT v4.3.4373
- Cliente Windows v5.12 utiliza OPSWAT v4.3.4195
- Cliente Windows v5.11 utiliza OPSWAT v4.3.3896
Clientes macOS
- Cliente macOS v5.11 utiliza OPSWAT v4.3.4222
- Cliente macOS v5.10 utiliza OPSWAT v4.3.4086
- Cliente macOS v5.9 utiliza OPSWAT v4.3.4025
- Cliente macOS v5.8.5 utiliza OPSWAT v4.3.3952
- Cliente macOS v5.8.0 utiliza OPSWAT v4.3.3952
- Cliente macOS v5.7 utiliza OPSWAT v4.3.3479
- Cliente macOS v5.6 utiliza OPSWAT v4.3.3479
Clientes Linux
- Cliente Linux v5.5 utiliza OPSWAT v4.3.3700
- Cliente Linux v5.4 utiliza OPSWAT v4.3.3558
- Cliente Linux v5.3 utiliza OPSWAT v4.3.3509
- Cliente Linux v5.2 utiliza OPSWAT v4.3.2690
- Cliente Linux v5.1 utiliza OPSWAT v4.3.2690
0 comentarios
Inicie sesión para dejar un comentario.