Cet article explique comment créer des profils de posture de dispositif et des vérifications de dispositif pour s'assurer que seuls les dispositifs qui répondent aux exigences de sécurité sont autorisés à se connecter au réseau.
Les profils de posture de dispositif et les vérifications vous permettent d'appliquer des exigences de conformité pour les utilisateurs distants avant qu'ils ne soient autorisés à se connecter au réseau. Vous pouvez les utiliser dans la politique de connectivité des clients et le pare-feu Internet et WAN pour définir les exigences spécifiques de l'appareil.
Par exemple, vous pouvez créer une vérification de dispositif pour un fournisseur, un produit et une version spécifique d'Anti-Malware. Le client vérifie que ce logiciel est installé sur l'appareil avant de se connecter au réseau. Le Client ne se connecte au réseau que s'il identifie que ce logiciel est installé sur l'appareil. Pour plus d'informations sur le flux de connexion du Client, consultez Understanding the Cato Client Connection Flow.
Divers contrôles de dispositif peuvent être configurés. Voir la section Vérifications de l'appareil prises en charge pour une liste des Vérifications de l'appareil disponibles et la section Travailler avec des Vérifications de l'appareil spécifiques et fonctionnalités pour des informations supplémentaires sur chaque vérification.
Les vérifications de dispositif peuvent être ajoutées aux profils de dispositif qui peuvent contenir plusieurs contrôles. Les profils de l'Appareil peuvent être ajoutés à la Politique de Connectivité Client pour déterminer quels appareils sont autorisés à se connecter au réseau.
Les profils de dispositif peuvent également être utilisés dans le pare-feu Internet et WAN pour créer des règles qui incluent un accès conditionnel basé sur le dispositif réel de l'utilisateur final. Pour plus d'informations sur l'utilisation des Vérifications de l'Appareil dans une politique de pare-feu, consultez Ajouter des Conditions de l'Appareil aux Règles de Pare-feu. Vous pouvez surveiller le nombre d'appareils qui ont respecté chaque profil de posture d'appareil sur le Tableau de bord des utilisateurs distants.
Pour plus d'informations sur l'amélioration de l'efficacité des vérifications de l'appareil, consultez Politique de Connectivité Client - Vérifications de la posture améliorées.
Meilleure pratique : Nous vous recommandons d'activer le paramètre de posture avancée pour que le Client vérifie en continu la posture de l'appareil. Pour plus d'informations, consultez Politique de Connectivité Client - Vérifications de la posture améliorées.
Note
Remarque : Pris en charge depuis :
- Client Windows v5.7
- Client macOS v5.8
- Client Linux v5.3
Les profils de posture de dispositif sont appliqués aux appareils se connectant à votre réseau derrière un Socket. Cela vous permet d'appliquer les mêmes profils de posture de dispositif, quel que soit l'emplacement physique de l'appareil. Par exemple, un cadre commercial travaille deux jours au bureau et trois jours à distance. Le profil de posture de dispositif est appliqué à leur appareil chaque fois et partout où ils se connectent à Cato.
Voici les exigences minimales en termes de version du client pour les vérifications de dispositif. Voir Travailler avec des vérifications d'appareils spécifiques et fonctionnalités pour des détails sur chaque vérification de l'appareil.
| Vérification de l'appareil | Windows | macOS | Linux | iOS | Android |
|---|---|---|---|---|---|
| Anti-Malware | 5.2 | 5.2 | 5.1 | ||
| Pare-feu | 5.4 | 5.2 | 5.1 | ||
| Chiffrement de disque | 5.5 | 5.6 | |||
| Gestion des correctifs | 5.5 | 5.2 | 5.2 | ||
| Certificat d'appareil | 5.5 | 5.4 | 5.1 | 5.3 | 5.0.1.115 |
| DLP | 5.9 | 5.4.3 | 5.2 | ||
| Version du client Cato | 5.0 | 5.0 | 5.0 | ||
| Processus en cours | 5.11 | 5.7 | |||
| Clés de registre | 5.11 | ||||
| Liste de propriétés (plist) | 5.7 | ||||
| Vérifications de l'appareil appliquées pour les utilisateurs dans un bureau | 5.7 | 5.8 | 5.3 |
Une boîte vide indique que la vérification de dispositif n'est pas prise en charge sur le système d'exploitation.
- Après avoir créé une vérification de l'appareil, la page doit être rafraîchie pour que la nouvelle vérification puisse être incluse dans un profil d'appareil
-
Dans un bureau, si la vérification périodique est définie sur 0, le client vérifie la posture du dispositif toutes les 10 minutes
- Pour les utilisateurs distants, si la vérification périodique est réglée à 0, elle vérifie uniquement la posture de l'appareil lorsque le client se connecte au réseau
Chaque vérification de dispositif peut inclure ces paramètres :
- Un type de test d'appareil (par exemple, Anti-Malware ou Pare-feu)
-
Un fournisseur, un produit et une version (pour toutes les vérifications à part Processus en cours d'exécution, Clé du registre et Liste de propriétés)
-
Vous pouvez choisir n'importe quelle version, une version spécifique ou une version minimum (supérieure à)
Remarque : Dans une vérification de dispositif de Pare-feu, si vous sélectionnez le pare-feu intégré d'Apple macOS, le numéro de version fait référence au numéro de version de macOS
- Pour les vérifications de posture d'appareil Anti-Malware, Pare-feu, Gestion des correctifs et DLP, vous pouvez créer une vérification générale pour tout fournisseur ou produit pris en charge. Par exemple, vous pouvez créer une vérification pour permettre l'accès à un appareil avec n'importe quelle solution Anti-Malware prise en charge installée. Pour obtenir une liste des fournisseurs et produits pris en charge, voir les listes déroulantes dans la section Fournisseur du panneau de nouvelle vérification de l'appareil.
-
Les vérifications de dispositif définissent les critères qu'un appareil doit respecter pour se connecter au réseau. Après avoir créé une vérification, ajoutez-la à un profil de dispositif pour appliquer les exigences de posture.
Pour configurer une vérification de l'appareil :
- Depuis le menu de navigation, sélectionnez Ressources > Posture de l'appareil.
- Sélectionnez l'onglet Vérifications de l'appareil.
-
Cliquez sur Nouveau. Le panneau Nouvelle vérification de dispositif s'ouvre.
- Configurez les paramètres pour la vérification de l'appareil.
- Cliquez sur Appliquer puis cliquez sur Enregistrer.
Après avoir créé une vérification de dispositif, vous pouvez l'ajouter à un profil de dispositif pour être incluse dans les règles de la politique de connectivité des clients ou de la politique de pare-feu afin d'appliquer les exigences de posture.
Pour configurer un profil d'appareil :
- Depuis le menu de navigation, sélectionnez Ressources > Posture de l'appareil.
- Cliquez sur l'onglet Profils de posture d'appareil.
-
Cliquez sur Nouveau.
Le panneau Nouveau profil de dispositif s'ouvre.
- Configurez les paramètres pour le profil d'appareil, et ajoutez les Vérifications de l'appareil requises (que vous avez créées dans la section précédente).
- Cliquez sur Appliquer puis cliquez sur Enregistrer.
Lorsque vous créez un profil de l'appareil avec plusieurs vérifications, il y a une relation ET entre elles. Cela signifie qu'un appareil doit répondre aux exigences de toutes les vérifications de l'appareil pour appliquer l'action de règle à l'appareil.
L'exemple suivant montre le profil de l'appareil échantillon, qui comprend ces vérifications :
- Gestion des correctifs - Exemple de gestion des correctifs
- Chiffrement de disque - Exemple de chiffrement de disque
Les informations importantes concernant des vérifications d'appareils spécifiques et des fonctionnalités sont indiquées dans les sections suivantes.
Vous pouvez créer des vérifications d'appareil pour les certificats installés sur l'appareil utilisateur final défini pour votre compte. La vérification vérifie qu'une paire de clés de certificats utilisateur est installée sur l'appareil et a été signée et émise par l'une des autorités de certification associées à votre compte. Pour que la vérification de posture détecte le certificat, il doit être installé dans le magasin de Certificats personnels de l'ordinateur local comme une paire de Clé utilisateur combinée.
Seuls les certificats RSA sont valides pour la posture de l'appareil.
Vous pouvez définir un ou plusieurs chemins de lecteur qui sont chiffrés (le chemin racine entier est chiffré, par exemple C:\). Seul le chiffrement basé sur logiciel est pris en charge (le chiffrement basé sur le matériel n'est pas pris en charge).
Pour les appareils avec plusieurs partitions, vous pouvez spécifier quelle partition est chiffrée. Lorsque vous définissez plusieurs chemins de lecteur pour un appareil, la vérification valide que tous les chemins sont chiffrés.
Vous pouvez créer des vérifications d'appareil pour la version du Client installée sur l'appareil de l'utilisateur final.
- Pour permettre une version exacte du client, utilisez l'opérateur Égale
- Pour permettre une version spécifique du client, utilisez l'opérateur Égale ou supérieur
Les vérifications de processus en cours sont prises en charge sur les appareils Windows et macOS.
Vous pouvez créer un contrôle de périphérique pour vérifier qu'un processus s'exécute sur le périphérique, en validant éventuellement qu'il est signé par un ID de certificat spécifié. Pour configurer ce contrôle, vous pouvez inclure soit le nom du processus, soit le chemin complet du processus et, éventuellement, l'empreinte du certificat du signataire.
Vous pouvez identifier l'empreinte du certificat signataire dans les propriétés du processus. Par exemple, pour le processus CatoClient.exe, l'empreinte du certificat signataire est 81d821c152fa98db1c950b87d435122e5a0b451d.
Pour identifier l'empreinte numérique du certificat du signataire :
- Clique-droit sur le processus et sélectionnez Propriétés.
-
Dans l'onglet Signatures numériques, sélectionnez le certificat requis et cliquez sur Détails.
La fenêtre Détails de la signature numérique s'affiche.
- Cliquez sur Voir le certificat.
-
Dans l'onglet Détails, cliquez sur Empreinte.
L'empreinte du certificat signataire est affichée.
Remarque : Le nom du processus et le chemin du processus ne sont pas sensibles à la casse.
Vous pouvez créer un contrôle de périphérique pour vérifier qu'un processus s'exécute sur le périphérique, en validant éventuellement qu'il est signé par un ID d'équipe spécifié. Pour identifier l'ID de l'équipe, exécutez la commande codesign suivi du chemin complet du processus dans le terminal. L'ID de l'équipe est retourné. Par exemple, pour le processus /Applications/CatoClient.app/Contents/MacOS/CatoClient, l'ID de l'équipe est CKGSB8CH43 :
Les noms de processus peuvent contenir des caractères unicode et sont sensibles à la casse.
Pour créer une vérification pour une clé de registre, vous devez spécifier :
- Chemin complet de la clé de registre
- Nom de la valeur (vous pouvez choisir de vérifier la valeur par défaut ou une valeur spécifique)
- Données de valeur (vous pouvez choisir de vérifier une valeur quelconque ou une valeur spécifique)
Note
Remarque : Les caractères non-ASCII pour les clés de registre ou les noms de valeur ne sont pas pris en charge.
Tous les types de données sont pris en charge. Dans une clé de registre multi-chaîne, séparez les lignes avec un symbole de barre verticale (| ). Le format des données dans une valeur binaire ou un type de valeur binaire est la représentation HEX des 16 premiers octets, par exemple 0102030405060708090A0B0C0D0E0F10.
Pour identifier le nom de la valeur et les données de la valeur, dans l'éditeur de registre, double-cliquez sur la clé de registre que vous vérifiez. Dans l'exemple ci-dessous, le nom de la valeur de la clé est start_minimized et les données de la valeur de la clé sont 0.
Pour créer un contrôle pour un fichier de liste de propriétés (plist), vous devez spécifier le chemin complet du fichier plist à vérifier. Vous pouvez configurer le contrôle pour vérifier que :
- Une clé spécifique existe dans le plist en sélectionnant N'importe quelle valeur
- Une clé et une valeur spécifiques existent dans le plist en sélectionnant Spécifique.
Pour identifier le nom de la clé et la valeur dans un plist, ouvrez le fichier avec un éditeur de texte. Dans l'exemple ci-dessous, le nom de la clé est Label et la valeur est com.catonetworks.mac.CatoClient.helper.
Ces types de données plist sont pris en charge :
- Chaînes
- Entiers
-
Ces types de données imbriqués :
- Chaîne
- Entiers
Parfois, vous devez accueillir des Clients dans votre organisation qui ne prennent actuellement pas en charge la posture de l'appareil, et permettre à ces Clients d'accéder au réseau. Lorsque vous configurez un contrôle de l'appareil, la section Critères vous permet de choisir le comportement pour les Clients qui ne prennent pas en charge la posture de l'appareil.
Lorsqu'un Client non pris en charge correspond aux paramètres d'une règle, sauf pour le profil, voici les options de comportement :
- Passer la vérification de l'appareil, et permettre aux clients non pris en charge de se connecter au réseau
- Bloquer les clients non pris en charge car ils ne peuvent pas répondre aux exigences de la vérification de l'appareil
Nous vous recommandons de minimiser la portée et l'impact des contrôles de l'appareil qui permettent des Clients non pris en charge dans votre organisation. Moins il y a de Clients non pris en charge autorisés, plus la politique de connectivité des Clients est forte.
Le Client Cato utilise les versions suivantes d'OPSWAT :
Clients Windows
- Le client Windows v5.17 utilise OPSWAT v4.3.4761
- Le client Windows v5.16 utilise OPSWAT v4.3.4582
- Le client Windows v5.15 utilise OPSWAT v4.3.4548
- Le client Windows v5.14.5 utilise OPSWAT v4.3.4373
- Le client Windows v5.14 utilise OPSWAT v4.3.4487
- Le client Windows v5.13 utilise OPSWAT v4.3.4373
- Le client Windows v5.12 utilise OPSWAT v4.3.4195
- Le client Windows v5.11 utilise OPSWAT v4.3.3896
Clients macOS
- Le client macOS v5.11 utilise OPSWAT v4.3.4222
- Le client macOS v5.10 utilise OPSWAT v4.3.4086
- Le client macOS v5.9 utilise OPSWAT v4.3.4025
- Le client macOS v5.8.5 utilise OPSWAT v4.3.3952
- Le client macOS v5.8.0 utilise OPSWAT v4.3.3952
- Le client macOS v5.7 utilise OPSWAT v4.3.3479
- Le client macOS v5.6 utilise OPSWAT v4.3.3479
Clients Linux
- Le client Linux v5.5 utilise OPSWAT v4.3.3700
- Le client Linux v5.4 utilise OPSWAT v4.3.3558
- Le client Linux v5.3 utilise OPSWAT v4.3.3509
- Le client Linux v5.2 utilise OPSWAT v4.3.2690
- Le client Linux v5.1 utilise OPSWAT v4.3.2690
0 commentaire
Vous devez vous connecter pour laisser un commentaire.