Cet article explique comment créer des Profils de Posture de Dispositif et des Vérifications de Dispositif pour s'assurer que seuls les dispositifs qui répondent aux exigences de sécurité sont autorisés à se connecter au réseau.
Les Profils de Posture de Dispositif et les Vérifications vous permettent d'appliquer des exigences de conformité pour les utilisateurs distants avant qu'ils ne soient autorisés à se connecter au réseau. Vous pouvez les utiliser dans la Politique de Connectivité Client et le pare-feu Internet et WAN pour définir les exigences spécifiques du dispositif.
Par exemple, vous pouvez créer une Vérification de Dispositif pour un fournisseur, un produit et une version spécifiques d'Anti-Malware. Le Client vérifie que ce logiciel est installé sur le dispositif avant de se connecter au réseau. Le Client ne se connecte au réseau que s'il identifie que ce logiciel est installé sur le dispositif. Pour plus d'informations sur le flux de connexion Client, voir Comprendre le Flux de Connexion du Client Cato.
Diverses Vérifications de Dispositif peuvent être configurées. Consultez la section Vérifications des appareils prises en charge pour une liste des vérifications d'appareils disponibles et la section Travailler avec des vérifications d'appareils spécifiques et des fonctionnalités pour des informations supplémentaires sur chaque vérification.
Les Vérifications de Dispositif peuvent être ajoutées à des Profils de Dispositif qui peuvent contenir plusieurs vérifications. Les Profils de Dispositif peuvent être ajoutés à la Politique de Connectivité Client pour déterminer quels dispositifs sont autorisés à se connecter au réseau.
Les Profils de Dispositif peuvent également être utilisés dans le pare-feu Internet et WAN pour créer des règles qui incluent un accès conditionnel basé sur le dispositif réel de l'utilisateur final. Pour plus d'informations sur l'utilisation des Vérifications de Dispositif dans une politique de pare-feu, voir Ajout de Conditions de Dispositif aux Règles de Pare-feu. Vous pouvez surveiller le nombre d'appareils conformes à chaque profil de posture de l'appareil sur le Tableau de bord des utilisateurs distants.
Remarque
Remarque: Pris en charge à partir de :
-
Client Windows v5.7
-
Client macOS v5.8
-
Client Linux v5.3
Les Profils de Posture de Dispositif sont appliqués aux dispositifs se connectant à votre réseau derrière un Socket. Cela vous permet d'appliquer les mêmes Profils de Posture de Dispositif, indépendamment de l'emplacement physique du dispositif. Par exemple, un cadre commercial travaille deux jours au bureau et trois jours à distance. Le Profil de Posture de Dispositif est appliqué à son dispositif chaque fois et où qu'il se connecte à Cato.
Ce sont les exigences minimales de version Client pour les Vérifications de Dispositif. Voir Travailler avec des vérifications d'appareils spécifiques et des fonctionnalités pour des détails sur chaque vérification d'appareil.
|
Vérification de Dispositif |
Windows |
macOS |
Linux |
iOS |
Android |
|---|---|---|---|---|---|
|
Anti-Malware |
5.2 |
5.2 |
5.1 |
||
|
Pare-feu |
5.4 |
5.2 |
5.1 |
||
|
Chiffrement de disque |
5.5 |
5.6 |
|||
|
Gestion des correctifs |
5.5 |
5.2 |
5.2 |
||
|
Certificat de Dispositif |
5.5 |
5.4 |
5.1 |
5.3 |
5.0.1.115 |
|
DLP |
5.9 |
5.4.3 |
5.2 |
||
|
Version du Client Cato |
5.0 |
5.0 |
5.0 |
||
|
Processus en cours |
5.11 |
5.7 |
|||
|
Clés de registre |
5.11 |
||||
|
Liste de propriétés (plist) |
5.7 |
||||
|
Vérifications de Dispositif appliquées aux utilisateurs dans un bureau |
5.7 |
5.3 |
Une boîte vide indique que la Vérification de Dispositif n'est pas prise en charge sur le système d'exploitation.
-
Après avoir créé une Vérification de Dispositif, la page doit être actualisée pour que la nouvelle vérification puisse être incluse dans un Profil de Dispositif
-
Dans un bureau, si la vérification périodique est définie sur 0, le Client vérifie la Posture de Dispositif toutes les 10 minutes
Chaque Vérification de Dispositif peut inclure ces paramètres :
-
Un Type de Test de Dispositif (par exemple, Anti-Malware ou Pare-feu)
-
Un fournisseur, un produit et une version (pour toutes les vérifications à l'exception du Processus en Cours, de la Clé de Registre et de la Liste de Propriétés)
-
Vous pouvez choisir n'importe quelle version, une version spécifique ou une version minimum (supérieure à)
Note : Dans une vérification de dispositif de pare-feu, si vous sélectionnez le pare-feu intégré de macOS d'Apple, le numéro de version fait référence au numéro de version de macOS
-
Pour les vérifications de Posture d'Anti-Malware, Pare-feu, Gestion des Correctifs et DLP, vous pouvez créer une Vérification générale pour n'importe quel fournisseur ou produit pris en charge. Par exemple, vous pouvez créer une Vérification pour permettre l'accès à un dispositif avec n'importe quelle solution Anti-Malware prise en charge installée. Pour une liste des fournisseurs et produits pris en charge, voir les listes déroulantes dans la section Fournisseur du panneau Nouvelle Vérification de Dispositif.
-
Les Vérifications de Dispositif définissent les critères qu'un dispositif doit respecter pour se connecter au réseau. Après avoir créé une Vérification, ajoutez-la à un Profil de Dispositif pour appliquer les exigences de posture.
Pour configurer une Vérification de Dispositif :
-
Dans le menu de navigation, sélectionnez Ressources > Posture de Dispositif.
-
Sélectionnez l'onglet Vérifications de Dispositif.
-
Cliquez sur Nouveau. Le panneau Nouvelle Vérification de Dispositif s'ouvre.
-
Configurez les paramètres pour la Vérification de Dispositif.
-
Cliquez sur Appliquer puis cliquez sur Enregistrer.
Après avoir créé une Vérification de Dispositif, vous pouvez l'ajouter à un Profil de Dispositif pour être incluse dans les règles de la Politique de Connectivité Client ou de politique de pare-feu pour appliquer les exigences de posture.
Pour configurer un Profil de Dispositif :
-
Dans le menu de navigation, sélectionnez Ressources > Posture de Dispositif.
-
Cliquez sur l'onglet Profils de Posture de Dispositif.
-
Cliquez sur Nouveau.
Le panneau Nouveau Profil de Dispositif s'ouvre.
-
Configurez les paramètres pour le Profil de Dispositif, et ajoutez les Vérifications de Dispositif requises (que vous avez créées dans la section précédente).
-
Cliquez sur Appliquer puis cliquez sur Enregistrer.
Les vérifications de dispositifs évaluent la posture d'un dispositif pendant le processus de connexion du Client. Pour continuer à évaluer la posture d'un dispositif après que le Client est connecté, vous pouvez activer la Vérification de Dispositif pour qu'elle s'exécute plusieurs fois et configurer la fréquence de la vérification. Par défaut, les vérifications périodiques s'exécutent toutes les 10 minutes.
Pour comprendre l'expérience utilisateur si une vérification périodique échoue, consultez Configuration de la politique de connectivité du Client.
Lorsque vous créez un Profil de Dispositif avec plusieurs vérifications, il existe une relation AND entre elles. Cela signifie qu'un dispositif doit remplir les conditions de toutes les Vérifications de Dispositif pour appliquer l'action de règle au dispositif.
L'exemple suivant montre le Profil de Dispositif Exemple qui comprend ces vérifications :
Des informations importantes sur des Vérifications de Dispositif spécifiques et des caractéristiques sont mentionnées dans les sections suivantes.
Vous pouvez créer des vérifications de dispositifs pour les certificats installés sur le dispositif de l'utilisateur défini pour votre compte. Utilisez la page des certificats de signature (Accès > Accès Client > Certificats de signature) pour télécharger les certificats de signature pour votre compte. La vérification valide qu'il y a un certificat installé sur le dispositif qui correspond à l'un des certificats de signature définis pour votre compte.
Vous pouvez définir un ou plusieurs chemins de lecteur qui sont chiffrés (le chemin racine entier est chiffré, par exemple C:\). Seul le chiffrement basé sur logiciel est pris en charge (le chiffrement basé sur matériel n'est pas pris en charge).
Pour les dispositifs avec plusieurs partitions, vous pouvez spécifier quelle partition est chiffrée. Lorsque vous définissez plusieurs chemins de lecteur pour un dispositif, la vérification valide que tous les chemins sont chiffrés.
Vous pouvez créer des vérifications de dispositifs pour la version du Client installée sur le dispositif de l'utilisateur.
-
Pour bloquer une version spécifique du Client, utilisez l'opérateur Block
-
Pour autoriser une version spécifique du Client, utilisez l'opérateur Equals or higher
Les vérifications de processus en cours sont prises en charge sur les dispositifs Windows et macOS.
Vous pouvez créer une vérification de dispositif pour vérifier qu'un processus est en cours d'exécution sur le dispositif et qu'il est signé par le certificat spécifié. Pour configurer cette vérification, vous pouvez inclure soit le nom du processus soit le chemin complet du processus et l'empreinte numérique du certificat du signataire.
Vous pouvez identifier l'empreinte numérique du certificat du signataire dans les propriétés du processus. Par exemple, pour le processus CatoClient.exe, l'empreinte numérique du certificat du signataire est 81d821c152fa98db1c950b87d435122e5a0b451d.
Pour identifier l'empreinte numérique du certificat du signataire:
-
Cliquez avec le bouton droit sur le processus et sélectionnez Propriétés.
-
Dans l'onglet Signatures numériques, sélectionnez le certificat requis et cliquez sur Détails.
La fenêtre Détails de la signature numérique s'affiche.
-
Cliquez sur Voir certificat.
-
Dans l'onglet Détails, cliquez sur Empreinte numérique.
L'empreinte numérique du certificat du signataire s'affiche.
Remarque : Le nom du processus et le chemin du processus ne sont pas sensibles à la casse.
Vous pouvez créer une vérification de dispositif pour vérifier qu'un processus est en cours d'exécution sur le dispositif et est signé par l'ID d'équipe spécifié. Pour identifier l'ID d'équipe, exécutez la commande codesign suivie du chemin complet du processus dans le terminal. L'ID d'équipe est renvoyé. Par exemple, pour le processus /Applications/CatoClient.app/Contents/MacOS/CatoClient, l'ID d'équipe est CKGSB8CH43:
Les noms de processus peuvent contenir des caractères Unicode et sont sensibles à la casse.
-
La vérification des applications n'est pas prise en charge, le chemin complet du processus doit être inclus dans la configuration
-
La vérification des processus qui n'ont pas d'ID d'équipe, par exemple, les processus internes macOS, n'est pas prise en charge
Pour créer une vérification pour une clé de registre, vous devez spécifier:
-
Chemin complet de la clé de registre
-
Nom de la valeur (vous pouvez choisir de vérifier la valeur par défaut ou une valeur spécifique)
-
Données de valeur (vous pouvez choisir de vérifier n'importe quelle valeur ou une valeur spécifique)
Remarque
Remarque : Les caractères non-ASCII pour les clés de registre ou les noms de valeurs ne sont pas pris en charge.
Tous les types de données sont pris en charge. Dans une clé de registre de chaîne multiple, séparez les lignes avec un symbole de barre verticale (| ). Le format des données dans une valeur binaire ou de type binaires est la représentation HEX des 16 premiers octets, par exemple 0102030405060708090A0B0C0D0E0F10.
Pour identifier le nom de la valeur et les données de la valeur, dans l'éditeur de registre, double-cliquez sur la clé de registre que vous vérifiez. Dans l'exemple ci-dessous, le nom de la valeur de la clé est start_minimized et les données de la valeur de la clé sont 0.
Pour créer une vérification pour un fichier de liste de propriétés (plist), vous devez spécifier le chemin complet du fichier plist à vérifier. Vous pouvez configurer la vérification pour vérifier que :
-
Une clé spécifique existe dans le plist en sélectionnant N'importe quelle valeur
-
Une clé et une valeur spécifiques existent dans le plist en sélectionnant Spécifique.
Pour identifier le nom de la clé et la valeur dans un plist, ouvrez le fichier avec un éditeur de texte. Dans l'exemple ci-dessous, le nom de la clé est Label et la valeur est com.catonetworks.mac.CatoClient.helper.
Ces types de données plist sont pris en charge :
-
Chaînes
-
Entiers
-
Ces types de données imbriquées :
-
Chaîne
-
Entiers
-
Parfois, vous devez accueillir des Clients dans votre organisation qui ne prennent actuellement pas en charge la posture de dispositif, et permettre à ces Clients d'accéder au réseau. Lorsque vous configurez une vérification de dispositif, la section Critères vous permet de choisir le comportement pour les Clients qui ne prennent pas en charge la posture de dispositif.
Lorsque un Client non pris en charge correspond aux paramètres d'une règle sauf pour le profil, ce sont les options de comportement :
-
Passer la vérification de dispositif et permettre aux Clients non pris en charge de se connecter au réseau
-
Bloquer les Clients non pris en charge car ils ne peuvent pas respecter les exigences de la vérification de dispositif
Nous vous recommandons de minimiser la portée et l'impact des vérifications de dispositif qui permettent aux Clients non pris en charge dans votre organisation. Moins il y a de Clients non pris en charge autorisés, plus la politique de connectivité du Client est forte.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.