यह लेख बताता है कि डिवाइस मुद्रा प्रोफाइल और डिवाइस जाँच कैसे बनाई जाती है ताकि सुनिश्चित किया जा सके कि केवल वे डिवाइस नेटवर्क से जुड़ सकते हैं जो सुरक्षा आवश्यकताओं को पूरा करते हैं।
डिवाइस मुद्रा प्रोफाइल और जाँच आपको नेटवर्क से जुड़ने से पहले रिमोट उपयोगकर्ताओं के लिए अनुपालन आवश्यकताओं को लागू करने देती हैं। आप उन्हें विशिष्ट उपकरण आवश्यकताओं को परिभाषित करने के लिए क्लाइंट कनेक्टिविटी नीति, इंटरनेट और वैन फायरवॉल में उपयोग कर सकते हैं।
उदाहरण के लिए, आप एक विशिष्ट एंटी-मैलवेयर विक्रेता, उत्पाद और संस्करण के लिए एक डिवाइस जाँच बना सकते हैं। क्लाइंट पुष्टि करता है कि यह सॉफ़्टवेयर डिवाइस पर स्थापित किया गया है या नहीं इससे पहले कि यह नेटवर्क से जुड़ता है। क्लाइंट केवल तभी नेटवर्क से जुड़ता है जब यह पहचानता है कि यह सॉफ्टवेयर डिवाइस पर स्थापित है। अधिक जानकारी के लिए क्लाइंट कनेक्शन प्रवाह पर, Cato क्लाइंट कनेक्शन प्रवाह को समझना देखें।
विभिन्न डिवाइस जाँच कॉन्फ़िगर की जा सकती हैं। उपलब्ध डिवाइस चेक की सूची के लिए समर्थित डिवाइस चेक अनुभाग देखें और प्रत्येक चेक पर अतिरिक्त जानकारी के लिए विशिष्ट डिवाइस चेक और सुविधाओं के साथ काम करना अनुभाग देखें।
डिवाइस जाँच कई जाँचों को शामिल करने वाले डिवाइस प्रोफाइल में जोड़ी जा सकती हैं। यह निर्धारित करने के लिए कि कौन से उपकरण नेटवर्क से कनेक्ट करने के लिए अनुमत हैं, डिवाइस प्रोफाइल को क्लाइंट कनेक्टिविटी नीति में जोड़ा जा सकता है।
डिवाइस प्रोफाइल को इंटरनेट और वैन फायरवॉल में भी उपयोग किया जा सकता है ताकि नियम बनाए जा सकें जिनमें अंतिम उपयोगकर्ता के वास्तविक डिवाइस के आधार पर स्थितीय पहुँच शामिल हो। फायरवॉल नीति में डिवाइस चेक का उपयोग करने के बारे में अधिक जानकारी के लिए, फायरवॉल नियमों में डिवाइस शर्तें जोड़ना देखें। आप रिमोट उपयोगकर्ता डैशबोर्ड पर प्रत्येक उपकरण स्थिति प्रोफाइल का पालन करने वाले उपकरणों की संख्या की निगरानी कर सकते हैं।
डिवाइस चेक की प्रभावशीलता में सुधार के बारे में अधिक जानकारी के लिए क्लाइंट कनेक्टिविटी नीति - बेहतर मुद्रा चेक देखें।
सर्वोत्तम प्रथाएं: हम अनुशंसा करते हैं कि आप उन्नत मुद्रा सेटिंग सक्षम करें ताकि क्लाइंट लगातार डिवाइस स्थिति की जांच करे। अधिक जानकारी के लिए क्लाइंट कनेक्टिविटी नीति - बेहतर मुद्रा चेक देखें।
नोट
नोट: समर्थन:
- विंडोज क्लाइंट v5.7
- macOS क्लाइंट v5.8
- लिनक्स क्लाइंट v5.3
डिवाइस मुद्रा प्रोफाइल आपके नेटवर्क से कनेक्ट होने वाले डिवाइसों पर सॉकेट के पीछे लागू किए जाते हैं। यह आपको वही डिवाइस मुद्रा प्रोफाइल लागू करने की अनुमति देता है, चाहे डिवाइस का भौतिक स्थान कुछ भी हो। उदाहरण के लिए, एक बिक्री कार्यकारी दो दिन ऑफिस में और तीन दिन रिमोटली काम करता है। डिवाइस मुद्रा प्रोफाइल उनके डिवाइस पर तब लागू होता है जब और जहाँ भी वे Cato से कनेक्ट करते हैं।
डिवाइस जाँच के लिए ये न्यूनतम संस्करण क्लाइंट आवश्यकताएँ हैं। हर डिवाइस चेक के विवरण के लिए, विशिष्ट डिवाइस चेक और विशेषताओं के साथ देखें।
| डिवाइस चेक | विंडोज | macOS | लिनक्स | iOS | एंड्रॉयड |
|---|---|---|---|---|---|
| एंटी-मैलवेयर | 5.2 | 5.2 | 5.1 | ||
| फ़ायरवॉल | 5.4 | 5.2 | 5.1 | ||
| डिस्क एन्क्रिप्शन | 5.5 | 5.6 | |||
| पैच प्रबंधन | 5.5 | 5.2 | 5.2 | ||
| डिवाइस प्रमाणपत्र | 5.5 | 5.4 | 5.1 | 5.3 | 5.0.1.115 |
| DLP | 5.9 | 5.4.3 | 5.2 | ||
| Cato क्लाइंट संस्करण | 5.0 | 5.0 | 5.0 | ||
| चल रहा प्रक्रिया | 5.11 | 5.7 | |||
| रजिस्ट्री कुंजी | 5.11 | ||||
| प्रॉपर्टी सूची (plist) | 5.7 | ||||
| डिवाइस जांच कार्यालय में उपयोगकर्ताओं के लिए लागू की गई | 5.7 | 5.8 | 5.3 |
एक खाली बॉक्स इंगित करता है कि ऑपरेटिंग सिस्टम पर डिवाइस चेक समर्थित नहीं है।
- डिवाइस चेक बनाने के बाद, पृष्ठ को ताज़ा करना आवश्यक है ताकि नई जांच को डिवाइस प्रोफ़ाइल में शामिल किया जा सके
-
In an office, if the periodic check is set to 0, the Client checks the Device Posture every 10 minutes
- दूरस्थ उपयोगकर्ताओं के लिए, अगर आवधिक जाँच 0 पर सेट है, तो यह केवल डिवाइस मुद्रा की जाँच करता है जब क्लाइंट नेटवर्क से जुड़ता है
प्रत्येक डिवाइस चेक में ये सेटिंग्स शामिल हो सकती हैं:
- एक डिवाइस टेस्ट प्रकार (उदाहरण के लिए, एंटी-मैलवेयर या फ़ायरवॉल)
-
एक विक्रेता, उत्पाद और संस्करण (चल रही प्रक्रिया, रजिस्ट्री कुंजी और प्रॉपर्टी सूची को छोड़कर अन्य सभी चेक्स के लिए)
-
You can choose any version, a specific version, or a minimum version (greater than)
Note: In a Firewall device check, if you select Apple's macOS built-in firewall, the version number refers to the macOS version number
- एंटी-मैलवेयर, फ़ायरवॉल, पैच मैनेजमेंट, और DLP डिवाइस स्थिति जाँच के लिए, आप किसी भी समर्थित विक्रेता या उत्पाद के लिए एक सामान्य चेक बना सकते हैं। उदाहरण के लिए, आप एक चेक बना सकते हैं जो किसी भी समर्थित एंटी-मैलवेयर समाधान के साथ स्थापित डिवाइस को अनुमति देता है। समर्थित विक्रेताओं और उत्पादों की सूची के लिए, नई डिवाइस चेक पैनल के विक्रेता सेक्शन में ड्रॉप-डाउन सूचियों को देखें।
-
डिवाइस जाँच निर्धारित करती है कि नेटवर्क से कनेक्ट करने के लिए एक उपकरण को कौन से मानक पूरे करने होंगे। एक चेक बनाने के बाद, इसे डिवाइस प्रोफ़ाइल में जोड़ें ताकि मुद्रा आवश्यकताओं को लागू किया जा सके।
डिवाइस चेक बनाने के बाद, आप इसे डिवाइस प्रोफ़ाइल में जोड़ सकते हैं ताकि क्लाइंट कनेक्टिविटी नीति या फ़ायरवॉल नीति में नियमों में शामिल किया जा सके और आसन आवश्यकताओं को लागू किया जा सके।
डिवाइस प्रोफ़ाइल कॉन्फ़िगर करने के लिए:
- नेविगेशन मेनू से संसाधन > डिवाइस स्थिति चुनें।
- डिवाइस स्थिति प्रोफाइल टैब पर क्लिक करें।
-
नया पर क्लिक करें।
नई डिवाइस प्रोफ़ाइल फलक खुलता है।
- डिवाइस प्रोफ़ाइल के लिए सेटिंग्स कॉन्फ़िगर करें और आवश्यक डिवाइस चेक जोड़ें (जो आपने पिछले अनुभाग में बनाए थे)।
- लागू करें पर क्लिक करें और फिर सहेजें पर क्लिक करें।
जब आप कई जांचों के साथ एक डिवाइस प्रोफाइल बनाते हैं, तो उनके बीच एक "और" संबंध होता है। इसका मतलब यह है कि किसी डिवाइस पर नियम क्रिया को लागू करने के लिए सभी डिवाइस जांचों की आवश्यकताओं को पूरा करना होगा।
निम्न उदाहरण में सैंपल डिवाइस प्रोफाइल दिखाया गया है, जिसमें ये जांचें शामिल हैं:
विशिष्ट डिवाइस चेक्स और फीचर्स के बारे में महत्वपूर्ण जानकारी निम्नलिखित अनुभागों में उल्लिखित है।
आप अपनी खाता के लिए परिभाषित किया गया है अंतिम उपयोगकर्ता उपकरण पर स्थापित प्रमाणपत्रों के लिए डिवाइस जांच बना सकते हैं। चेक सत्यापित करता है कि उपयोगकर्ता प्रमाणपत्र कुंजी जोड़ी डिवाइस पर स्थापित है और आपके खाते से जुड़े प्रमाणपत्र प्राधिकरणों में से एक द्वारा हस्ताक्षरित और जारी किया गया है। पोश्चर जांच को प्रमाणपत्र का पता लगाने के लिए, इसे एक संयुक्त कुंजी जोड़ी उपयोगकर्ता प्रमाणपत्र के रूप में लोकल मशीन पर्सनल सर्टिफिकेट स्टोर में स्थापित होना चाहिए।
केवल RSA प्रमाणपत्र डिवाइस स्थिति के लिए मान्य हैं।
आप एक या अधिक ड्राइव पथ को परिभाषित कर सकते हैं जो एन्क्रिप्टेड हैं (उदाहरण के लिए, पूरा रूट पथ एन्क्रिप्टेड है, C:\)। केवल सॉफ्टवेयर-आधारित एन्क्रिप्शन को समर्थन दिया जाता है (हार्डवेयर-आधारित एन्क्रिप्शन समर्थित नहीं है)।
एकाधिक विभाजनों वाले उपकरणों के लिए, आप यह निर्दिष्ट कर सकते हैं कि कौन सा विभाजन एन्क्रिप्टेड है। जब आप एक उपकरण के लिए कई ड्राइव पथ परिभाषित करते हैं, तो चेक यह सत्यापित करता है कि सभी पथ एन्क्रिप्टेड हैं।
विंडोज और macOS उपकरणों पर चल रही प्रक्रिया की जांच समर्थित है।
आप एक डिवाइस चेक बना सकते हैं ताकि यह सत्यापित किया जा सके कि डिवाइस पर एक प्रक्रिया चल रही है, इसे सत्यापित करते हुए कि यह निर्दिष्ट प्रमाणपत्र आईडी द्वारा हस्ताक्षरित है। इस चेक को कॉन्फ़िगर करने के लिए, आप या तो प्रक्रिया का नाम या प्रक्रिया का पूरा पथ शामिल कर सकते हैं और, वैकल्पिक रूप से, साइनर प्रमाणपत्र थंबप्रिंट।
आप प्रक्रिया के गुणों के भीतर हस्ताक्षरकर्ता प्रमाणपत्र थंबप्रिंट की पहचान कर सकते हैं। उदाहरण के लिए, प्रक्रिया CatoClient.exe के लिए हस्ताक्षरकर्ता प्रमाणपत्र थंबप्रिंट 81d821c152fa98db1c950b87d435122e5a0b451d है।
हस्ताक्षरकर्ता प्रमाणपत्र थंबप्रिंट पहचानने के लिए:
- प्रक्रिया पर राइट-क्लिक करें और प्रॉपर्टी चुनें।
-
डिजिटल हस्ताक्षर टैब पर, आवश्यक प्रमाणपत्र चुनें और विवरण क्लिक करें।
डिजिटल हस्ताक्षर विवरण विंडो प्रदर्शित होती है।
- प्रमाणपत्र देखें पर क्लिक करें।
-
विवरण टैब पर, थंबप्रिंट पर क्लिक करें।
हस्ताक्षरकर्ता प्रमाणपत्र थंबप्रिंट प्रदर्शित होता है।
नोट: प्रक्रिया का नाम और प्रक्रिया पथ केस-संवेदी नहीं हैं।
आप एक डिवाइस चेक बना सकते हैं ताकि यह सत्यापित किया जा सके कि डिवाइस पर एक प्रक्रिया चल रही है, इसे सत्यापित करते हुए कि यह निर्दिष्ट टीम आईडी द्वारा हस्ताक्षरित है। टीम आईडी की पहचान करने के लिए, टर्मिनल में codesign कमांड को पूरा प्रक्रिया पथ के साथ चलाएं। टीम आईडी रिटर्न होता है। उदाहरण के लिए, प्रक्रिया /Applications/CatoClient.app/Contents/MacOS/CatoClient के लिए, टीम आईडी CKGSB8CH43 है:
प्रक्रिया के नाम यूनिकोड वर्ण शामिल कर सकते हैं और बड़े और छोटे अक्षरों के भेदभाव का पालन करते हैं।
रजिस्ट्री कुंजी के लिए जाँच बनाने के लिए आपको यह निर्दिष्ट करना है:
- फुल रजिस्ट्री कुंजी पथ
- मान नाम (आप डिफ़ॉल्ट मान या किसी विशेष मान की जांच करने का चयन कर सकते हैं)
- मान डेटा (आप किसी भी मान या किसी विशेष मान की जांच करने का चयन कर सकते हैं)
नोट
नोट: रजिस्ट्री कुंजी या मान नामों के लिए गैर-ASCII वर्ण समर्थित नहीं हैं।
सभी डेटा प्रकार समर्थित हैं। एक मल्टी-स्ट्रिंग रजिस्ट्री कुंजी में, लाइनों को एक ऊर्ध्वाधर बार प्रतीक (|) से अलग करें। एक बाइनरी मूल्य या बाइनरी मूल्य प्रकार में डेटा का प्रारूप पहले 16 बाइट्स की HEX अभिव्यक्ति है, उदाहरण के लिए 0102030405060708090A0B0C0D0E0F10।
मान नाम और मूल्य डेटा की पहचान करने के लिए, आप जिस रजिस्ट्री कुंजी की जांच कर रहे हैं, उस पर रजिस्ट्री संपादक में डबल-क्लिक करें। नीचे दिए गए उदाहरण में कुंजी मान का नाम start_minimized है और कुंजी मान डेटा 0 है।
प्रॉपर्टी सूची फाइल (plist) के लिए जाँच बनाने के लिए आपको जाँच करने के लिए plist का पूर्ण फाइल पथ निर्दिष्ट करना है। आप जाँच को सत्यापित करने के लिए कॉन्फ़िगर कर सकते हैं कि:
- एक विशिष्ट कुंजी plist में कोई भी मूल्य चुनकर मौजूद है
- एक विशिष्ट कुंजी और मूल्य plist में विशिष्ट चुनकर मौजूद हैं।
plist में कुंजी नाम और मान की पहचान करने के लिए, फ़ाइल को टेक्स्ट संपादक के साथ खोलें। नीचे दिए गए उदाहरण में, कुंजी नाम Label है और मूल्य com.catonetworks.mac.CatoClient.helper है।
ये plist डेटा प्रकार समर्थित हैं:
- स्ट्रिंग्स
- पूर्णांक
-
ये संलग्न डेटा प्रकार:
- स्ट्रिंग
- पूर्णांक
कभी-कभी आपको अपने संगठन में क्लाइंट को समायोजित करने की आवश्यकता होती है जो वर्तमान में डिवाइस स्थिति का समर्थन नहीं करता है, और इन क्लाइंट को नेटवर्क तक पहुंचने की अनुमति दें। जब आप एक डिवाइस चेक कॉन्फ़िगर करते हैं, मानदंड अनुभाग आपको उन क्लाइंट के लिए व्यवहार चुनने देता है जो डिवाइस स्थिति का समर्थन नहीं करते।
जब एक असमर्थित क्लाइंट नियम की सेटिंग्स के लिए प्रोफ़ाइल को छोड़कर मेल खाता है, ये व्यवहार विकल्प हैं:
- डिवाइस चेक को छोड़ें और अप्रतिबंधित क्लाइंट को नेटवर्क से कनेक्ट करने की अनुमति दें
- डिवाइस चेक की आवश्यकताओं को पूरा नहीं करने के कारण अप्रतिबंधित क्लाइंट को अवरुद्ध करें
हम सुझाव देते हैं कि आप अपनी संगठन में असमर्थित क्लाइंट को अनुमति देने वाले डिवाइस जांच के स्कोप और प्रभाव को न्यूनतम करें। जितने कम असमर्थित क्लाइंट को अनुमति दी जाती है, क्लाइंट एक्सेस नीति उतनी ही मजबूत होती है।
Cato क्लाइंट निम्नलिखित OPSWAT संस्करणों का उपयोग करता है:
विंडोज क्लाइंट
- विंडोज क्लाइंट v5.17 OPSWAT v4.3.4761 का उपयोग करता है
- विंडोज क्लाइंट v5.16 OPSWAT v4.3.4582 का उपयोग करता है
- विंडोज क्लाइंट v5.15 OPSWAT v4.3.4548 का उपयोग करता है
- विंडोज क्लाइंट v5.14.5 OPSWAT v4.3.4373 का उपयोग करता है
- विंडोज क्लाइंट v5.14 OPSWAT v4.3.4487 का उपयोग करता है
- विंडोज क्लाइंट v5.13 OPSWAT v4.3.4373 का उपयोग करता है
- विंडोज क्लाइंट v5.12 OPSWAT v4.3.4195 का उपयोग करता है
- विंडोज क्लाइंट v5.11 OPSWAT v4.3.3896 का उपयोग करता है
macOS क्लाइंट
- macOS क्लाइंट v5.11 OPSWAT v4.3.4222 का उपयोग करता है
- macOS क्लाइंट v5.10 OPSWAT v4.3.4086 का उपयोग करता है
- macOS क्लाइंट v5.9 OPSWAT v4.3.4025 का उपयोग करता है
- macOS क्लाइंट v5.8.5 OPSWAT v4.3.3952 का उपयोग करता है
- macOS क्लाइंट v5.8.0 OPSWAT v4.3.3952 का उपयोग करता है
- macOS क्लाइंट v5.7 OPSWAT v4.3.3479 का उपयोग करता है
- macOS क्लाइंट v5.6 OPSWAT v4.3.3479 का उपयोग करता है
लिनक्स क्लाइंट
- लिनक्स क्लाइंट v5.5 OPSWAT v4.3.3700 का उपयोग करता है
- लिनक्स क्लाइंट v5.4 OPSWAT v4.3.3558 का उपयोग करता है
- लिनक्स क्लाइंट v5.3 OPSWAT v4.3.3509 का उपयोग करता है
- लिनक्स क्लाइंट v5.2 OPSWAT v4.3.2690 का उपयोग करता है
- लिनक्स क्लाइंट v5.1 OPSWAT v4.3.2690 का उपयोग करता है
0 टिप्पणियां
कृपया टिप्पणी करने के लिए साइन इन करें करें.