Este artigo discute como criar Perfis de Postura de Dispositivo e Verificações de Dispositivo para garantir que apenas dispositivos que atendem aos requisitos de segurança sejam permitidos para conectar-se à rede.
O Perfil de Postura de Dispositivo e as Verificações permitem que você imponha requisitos de conformidade para usuários remotos antes de serem autorizados a se conectar à Rede. Você pode usá-las na Política de Conectividade do Cliente e no firewall da Internet e WAN para definir os requisitos específicos do dispositivo.
Por exemplo, você pode criar uma Verificação de Dispositivo para um fornecedor, produto e versão específicos de Anti-Malware. O Cliente verifica se este software está instalado no dispositivo antes de conectar-se à rede. O Cliente só se conecta à rede se identificar que este software está instalado no dispositivo. Para mais informações sobre o fluxo de Conexão do Cliente, veja Compreender o Fluxo de Conexão do Cliente Cato.
Várias Verificações de Dispositivo podem ser configuradas. Veja a seção Verificações de Dispositivos Suportados para uma lista de Verificações de Dispositivos disponíveis e Trabalhando com Verificações e Funcionalidades Específicas de Dispositivos para informações adicionais sobre cada verificação.
Verificações de Dispositivo podem ser adicionadas a Perfis de Dispositivo que podem conter múltiplas verificações. Perfis de Dispositivo podem ser adicionados à Política de Conectividade do Cliente para determinar quais dispositivos são permitidos para conectar à rede.
Perfis de Dispositivo também podem ser usados no firewall de Internet e WAN para criar regras que incluem acesso condicional baseado no dispositivo real do usuário final. Para mais informações sobre o uso de Verificações de Dispositivo em uma política de firewall, veja Adicionando Condições de Dispositivo às Regras de Firewall. Você pode monitorar o número de dispositivos que estão em conformidade com cada Perfil de Postura de Dispositivo no Painel de Controle de Usuários Remotos.
Nota
Nota: Suportado a partir de:
-
Cliente Windows v5.7
-
Cliente macOS v5.8
-
Cliente Linux v5.3
Perfis de Postura de Dispositivo são aplicados a dispositivos que se conectam à sua rede por trás de um Socket. Isso permite que você aplique os mesmos Perfis de Postura de Dispositivo, independentemente da localização física do dispositivo. Por exemplo, um executivo de vendas trabalha dois dias no escritório e três dias remotamente. O Perfil de Postura de Dispositivo é aplicado ao dispositivo dele sempre que ele se conecta ao Cato.
Estes são os requisitos mínimos de versão do Cliente para as Verificações de Dispositivo. Veja Trabalhando com Verificações e Funcionalidades Específicas de Dispositivos para detalhes sobre cada Verificação de Dispositivo.
|
Verificação de Dispositivo |
Windows |
macOS |
Linux |
iOS |
Android |
|---|---|---|---|---|---|
|
Anti-Malware |
5.2 |
5.2 |
5.1 |
||
|
Firewall |
5.4 |
5.2 |
5.1 |
||
|
Criptografia de Disco |
5.5 |
5.6 |
|||
|
Gerenciamento de Patches |
5.5 |
5.2 |
5.2 |
||
|
Certificado de Dispositivo |
5.5 |
5.4 |
5.1 |
5.3 |
5.0.1.115 |
|
DLP |
5.9 |
5.4.3 |
5.2 |
||
|
Versão do Cliente Cato |
5.0 |
5.0 |
5.0 |
||
|
Processo em Execução |
5.11 |
5.7 |
|||
|
Chaves de Registro |
5.11 |
||||
|
Lista de Propriedades (plist) |
5.7 |
||||
|
Verificações de Dispositivo aplicadas para usuários em um escritório |
5.7 |
5.3 |
Uma caixa vazia indica que a Verificação de Dispositivo não é suportada no Sistema Operacional.
-
Após criar uma Verificação de Dispositivo, é necessário atualizar a página para que a nova verificação possa ser incluída em um Perfil de Dispositivo
-
Em um escritório, se a verificação periódica estiver configurada para 0, o Cliente verifica a Postura do Dispositivo a cada 10 minutos
Cada Verificação de Dispositivo pode incluir estas configurações:
-
Um Tipo de Teste de Dispositivo (por exemplo, Anti-Malware ou Firewall)
-
Um fornecedor, produto e versão (para todas as verificações além de Processo em Execução, Chave de Registro e Lista de Propriedades)
-
Você pode escolher qualquer versão, uma versão específica ou uma versão mínima (maior que)
Nota: Em uma verificação de dispositivo de Firewall, se você selecionar o firewall integrado do macOS da Apple, o número da versão refere-se ao número da versão do macOS
-
Para verificações de Postura de Dispositivo de Anti-Malware, Firewall, Gerenciamento de Patches e DLP, você pode criar uma Verificação geral para qualquer fornecedor ou produto suportado. Por exemplo, você pode criar uma Verificação para permitir o acesso a um dispositivo com qualquer uma das soluções Anti-Malware suportadas instaladas. Para uma lista de fornecedores e produtos suportados, consulte as listas suspensas na seção Fornecedor do painel de Nova Verificação de Dispositivo.
-
As Verificações de Dispositivo definem os critérios que um dispositivo deve atender para se conectar à rede. Após criar uma Verificação, adicione-a a um Perfil de Dispositivo para aplicar os requisitos de postura.
Para configurar uma Verificação de Dispositivo:
-
No menu de navegação, selecione Recursos > Postura de Dispositivo.
-
Selecione a guia Verificações de Dispositivo.
-
Clique em Novo. O painel Nova Verificação de Dispositivo será aberto.
-
Configure as configurações para a Verificação de Dispositivo.
-
Clique em Aplicar e depois clique em Salvar.
Após criar uma Verificação de Dispositivo, você pode adicioná-la a um Perfil de Dispositivo para ser incluída nas regras da Política de Conectividade do Cliente ou política de firewall para impor os requisitos de postura.
Para configurar um Perfil de Dispositivo:
-
No menu de navegação, selecione Recursos > Postura do Dispositivo.
-
Clique na guia Perfis de Postura do Dispositivo.
-
Clique em Novo.
O painel Novo Perfil de Dispositivo é aberto.
-
Configure as configurações para o Perfil de Dispositivo e adicione as Verificações de Dispositivo necessárias (que você criou na seção anterior).
-
Clique em Aplicar e depois clique em Salvar.
As Verificações de Dispositivos avaliam a postura de um dispositivo durante o processo de conexão do Cliente. Para continuar a avaliar a postura de um dispositivo após o Cliente estar conectado, você pode habilitar a Verificação de Dispositivo para executar várias vezes e configurar a frequência da verificação. Por padrão, verificações periódicas são executadas a cada 10 minutos.
Para entender a experiência do usuário se uma verificação periódica falhar, veja Configurando a Política de Conectividade do Cliente.
Quando você cria um Perfil de Dispositivo com múltiplas verificações, existe uma relação AND entre elas. Isso significa que um dispositivo deve atender aos requisitos de todas as Verificações de Dispositivo para aplicar a ação da regra ao dispositivo.
O exemplo a seguir mostra o Perfil de Dispositivo Exemplo que inclui essas verificações:
Informações importantes sobre Verificações de Dispositivo específicas e funcionalidades são descritas nas seções a seguir.
Você pode criar Verificações de Dispositivos para certificados que estão instalados no dispositivo do usuário final definido para sua conta. Use a página de Certificados de Assinatura (Acesso > Acesso do Cliente > Certificados de Assinatura) para carregar certificados de assinatura para sua conta. A Verificação valida que há um certificado instalado no dispositivo que corresponde a um dos certificados de assinatura definidos para sua conta.
Você pode definir um ou mais caminhos de unidade que estão criptografados (o caminho raiz inteiro é criptografado, por exemplo, C:\). Apenas criptografia baseada em software é suportada (criptografia baseada em hardware não é suportada).
Para dispositivos com múltiplas partições, você pode especificar qual partição está encriptada. Quando você define múltiplos caminhos de drive para um dispositivo, a Verificação valida que todos os caminhos estão encriptados.
Você pode criar Verificações de Dispositivos para a versão do Cliente instalada no dispositivo do usuário final.
-
Para bloquear uma versão específica do Cliente, use o operador Block
-
Para permitir uma versão específica do Cliente, use o operador Equals or higher
Verificações de Processos em Execução são suportadas em dispositivos Windows e macOS.
Você pode criar uma Verificação de Dispositivo para verificar se um processo está em execução no dispositivo e se ele está assinado pelo certificado especificado. Para configurar esta Verificação, você pode incluir o nome do processo ou o caminho completo do processo e a Impressão Digital do Certificado de Assinante.
Você pode identificar a Impressão Digital do Certificado de Assinante dentro das Propriedades do processo. Por exemplo, para o processo CatoClient.exe, a Impressão Digital do Certificado de Assinante é 81d821c152fa98db1c950b87d435122e5a0b451d.
Para identificar a Impressão Digital do Certificado de Assinante:
-
Clique com o botão direito no processo e selecione Propriedades.
-
Na guia Assinaturas Digitais, selecione o certificado necessário e clique em Detalhes.
A janela Detalhes da Assinatura Digital é exibida.
-
Clique em Visualizar Certificado.
-
Na guia Detalhes, clique em Thumbprint.
O Thumbprint do Certificado do Signatário é exibido.
Nota: O nome do processo e o caminho do processo não diferenciam maiúsculas de minúsculas.
Você pode criar uma Verificação de Dispositivo para verificar se um processo está em execução no dispositivo e é assinado pelo ID de Equipe especificado. Para identificar o ID de Equipe, no terminal execute o comando codesign seguido pelo caminho completo do processo. O ID de Equipe é retornado. Por exemplo, para o processo /Applications/CatoClient.app/Contents/MacOS/CatoClient, o ID de Equipe é CKGSB8CH43:
Os nomes dos processos podem conter caracteres Unicode e diferenciam maiúsculas de minúsculas.
Para criar uma verificação para uma Chave de Registro, você precisa especificar:
-
Caminho Completo da Chave de Registro
-
Nome do Valor (você pode optar por verificar o valor padrão ou um valor específico)
-
Dados do Valor (você pode optar por verificar qualquer valor ou um valor específico)
Nota
Nota: Caracteres não ASCII para chaves de registro ou nomes de valores não são suportados.
Todos os tipos de dados são suportados. Em uma Chave de Registro de Múltiplas Cadeias, separe as linhas com um símbolo de barra vertical (|). O formato dos dados em um Valor Binário ou tipo de Valor Binário é a representação HEX dos primeiros 16 bytes, por exemplo 0102030405060708090A0B0C0D0E0F10.
Para identificar o Nome do Valor e os Dados do Valor, no Editor de Registro, clique duas vezes na Chave de Registro que você está verificando. No exemplo abaixo, o Nome do Valor da Chave é start_minimized e os Dados do Valor da Chave são 0.
Para criar uma verificação para um arquivo de Lista de Propriedades (plist) você precisa especificar o caminho completo do arquivo plist a ser verificado. Você pode configurar a Verificação para verificar se:
-
Uma chave específica existe no plist ao selecionar Qualquer Valor
-
Uma chave e um valor específicos existem no plist ao selecionar Específico.
Para identificar o nome e o valor da chave dentro de um plist, abra o arquivo com um editor de texto. No exemplo abaixo, o nome da chave é Label e o valor é com.catonetworks.mac.CatoClient.helper.
Estes tipos de dados plist são suportados:
-
Strings
-
Inteiros
-
Estes tipos de dados aninhados:
-
String
-
Inteiros
-
Às vezes, você precisa acomodar Clientes em sua organização que atualmente não suportam a Postura de Dispositivo, e permitir que esses Clientes acessem a rede. Quando você configura uma Verificação de Dispositivo, a seção Critérios permite que você escolha o comportamento para Clientes que não suportam a Postura de Dispositivo.
Quando um Cliente não suportado coincide com as configurações de uma regra, exceto pelo perfil, estas são as opções de comportamento:
-
Pule a Verificação de Dispositivo e permita que Clientes não suportados se conectem à rede
-
Bloqueie Clientes não suportados porque eles não podem atender aos requisitos da Verificação de Dispositivo
Recomendamos que você minimize o alcance e o impacto das Verificações de Dispositivo que permitem Clientes não suportados em sua organização. Quanto menos Clientes não suportados forem permitidos, mais forte será a Política de Conectividade do Cliente.
0 comentário
Por favor, entre para comentar.