Este artigo discute como criar Perfis de Postura do Dispositivo e Verificações de Dispositivo para garantir que apenas dispositivos que atendam aos requisitos de segurança possam se conectar à rede.
Perfis de Postura do Dispositivo e Verificações permitem que você imponha requisitos de conformidade para usuários remotos antes que eles possam se conectar à Rede. Você pode usá-los na Política de Conectividade do Cliente e no firewall de Internet e WAN para definir os requisitos específicos do dispositivo.
Por exemplo, você pode criar uma Verificação de Dispositivo para um fornecedor, produto e versão específicos de Anti-Malware. O Cliente verifica se este software está instalado no dispositivo antes de conectar-se à rede. O Cliente só se conecta à rede se identificar que este software está instalado no dispositivo. Para mais informações sobre o fluxo de Conexão do Cliente, consulte Understanding the Cato Client Connection Flow.
Diversas Verificações de Dispositivo podem ser configuradas. Consulte a seção Verificações de Dispositivo Suportadas para uma lista de Verificações de Dispositivo Disponíveis e a seção Trabalhando com Verificações de Dispositivo Específicas e Funcionalidades para informações adicionais sobre cada verificação.
As Verificações de Dispositivo podem ser adicionadas aos Perfis de Dispositivo que podem conter várias verificações. Perfis de Dispositivo podem ser adicionados à Política de Conectividade do Cliente para determinar quais dispositivos estão autorizados a se conectar à rede.
Perfis de Dispositivo também podem ser usados no firewall de Internet e WAN para criar regras que incluem acesso condicional baseado no dispositivo real do usuário final. Para mais informações sobre o uso de Verificações de Dispositivo em uma política de firewall, consulte Adding Device Conditions to Firewall Rules. Você pode monitorar o número de dispositivos que atenderam a cada Perfil de Postura do Dispositivo no Painel de Usuários Remotos.
Para mais informações sobre como melhorar a eficácia das Verificações de Dispositivo, consulte Política de Acesso do Cliente - Verificações de Postura Melhoradas.
Melhores práticas: Recomendamos que você ative a configuração Avançada de Postura para que o Cliente verifique continuamente a postura do dispositivo. Para mais informações, consulte Política de Acesso do Cliente - Verificações de Postura Melhoradas.
Nota
Nota: Suportado em:
- Cliente Windows v5.7
- Cliente macOS v5.8
- Cliente Linux v5.3
Perfis de Postura do Dispositivo são aplicados a dispositivos que se conectam à sua rede por meio de um Socket. Isso permite que você aplique os mesmos Perfis de Postura do Dispositivo, independentemente da localização física do dispositivo. Por exemplo, um executivo de vendas trabalha dois dias no escritório e três dias remotamente. O Perfil de Postura do Dispositivo é aplicado ao dispositivo deles sempre que e onde quer que eles se conectem ao Cato.
Estes são os requisitos mínimos da versão do Cliente para as Verificações de Dispositivo. Veja Trabalhando com Verificações de Dispositivo Específicas e Funcionalidades para detalhes sobre cada Verificação de Dispositivo.
| Verificação de Dispositivo | Windows | macOS | Linux | iOS | Android |
|---|---|---|---|---|---|
| Anti-Malware | 5.2 | 5.2 | 5.1 | ||
| Firewall | 5.4 | 5.2 | 5.1 | ||
| Criptografia de Disco | 5.5 | 5.6 | |||
| Gerenciamento de Patches | 5.5 | 5.2 | 5.2 | ||
| Certificado de Dispositivo | 5.5 | 5.4 | 5.1 | 5.3 | 5.0.1.115 |
| DLP | 5.9 | 5.4.3 | 5.2 | ||
| Versão do cliente Cato | 5.0 | 5.0 | 5.0 | ||
| Processo em Execução | 5.11 | 5.7 | |||
| Chave de Registro | 5.11 | ||||
| Lista de Propriedades (plist) | 5.7 | ||||
| Verificações de Dispositivo aplicadas para usuários em um escritório | 5.7 | 5.8 | 5.3 |
Uma caixa vazia indica que a Verificação de Dispositivo não é suportada no Sistema Operacional.
- Após criar uma Verificação de Dispositivo, a página precisa ser atualizada para que a nova verificação possa ser incluída em um Perfil de Dispositivo
-
Em um escritório, se a verificação periódica estiver definida para 0, o Cliente verifica a Postura do Dispositivo a cada 10 minutos
- Para usuários remotos, se a verificação periódica for definida como 0, ela só verifica a Postura do Dispositivo quando o Cliente se conecta à rede
Cada Verificação de Dispositivo pode incluir estas configurações:
- Um tipo de teste de dispositivo (por exemplo, Anti-Malware ou Firewall)
-
Um fornecedor, produto e versão (para todas as verificações, exceto Processo em Execução, Chave do Registro e Lista de Propriedades)
-
Você pode escolher qualquer versão, uma versão específica ou uma versão mínima (maior que)
Nota: Em um dispositivo Firewall, se você selecionar o firewall embutido do macOS da Apple, o número da versão refere-se ao número da Versão do macOS
- Para Verificações de Postura de Dispositivo como Anti-Malware, Firewall, Gerenciamento de Patches e DLP, você pode criar uma Verificação geral para qualquer fornecedor ou produto suportado. Por exemplo, você pode criar uma Verificação para permitir o acesso a um dispositivo com qualquer uma das soluções de Anti-Malware suportadas instaladas. Para obter uma lista de fornecedores e produtos suportados, consulte as listas suspensas na seção Fornecedor do painel de Nova Verificação de Dispositivo.
-
Verificações de Dispositivo definem os critérios que um dispositivo deve atender para conectar à Rede. Após criar uma Verificação, adicione-a a um Perfil de Dispositivo para impor os requisitos de postura.
Para configurar uma Verificação de Dispositivo:
- No menu de navegação, selecione Recursos > Postura do Dispositivo.
- Selecione a aba Verificações de Dispositivo.
-
Clique em Novo. O painel Nova Verificação de Dispositivo é aberto.
- Configure as configurações para a Verificação de Dispositivo.
- Clique em Aplicar e então clique em Salvar.
Após criar uma Verificação de Dispositivo, você pode adicioná-la a um Perfil de Dispositivo para ser incluída nas regras na Política de Acesso do Cliente ou política de firewall para impor os requisitos de postura.
Para configurar um Perfil de Dispositivo:
- No menu de navegação, selecione Recursos > Postura do Dispositivo.
- Clique na aba Perfis de Postura de Dispositivo.
-
Clique em Novo.
O painel Novo Perfil de Dispositivo é aberto.
- Configure as configurações para o Perfil de Dispositivo e adicione as Verificações de Dispositivo (que você criou na seção anterior).
- Clique em Aplicar e então clique em Salvar.
Quando você cria um Perfil de Dispositivo com múltiplas verificações, há uma relação E entre elas. Isso significa que um dispositivo deve atender aos requisitos de todas as Verificações de Dispositivo para aplicar a Ação da Regra ao dispositivo.
O exemplo a seguir mostra o Exemplo de Perfil de Dispositivo, que inclui essas verificações:
- Gerenciamento de Patches - Exemplo de Patch MGMT
- Criptografia de Disco - Exemplo de Criptografia de Disco
Informações importantes sobre verificações de dispositivo específicas e funcionalidades estão descritas nas seções a seguir.
Você pode criar Verificações de Dispositivo para certificados que estão instalados no dispositivo do usuário final que está definido para a sua conta. A verificação confirma que um par de chaves de certificado de usuário está instalado no dispositivo e foi assinado e emitido por uma das autoridades certificadoras associadas à sua conta. Para que a verificação de postura detecte o certificado, ele deve estar instalado no Armazenamento de Certificados Pessoais da Máquina Local como um certificado de usuário de par de chaves combinado.
Somente certificados RSA são válidos para a Postura do Dispositivo.
Você pode definir um ou mais caminhos de unidade que estão criptografados (o caminho raiz inteiro é criptografado, por exemplo, C:\). Somente criptografia baseada em software é suportada (criptografia baseada em hardware não é suportada).
Para dispositivos com várias partições, você pode especificar qual partição está criptografada. Quando você define vários caminhos de disco para um dispositivo, a Verificação valida que todos os caminhos estão criptografados.
Você pode criar Verificações de Dispositivo para a versão do Cliente instalada no dispositivo do usuário final.
- Para permitir uma versão exata do Cliente, utilize o operador Igual
- Para permitir uma versão específica do Cliente, utilize o operador Igual ou maior
Verificações de Processos em Execução são suportadas em dispositivos Windows e macOS.
Você pode criar uma Verificação de Dispositivo para verificar se um processo está em execução no dispositivo, validando opcionalmente se ele está assinado por um ID de certificado especificado. Para configurar esta Verificação, você pode incluir o nome do processo ou o caminho completo do processo e, opcionalmente, a Impressão Digital do Certificado do Assinante.
Você pode identificar a Impressão Digital do Certificado de Assinatura nas Propriedades do processo. Por exemplo, para o processo CatoClient.exe a Impressão Digital do Certificado de Assinatura é 81d821c152fa98db1c950b87d435122e5a0b451d.
Para identificar a Impressão Digital do Certificado de Assinante:
- Clique com o botão direito no processo e selecione Propriedades.
-
Na guia Assinaturas Digitais, selecione o certificado necessário e clique em Detalhes.
A janela Detalhes da Assinatura Digital é exibida.
- Clique em Visualizar Certificado.
-
Na guia Detalhes, clique em Impressão Digital.
A Impressão Digital do Certificado de Assinatura é exibida.
Nota: O nome do processo e o caminho do processo não diferenciam maiúsculas de minúsculas.
Você pode criar uma Verificação de Dispositivo para verificar se um processo está em execução no dispositivo, validando opcionalmente se ele está assinado por um ID de Equipe especificado. Para identificar o ID da Equipe, no terminal execute o comando codesign seguido pelo caminho completo do processo. O ID da Equipe é retornado. Por exemplo, para o processo /Applications/CatoClient.app/Contents/MacOS/CatoClient, o ID da Equipe é CKGSB8CH43:
Os nomes dos processos podem conter caracteres unicode e diferenciam maiúsculas de minúsculas.
Para Criar uma Verificação para uma Chave de Registro você precisa especificar o:
- Caminho completo da Chave de Registro
- Nome do Valor (você pode escolher verificar o valor padrão ou um valor específico)
- Dados do Valor (você pode escolher verificar qualquer valor ou um valor específico)
Nota
Nota: Caracteres não-ASCII para Chaves de Registro ou Nomes de Valores não são suportados.
Todos os Tipos de Dados são Suportados. Em uma Chave de Registro de Multilinha, separe as linhas com um símbolo de barra vertical (|). O Formato dos Dados em um Valor Binário ou Tipo de Valor Binário é a representação HEX dos primeiros 16 bytes, por exemplo, 0102030405060708090A0B0C0D0E0F10.
Para identificar o Nome do Valor e os Dados de Valor, no Editor de Registro, clique duas vezes na Chave de Registro que você está verificando. No exemplo abaixo o Nome do Valor da Chave é start_minimized e os Dados de Valor da Chave são 0.
Para Criar uma Verificação para um Arquivo de Lista de Propriedades (plist) você precisa especificar o Caminho Completo do Arquivo plist para verificação. Você pode Configurar a Verificação para verificar que:
- Uma chave específica existe no plist selecionando Qualquer Valor
- Uma chave e valor específicos existem no plist selecionando Específico.
Para identificar o Nome da Chave e Valor dentro de um plist, Abra o Arquivo com um Editor de Texto. No exemplo abaixo, o Nome da Chave é Label e o Valor é com.catonetworks.mac.CatoClient.helper.
Esses Tipos de Dados plist são Suportados:
- Strings
- Inteiros
-
Esses Tipos de Dados aninhados:
- String
- Inteiros
Às vezes, você precisa acomodar Clientes na sua organização que atualmente não suportam Postura do Dispositivo, e Permitir que esses Clientes acessem a Rede. Quando você Configurar uma Verificação de Dispositivo, a seção Critérios permite que você escolha o comportamento para Clientes que não suportam Postura do Dispositivo.
Quando um Cliente não suportado corresponde às Configurações de uma Regra, exceto pelo Perfil, estas são as opções de comportamento:
- Pule a Verificação de Dispositivo e permita clientes não suportados conectarem-se à rede
- Bloqueie clientes não suportados pois eles não podem atender os requisitos da Verificação de Dispositivo
Recomendamos que você minimize o Escopo e o Impacto das Verificações de Dispositivo que permitem Clientes não suportados na sua organização. Quanto menos Clientes não suportados forem Permitidos, mais forte será a Política de Conectividade do Cliente.
O Cliente Cato usa as seguintes versões do OPSWAT:
Clientes Windows
- Cliente Windows v5.17 usa OPSWAT v4.3.4761
- Cliente Windows v5.16 usa OPSWAT v4.3.4582
- Cliente Windows v5.15 usa OPSWAT v4.3.4548
- Cliente Windows v5.14.5 usa OPSWAT v4.3.4373
- Cliente Windows v5.14 usa OPSWAT v4.3.4487
- Cliente Windows v5.13 usa OPSWAT v4.3.4373
- Cliente Windows v5.12 usa OPSWAT v4.3.4195
- Cliente Windows v5.11 usa OPSWAT v4.3.3896
Clientes macOS
- Cliente macOS v5.11 usa OPSWAT v4.3.4222
- Cliente macOS v5.10 usa OPSWAT v4.3.4086
- Cliente macOS v5.9 usa OPSWAT v4.3.4025
- Cliente macOS v5.8.5 usa OPSWAT v4.3.3952
- Cliente macOS v5.8.0 usa OPSWAT v4.3.3952
- Cliente macOS v5.7 usa OPSWAT v4.3.3479
- Cliente macOS v5.6 usa OPSWAT v4.3.3479
Clientes Linux
- Cliente Linux v5.5 usa OPSWAT v4.3.3700
- Cliente Linux v5.4 usa OPSWAT v4.3.3558
- Cliente Linux v5.3 usa OPSWAT v4.3.3509
- Cliente Linux v5.2 usa OPSWAT v4.3.2690
- Cliente Linux v5.1 usa OPSWAT v4.3.2690
0 comentário
Por favor, entre para comentar.