Эта статья рассказывает о том, как создать Профили Состояния Устройства и Проверки Устройства, чтобы обеспечить подключение к сети только тех устройств, которые соответствуют требованиям безопасности.
Профили Состояния Устройства и Проверки позволяют вам применять требования соответствия для удаленных пользователей до их подключения к Сети. Вы можете использовать их в Политике Подключения Клиента и межсетевом экране Интернет и WAN, чтобы определить конкретные требования к устройствам.
Например, вы можете создать Проверку Устройства для конкретного поставщика антивирусного ПО, продукта и версии. Клиент проверяет, установлено ли это программное обеспечение на устройстве перед подключением к сети. Клиент подключается к сети только если он обнаруживает, что это программное обеспечение установлено на устройстве. Для получения дополнительной информации о процессе Подключения Клиента, смотрите Понимание Потока Подключения Клиента Cato.
Можно настроить различные Проверки Устройства. См. раздел Поддерживаемые проверки устройства для получения списка доступных проверок и раздел Работа с конкретными проверками устройств и функциями для получения дополнительной информации о каждой проверке.
Проверки Устройства можно добавить в Профили Устройства, которые могут содержать несколько проверок. Профили Устройства можно добавить в Политику Подключения Клиента для определения, какие устройства разрешены для подключения к сети.
Профили Устройства также могут использоваться в межсетевом экране Интернет и WAN для создания правил, включающих условный доступ, основанный на фактическом устройстве конечного пользователя. Для получения дополнительной информации о использовании Проверок Устройства в политике брандмауэра, смотрите Добавление Условий Устройства в Правила Брандмауэра. Вы можете мониторить количество устройств, соответствующих каждому Профилю Состояния Устройства, на Панели Управления Удаленными Пользователями.
Примечание
Примечание: Поддерживается с:
-
Клиент для Windows v5.7
-
Клиент macOS v5.8
-
Клиент Linux v5.3
Профили Состояния Устройства применяются к устройствам, подключающимся к вашей сети через Сокет. Это позволяет вам применять одни и те же Профили Состояния Устройства, независимо от физического расположения устройства. Например, управляющий по продажам работает два дня в офисе и три дня удаленно. Профиль Состояния Устройства применяется к его устройству когда и где бы он ни подключался к Кейто.
Это минимальные требования к версии Клиента для Проверок Устройства. См. Работа с конкретными проверками устройств и функциями для получения деталей по каждой проверке устройства.
|
Проверка Устройства |
Windows |
macOS |
Linux |
iOS |
Android |
|---|---|---|---|---|---|
|
Антивирус |
5.2 |
5.2 |
5.1 |
||
|
Файервол |
5.4 |
5.2 |
5.1 |
||
|
Шифрование диска |
5.5 |
5.6 |
|||
|
Управление патчами |
5.5 |
5.2 |
5.2 |
||
|
Сертификат устройства |
5.5 |
5.4 |
5.1 |
5.3 |
5.0.1.115 |
|
DLP |
5.9 |
5.4.3 |
5.2 |
||
|
Версия клиента Cato |
5.0 |
5.0 |
5.0 |
||
|
Запущенный процесс |
5.11 |
5.7 |
|||
|
Ключ реестра |
5.11 |
||||
|
Список свойств (plist) |
5.7 |
||||
|
Проверки устройства применяются для пользователей в офисе |
5.7 |
5.3 |
Пустая ячейка указывает на то, что проверка устройства не поддерживается в операционной системе.
-
После создания проверки устройства необходимо обновить страницу, чтобы новая проверка была включена в профиль устройства
-
В офисе, если периодическая проверка установлена на 0, Клиент проверяет состояние устройства каждые 10 минут
- Для удаленных пользователей, если периодическая проверка установлена на 0, то Клиент проверяет Состояние устройства только тогда, когда он подключается к сети
Каждая проверка устройства может включать следующие настройки:
-
Один Тип Теста Устройства (например, Антивирус или Файервол)
-
Производитель, продукт и версия (для всех проверок, кроме Запущенных Процессов, Ключа Реестра и Списка Свойств)
-
Вы можете выбрать любую версию, конкретную версию или минимальную версию (больше чем)
Примечание: В проверке устройства фаервола, если вы выберете встроенный фаервол macOS от Apple, номер версии относится к номеру версии macOS
-
Для антивирусов, файерволов, управления патчами и проверки состояния устройства для DLP вы можете создать общие настройки для любого поддерживаемого производителя или продукта. Например, вы можете создать проверку, чтобы разрешить доступ к устройству с любой из поддерживаемых антивирусных решений, установленных. Для списка поддерживаемых производителей и продуктов, см. выпадающие списки в разделе Производитель на панели новой проверки устройства.
-
Проверки устройства определяют критерии, которым должно соответствовать устройство, чтобы подключиться к сети. После создания проверки добавьте её в профиль устройства для применения требований статуса.
После создания проверки устройства вы можете добавить её в профиль устройства, чтобы она была включена в правила политик подключения клиента или фаервола для применения требований статуса.
Чтобы настроить профиль устройства:
-
Из навигационного меню выберите Ресурсы > Состояние устройства.
-
Нажмите вкладку Профили состояния устройства.
-
Нажмите Новый.
Откроется панель Новый профиль устройства.
-
Настройте параметры профиля устройства и добавьте требуемые проверки устройства (которые вы создали в предыдущем разделе).
-
Нажмите Применить, затем нажмите Сохранить.
Проверки устройства оценивают состояние устройства во время процесса подключения Клиента. Чтобы продолжить оценку состояния устройства после подключения Клиента, вы можете включить проверку устройства для многократного выполнения и настроить частоту проверки. По умолчанию периодические проверки выполняются каждые 10 минут.
Чтобы понять опыт пользователя, если периодическая проверка не выполнена, см. Настройка политики подключения клиента.
Когда вы создаете профиль устройства с несколькими проверками, между ними существует отношение И. Это означает, что устройство должно соответствовать требованиям всех проверок устройства, чтобы применить действие правила к устройству.
Следующий пример демонстрирует образец профиля устройства, который включает в себя эти проверки:
В следующих разделах изложена важная информация о конкретных проверках устройства и функциях.
Вы можете создать проверки устройства для сертификатов, установленных на устройствах пользователей. Проверка удостоверяется, что ключевая пара пользовательских сертификатов установлена на устройстве и была подписана и выдана одним из удостоверяющих центров, связанных с вашей учетной записью. Чтобы проверка состояния обнаружила сертификат, он должен быть установлен в локальном хранилище личных сертификатов в виде комбинированной ключевой пары пользовательского сертификата.
Только сертификаты RSA являются допустимыми для состояния устройства.
Вы можете определить один или несколько путей диска, которые зашифрованы (например, весь корневой путь зашифрован, C:\). Поддерживается только программное шифрование (аппаратное шифрование не поддерживается).
Для устройств с несколькими разделами вы можете указать, какой раздел зашифрован. Когда вы определяете несколько путей диска для устройства, проверка подтверждает, что все пути зашифрованы.
Проверки запущенных процессов поддерживаются на устройствах Windows и macOS.
Вы можете создать проверку устройства, чтобы подтвердить, что процесс запущен на устройстве и подписан указанным сертификатом. Чтобы настроить эту проверку, вы можете включить либо имя процесса, либо полный путь процесса и отпечаток сертификата подписания.
Вы можете определить отпечаток сертификата подписания в свойствах процесса. Например, для процесса CatoClient.exe отпечаток сертификата подписания - 81d821c152fa98db1c950b87d435122e5a0b451d.
Чтобы определить отпечаток сертификата подписания:
-
Щелкните правой кнопкой мыши на процессе и выберите Свойства.
-
На вкладке Цифровые подписи выберите нужный сертификат и нажмите Подробности.
Отображается окно Подробности цифровой подписи.
-
Нажмите Просмотр сертификата.
-
На вкладке Подробности щелкните по Отпечаток.
Отображается отпечаток сертификата подписания.
Примечание: Имя процесса и путь процесса не чувствительны к регистру.
Вы можете создать проверку устройства, чтобы подтвердить, что процесс запущен на устройстве и подписан указанным идентификатором команды. Чтобы определить Идентификатор команды, в терминале выполните команду codesign, за которой следует полный путь процесса. ID команды возвращается. Например, для процесса /Applications/CatoClient.app/Contents/MacOS/CatoClient, Идентификатор команды будет CKGSB8CH43:
Имена процессов могут содержать символы Unicode и учитывают регистр.
Чтобы создать проверку для ключа реестра, необходимо указать:
-
Полный путь к ключу реестра
-
Имя значения (вы можете выбрать проверку значения по умолчанию или конкретного значения)
-
Данные значения (вы можете выбрать проверку любого значения или конкретного значения)
Примечание
Примечание: Символы, отличные от ASCII, для ключей реестра или имен значений не поддерживаются.
Все типы данных поддерживаются. В одном реестровом ключе с несколькими строками разделите строки вертикальной чертой (| ). Формат данных в двоичном значении или типе двоичного значения — это HEX-представление первых 16 байтов, например 0102030405060708090A0B0C0D0E0F10.
Чтобы определить имя значения и данные значения, в редакторе реестра дважды щелкните по ключу реестра, который вы проверяете. В приведенном ниже примере Имя ключевого значения — start_minimized, а Значение ключа данных — 0.
Чтобы создать проверку для файла списка свойств (plist), необходимо указать полный путь к файлу plist для проверки. Вы можете настроить проверку, чтобы удостовериться, что:
-
Определенный ключ существует в plist, выбрав Любое значение
-
Определенный ключ и значение существуют в plist, выбрав Специфический.
Чтобы определить имя ключа и значение в plist, откройте файл в текстовом редакторе. В приведенном ниже примере имя ключа — Label, а значение — com.catonetworks.mac.CatoClient.helper.
Поддерживаются следующие типы данных plist:
-
Строки
-
Целые числа
-
Эти вложенные типы данных:
-
Строки
-
Целые числа
-
Иногда вам нужно приспособить Клиентов в вашей организации, которые в настоящее время не поддерживают Состояние устройства, и разрешить этим Клиентам доступ в Сеть. Когда вы настраиваете Проверку устройства, раздел Критерии позволяет выбрать поведение для Клиентов, которые не поддерживают Статус устройства.
Когда неподдерживаемый Клиент соответствует настройкам правила, за исключением профиля, предлагаются следующие варианты поведения:
-
Пропустить Проверку устройства и разрешить неподдерживаемым Клиентам подключаться к сети
-
Блокировать неподдерживаемые Клиенты, так как они не могут удовлетворить требования Проверки устройства
Мы рекомендуем минимизировать область и влияние Проверок устройства, которые позволяют неподдерживаемым Клиентам в вашей организации. Чем меньше разрешено неподдерживаемых Клиентов, тем сильнее Политика подключения клиента.
0 комментариев
Войдите в службу, чтобы оставить комментарий.