Эта статья рассказывает о том, как создать Профили Состояния Устройства и Проверки Устройства, чтобы обеспечить подключение к сети только тех устройств, которые соответствуют требованиям безопасности.
Профили Состояния Устройства и Проверки позволяют вам применять требования соответствия для удаленных пользователей до их подключения к Сети. Вы можете использовать их в Политике Подключения Клиента и межсетевом экране Интернет и WAN, чтобы определить конкретные требования к устройствам.
Например, вы можете создать Проверку Устройства для конкретного поставщика антивирусного ПО, продукта и версии. Клиент проверяет, установлено ли это программное обеспечение на устройстве перед подключением к сети. Клиент подключается к сети, только если обнаруживает, что это программное обеспечение установлено на устройстве. Для получения дополнительной информации о процессе Соединения Клиента, смотрите Понимание Потока Соединения Клиента Cato.
Можно настроить различные Проверки Устройства. См. раздел Поддерживаемые проверки устройства для списка доступных проверок устройств и раздел Работа с конкретными проверками устройств и функциями для дополнительной информации по каждой проверке.
Проверки Устройства можно добавить в Профили Устройства, которые могут содержать несколько проверок. Профили устройства можно добавить в Политику Подключения Клиента для определения, какие устройства разрешены для подключения к сети.
Профили Устройства также могут использоваться в межсетевом экране Интернет и WAN для создания правил, включающих условный доступ, основанный на фактическом устройстве конечного пользователя. Для получения дополнительной информации о использовании проверок устройства в политике файервола, смотрите Добавление условий устройства в правила файервола. Вы можете мониторить количество устройств, соответствующих каждому Профилю Состояния Устройства, на Панели Управления Удаленными Пользователями.
Для получения дополнительной информации о повышении эффективности Проверок Устройства, смотрите Политика доступа клиента - Улучшенные проверки состояния.
Лучшие практики: Рекомендуем включить Расширенные настройки, чтобы Клиент непрерывно проверял состояние устройства. Для получения дополнительной информации, смотрите Политика доступа клиента - Улучшенные проверки состояния.
Примечание
Примечание: Поддерживается с:
- Клиент для Windows v5.7
- Клиент macOS v5.8
- Клиент Linux v5.3
Профили Состояния Устройства применяются к устройствам, подключающимся к вашей сети через Сокет. Это позволяет вам применять одни и те же Профили Состояния Устройства, независимо от физического расположения устройства. Например, управляющий по продажам работает два дня в офисе и три дня удаленно. Профиль Состояния Устройства применяется к его устройству когда и где бы он ни подключался к Кейто.
Это минимальные требования к версии Клиента для Проверок Устройства. Смотрите Работа с определенными проверками устройства и функциональностью для подробностей о каждой проверке устройства.
| Проверки устройства | Windows | macOS | Linux | iOS | Android |
|---|---|---|---|---|---|
| Антивирус | 5.2 | 5.2 | 5.1 | ||
| Файервол | 5.4 | 5.2 | 5.1 | ||
| Шифрование диска | 5.5 | 5.6 | |||
| Управление патчами | 5.5 | 5.2 | 5.2 | ||
| Сертификат устройства | 5.5 | 5.4 | 5.1 | 5.3 | 5.0.1.115 |
| DLP | 5.9 | 5.4.3 | 5.2 | ||
| Версия клиента Cato | 5.0 | 5.0 | 5.0 | ||
| Запущенный процесс | 5.11 | 5.7 | |||
| Ключи реестра | 5.11 | ||||
| Список свойств (plist) | 5.7 | ||||
| Проверки устройства, примененные к пользователям в офисе | 5.7 | 5.8 | 5.3 |
Пустая ячейка указывает на то, что проверка устройства не поддерживается в операционной системе.
- После создания проверки устройства, страницу необходимо обновить, чтобы новая проверка была включена в профиль устройства
-
В офисе, если периодическая проверка установлена на 0, Клиент проверяет состояние устройства каждые 10 минут
- Для удаленных пользователей, если периодическая проверка установлена на 0, то она проверяет состояние устройства только когда клиент подключается к сети
Каждая проверка устройства может включать следующие настройки:
- Один тип теста устройства (например, Антивирус или Файервол)
-
Производитель, продукт и версия (для всех проверок, кроме Запущенных Процессов, Ключа Реестра и Списка Свойств)
-
Вы можете выбрать любую версию, конкретную версию или минимальную версию (больше чем)
Примечание: В проверке устройства фаервола, если вы выберете встроенный фаервол macOS от Apple, номер версии относится к номеру версии macOS
- Для проверок состояния устройства типа Антивирус, Файервол, Управление патчами и DLP, вы можете создать общую проверку для любого поддерживаемого производителя или продукта. Например, вы можете создать проверку для разрешения доступа к устройству с установленными любыми поддерживаемыми антивирусными решениями. Для списка поддерживаемых производителей и продуктов, смотрите выпадающие списки в разделе Производитель панели новой проверки устройства.
-
Проверки устройства определяют критерии, которым должно соответствовать устройство, чтобы подключиться к сети. После создания проверки добавьте её в профиль устройства для применения требований статуса.
После создания проверки устройства вы можете добавить её в профиль устройства, чтобы она была включена в правила политик подключения клиента или фаервола для применения требований статуса.
Для настройки профиля устройства:
- Из меню навигации выберите Ресурсы > Состояние устройства.
- Выберите вкладку Профили состояния устройства.
-
Нажмите Новый.
Откроется панель Новый профиль устройства.
- Настройте параметры для профиля устройства, и добавьте необходимые проверки устройства (которые вы создали в предыдущем разделе).
- Нажмите Применить, затем нажмите Сохранить.
При создании Профиля Устройства с несколькими проверками между ними существует И связь. Это означает, что устройство должно соответствовать требованиям всех проверок устройства, чтобы применить действие правила к устройству.
Следующий пример показывает Пример Профиля Устройства, который включает эти проверки:
В следующих разделах изложена важная информация о конкретных проверках устройства и функциях.
Вы можете создать проверки устройства для сертификатов, установленных на конечном устройстве пользователя, определённом для вашего аккаунта. Проверка подтверждает, что пара ключей пользовательского сертификата установлена на устройстве и подписана и выдана одним из центров сертификации, связанных с вашим аккаунтом. Чтобы проверка состояния обнаружила сертификат, он должен быть установлен в локальном хранилище личных сертификатов в виде комбинированной ключевой пары пользовательского сертификата.
Только сертификаты RSA являются допустимыми для состояния устройства.
Вы можете определить один или несколько путей диска, которые зашифрованы (например, весь корневой путь зашифрован, C:\). Поддерживается только программное шифрование (аппаратное шифрование не поддерживается).
Для устройств с несколькими разделами вы можете указать, какой раздел зашифрован. Когда вы определяете несколько путей диска для устройства, проверка подтверждает, что все пути зашифрованы.
Проверки запущенных процессов поддерживаются на устройствах Windows и macOS.
Вы можете создать проверку устройства, чтобы убедиться, что процесс запущен на устройстве, с необязательной проверкой, что он подписан указанным идентификатором сертификата. Для настройки этой проверки вы можете включить либо имя процесса, либо полный путь процесса и, при необходимости, отпечаток сертификата подписанта.
Вы можете определить отпечаток сертификата подписания в свойствах процесса. Например, для процесса CatoClient.exe отпечаток сертификата подписания - 81d821c152fa98db1c950b87d435122e5a0b451d.
Чтобы идентифицировать отпечаток сертификата подписи:
- Щелкните правой кнопкой мыши по процессу и выберите Свойства.
-
На вкладке Цифровые подписи выберите нужный сертификат и нажмите Подробности.
Отображается окно Подробности цифровой подписи.
- Нажмите Просмотр сертификата.
-
На вкладке Подробности щелкните по Отпечаток.
Отображается отпечаток сертификата подписания.
Примечание: Имя процесса и путь процесса не чувствительны к регистру.
Вы можете создать проверку устройства, чтобы убедиться, что процесс запущен на устройстве, с необязательной проверкой, что он подписан указанным идентификатором команды. Чтобы определить Идентификатор команды, в терминале выполните команду codesign, за которой следует полный путь процесса. ID команды возвращается. Например, для процесса /Applications/CatoClient.app/Contents/MacOS/CatoClient, Идентификатор команды будет CKGSB8CH43:
Имена процессов могут содержать символы Unicode и учитывают регистр.
Чтобы создать проверку для ключа реестра, необходимо указать:
- Полный путь к ключу реестра
- Имя значения (вы можете выбрать проверку на значение по умолчанию или специфическое значение)
- Данные значения (вы можете выбрать проверку на любое значение или специфическое значение)
Примечание
Примечание: Символы, отличные от ASCII, для ключей реестра или имен значений не поддерживаются.
Все типы данных поддерживаются. В одном реестровом ключе с несколькими строками разделите строки вертикальной чертой (| ). Формат данных в двоичном значении или типе двоичного значения — это HEX-представление первых 16 байтов, например 0102030405060708090A0B0C0D0E0F10.
Чтобы определить имя значения и данные значения, в редакторе реестра дважды щелкните по ключу реестра, который вы проверяете. В приведенном ниже примере Имя ключевого значения — start_minimized, а Значение ключа данных — 0.
Чтобы создать проверку для файла списка свойств (plist), необходимо указать полный путь к файлу plist для проверки. Вы можете настроить проверку, чтобы удостовериться, что:
- Специфический ключ существует в plist, выбрав Любое значение
- Специфический ключ и значение существуют в plist, выбрав Специфическое.
Чтобы определить имя ключа и значение в plist, откройте файл в текстовом редакторе. В приведенном ниже примере имя ключа — Label, а значение — com.catonetworks.mac.CatoClient.helper.
Поддерживаются следующие типы данных plist:
- Строки
- Целые числа
-
Эти вложенные типы данных:
- Строка
- Целые числа
Иногда вам нужно приспособить Клиентов в вашей организации, которые в настоящее время не поддерживают Состояние устройства, и разрешить этим Клиентам доступ в Сеть. Когда вы настраиваете Проверку устройства, раздел Критерии позволяет выбрать поведение для Клиентов, которые не поддерживают Статус устройства.
Когда неподдерживаемый Клиент соответствует настройкам правила, за исключением профиля, предлагаются следующие варианты поведения:
- Пропустить проверку устройства, и разрешить неподдерживаемым клиентам подключиться к сети
- Блокировать неподдерживаемые клиенты, так как они не могут соответствовать требованиям проверки устройства
Мы рекомендуем минимизировать область и влияние Проверок устройства, которые позволяют неподдерживаемым Клиентам в вашей организации. Чем меньше разрешено неподдерживаемых Клиентов, тем сильнее Политика подключения клиента.
Клиент Cato использует следующие версии OPSWAT:
Клиенты для Windows
- Клиент для Windows v5.17 использует OPSWAT v4.3.4761
- Клиент для Windows v5.16 использует OPSWAT v4.3.4582
- Клиент для Windows v5.15 использует OPSWAT v4.3.4548
- Клиент для Windows v5.14.5 использует OPSWAT v4.3.4373
- Клиент для Windows v5.14 использует OPSWAT v4.3.4487
- Клиент для Windows v5.13 использует OPSWAT v4.3.4373
- Клиент для Windows v5.12 использует OPSWAT v4.3.4195
- Клиент для Windows v5.11 использует OPSWAT v4.3.3896
Клиенты для macOS
- Клиент macOS v5.11 использует OPSWAT v4.3.4222
- Клиент macOS v5.10 использует OPSWAT v4.3.4086
- Клиент macOS v5.9 использует OPSWAT v4.3.4025
- Клиент macOS v5.8.5 использует OPSWAT v4.3.3952
- Клиент macOS v5.8.0 использует OPSWAT v4.3.3952
- Клиент macOS v5.7 использует OPSWAT v4.3.3479
- Клиент macOS v5.6 использует OPSWAT v4.3.3479
Клиенты Linux
- Клиент Linux v5.5 использует OPSWAT v4.3.3700
- Клиент Linux v5.4 использует OPSWAT v4.3.3558
- Клиент Linux v5.3 использует OPSWAT v4.3.3509
- Клиент Linux v5.2 использует OPSWAT v4.3.2690
- Клиент Linux v5.1 использует OPSWAT v4.3.2690
0 комментариев
Войдите в службу, чтобы оставить комментарий.