创建设备状态配置文件和设备检查

本文讨论如何创建设备状态配置文件和设备检查,以确保只有符合安全要求的设备才能连接到网络。

概览

设备状态配置文件和检查使您能够在远程用户连接到网络之前实施合规性要求。 您可以在客户端连接策略和互联网及WAN防火墙中使用它们来定义特定的设备要求。

例如,您可以为特定的反恶意软件供应商、产品和版本创建一个设备检查。 客户端在连接到网络之前会检查此软件是否已安装在设备上。 客户端只有在识别该软件已安装在设备上时才会连接到网络。 有关客户端连接流程的更多信息,请参见理解 Cato 客户端连接流程

可以配置各种设备检查。 请查看支持的设备检查部分,以获取可用设备检查的列表,并查看处理特定设备检查和功能部分,了解每次检查的附加信息。

设备检查可以添加到可以包含多个检查的设备配置文件中。 设备配置文件可以添加到客户端连接策略中,以确定哪些设备被允许连接到网络。

设备配置文件还可以用于互联网和 WAN 防火墙,以创建包含基于最终用户实际设备的条件访问的规则。 有关在防火墙策略中使用设备检查的更多信息,请参见向防火墙规则添加设备条件。 您可以在远程用户仪表板上监控符合每个设备姿态个人资料要求的设备数量。

有关提高设备检查有效性的更多信息,请参见客户端连接策略 - 改进的姿态检查

最佳实践: 我们建议您启用高级姿态设置,以便客户端持续检查设备状态。 有关更多信息,请参见客户端连接策略 - 改进的姿态检查

设备检查位于Socket站点后

注意

注意: 支持来自:

  • Windows 客户端 v5.7
  • macOS 客户端 v5.8
  • Linux 客户端 v5.3

设备状态配置文件应用于通过Socket连接到您的网络的设备。 这使您可以应用相同的设备状态配置文件,无论设备的物理位置如何。 例如,一名销售主管在办公室工作两天,远程工作三天。 无论何时何地,只要他们连接到Cato,设备状态配置文件就会应用于他们的设备。

支持的设备检查

以下是设备检查的最低版本客户端要求。 有关每个设备检查的详细信息,请参阅处理特定设备检查和功能

设备检查 Windows macOS Linux iOS Android
反恶意软件 5.2 5.2 5.1    
防火墙 5.4 5.2 5.1    
磁盘加密 5.5 5.6      
补丁管理 5.5 5.2 5.2    
设备证书 5.5 5.4 5.1 5.3 5.0.1.115
DLP 5.9 5.4.3 5.2    
Cato 客户端版本 5.0 5.0 5.0    
正在运行进程 5.11 5.7      
注册表键 5.11        
属性列表 (plist)   5.7      
应用于办公室用户的设备检查 5.7 5.8 5.3    

空框表示该操作系统不支持设备检查。

已知限制

  • 在创建设备检查后,需要刷新页面以便将新检查包含在设备个人资料中

  • 在办公室中,如果周期性检查设置为0,客户端每10分钟检查一次设备姿态

    • 对远程用户而言,如果定期检查设置为 0,则仅在客户端连接到网络时检查设备姿态

准备使用设备检查

每个设备检查可以包括以下设置:

  • 一种设备测试类型(例如,反恶意软件或防火墙)

  • 供应商、产品和版本(除正在运行进程、注册表密钥和值列表外的所有检查)

    • 您可以选择任何版本,特定版本或最低版本 (大于)

      注意: 在防火墙设备检查中,如果选择了Apple的macOS内置防火墙,版本号是指macOS的版本号

    • 对于反恶意软件、防火墙、补丁管理和 DLP 设备姿态检查,可以为任何受支持的供应商或产品创建常规检查。 例如,您可以创建一个检查,以允许安装任何受支持的反恶意软件解决方案的设备访问。 有关支持的供应商和产品列表,请参见新设备检查面板供应商部分中的下拉列表。

配置设备检查

设备检查定义了设备连接到网络必须满足的条件。 创建检查后,将其添加到设备配置文件中以强制执行状态要求。

device_checks.png

要配置设备检查:

  1. 从导航菜单中选择资源 > 设备姿态
  2. 选择设备检查标签页。

  3. 点击新建新设备检查面板打开。

    设备检查面板
  4. 为设备检查配置设置。
  5. 点击应用,然后点击保存

配置设备配置文件

在创建设备检查后,您可以将其添加到设备配置文件中,以便在客户端连接性策略或防火墙策略的规则中强制执行姿态要求。

设备配置文件

要配置设备个人资料:

  1. 从导航菜单中选择资源 > 设备姿态
  2. 点击设备姿态配置文件标签页。

  3. 点击新建

    新设备配置文件面板打开。

  4. 配置设备个人资料的设置,并添加所需的设备检查(您在上一节中创建)。
  5. 点击应用,然后点击保存

创建具有多个检查的配置文件

当您创建具有多个检查的设备配置文件时,它们之间是与关系。 这意味着设备必须满足所有设备检查的要求,才能将规则操作应用于设备。

以下示例显示了示例设备配置文件,其中包括以下检查:

  • 补丁管理 - 示例补丁管理
  • 磁盘加密 - 示例磁盘加密
Device_Profile_FW_AM.png

使用特定设备检查和功能

以下各节详细说明了有关特定设备检查和功能的重要信息。

使用设备证书检查

您可以为定义在您账户的终端用户设备上安装的证书创建设备检查。 该检查验证用户证书密钥对已安装在设备上,并且已由与您的账户相关的证书颁发机构之一签名和颁发。 为了让姿态检查检测证书,它必须作为组合密钥对用户证书安装在本地计算机个人证书存储中。

只有 RSA 证书对设备姿态有效。

使用磁盘加密检查

您可以定义一个或多个已加密的磁盘路径(例如,整个根路径已加密,C:\)。 仅支持软件加密(不支持硬件加密)。

对于具有多个分区的设备,您可以指定哪个分区是加密的。 当您为设备定义多个磁盘路径时,检查验证所有路径都已加密。

使用卡托客户端版本检查

您可以为安装在最终用户设备上的客户端版本创建设备检查。

  • 要允许精确的客户端版本,请使用等于操作符
  • 要允许特定的客户端版本,请使用等于或更高操作符

使用运行的进程检查

运行进程检查支持Windows和macOS设备。

在 Windows 设备上运行进程检查

您可以创建设备检查以验证设备上是否正在运行某个进程,并可选择验证它是否由指定的证书 ID 签名。 要配置此检查,您可以包含进程名称或进程完整路径,并可选择包含签名者证书指纹。

您可以在进程属性中识别签名证书指纹。 例如,对于进程CatoClient.exe,签名证书指纹是81d821c152fa98db1c950b87d435122e5a0b451d

Thmprint.png

要识别签名证书指纹:

  1. 右键点击进程并选择属性

  2. 数字签名标签页中,选择所需证书并点击详细信息

    显示数字签名详细信息窗口。

  3. 点击查看证书

  4. 详细信息 标签页中,点击 指纹

    显示签名证书指纹。

注意: 进程名称和进程路径不区分大小写。

在 macOS 设备上运行进程检查

您可以创建设备检查以验证设备上是否正在运行某个进程,并可选择验证它是否由指定的团队 ID 签名。 要识别团队 ID,请在终端中运行 codesign 命令,后跟完整的进程路径。 返回团队 ID。 例如,对于进程 /Applications/CatoClient.app/Contents/MacOS/CatoClient,团队 ID 是 CKGSB8CH43

macosprocess.png

进程名称可以包含 unicode 字符且区分大小写。

macOS 设备上进程检查的已知限制
  • 不支持应用程序检查,必须在配置中包含完整的进程路径

使用注册表钥匙检查

要为注册表键创建检查,需要指定:

  • 完整注册表键路径
  • 值名称(您可以选择检查默认值或特定值)
  • 值数据(您可以选择检查任何值或特定值)

注意

注意:不支持注册表键或值名称中使用非 ASCII 字符。

支持所有数据类型。 在多字符串注册表键中,用竖线符号(|)分隔各行。 二进制值或二进制值类型中的数据格式是前 16 个字节的 HEX 表示形式,例如 0102030405060708090A0B0C0D0E0F10

要识别值名称和值数据,请在注册表编辑器中双击您正在检查的注册表键。 在下面的示例中,键值名称是 start_minimized,键值数据是 0

Reg_Key.png

使用属性列表检查

要为属性列表文件(plist)创建检查,您需要指定要检查的 plist 的完整文件路径。 您可以配置检查以验证:

  • 通过选择任何值,plist 中存在特定密钥
  • 通过选择特定,plist 中存在特定的密钥和值。

要识别 plist 中的键名称和值,请使用文本编辑器打开文件。 在下面的示例中,键名称是 Label,值是 com.catonetworks.mac.CatoClient.helper

plist.png

支持的属性列表数据类型

支持这些 plist 数据类型:

  • 字符串
  • 整数

  • 这些嵌套的数据类型:

    • 字符串
    • 整数

属性列表检查的已知限制

  • 路径名只能包含 UTF-8 字符
  • 位于用户文件夹中的 plist 文件不受支持

使用实时保护

标准 部分,您还可以选择启用 实时保护,系统会连续验证已连接设备是否符合设备检查。

使用不支持的卡托客户端

有时您需要对您组织中当前不支持设备姿态的客户端进行适配,并允许这些客户端访问网络。 当您配置设备检查时,标准 部分让您为不支持设备姿态的客户端选择行为。

当不支持的客户端符合除配置文件外的规则设置时,可以选择以下行为选项:

  • 跳过设备检查,并允许不受支持的客户端连接到网络
  • 阻止不受支持的客户端,因为它们无法满足设备检查的要求

我们建议您尽量减少允许不支持的客户端进入您组织的设备检查的范围和影响。 允许的不支持客户端越少,客户端连接策略就越强。

每个客户端支持的 Opswat 版本

Cato 客户端使用以下OPSWAT版本:

Windows客户端

  • Windows 客户端 v5.17 使用 OPSWAT v4.3.4761
  • Windows 客户端 v5.16 使用 OPSWAT v4.3.4582
  • Windows 客户端 v5.15 使用 OPSWAT v4.3.4548
  • Windows 客户端 v5.14.5 使用 OPSWAT v4.3.4373
  • Windows 客户端 v5.14 使用 OPSWAT v4.3.4487
  • Windows 客户端 v5.13 使用 OPSWAT v4.3.4373
  • Windows 客户端 v5.12 使用 OPSWAT v4.3.4195
  • Windows 客户端 v5.11 使用 OPSWAT v4.3.3896

macOS客户端

  • macOS 客户端 v5.11 使用 OPSWAT v4.3.4222
  • macOS 客户端 v5.10 使用 OPSWAT v4.3.4086
  • macOS 客户端 v5.9 使用 OPSWAT v4.3.4025
  • macOS 客户端 v5.8.5 使用 OPSWAT v4.3.3952
  • macOS 客户端 v5.8.0 使用 OPSWAT v4.3.3952
  • macOS 客户端 v5.7 使用 OPSWAT v4.3.3479
  • macOS 客户端 v5.6 使用 OPSWAT v4.3.3479

Linux客户端

  • Linux 客户端 v5.5 使用 OPSWAT v4.3.3700
  • Linux 客户端 v5.4 使用 OPSWAT v4.3.3558
  • Linux 客户端 v5.3 使用 OPSWAT v4.3.3509
  • Linux 客户端 v5.2 使用 OPSWAT v4.3.2690
  • Linux 客户端 v5.1 使用 OPSWAT v4.3.2690

这篇文章有帮助吗?

6 人中有 4 人觉得有帮助

0 条评论