创建设备状态配置文件和设备检查

本文讨论如何创建设备状态配置文件和设备检查,以确保只有符合安全要求的设备才能连接到网络。

概述

设备状态配置文件和检查使您能够在远程用户连接到网络之前实施合规性要求。 您可以在客户端连接策略和互联网及WAN防火墙中使用它们来定义特定的设备要求。

例如,您可以为特定的反恶意软件供应商、产品和版本创建一个设备检查。 客户端在连接到网络之前会检查此软件是否已安装在设备上。 仅当客户端确认此软件已安装在设备上时,才会连接到网络。 有关客户端连接流程的更多信息,请参见理解 Cato 客户端连接流程

可以配置各种设备检查。 请查看支持的设备检查部分以获取可用设备检查的列表,并查看特定设备检查和功能以获取每个检查的附加信息。

设备检查可以添加到可以包含多个检查的设备配置文件中。 设备配置文件可以添加到客户端连接策略中,以确定哪些设备被允许连接到网络。

设备配置文件还可以用于互联网和 WAN 防火墙,以创建包含基于最终用户实际设备的条件访问的规则。 有关在防火墙策略中使用设备检查的更多信息,请参见向防火墙规则添加设备条件。 您可以在远程用户仪表板上监控符合每个设备状态配置文件要求的设备数量。

办公室中的设备检查

注意

注意: 支持来自:

  • Windows客户端 v5.7

  • macOS客户端 v5.8

  • Linux客户端 v5.3

设备状态配置文件应用于通过Socket连接到您的网络的设备。 这使您可以应用相同的设备状态配置文件,无论设备的物理位置如何。 例如,一名销售主管在办公室工作两天,远程工作三天。 无论何时何地,只要他们连接到Cato,设备状态配置文件就会应用于他们的设备。

支持的设备检查

以下是设备检查的最低版本客户端要求。 请查看特定设备检查和功能以了解每个设备检查的详细信息。

设备检查

Windows

macOS

Linux

iOS

Android

反恶意软件

5.2

5.2

5.1

防火墙

5.4

5.2

5.1

磁盘加密

5.5

5.6

补丁管理

5.5

5.2

5.2

设备证书

5.5

5.4

5.1

5.3

5.0.1.115

DLP

5.9

5.4.3

5.2

Cato客户端版本

5.0

5.0

5.0

运行进程

5.11

5.7

注册表键值

5.11

属性列表 (plist)

5.7

适用于办公室用户的设备检查

5.7

5.3

空框表示该操作系统不支持设备检查。

已知限制

  • 创建设备检查后,需要刷新页面以便将新检查包含在设备配置文件中

  • 在办公室中,如果周期性检查设置为0,客户端每10分钟检查一次设备姿态

    • 对于远程用户,如果周期检查设置为0,则只有在客户端连接到网络时才检查设备状态。

准备使用设备检查

每个设备检查可以包括以下设置:

  • 一个设备测试类型(例如,反恶意软件或防火墙)

  • 供应商、产品和版本(除正在运行进程、注册表密钥和值列表外的所有检查)

    • 您可以选择任何版本,特定版本或最低版本 (大于)

      注意: 在防火墙设备检查中,如果选择了Apple的macOS内置防火墙,版本号是指macOS的版本号

    • 对于反恶意软件、防火墙、补丁管理和DLP设备姿态检查,您可以为任何受支持的供应商或产品创建常规检查。 例如,您可以创建一个检查,以允许访问已安装任何支持的反恶意软件解决方案的设备。 有关支持的供应商和产品的列表,请参见新设备检查面板的供应商部分中的下拉列表。

配置设备检查

设备检查定义了设备连接到网络必须满足的条件。 创建检查后,将其添加到设备配置文件中以强制执行状态要求。

image1.png

要配置设备检查:

  1. 从导航菜单中选择 资源 > 设备姿态

  2. 选择设备检查标签页。

  3. 点击新建新设备检查面板打开。

    设备检查面板

  4. 配置设备检查的设置。

  5. 点击应用然后点击保存

配置设备配置文件

在创建设备检查后,您可以将其添加到设备配置文件中,以便在客户端连接性策略或防火墙策略的规则中强制执行姿态要求。

设备配置文件

要配置设备配置文件:

  1. 在导航菜单中,选择资源 > 设备姿态

  2. 点击设备姿态配置文件标签页。

  3. 点击新建

    新设备配置文件面板打开。

  4. 配置设备配置文件的设置,并添加所需的设备检查(您在上一部分中创建的)。

  5. 点击应用然后点击保存

配置周期检查

设备检查在客户端连接过程中评估设备的状态。 您还可以使用高级状态在客户端连接前开始评估设备状态。 启用后,在初次连接后,即使断开连接,高级状态也会继续评估设备。

注意

注意:高级状态对Windows客户端v5.15和macOS客户端v5.9可用。

为了在客户端已连接后继续评估设备状态,您可以启用设备检查以多次运行并配置检查的频率。 默认情况下,周期性检查每10分钟运行一次。 启用高级状态时,周期检查需要大于0。

要了解周期性检查失败时的用户体验,请参阅配置客户端连接策略

Period_Check.png

要配置周期性检查:

  1. 在导航菜单中,选择资源 > 设备姿态

  2. 点击设置标签页。

  3. (可选)启用高级状态

  4. 设置检查的频率(分钟为单位)。

  5. 点击保存

创建具有多个检查的配置文件

当您创建一个具有多个检查的设备配置文件时,它们之间是AND关系。 这意味着设备必须满足所有设备检查的要求,才能将规则操作应用于设备。

以下示例显示了包含这些检查的示例设备配置文件:

  • 补丁管理 - 示例补丁管理

  • 磁盘加密 - 示例磁盘加密

Device_Profile_FW_AM.png

与特定设备检查和功能相关的工作

以下各节详细说明了有关特定设备检查和功能的重要信息。

与设备证书检查相关的工作

您可以为定义在您账户的终端用户设备上安装的证书创建设备检查。 该检查验证用户证书密钥对已安装在设备上,并且已由与您的账户相关的证书颁发机构之一签名和颁发。 为了让姿态检查检测证书,它必须作为组合密钥对用户证书安装在本地计算机个人证书存储中。

只有 RSA 证书对设备姿态有效。

与磁盘加密检查相关的工作

您可以定义一个或多个已加密的磁盘路径(例如,整个根路径已加密,C:\)。 仅支持软件加密(不支持硬件加密)。

对于具有多个分区的设备,您可以指定哪个分区是加密的。 当您为设备定义多个磁盘路径时,检查验证所有路径都已加密。

与Cato客户端版本检查相关的工作

您可以为安装在最终用户设备上的客户端版本创建设备检查。

  • 要允许精确的客户端版本,请使用等于运算符

  • 要允许特定客户端版本,请使用 等于或更高操作符

与正在运行进程检查相关的工作

运行进程检查支持Windows和macOS设备。

在Windows设备上运行进程检查

您可以创建设备检查来验证设备上是否正在运行某个进程,并且该进程是由指定证书签名的。 要配置此检查,您可以包括进程名称或进程完整路径以及签名证书指纹。

您可以在进程属性中识别签名证书指纹。 例如,对于进程CatoClient.exe,签名证书指纹是81d821c152fa98db1c950b87d435122e5a0b451d

Thmprint.png

要标识签名证书指纹:

  1. 右击该进程,选择属性

  2. 数字签名标签页中,选择所需证书并点击详细信息

    显示数字签名详细信息窗口。

  3. 点击 查看证书

  4. 详细信息 标签页中,点击 指纹

    显示签名证书指纹。

注意: 进程名称和进程路径不区分大小写。

在macOS设备上运行进程检查

您可以创建设备检查,以验证进程是否正在设备上运行并由指定的团队 ID 签名。 要识别团队 ID,请在终端中运行 codesign 命令,后跟完整的进程路径。 返回团队 ID。 例如,对于进程 /Applications/CatoClient.app/Contents/MacOS/CatoClient,团队 ID 是 CKGSB8CH43

macosprocess.png

进程名称可以包含 unicode 字符且区分大小写。

macOS设备上进程检查的已知限制

  • 不支持检查应用程序,配置中必须包含完整的进程路径

  • 不支持检查没有团队 ID 的进程,例如,macOS 内部进程

与注册表键检查相关的工作

要为注册表键创建检查,需要指定:

  • 完整的注册表键路径

  • 值名称(可以选择检查默认值或特定值)

  • 值数据(可以选择检查任何值或特定值)

注意

注意:不支持注册表键或值名称中使用非 ASCII 字符。

支持所有数据类型。 在多字符串注册表键中,用竖线符号(|)分隔各行。 二进制值或二进制值类型中的数据格式是前 16 个字节的 HEX 表示形式,例如 0102030405060708090A0B0C0D0E0F10

要识别值名称和值数据,请在注册表编辑器中双击您正在检查的注册表键。 在下面的示例中,键值名称是 start_minimized,键值数据是 0

Reg_Key.png

与属性列表检查相关的工作

要为属性列表文件(plist)创建检查,您需要指定要检查的 plist 的完整文件路径。 您可以配置检查以验证:

  • 通过选择 任何值,可以在 plist 中存在特定键

  • 通过选择 特定,可以在 plist 中存在特定的键和值。

要识别 plist 中的键名称和值,请使用文本编辑器打开文件。 在下面的示例中,键名称是 Label,值是 com.catonetworks.mac.CatoClient.helper

plist.png

支持的属性列表数据类型

支持这些 plist 数据类型:

  • 字符串

  • 整数

  • 这些嵌套的数据类型:

    • 字符串

    • 整数

属性列表检查的已知限制

  • 路径名只能包含 UTF-8 字符

  • 不支持位于用户文件夹中的 plist 文件

与实时保护相关的工作

标准 部分,您还可以选择启用 实时保护,系统会连续验证已连接设备是否符合设备检查。

与不受支持的Cato客户端相关的工作

有时您需要对您组织中当前不支持设备姿态的客户端进行适配,并允许这些客户端访问网络。 当您配置设备检查时,标准 部分让您为不支持设备姿态的客户端选择行为。

当不支持的客户端符合除配置文件外的规则设置时,可以选择以下行为选项:

  • 跳过设备检查,并允许不支持的客户端连接到网络

  • 因为不支持的客户端无法满足设备检查的要求而阻止它们

我们建议您尽量减少允许不支持的客户端进入您组织的设备检查的范围和影响。 允许的不支持客户端越少,客户端连接策略就越强。

这篇文章有帮助吗?

4 人中有 3 人觉得有帮助

0 条评论