创建设备姿态配置文件和设备检查

本文讨论如何创建设备姿态配置文件和设备检查，以确保只有符合安全要求的设备才允许连接到网络。

概述

设备姿态配置文件和检查使您可以在远程用户被允许连接到网络之前强制执行合规要求。您可以在客户端连接策略、互联网和WAN防火墙中使用它们来定义特定的设备要求。

例如，您可以为特定的反恶意软件供应商、产品和版本创建设备检查。客户端检查此软件是否安装在设备上，然后连接到网络。只有在识别出该软件已安装在设备上时，客户端才连接到网络。有关客户端连接流程的更多信息，请参见理解 Cato 客户端连接流程。

可以配置各种设备检查。请参阅支持的设备检查部分以获取可用设备检查列表，并参阅使用特定设备检查和功能以获取有关每个检查的附加信息。

设备检查可以添加到设备配置文件中，该配置文件可以包含多项检查。设备配置文件可以添加到客户端连接策略中，以确定允许哪些设备连接到网络。

设备配置文件也可以在互联网和WAN防火墙中使用，以创建包括基于终端用户实际设备的条件访问的规则。有关在防火墙策略中使用设备检查的更多信息，请参见向防火墙规则添加设备条件。您可以在远程用户仪表板上监控已符合每个设备姿态配置文件的设备数量。

办公室中的设备检查

注意

注意：支持开始于：

Windows 客户端 v5.7
macOS Client v5.8
Linux 客户端 v5.3

设备姿态配置文件适用于通过Socket连接到您的网络的设备。这使您能够应用相同的设备姿态配置文件，而不管设备的物理位置。例如，一位销售主管在办公室工作两天，远程工作三天。无论何时何地，他们连接到Cato时，设备姿态配置文件将应用于他们的设备。

支持的设备检查

这些是设备检查的最低版本客户端要求。请参阅使用特定设备检查和功能以获取每个设备检查的详细信息。

设备检查	Windows	macOS	Linux	iOS	Android
反恶意软件	5.2	5.2	5.1
防火墙	5.4	5.2	5.1
磁盘加密	5.5	5.6
补丁管理	5.5	5.2	5.2
设备证书	5.5	5.4	5.1	5.3	5.0.1.115
DLP	5.9	5.4.3	5.2
Cato客户端版本	5.0	5.0	5.0
运行进程	5.11	5.7
注册表项	5.11
属性列表 (plist)		5.7
为办公室用户应用的设备检查	5.7		5.3

空框表示操作系统不支持设备检查。

已知限制

创建设备检查后，需要刷新页面以将新检查纳入设备配置文件中。
在办公室中，如果周期性检查设置为0，客户端将每10分钟检查一次设备姿态。

准备使用设备检查

每次设备检查可以包含以下设置：

一种设备测试类型 (例如，反恶意软件或防火墙)
供应商、产品和版本 (所有检查中排除运行进程、注册表项和属性列表)
- You can choose any version, a specific version, or a minimum version (greater than)
  
  注意：在防火墙设备检查中，如果选择Apple的macOS内置防火墙，版本号指的是macOS的版本号
- 对于反恶意软件、防火墙、补丁管理和DLP设备姿态检查，您可以为任何支持的供应商或产品创建通用检查。例如，您可以创建一个检查来允许访问安装了任意支持的反恶意软件解决方案的设备。有关支持的供应商和产品列表，请参阅新设备检查面板的供应商部分中的下拉列表。

配置设备检查

设备检查定义了设备必须满足的连接到网络的标准。创建检查后，将其添加到设备配置文件中以强制执行姿态要求。

要配置设备检查：

从导航菜单中选择资源 > 设备姿态。
选择设备检查选项卡。
点击新建。 新设备检查面板打开。
配置设备检查的设置。
点击应用，然后点击保存。

配置设备配置文件

创建设备检查后，您可以将其添加到设备配置文件中以纳入客户端连接策略或防火墙政策中的规则中，以强制执行姿态要求。

要配置设备配置文件：

从导航菜单中选择资源 > 设备姿态。
点击设备姿态配置文件选项卡。
点击新建。

新设备配置文件面板打开。
配置设备配置文件的设置，并添加您在上一节中创建的设备检查（）。
点击应用，然后点击保存。

配置定期检查

设备检查在客户端连接过程中评估设备的状态。要继续在客户端连接后评估设备的状态，您可以启用设备检查多次运行并配置检查的频率。默认情况下，周期性检查每10分钟运行一次。

如果周期间检查失败时，要了解用户体验，请参阅客户端连接策略配置。

要配置周期性检查：

从导航菜单中，选择资源 > 设备姿态。
点击设置标签。
以分钟为单位设置检查的频率。
点击保存。

创建具有多个检查的配置文件

当您创建具有多个检查的设备配置文件时，它们之间存在AND关系。这意味着设备必须满足所有设备检查的要求才能将规则操作应用于设备。

以下示例显示了包含这些检查的示例设备配置文件：

补丁管理 - 示例补丁管理
磁盘加密 - 示例磁盘加密

使用特定的设备检查和功能

以下部分概述了有关特定设备检查和功能的重要信息。

使用设备证书检查

您可以为定义到您账户的终端用户设备上安装的证书创建设备检查。使用签名证书页面（访问>客户端访问>签名证书）为您的帐户上传签名证书。检查验证设备上已安装的证书与为您的帐户定义的签名证书之一匹配。

使用磁盘加密检查

您可以定义一个或多个驱动器路径（例如，C:\整个根路径已加密）。仅支持基于软件的加密（不支持基于硬件的加密）。

对于具有多个分区的设备，您可以指定哪个分区已加密。当您为设备定义多个驱动器路径时，检查验证所有路径均已加密。

使用Cato客户端版本检查

您可以为安装在终端用户设备上的客户端版本创建设备检查。

要阻止特定的客户端版本，请使用阻止运算符
要允许特定的客户端版本，请使用等于或更高 运算符

使用运行中的进程检查

Windows 和 macOS 设备支持运行中的进程检查。

在 Windows 设备上运行中的进程检查

您可以创建设备检查，以验证设备上是否正在运行某个进程，并且该进程是否由指定证书签名。要配置此检查，您可以包括进程名称或进程完整路径和签名证书指纹。

您可以在进程属性中识别签名证书指纹。例如，对于进程CatoClient.exe，签名者证书指纹为81d821c152fa98db1c950b87d435122e5a0b451d。

要识别签名证书指纹：

右键单击该进程并选择属性。
在数字签名选项卡上，选择所需的证书并单击详细信息。

将显示数字签名详细信息窗口。
点击查看证书。
在详细信息选项卡中，点击指纹。

显示签名证书指纹。

注意: 进程名称和进程路径不区分大小写。

在macOS设备上运行进程检查

您可以创建一个设备检查，以验证一个进程是否在设备上运行并由指定的团队ID签名。要识别团队ID，请在终端中运行命令codesign，然后输入完整的进程路径。返回团队ID。例如，对于进程/Applications/CatoClient.app/Contents/MacOS/CatoClient，Team ID是CKGSB8CH43：

进程名称可以包含Unicode字符，并区分大小写。

macOS设备上Process检查的已知Limitation

不支持应用程序检查，配置中必须包含完整的进程路径。
不支持检查没有团队ID的进程，例如，macOS内部进程。

与注册表项检查相关的工作

要为注册表项创建检查，您需要指定：

完整的注册表项路径
Value Name（您可以选择检查Default Value或Specific Value）
Value Data（您可以选择检查Any Value或Specific Value）

注意

注意: 不支持注册表项或值名称中的非ASCII字符。

支持所有数据类型。在Multi-string Registry Key中，使用竖线符（|）分隔行。 Binary Value或Binary Value类型中的Data Format是前16个字节的HEX表示，例如0102030405060708090A0B0C0D0E0F10。

要识别值名称和值数据，在注册表编辑器中，双击您要检查的注册表项。在下面的示例中，键值名称是start_minimized，键值数据是0。

与属性列表检查相关的工作

To Create对Property List File（plist）的检查，您需要指定要检查的plist的完整File Path。您可以配置检查以验证：

选择任何值来验证plist中是否存在特定的键。
选择指定来验证plist中是否存在特定的键和值。

要识别plist中的键名称和值，请使用文本编辑器打开文件。在下面的示例中，键名称是Label，值是com.catonetworks.mac.CatoClient.helper。

支持的属性列表数据类型

支持这些plist数据类型：

字符串
整数
这些嵌套数据类型：
- 字符串
- 整数

属性列表检查已知限制

路径名称只能包含UTF-8字符
用户文件夹中的plist文件不受支持

使用实时保护

在标准部分，您还可以选择启用实时保护，并且持续验证连接设备是否符合设备检查。

处理不支持的Cato客户端

有时您需要在您的组织中容纳目前不支持设备姿态的客户端，并允许这些客户端访问网络。当您配置设备检查时，标准部分允许您选择不支持设备姿态的客户端的行为。

当不支持的客户端符合规则的设置（除了配置文件）时，这些是行为选项：

跳过设备检查，允许不支持的客户端连接到网络
阻止不支持的客户端，因为他们无法满足设备检查要求