Xarxa i seguretat
FlexxAgent, en el seu funcionament habitual, requereix una sèrie de requisits de xarxa per connectar-se als serveis d'orquestració cloud i suportar proxies, així com ecosistemes de xarxa complexos.
Abans de procedir al desplegament de FlexxAgent en els dispositius, es recomana validar que a nivell de xarxa aquests poden accedir a les destinacions definides en URLs i ports.
Ús de l'ample de banda
Procés FlexxAgent
Quan arrenca FlexxAgent, recull i envia un informe inicial aproximat de 75 KB; a partir d'aquest moment, envia informes diferencials de aproximadament 3-4 KB. Aquest procés s'ocupa d'executar les accions a demanda o automàtiques en el dispositiu. En aquests moments el trànsit de xarxa podria incrementar-se.
Procés FlexxAgent Analyzer
FlexxAgent Analyzer recopila informació de la sessió de l'usuari cada 15 segons, com els consums d'aplicacions, l'ús de recursos i altres. I afegeix aquesta informació en fitxers d'aproximadament 35-50 KB, que són enviats a les consoles cada 5 minuts, tot i que el temps pot canviar en funcionalitats específiques.
En sistemes multiusuari, s'executarà una única instància de FlexxAgent i tantes instàncies de FlexxAgent Analyzer com sessions d'usuari tingui el sistema.
URLs i ports requerits
Pel que fa a comunicacions, FlexxAgent ha de ser capaç de contactar amb la capa d'orquestració del servei allotjada a internet, que inclou:
| URL | Àmbit | Port | Regió |
|---|---|---|---|
| https://flxsbname\*\*\*.servicebus.windows.net | Agent | 443 | West Europe |
| https://flxiothub\*\*\*.azure-devices.net | Agent | 443 | West Europe |
| https://west-eu.agent-api.analyzer.flexxible.com | Agent | 443 | West Europe |
| https://flexxibleglobal.blob.core.windows.net | Agent | 443 | West Europe |
| https://api.ipify.org | Agent | 443 | West Europe |
| https://ras.flexxible.com | Agent – Assistència remota | 443 | West Europe |
| https://update.workspaces.flexxible.com | Agent | 443 | West Europe |
| https://agents-weu.one.flexxible.net | Agent | 443 | West Europe |
| https://west-eu-01.agent-api.one.analyzer.flexxible.com | Agent | 443 | West Europe |
| https://south-br.agent-api.analyzer.flexxible.com (Només Brasil) | Agent | 443 | Brazil South |
*** identificador únic proporcionat per Flexxible.
Seguretat
Per garantir una bona experiència d'usuari, en alguns casos serà necessari configurar exclusions en l'antivirus; tanmateix, si no es gestionen de forma adequada, aquestes exclusions poden suposar un risc de seguretat.
Per aquest motiu, es recomana realitzar anàlisis periòdics dels arxius i carpetes que hagin estat exclosos de l'escaneig de l'antivirus. Tant Microsoft com Flexxible recomanen:
-
Utilitzar una solució File Integrity Monitoring (FIM) o Host Intrusion Prevention (HIP) per protegir la integritat dels elements exclosos de l'anàlisi en temps real.
-
Si s'utilitza Azure Sentinel i Windows Defender no està configurat correctament, poden sorgir problemes de rendiment. Desactiva Windows Defender amb la següent comanda de PowerShell:
Set-MpPreference -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableRealtimeMonitoring $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend
Exclusions de l'antivirus
FlexxAgent hauria de ser capaç de funcionar correctament sense configurar excepcions, però en aquells entorns més restrictius és possible que se n'hagin d'establir algunes.
Els elements per excloure de l'anàlisi de l'antivirus són els següents:
Carpetes
C:\Program Files\FlexxibleC:\Windows\Temp\FlexxibleIT\
Procés
FlexxAgent.exeFlexxibleRA.exeFlexxibleRemoteAssistance_XXXX.exe
Fitxers
C:\Windows\Temp\FlexxAgentInstallation.logC:\Windows\Temp\UpdateFlexxAgent.ps1C:\Windows\Temp\FlexxAgentHealthCheck.log
Inspecció profunda de SSL
S'ha de procurar deshabilitar Deep SSL Inspection per a les següents URLs en aquells dispositius que ho tinguin com a solució de seguretat, en favor del funcionament òptim de FlexxAgent.
- https://flxsbname\*\*\*.servicebus.windows.net
- https://flxiothub\*\*\*.azure-devices.net
- https://agents-weu.flexxible.net
- https://ras.flexxible.com
Restricció de processos PowerShell
Algunes solucions de seguretat no permeten que la instal·lació i/o l'autoactualització de FlexxAgent es realitzi de manera eficaç. Durant el procés, l'instal·lador podria retornar el missatge:
The process was terminated with errors. A corrupted installation was detected due to external processes. This is usually caused by antivirus activity. Please check your antivirus settings.
Per solucionar-ho, Flexxible recomana excloure els següents elements:
C:\Windows\Temp\FlexxibleIT
C:\Windows\Temp\UpdateFlexxAgent.ps1
Wake on LAN (WoL)
Wake on LAN (WoL) permet encendre dispositius mitjançant l'enviament d'un paquet màgic (Magic Packet) que dóna a la targeta de xarxa l'ordre d'encesa. Per poder utilitzar aquesta funcionalitat es requereix:
- Targeta de xarxa compatible
- Activar WoL en BIOS/UEFI
- Configurar WoL en el sistema operatiu
- Un dispositiu pont —amb FlexxAgent instal·lat i reportant— a la mateixa xarxa que el dispositiu que es vulgui encendre.
WoL opera normalment dins d'una xarxa local. Pot funcionar entre subxarxes sempre que no hi hagi restriccions imposades per firewalls o dispositius de xarxa que bloquegin la transmissió del paquet màgic. En entorns amb segmentació per subxarxes, és necessari configurar excepcions a nivell de xarxa que permetin l'encaminament del paquet màgic entre aquestes subxarxes.
Configurar Wake on LAN (WoL) a Windows
Per configurar la funcionalitat de Wake on LAN (WoL) en un dispositiu amb sistema operatiu Windows, cal seguir els següents passos:
- Verificar si WoL està actiu
A la finestra de CMD, executar la següent comanda:
powercfg /devicequery wake_programmable
- Activa WoL
Executar la comanda:
powercfg /deviceenablewake "Realtek PCIe GbE Family Controller"
Reemplaçar "Realtek PCIe GbE Family Controller" pel nom del controlador que correspongui.
Assistència remota a través d'un proxy
Per a l'assistència remota, FlexxAgent farà servir un proxy quan estigui configurat i accessible.
En cas que estigui configurat amb un proxy però aquest no sigui accessible en aquell moment, es llançarà l'assistència remota amb l'opció “auto detect” que farà servir la configuració de sortida a internet que tingui configurat l'usuari final.
vPro
Si una organització vol activar vPro, requerirà que el hostname del servidor Flexxible Intel EMA pugui resoldre's des de tots els seus dispositius.
| URL | Àmbit | Port | Regió |
|---|---|---|---|
| https://iagent.flexxible.com | Agent | 443 | West Europe |
Requisits per al funcionament de vPro mitjançant un proxy
- El protocol de configuració dinàmica de hosts (DHCP) ha de proporcionar un sufix DNS (opció 15 del DHCP) que coincideixi amb el domini del certificat.
- El proxy ha de permetre el mètode HTTP CONNECT cap als ports utilitzats.
- S'ha d'excloure la URL de Flexxible per evitar una inspecció profunda de SSL/TLS en les connexions de Client Initiated Remote Access (CIRA).
- El proxy no ha de modificar les capçaleres HTTP durant la fase CONNECT.
Per obtenir més informació sobre vPro, si us plau consulta la secció Integracions.