Saltar al contingut principal
Versió: 25.4

Xarxa i seguretat

FlexxAgent, en el seu funcionament habitual, requereix una sèrie de requisits de xarxa per connectar-se als serveis d'orquestració cloud i suportar proxies, així com ecosistemes de xarxa complexos.

Abans de procedir al desplegament de FlexxAgent en els dispositius, es recomana validar que a nivell de xarxa aquests poden accedir a les destinacions definides en URLs i ports.

Ús de l'ample de banda

Procés FlexxAgent

Quan arrenca FlexxAgent, recull i envia un informe inicial aproximat de 75 KB; a partir d'aquest moment, envia informes diferencials de aproximadament 3-4 KB. Aquest procés s'ocupa d'executar les accions a demanda o automàtiques en el dispositiu. En aquests moments el trànsit de xarxa podria incrementar-se.

Procés FlexxAgent Analyzer

FlexxAgent Analyzer recopila informació de la sessió de l'usuari cada 15 segons, com els consums d'aplicacions, l'ús de recursos i altres. I afegeix aquesta informació en fitxers d'aproximadament 35-50 KB, que són enviats a les consoles cada 5 minuts, tot i que el temps pot canviar en funcionalitats específiques.

En sistemes multiusuari, s'executarà una única instància de FlexxAgent i tantes instàncies de FlexxAgent Analyzer com sessions d'usuari tingui el sistema.

URLs i ports requerits

Pel que fa a comunicacions, FlexxAgent ha de ser capaç de contactar amb la capa d'orquestració del servei allotjada a internet, que inclou:

URLÀmbitPortRegió
https://flxsbname\*\*\*.servicebus.windows.netAgent443West Europe
https://flxiothub\*\*\*.azure-devices.netAgent443West Europe
https://west-eu.agent-api.analyzer.flexxible.comAgent443West Europe
https://flexxibleglobal.blob.core.windows.netAgent443West Europe
https://api.ipify.orgAgent443West Europe
https://ras.flexxible.comAgent – Assistència remota443West Europe
https://update.workspaces.flexxible.comAgent443West Europe
https://agents-weu.one.flexxible.netAgent443West Europe
https://west-eu-01.agent-api.one.analyzer.flexxible.comAgent443West Europe
https://south-br.agent-api.analyzer.flexxible.com (Només Brasil)Agent443Brazil South

*** identificador únic proporcionat per Flexxible.

Seguretat

Per garantir una bona experiència d'usuari, en alguns casos serà necessari configurar exclusions en l'antivirus; tanmateix, si no es gestionen de forma adequada, aquestes exclusions poden suposar un risc de seguretat.

Per aquest motiu, es recomana realitzar anàlisis periòdics dels arxius i carpetes que hagin estat exclosos de l'escaneig de l'antivirus. Tant Microsoft com Flexxible recomanen:

  • Utilitzar una solució File Integrity Monitoring (FIM) o Host Intrusion Prevention (HIP) per protegir la integritat dels elements exclosos de l'anàlisi en temps real.

  • Si s'utilitza Azure Sentinel i Windows Defender no està configurat correctament, poden sorgir problemes de rendiment. Desactiva Windows Defender amb la següent comanda de PowerShell:

Set-MpPreference -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableRealtimeMonitoring $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend

Exclusions de l'antivirus

FlexxAgent hauria de ser capaç de funcionar correctament sense configurar excepcions, però en aquells entorns més restrictius és possible que se n'hagin d'establir algunes.

Els elements per excloure de l'anàlisi de l'antivirus són els següents:

Carpetes

  • C:\Program Files\Flexxible
  • C:\Windows\Temp\FlexxibleIT\

Procés

  • FlexxAgent.exe
  • FlexxibleRA.exe
  • FlexxibleRemoteAssistance_XXXX.exe

Fitxers

  • C:\Windows\Temp\FlexxAgentInstallation.log
  • C:\Windows\Temp\UpdateFlexxAgent.ps1
  • C:\Windows\Temp\FlexxAgentHealthCheck.log

Inspecció profunda de SSL

S'ha de procurar deshabilitar Deep SSL Inspection per a les següents URLs en aquells dispositius que ho tinguin com a solució de seguretat, en favor del funcionament òptim de FlexxAgent.

Restricció de processos PowerShell

Algunes solucions de seguretat no permeten que la instal·lació i/o l'autoactualització de FlexxAgent es realitzi de manera eficaç. Durant el procés, l'instal·lador podria retornar el missatge:

The process was terminated with errors. A corrupted installation was detected due to external processes. This is usually caused by antivirus activity. Please check your antivirus settings.

Per solucionar-ho, Flexxible recomana excloure els següents elements:

C:\Windows\Temp\FlexxibleIT

C:\Windows\Temp\UpdateFlexxAgent.ps1

Wake on LAN (WoL)

Wake on LAN (WoL) permet encendre dispositius mitjançant l'enviament d'un paquet màgic (Magic Packet) que dóna a la targeta de xarxa l'ordre d'encesa. Per poder utilitzar aquesta funcionalitat es requereix:

  • Targeta de xarxa compatible
  • Activar WoL en BIOS/UEFI
  • Configurar WoL en el sistema operatiu
  • Un dispositiu pont —amb FlexxAgent instal·lat i reportant— a la mateixa xarxa que el dispositiu que es vulgui encendre.

WoL opera normalment dins d'una xarxa local. Pot funcionar entre subxarxes sempre que no hi hagi restriccions imposades per firewalls o dispositius de xarxa que bloquegin la transmissió del paquet màgic. En entorns amb segmentació per subxarxes, és necessari configurar excepcions a nivell de xarxa que permetin l'encaminament del paquet màgic entre aquestes subxarxes.

Configurar Wake on LAN (WoL) a Windows

Per configurar la funcionalitat de Wake on LAN (WoL) en un dispositiu amb sistema operatiu Windows, cal seguir els següents passos:

  1. Verificar si WoL està actiu

A la finestra de CMD, executar la següent comanda:

powercfg /devicequery wake_programmable

  1. Activa WoL

Executar la comanda:

powercfg /deviceenablewake "Realtek PCIe GbE Family Controller"

Reemplaçar "Realtek PCIe GbE Family Controller" pel nom del controlador que correspongui.

Assistència remota a través d'un proxy

Per a l'assistència remota, FlexxAgent farà servir un proxy quan estigui configurat i accessible.

En cas que estigui configurat amb un proxy però aquest no sigui accessible en aquell moment, es llançarà l'assistència remota amb l'opció “auto detect” que farà servir la configuració de sortida a internet que tingui configurat l'usuari final.

vPro

Si una organització vol activar vPro, requerirà que el hostname del servidor Flexxible Intel EMA pugui resoldre's des de tots els seus dispositius.

URLÀmbitPortRegió
https://iagent.flexxible.comAgent443West Europe

Requisits per al funcionament de vPro mitjançant un proxy

  • El protocol de configuració dinàmica de hosts (DHCP) ha de proporcionar un sufix DNS (opció 15 del DHCP) que coincideixi amb el domini del certificat.
  • El proxy ha de permetre el mètode HTTP CONNECT cap als ports utilitzats.
  • S'ha d'excloure la URL de Flexxible per evitar una inspecció profunda de SSL/TLS en les connexions de Client Initiated Remote Access (CIRA).
  • El proxy no ha de modificar les capçaleres HTTP durant la fase CONNECT.
consell

Per obtenir més informació sobre vPro, si us plau consulta la secció Integracions.