Saltar al contingut principal
Versió: 25.2

Consideracions de xarxa i seguretat

FlexxAgent, en el seu funcionament habitual, requereix una sèrie de requisits de xarxa per connectar-se als serveis d'orquestració cloud i suportar proxies, així com ecosistemes de xarxa complexos.

Abans de procedir al desplegament de FlexxAgent en els dispositius, es recomana validar que a nivell de xarxa aquests poden accedir a les destinacions definides en URLs i ports.

Ús de l'ample de banda

Procés FlexxAgent

Quan arrenca FlexxAgent, recull i envia un informe inicial aproximat de 75 KB; a partir d'aquest moment, envia informes diferencials de aproximadament 3-4 KB. Aquest procés s'ocupa d'executar les accions a demanda o automàtiques en el dispositiu. En aquests moments el trànsit de xarxa podria incrementar-se.

Procés FlexxAgent Analyzer

FlexxAgent Analyzer recopila informació de la sessió de l'usuari cada 15 segons, com els consums d'aplicacions, l'ús de recursos i altres. I afegeix aquesta informació en fitxers d'aproximadament 35-50 KB, que són enviats a les consoles cada 5 minuts, tot i que el temps pot canviar en funcionalitats específiques.

En sistemes multiusuari, s'executarà una única instància de FlexxAgent i tantes instàncies de FlexxAgent Analyzer com sessions d'usuari tingui el sistema.

URLs i ports requerits

Pel que fa a comunicacions, FlexxAgent ha de ser capaç de contactar amb la capa d'orquestració del servei allotjada a internet, que inclou:

URLÀmbitPortRegióProducte
https://flxsbname\*\*\*.servicebus.windows.netAgent443West EuropeFXXOne, FlexxClient & FlexxDesktop
https://flxiothub\*\*\*.azure-devices.netAgent443West EuropeFXXOne, FlexxClient & FlexxDesktop
https://west-eu.agent-api.analyzer.flexxible.comAgent443West EuropeFXXOne, FlexxClient & FlexxDesktop
https://flexxibleglobal.blob.core.windows.netAgent443West EuropeFXXOne, FlexxClient & FlexxDesktop
https://api.ipify.orgAgent443West EuropeFXXOne, FlexxClient & FlexxDesktop
https://ras.flexxible.comAgent – Assistència remota443West EuropeFXXOne, FlexxClient & FlexxDesktop
https://update.workspaces.flexxible.comAgent443West EuropeFXXOne, FlexxClient & FlexxDesktop
https://agents-weu.one.flexxible.netAgent443West EuropeFXXOne
https://agents-weu.flexxible.netAgent443West EuropeFlexxClient & FlexxDesktop
https://west-eu-01.agent-api.one.analyzer.flexxible.comAgent443West EuropeFXXOne

*** identificador únic proporcionat per Flexxible.

Seguretat

Per garantir una bona experiència d'usuari, en alguns casos serà necessari configurar exclusions en l'antivirus; tanmateix, si no es gestionen de forma adequada, aquestes exclusions poden suposar un risc de seguretat.

Per aquest motiu, es recomana realitzar anàlisis periòdics dels arxius i carpetes que hagin estat exclosos de l'escaneig de l'antivirus. Tant Microsoft com Flexxible recomanen:

  • Utilitzar una solució File Integrity Monitoring (FIM) o Host Intrusion Prevention (HIP) per protegir la integritat dels elements exclosos de l'anàlisi en temps real.

  • Si s'utilitza Azure Sentinel i Windows Defender no està configurat correctament, poden sorgir problemes de rendiment. Desactiva Windows Defender amb la següent comanda de PowerShell:

Set-MpPreference -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableRealtimeMonitoring $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend

Exclusions de l'antivirus

Els elements per excloure de l'anàlisi de l'antivirus són els següents:

Carpetes

  • C:\Program Files\Flexxible

Procés

  • FlexxAgent.exe
  • FlexxibleRA.exe
  • FlexxibleRemoteAssistance_XXXX.exe

Inspecció profunda de SSL

Per solucions de seguretat com Deep SSL Inspection (Inspecció Profunda de SSL) o Trend Micro, cal tenir en compte les indicacions que es descriuen a continuació, a favor del funcionament òptim de FlexxAgent.

S'ha de procurar deshabilitar Deep SSL Inspection per a les següents URLs en aquells dispositius que ho tinguin com a solució de seguretat:

Restricció de processos PowerShell

Algunes solucions de seguretat no permeten que la instal·lació i/o l'autoactualització de FlexxAgent es realitzi de manera eficaç, com és el cas de Trend Micro.

Durant el procés, l'instal·lador pot retornar el missatge:

The process was terminated with errors. A corrupted installation was detected due to external processes. This is usually caused by antivirus activity. Please check your antivirus settings.

Per solucionar-ho, Flexxible recomana excloure els següents arxius del dispositiu:

C:\Windows\Temp\FlexxibleIT

C:\Windows\Temp\UpdateFlexxAgent.ps1

Wake on LAN (WoL)

Wake on LAN permet engegar dispositius mitjançant l'enviament d'un paquet màgic que dóna a la targeta de xarxa l'ordre d'engegada. Per poder utilitzar aquesta funcionalitat es requereix:

  • Targeta de xarxa compatible
  • Activar WoL en BIOS/UEFI
  • Configurar WoL en el sistema operatiu
  • Un dispositiu Pont a la mateixa xarxa que el dispositiu que es vol engegar, amb FlexxAgent instal·lat i reportant

Wake on LAN (WoL) opera normalment dins d'una xarxa local, i pot funcionar entre subxarxes sempre que no existeixin restriccions imposades per firewalls o dispositius de xarxa que bloquegin la transmissió del paquet màgic (Magic Packet). En entorns amb segmentació per subxarxes, és necessari configurar excepcions a nivell de xarxa que permetin l'encaminament del paquet màgic entre aquestes subxarxes.

Configurar Wake on LAN (WoL) a Windows

Per configurar la funcionalitat de Wake on LAN (WoL) en un dispositiu amb sistema operatiu Windows, cal seguir els següents passos:

  1. Verificar si WoL està actiu

A la finestra de CMD, executar la següent comanda:

powercfg /devicequery wake_programmable

  1. Activa WoL

Executar la comanda:

powercfg /deviceenablewake "Realtek PCIe GbE Family Controller"

Reemplaçar "Realtek PCIe GbE Family Controller" pel nom del controlador que correspongui.

Assistència remota a través de proxy

Per a l'assistència remota, FlexxAgent farà servir proxy quan estigui configurat i accessible.

En cas que estigui configurat amb proxy però aquest no sigui accessible en aquell moment, es llançarà l'assistència remota amb l'opció “auto detect” que farà servir la configuració de sortida a internet que tingui configurat l'usuari final.