Rede e segurança
FlexxAgent, em seu funcionamento habitual, requer uma série de requisitos de rede para se conectar aos serviços de orquestração cloud e suportar proxies, assim como ecossistemas de rede complexos.
Antes de proceder ao deploy do FlexxAgent nos dispositivos, recomenda-se validar que a nível de rede estes podem acessar os destinos definidos em URLs e portas.
Uso de largura de banda
Processo FlexxAgent
Quando o FlexxAgent inicializa, ele coleta e envia um relatório inicial de aproximadamente 75 KB; a partir desse momento, envia relatórios diferenciais de aproximadamente 3-4 KB. Este processo é responsável por executar as ações sob demanda ou automáticas no dispositivo. Nesse momento, o tráfego de rede pode aumentar.
Processo FlexxAgent Analyzer
O FlexxAgent Analyzer coleta informações da sessão do usuário a cada 15 segundos, como consumo de aplicativos, uso de recursos e muito mais. E adiciona essa informação em arquivos de aproximadamente 35-50 KB, que são enviados às consoles a cada 5 minutos, embora o tempo possa variar em funcionalidade específicas.
Em sistemas multiusuário, será executada uma única instância do FlexxAgent e tantas instâncias do FlexxAgent Analyzer quantas sessões de usuário o sistema tiver.
URLs e portas necessárias
Em termos de comunicação, o FlexxAgent deve ser capaz de entrar em contato com a camada de orquestração do serviço hospedado na Internet, que inclui:
| URL | Âmbito | Porta | Região |
|---|---|---|---|
| https://flxsbname\*\*\*.servicebus.windows.net | Agente | 443 | Europa Ocidental |
| https://flxiothub\*\*\*.azure-devices.net | Agente | 443 | Europa Ocidental |
| https://west-eu.agent-api.analyzer.flexxible.com | Agente | 443 | Europa Ocidental |
| https://flexxibleglobal.blob.core.windows.net | Agente | 443 | Europa Ocidental |
| https://api.ipify.org | Agente | 443 | Europa Ocidental |
| https://ras.flexxible.com | Agente – Assistência Remota | 443 | Europa Ocidental |
| https://update.workspaces.flexxible.com | Agente | 443 | Europa Ocidental |
| https://agents-weu.one.flexxible.net | Agente | 443 | Europa Ocidental |
| https://west-eu-01.agent-api.one.analyzer.flexxible.com | Agente | 443 | Europa Ocidental |
| https://south-br.agent-api.analyzer.flexxible.com (Solo Brasil) | Agente | 443 | Brazil South |
*** identificador único fornecido pela Flexxible.
Segurança
Para garantir uma boa experiência do usuário, em alguns casos será necessário configurar exclusões no antivírus; no entanto, se não forem geridas de forma adequada, essas exclusões podem representar um risco de segurança.
Por esse motivo, recomenda-se realizar análises periódicas dos arquivos e pastas que tenham sido excluídos da varredura do antivírus. Tanto a Microsoft quanto a Flexxible recomendam:
-
Utilizar uma solução de Monitoramento de Integridade de Arquivos (FIM) ou Prevenção de Intrusão do Host (HIP) para proteger a integridade dos elementos excluídos da análise em tempo real.
-
Se estiver usando o Azure Sentinel e o Windows Defender não estiver configurado corretamente, podem surgir problemas de desempenho. Desative o Windows Defender com o seguinte comando do PowerShell:
Set-MpPreference -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableRealtimeMonitoring $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend
Exclusões do antivírus
FlexxAgent deve ser capaz de funcionar corretamente sem configurar exceções, mas naqueles ambientes mais restritivos pode ser necessário estabelecer algumas.
Os elementos a serem excluídos da análise do antivírus são os seguintes:
Pastas
C:\Program Files\FlexxibleC:\Windows\Temp\FlexxibleIT\
Processos
FlexxAgent.exeFlexxibleRA.exeFlexxibleRemoteAssistance_XXXX.exe
Arquivos
C:\Windows\Temp\FlexxAgentInstallation.logC:\Windows\Temp\UpdateFlexxAgent.ps1C:\Windows\Temp\FlexxAgentHealthCheck.log
Inspeção Profunda SSL
É necessário desativar a Inspeção Profunda de SSL para as seguintes URLs nos dispositivos que a têm como solução de segurança, em favor do funcionamento ideal do FlexxAgent.
- https://flxsbname\*\*\*.servicebus.windows.net
- https://flxiothub\*\*\*.azure-devices.net
- https://agents-weu.flexxible.net
- https://ras.flexxible.com
Restrição de processos PowerShell
Algumas soluções de segurança não permitem que a instalação e/ou autoatualização do FlexxAgent seja realizada de forma eficaz. Durante o processo, o instalador pode devolver a mensagem:
O processo foi terminado com erros. Uma instalação corrompida foi detectada devido a processos externos. Isso geralmente é causado pela atividade do antivírus. Por favor, verifique as configurações do seu antivírus.
Para resolvê-lo, a Flexxible recomenda excluir os seguintes elementos:
C:\Windows\Temp\FlexxibleIT
C:\Windows\Temp\UpdateFlexxAgent.ps1
Wake on LAN (WoL)
Wake on LAN (WoL) permite ligar dispositivos através do envio de um pacote mágico (Magic Packet) que dá à placa de rede a ordem de ligar. Para utilizar esta funcionalidade é necessário:
- Placa de rede compatível
- Ativar WoL na BIOS/UEFI
- Configurar WoL no sistema operacional
- Um dispositivo ponte —com FlexxAgent instalado e reportando— na mesma rede que o dispositivo que se deseja ligar.
WoL opera normalmente dentro de uma rede local. Pode funcionar entre sub-redes desde que não existam restrições impostas por firewalls ou dispositivos de rede que bloqueiem a transmissão do pacote mágico. Em ambientes com segmentação por sub-redes, é necessário configurar exceções a nível de rede que permitam o roteamento do pacote mágico entre essas sub-redes.
Configurar Wake on LAN (WoL) no Windows
Para configurar a funcionalidade de Wake on LAN (WoL) em um dispositivo com sistema operacional Windows, devem ser seguidos os seguintes passos:
- Verificar se WoL está ativado
Na janela do CMD, executar o seguinte comando:
powercfg /devicequery wake_programmable
- Ativar WoL
Executar o comando:
powercfg /deviceenablewake "Realtek PCIe GbE Family Controller"
Substitua "Realtek PCIe GbE Family Controller" pelo nome do controlador correspondente.
Assistência remota através de um proxy
Para a assistência remota, o FlexxAgent usará um proxy quando estiver configurado e acessível.
Caso esteja configurado com um proxy, mas este não esteja acessível no momento, a assistência remota será iniciada com a opção “auto detect”, que usará as configurações de saída para a Internet configuradas pelo usuário final.
vPro
Se uma organização quiser ativar o vPro, exigirá que o hostname do servidor Flexxible Intel EMA possa ser resolvido a partir de todos os seus dispositivos.
| URL | Âmbito | Porta | Região |
|---|---|---|---|
| https://iagent.flexxible.com | Agente | 443 | Europa Ocidental |
Requisitos para o funcionamento do vPro através de um proxy
- O protocolo de configuração dinâmica de hosts (DHCP) deve fornecer um sufixo DNS (opção 15 do DHCP) que corresponda ao domínio do certificado.
- O proxy deve permitir o método HTTP CONNECT para as portas utilizadas.
- A URL da Flexxible deve ser excluída para evitar uma inspeção profunda de SSL/TLS nas conexões de Client Initiated Remote Access (CIRA).
- O proxy não deve modificar os cabeçalhos HTTP durante a fase CONNECT.
Para mais informações sobre vPro, por favor consulte a seção Integrações.