Pular para o conteúdo principal
Versão: 25.4

Rede e segurança

FlexxAgent, em seu funcionamento habitual, requer uma série de requisitos de rede para se conectar aos serviços de orquestração cloud e suportar proxies, assim como ecossistemas de rede complexos.

Antes de proceder ao deploy do FlexxAgent nos dispositivos, recomenda-se validar que a nível de rede estes podem acessar os destinos definidos em URLs e portas.

Uso de largura de banda

Processo FlexxAgent

Quando o FlexxAgent inicializa, ele coleta e envia um relatório inicial de aproximadamente 75 KB; a partir desse momento, envia relatórios diferenciais de aproximadamente 3-4 KB. Este processo é responsável por executar as ações sob demanda ou automáticas no dispositivo. Nesse momento, o tráfego de rede pode aumentar.

Processo FlexxAgent Analyzer

O FlexxAgent Analyzer coleta informações da sessão do usuário a cada 15 segundos, como consumo de aplicativos, uso de recursos e muito mais. E adiciona essa informação em arquivos de aproximadamente 35-50 KB, que são enviados às consoles a cada 5 minutos, embora o tempo possa variar em funcionalidade específicas.

Em sistemas multiusuário, será executada uma única instância do FlexxAgent e tantas instâncias do FlexxAgent Analyzer quantas sessões de usuário o sistema tiver.

URLs e portas necessárias

Em termos de comunicação, o FlexxAgent deve ser capaz de entrar em contato com a camada de orquestração do serviço hospedado na Internet, que inclui:

URLÂmbitoPortaRegião
https://flxsbname\*\*\*.servicebus.windows.netAgente443Europa Ocidental
https://flxiothub\*\*\*.azure-devices.netAgente443Europa Ocidental
https://west-eu.agent-api.analyzer.flexxible.comAgente443Europa Ocidental
https://flexxibleglobal.blob.core.windows.netAgente443Europa Ocidental
https://api.ipify.orgAgente443Europa Ocidental
https://ras.flexxible.comAgente – Assistência Remota443Europa Ocidental
https://update.workspaces.flexxible.comAgente443Europa Ocidental
https://agents-weu.one.flexxible.netAgente443Europa Ocidental
https://west-eu-01.agent-api.one.analyzer.flexxible.comAgente443Europa Ocidental
https://south-br.agent-api.analyzer.flexxible.com (Solo Brasil)Agente443Brazil South

*** identificador único fornecido pela Flexxible.

Segurança

Para garantir uma boa experiência do usuário, em alguns casos será necessário configurar exclusões no antivírus; no entanto, se não forem geridas de forma adequada, essas exclusões podem representar um risco de segurança.

Por esse motivo, recomenda-se realizar análises periódicas dos arquivos e pastas que tenham sido excluídos da varredura do antivírus. Tanto a Microsoft quanto a Flexxible recomendam:

  • Utilizar uma solução de Monitoramento de Integridade de Arquivos (FIM) ou Prevenção de Intrusão do Host (HIP) para proteger a integridade dos elementos excluídos da análise em tempo real.

  • Se estiver usando o Azure Sentinel e o Windows Defender não estiver configurado corretamente, podem surgir problemas de desempenho. Desative o Windows Defender com o seguinte comando do PowerShell:

Set-MpPreference -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableRealtimeMonitoring $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend

Exclusões do antivírus

FlexxAgent deve ser capaz de funcionar corretamente sem configurar exceções, mas naqueles ambientes mais restritivos pode ser necessário estabelecer algumas.

Os elementos a serem excluídos da análise do antivírus são os seguintes:

Pastas

  • C:\Program Files\Flexxible
  • C:\Windows\Temp\FlexxibleIT\

Processos

  • FlexxAgent.exe
  • FlexxibleRA.exe
  • FlexxibleRemoteAssistance_XXXX.exe

Arquivos

  • C:\Windows\Temp\FlexxAgentInstallation.log
  • C:\Windows\Temp\UpdateFlexxAgent.ps1
  • C:\Windows\Temp\FlexxAgentHealthCheck.log

Inspeção Profunda SSL

É necessário desativar a Inspeção Profunda de SSL para as seguintes URLs nos dispositivos que a têm como solução de segurança, em favor do funcionamento ideal do FlexxAgent.

Restrição de processos PowerShell

Algumas soluções de segurança não permitem que a instalação e/ou autoatualização do FlexxAgent seja realizada de forma eficaz. Durante o processo, o instalador pode devolver a mensagem:

O processo foi terminado com erros. Uma instalação corrompida foi detectada devido a processos externos. Isso geralmente é causado pela atividade do antivírus. Por favor, verifique as configurações do seu antivírus.

Para resolvê-lo, a Flexxible recomenda excluir os seguintes elementos:

C:\Windows\Temp\FlexxibleIT

C:\Windows\Temp\UpdateFlexxAgent.ps1

Wake on LAN (WoL)

Wake on LAN (WoL) permite ligar dispositivos através do envio de um pacote mágico (Magic Packet) que dá à placa de rede a ordem de ligar. Para utilizar esta funcionalidade é necessário:

  • Placa de rede compatível
  • Ativar WoL na BIOS/UEFI
  • Configurar WoL no sistema operacional
  • Um dispositivo ponte —com FlexxAgent instalado e reportando— na mesma rede que o dispositivo que se deseja ligar.

WoL opera normalmente dentro de uma rede local. Pode funcionar entre sub-redes desde que não existam restrições impostas por firewalls ou dispositivos de rede que bloqueiem a transmissão do pacote mágico. Em ambientes com segmentação por sub-redes, é necessário configurar exceções a nível de rede que permitam o roteamento do pacote mágico entre essas sub-redes.

Configurar Wake on LAN (WoL) no Windows

Para configurar a funcionalidade de Wake on LAN (WoL) em um dispositivo com sistema operacional Windows, devem ser seguidos os seguintes passos:

  1. Verificar se WoL está ativado

Na janela do CMD, executar o seguinte comando:

powercfg /devicequery wake_programmable

  1. Ativar WoL

Executar o comando:

powercfg /deviceenablewake "Realtek PCIe GbE Family Controller"

Substitua "Realtek PCIe GbE Family Controller" pelo nome do controlador correspondente.

Assistência remota através de um proxy

Para a assistência remota, o FlexxAgent usará um proxy quando estiver configurado e acessível.

Caso esteja configurado com um proxy, mas este não esteja acessível no momento, a assistência remota será iniciada com a opção “auto detect”, que usará as configurações de saída para a Internet configuradas pelo usuário final.

vPro

Se uma organização quiser ativar o vPro, exigirá que o hostname do servidor Flexxible Intel EMA possa ser resolvido a partir de todos os seus dispositivos.

URLÂmbitoPortaRegião
https://iagent.flexxible.comAgente443Europa Ocidental

Requisitos para o funcionamento do vPro através de um proxy

  • O protocolo de configuração dinâmica de hosts (DHCP) deve fornecer um sufixo DNS (opção 15 do DHCP) que corresponda ao domínio do certificado.
  • O proxy deve permitir o método HTTP CONNECT para as portas utilizadas.
  • A URL da Flexxible deve ser excluída para evitar uma inspeção profunda de SSL/TLS nas conexões de Client Initiated Remote Access (CIRA).
  • O proxy não deve modificar os cabeçalhos HTTP durante a fase CONNECT.
dica

Para mais informações sobre vPro, por favor consulte a seção Integrações.