Requisiti di sistema
Al momento di installare la console Security Controls è necessario rispettare i seguenti requisiti ed eseguire azioni sui computer client.
CONSOLE
Limitazioni
•Sul computer della console è richiesto un file system NTFS
•Se si installa la console su un controller di dominio che utilizza l'autenticazione certificati LDAP, potrebbe essere necessario configurare il server per evitare problematiche in conflitto tra il certificato SSL e il certificato di programma Security Controls.
•Se si installa la console su due o più computer che condividono un database, tutti i computer della console devono presentare identificatori univoci di sicurezza (SID) al fine di prevenire problemi legati alle credenziali degli utenti. È probabile che i computer presentino gli stessi SID in caso di copia di una macchina virtuale o di creazione di un'immagine ghost di un computer.
•Il computer della console deve essere il più possibile aggiornato con le patch prima dell'installazione di Security Controls.
Processore
•Minimo: processore 2 a core da 2 GHz o superiore
•Consigliato: processore a 4 core da 2 GHz o superiore (per licenze da 500 - 2500 postazioni)
•Prestazioni elevate: processore da 8 core da 2 GHz o superiore (per licenze da 10000+ postazioni)
•Valutazione patch senza agente: processore a 8+ core da 2 GHz o superiore
Memoria
•Minimo: 2 GB di RAM
•Consigliato: 4 GB di RAM (per licenze da 500 - 2500 postazioni)
•Prestazioni elevate: 16 GB di RAM (per una licenza da 10000+ postazioni)
Video
•Risoluzione a schermo pari almeno a 1024 x 768
•Consigliati 1280 x 1024 o versione superiore
Spazio su disco
•500 MB per l'applicazione
•10 GB minimo, consigliati 100 GB o più per il repository patch
Sistema operativo (uno dei seguenti)
•Famiglia di Windows Server 2022
•Famiglia Windows Server 2019, escluso Server Core e Nano Server (64 bit)
•Famiglia Windows Server 2016, ad eccezione di Server Core e Nano Server (64 bit)
•Famiglia Windows Server 2012 R2 Aggiornamento cumulativo 1 o versione successiva, escluso Server Core (64 bit)
•Famiglia Windows Server 2012, escluso Server Core (64 bit)
•Famiglia di Windows 11
•Windows 10 Pro, Enterprise o Education Edition (64 bit)
Nota: si raccomanda di utilizzare l'ultima versione disponibile, ove possibile.Il supporto per Windows Server 2012 R2 terminerà nel 2023.
Database
•Utilizzo di un database Microsoft SQL Server [SQL Server 2012 o versione successiva].
Se non si dispone di un database SQL Server, l'opzione per installare SQL Server Express Edition verrà fornita durante la procedura di installazione dei software prerequisiti.
•Consigliato: Microsoft SQL Server 2016 SP1 o versione successiva
•Dimensioni minime: 30 GB
•Dimensioni medie: (licenza da 500 - 2500 postazioni) 30-60 GB
•Dimensioni azienda: (licenza da 10000+ postazioni) 60-100 GB
Disponibilità elevata SQL
Se configurato in accordo alle procedure consigliate di Microsoft, il mirroring SQL è supportato da Security Controls.
Un server di controllo è necessario per il failover automatico. Senza il server di controllo richiesto un cambiamento manuale.
Il mirroring SQL è supportato su SQL Server 2012 e 2014 ma non sull'edizione SQL Express.
Prerequisito software
•Utilizzo di un database Microsoft SQL Server 2012 o versione successiva
•Microsoft .NET Framework 4.8 o versione successiva
•Microsoft Visual C++ Redistributable per Visual Studio 2015-2022
•Windows Management Framework 5.1
Requisiti per l'account Windows
Al fine di accedere a tutte le funzionalità di Security Controls, è necessario utilizzare un account con privilegi amministrativi.
Requisiti di configurazione
•È necessario aggiungere una serie di URL web ai propri elenchi di eccezioni filtro firewall, proxy e web. GLi URL sono utilizzati da Security Controls per scaricare il contenuto delle patch da fornitori di terze parti.
Per l'elenco completo di URL da aggiungere, vedere:
https://forums.ivanti.com/s/article/URL-exception-list-for-Ivanti-Security-Controls
•Quando si esegue un'analisi degli asset del computer della console, il servizio Strumentazione gestione Windows (WMI, Windows Management Instrumentation) deve essere attivato e l'esecuzione del protocollo deve essere consentita per il computer. In Windows Firewall, il servizio si chiama Windows Management Instrumentation (WMI)/Remote Administration.
Lingue supportate
Vedere l'elenco Lingue sulla finestra di dialogo Visualizza opzioni.
CLIENT WINDOWS (SENZA AGENTI)
Sistemi operativi (versioni a 32 e a 64 bit di uno qualsiasi dei seguenti)
•Windows Server 2008 R2, Standard
•Windows Server 2008 R2, Enterprise
•Windows Server 2008 R2, Datacenter
•Windows Server 2008 R2, Standard - Core
•Windows Server 2008 R2, Enterprise - Core
•Windows Server 2008 R2, Datacenter - Core
•Windows Server 2012, Foundation Edition
•Windows Server 2012, Essentials Edition
•Windows Server 2012, Standard Edition
•Windows Server 2012, Datacenter Edition
•Windows Server 2012 R2, Essentials Edition
•Windows Server 2012 R2, Standard Edition
•Windows Server 2012 R2, Datacenter Edition
•Windows 10 Pro
•Windows 10 Enterprise
•Windows 10 Education
•Windows Server 2016, Essentials Edition
•Windows Server 2016, Standard Edition (ad esclusione di Nano Server; Server Core supportato con sistema secondario a 32 bit)
•Windows Server 2016, Datacenter Edition (ad esclusione di Nano Server; Server Core supportato con sistema secondario a 32 bit)
•Famiglia di Windows Server 2019 (ad esclusione di Nano Server; Server Core supportato con sistema secondario a 32 bit)
•Famiglia di Windows 11
•Famiglia di Windows Server 2022
Macchine virtuali (immagini virtuali offline create da uno qualsiasi dei seguenti)
Applicabile solo per la Gestione patch
•VMware ESXi 6.5 o successivo (VMware Tools è richiesto sulle macchine virtuali)
•VMware vCenter (formalmente VMware VirtualCenter) 6.0 o versione successiva (VMware Tools è richiesto sulle macchine virtuali)
•VMware Workstation 9.0 o versione successiva
Requisiti di configurazione
•Il servizio Registro di sistema remoto deve essere attivato
•Il servizio Server deve essere attivato
•Le porte NetBIOS (TCP 139) o Direct Host (TCP 445) devono essere accessibili
•Il servizio Windows Update non deve essere disabilitato; piuttosto, deve essere impostato su Manuale o Automatico, al fine di distribuire correttamente le patch. Inoltre, l’impostazione Windows Update su ciascun computer di destinazione (Pannello di controllo > Sistema e sicurezza > Windows Update > Modifica impostazioni) deve essere impostato su Non controllare mai la presenza di aggiornamenti.
Nota: in caso di utilizzo di Windows 10 o Windows Server 2016 è possibile disattivare gli Aggiornamenti automatici selezionando Disattiva Configura aggiornamenti automatici nell'Editor criteri di gruppo. Fare riferimento alla Guida Microsoft per conoscere le linee guida su altri metodi per disattivare il servizio.
•
•Per i requisiti aggiuntivi al momento di eseguire le analisi patch dei computer remoti, vedere Prerequisiti di analisi patch.
•
Prodotti supportati (per il programma patch)
•Vedere https://www.ivanti.com/en-US/support/supported-products per l'elenco corrente
Spazio su disco (per il programma patch)
•Spazio su disco uguale a cinque volte le dimensioni delle patch in distribuzione
Lingue supportate (per il programma patch)
Vedere l'elenco Lingua indicatore stato download Vista patch sulla finestra di dialogo Opzioni visualizzazione.
CLIENT WINDOWS IN ESECUZIONE CON UN AGENTE
Sui computer degli agenti è richiesto un file system NTFS.
Processore
•CPU da 500 MHz o superiore
Memoria
•Minimo: 256 MB di RAM
•Consigliato: 512 MB di RAM o superiore
Spazio su disco
•50 MB per il client Security Controls Agent
•Minimo: almeno 2 GB per il repository patch
•Consigliato: 10 GB
Sistemi operativi (uno dei seguenti, escluse le versioni home)
Sui computer Windows Server 2008 R2, il client agente x1_"richiede .NET 6.0. L'installazione di eventuali patch necessarie per supportare .NET 6 è a carico dell'utente.
•Famiglia di Windows 10
•Famiglia di Windows 11
•Windows Server 2008 R2, SP1 o versione successiva con supporto SHA-2
•Famiglia Windows Server 2012
•Famiglia Windows Server 2012 R2
•Famiglia Windows Server 2016
•Famiglia Windows Server 2019
•Famiglia di Windows Server 2022
Requisiti di configurazione
•Il servizio Workstation deve essere attivato
•Piattaforme testate compatibili: https://forums.ivanti.com/s/article/Ivanti-Security-Controls-Supported-Platforms-Matrix
CLIENT LINUX IN ESECUZIONE CON UN AGENTE
Sistemi operativi
Tutte le varianti supportate dal fornitore del nodo server, workstation, client e computer dei seguenti sistemi (solo 64 bit).
•CentOS 7 e Red Hat Enterprise Linux 7 (sono richiesti il pacchetto libicu e OpenSSL 1.0.2 o versione successiva)
•Red Hat Enterprise Linux 8 (sono richiesti il pacchetto libicu e OpenSSL 1.0.2 o versione successiva)
Requisiti porte
Secure Shell (SSH) e Port 22 sono utilizzati al momento di eseguire l'installazione push di un agente in un computer Linux.
Requisiti di configurazione
Al fine di eseguire un'installazione push di un agente dalla console Security Controls a un computer Linux, è possibile eseguire la connessione al computer usando l'account radice o l'accesso sudo senza password. Per motivi di sicurezza, l'utilizzo dell'accesso sudo è la procedura consigliata. Per implementare l'accesso Sudo, è necessario accedere manualmente a ciascun computer Linux come radice, richiamare Visudo e quindi eseguire le seguenti operazioni:
•Aggiungere il seguente comando al file.
<installUser> ALL=(ALL) NOPASSWD: /bin/sh /tmp/ivanti-[A-Za-z0-9][A-Za-z0-9][A-Za-z0-9][A-Za-z0-9]/install.sh *
Tale comando utilizza sudo (come fanno i super user) per concedere i privilegi radice alla console, in modo da poter eseguire un'installazione push di un agente nel computer Linux.
•Nel file, cercare una riga che contenga Defaults requiretty e, se esistente, modificarla in Defaults !requiretty.
In questo modo si evita un bug noto del sistema operativo disabilitando il contrassegno requiretty per ogni utente sul computer, abilitando l'esecuzione di Sudo con mezzi diversi dalla sola sessione di accesso. Se si preferisce, è possibile disabilitare il contrassegno per il solo utente di installazione modificandolo in Impostazioni predefinite:><installuser> !requiretty.
Questo contrassegno non è impostato nelle versioni più attuali di Red Hat e CentOS.
Se si sceglie di non utilizzare né l'accesso radice né l'accesso sudo dalla console ai propri computer Linux, è possibile installare manualmente un agente su ciascun computer.
Se i propri computer Linux risiedono in un ambiente disconnesso, è possibile scegliere di eseguire i passaggi di configurazione senza connessione nello stesso momento in cui si configura ciascun computer per l'accesso sudo.
REQUISITI PORTE
Di seguito vengono indicati i requisiti predefiniti per le porte. Svariati numeri delle porte sono configurabili.
In alcuni ambienti chiusi, potrebbe essere necessario consentire specificamente il traffico sull'intervallo di porte dinamiche predefinito: 49152 - 65535.
| Protocollo | Porta | Origine | Destinazione | Crittografato | Descrizione |
|---|---|---|---|---|---|
| UDP | 9 | Console Security Controls | Sistema(i) senza agenti | No | Per Wake-on-LAN (WoL) e segnalazione errori |
| TCP | 22 | Console Security Controls | Sistema(i) agente Linux | Sì | Consente alla console di eseguire un'installazione push di un agente in un computer Linux |
| TCP | 80 |
Console Security Controls |
Server di distribuzione: HTTP |
No |
Necessario per i server di distribuzione al fine di sincronizzare le patch con la console solo in caso di utilizzo di HTTP |
| Console Security Controls | Server di distribuzione: HTTP | No | Necessario per i server di distribuzione al fine di sincronizzare le patch con la console solo in caso di utilizzo di HTTP | ||
| Sistema(i) di agenti | Server di distribuzione: HTTP | No | Necessario per i server di distribuzione al fine di sincronizzare le patch con la console solo in caso di utilizzo di HTTP | ||
| Console Security Controls | Configurazione Patch Repository / Patch | No | Download di patch in assenza di URL HTTPS disponibili | ||
| TCP | 135 | Console Security Controls | Sistema(i) senza agenti | No | Consente il protocollo WMI, richiesto per le analisi asset |
|
UDP e TCP (Oppure sostituire il protocollo TCP 445 per tutte e tre le porte) |
137-138 139 |
Console Security Controls |
Sistema(i) senza agenti |
No |
(Condivisione file Windows/servizi directory) richiesti per il funzionamento dell'analisi senza agenti e della distribuzione |
| Console Security Controls | Server di distribuzione: UNC | No | (Condivisione file Windows/servizi directory) richiesti per il funzionamento dell'analisi senza agenti e della distribuzione | ||
| Sistema(i) di agenti | Server di distribuzione: UNC | No | (Condivisione file Windows/servizi directory) richiesti per il funzionamento dell'analisi senza agenti e della distribuzione | ||
| Sistema(i) senza agenti | Server di distribuzione: UNC | No | (Condivisione file Windows/servizi directory) richiesti per il funzionamento dell'analisi senza agenti e della distribuzione | ||
| TCP | 443 |
Console Security Controls |
Server di distribuzione: HTTPS |
Sì |
Necessario per i server di distribuzione al fine di sincronizzare le patch con la console solo in caso di utilizzo di HTTP (sincronizzazione cloud) |
| Sistema(i) di agenti | Server di distribuzione: HTTPS | Sì | Necessario per i server di distribuzione al fine di sincronizzare le patch con la console solo in caso di utilizzo di HTTP (agenti cloud) | ||
| Console Security Controls | Configurazione Patch Repository / Patch | Sì | Download di patch e contenuto | ||
| Console Security Controls | VMware vCenter | Sì | Utilizzato al momento di effettuare una connessione nel server vCenter | ||
| Console Security Controls | Hypervisor VMware ESXi | Sì | Utilizzato al momento di effettuare una connessione all'hypervisor ESXi | ||
|
TCP (Oppure sostituire con UDP 137-138 e TCP 139) |
445 |
Console Security Controls |
Sistema(i) senza agenti |
Sì (SMBv3) |
(Condivisione file Windows/servizi directory) richiesti per il funzionamento dell'analisi senza agenti e della distribuzione |
| Console Security Controls | Server di distribuzione: UNC | Sì (SMBv3) | (Condivisione file Windows/servizi directory) richiesti per il funzionamento dell'analisi senza agenti e della distribuzione | ||
| Sistema(i) senza agenti | Server di distribuzione: UNC | Sì (SMBv3) |
(Condivisione file Windows/servizi directory) richiesti per il funzionamento dell'analisi senza agenti e della distribuzione |
||
| TCP | 902 | Console Security Controls | VMware vCenter / Hypervisor ESXi | Sì (TLS) | Utilizzato per l'installazione del disco sui computer virtuali e i modelli offline |
| TCP | 3000 | Estensione browser Chrome | Sistema(i) di agenti | Consente la comunicazione dalle estensioni browser a un agente di Controllo applicazioni; configurabile mediante l'impostazione BrowserCommsPort | |
| TCP | 3001 | Browser Chrome | Sistema(i) di agenti | Consente l'installazione dell'estensione di controllo browser Chrome; configurabile mediante l'impostazione BrowserAppStorePort | |
| TCP | 3121 |
Sistema(i) di agenti |
Console Security Controls |
Sì
|
Richiesto per gli aggiornamenti di stato di Deployment Tracker per la distribuzione patch e la comunicazione agente alla console |
|
Sistema(i) senza agenti |
Console Security Controls |
Sì
|
Richiesto per gli aggiornamenti di stato di Deployment Tracker per la distribuzione patch e la comunicazione agente alla console |
||
| TCP | 4155 | Console Security Controls | Sistema(i) di agenti | Sì | Consente agli agenti in ascolto di ricevere comandi dalla console |
| TCP | 5985 | Console Security Controls | Sistema(i) senza agenti | Sì | Consente di utilizzare la funzionalità ITScripts |
Porte configurabili
•TCP 3000: comunicazione dell'estensione browser Chrome con agente AC
•TCP 3001: installazione dell'estensione browser Chrome
•TCP 3121: funzioni di rollup dati
•TCP 4155: agenti in ascolto
•