Requisiti di sistema

Limitazioni

• Sul computer della console è richiesto un file system NTFS
• Se si installa la console su un controller di dominio che utilizza l'autenticazione certificati LDAP, potrebbe essere necessario configurare il server per evitare problematiche in conflitto tra il certificato SSL e il certificato di programma Security Controls.
• Se si installa la console su due o più computer che condividono un database, tutti i computer della console devono presentare identificatori univoci di sicurezza (SID) al fine di prevenire problemi legati alle credenziali degli utenti. È probabile che i computer presentino gli stessi SID in caso di copia di una macchina virtuale o di creazione di un'immagine ghost di un computer.
• Il computer della console deve essere il più possibile aggiornato con le patch prima dell'installazione di Security Controls.

Processore

• Minimo: processore 2 a core da 2 GHz o superiore
• Consigliato: processore a 4 core da 2 GHz o superiore (per licenze da 500 - 2500 postazioni)
• Prestazioni elevate: processore da 8 core da 2 GHz o superiore (per licenze da 10000+ postazioni)
• Valutazione patch senza agente: processore a 8+ core da 2 GHz o superiore

Memoria

• Minimo: 2 GB di RAM
• Consigliato: 4 GB di RAM (per licenze da 500 - 2500 postazioni)
• Prestazioni elevate: 16 GB di RAM (per una licenza da 10000+ postazioni)

Video

• Risoluzione a schermo pari almeno a 1024 x 768
• Consigliati 1280 x 1024 o versione superiore

Spazio su disco

• 500 MB per l'applicazione
• 10 GB minimo, consigliati 100 GB o più per il repository patch

Sistema operativo (uno dei seguenti)

• Famiglia di Windows Server 2022
• Famiglia Windows Server 2019, escluso Server Core e Nano Server (64 bit)
• Famiglia Windows Server 2016, ad eccezione di Server Core e Nano Server (64 bit)
• Famiglia di Windows 11
• Windows 10 v1607 Pro, Enterprise o Education Edition (64 bit)

È possibile utilizzare versioni di Windows 10 precedenti alla v1607, ma è richiesto WMF 5.1, che potrebbe essere necessario installare separatamente. È possibile scaricare WMF 5.1 dal Microsoft Download Center.

Si raccomanda di utilizzare l'ultima versione disponibile, ove possibile.

Database

• Utilizzo di un database Microsoft SQL Server [SQL Server 2014 o versione successiva]

Se non si dispone di un database SQL Server, l'opzione per installare SQL Server Express Edition verrà fornita durante la procedura di installazione dei software prerequisiti.

• Consigliato: Microsoft SQL Server 2016 SP1 o versione successiva
• Dimensioni minime: 30 GB
• Dimensioni medie: (licenza da 500 - 2500 postazioni) 30-60 GB
• Dimensioni azienda: (licenza da 10000+ postazioni) 60-100 GB

Elevata disponibilità SQL

Se configurato in accordo alle procedure consigliate di Microsoft, il mirroring SQL è supportato da Security Controls.

Un server di controllo è necessario per il failover automatico. Senza il server di controllo richiesto un cambiamento manuale.

Il mirroring SQL è supportato su SQL Server 2014 ma non sull'edizione SQL Express.

Prerequisito software

• Utilizzo di Microsoft SQL Server
• Microsoft .NET Framework 4.8 o versione successiva
• Microsoft Visual C++ Redistributable per Visual Studio 2015-2022

Requisiti per l'account Windows

• Al fine di accedere a tutte le funzionalità di Security Controls, è necessario utilizzare un account con privilegi amministrativi.

Requisiti di configurazione

• È necessario aggiungere una serie di URL web ai propri elenchi di eccezioni filtro firewall, proxy e web. GLi URL sono utilizzati da Security Controls per scaricare il contenuto delle patch da fornitori di terze parti.

Per l'elenco completo degli URL da aggiungere, consultare la Community Ivanti (si apre in una nuova finestra).

• Quando si esegue un'analisi degli asset del computer della console, il servizio Strumentazione gestione Windows (WMI, Windows Management Instrumentation) deve essere attivato e l'esecuzione del protocollo deve essere consentita per il computer. In Windows Firewall, il servizio si chiama Windows Management Instrumentation (WMI)/Remote Administration.

Lingue supportate

Vedere l'elenco Lingue sulla finestra di dialogo Visualizza opzioni.

Sistemi operativi (versioni a 32 e a 64 bit di uno qualsiasi dei seguenti)

• Windows Server 2012, Foundation Edition (richiede Microsoft Extended Security Updates (ESU) e una Ivanti ESU – contattare il proprio fornitore Ivanti)
• Windows Server 2012, Essentials Edition (richiede Microsoft Extended Security Updates (ESU) e una Ivanti ESU – contattare il proprio fornitore Ivanti)
• Windows Server 2012, Standard Edition (richiede Microsoft Extended Security Updates (ESU) e una Ivanti ESU – contattare il proprio fornitore Ivanti)
• Windows Server 2012, Datacenter Edition (richiede Microsoft Extended Security Updates (ESU) e una Ivanti ESU – contattare il proprio fornitore Ivanti)
• Windows Server 2012 R2, Essentials Edition (richiede Microsoft Extended Security Updates (ESU) e una Ivanti ESU – contattare il proprio fornitore Ivanti)
• Windows Server 2012 R2, Standard Edition (richiede Microsoft Extended Security Updates (ESU) e una Ivanti ESU – contattare il proprio fornitore Ivanti)
• Windows Server 2012 R2, Datacenter Edition (richiede Microsoft Extended Security Updates (ESU) e una Ivanti ESU – contattare il proprio fornitore Ivanti)
• Windows 10 Pro
• Windows 10 Enterprise
• Windows 10 Education
• Windows Server 2016, Essentials Edition
• Windows Server 2016, Standard Edition (ad esclusione di Nano Server; Server Core supportato con sistema secondario a 32 bit)
• Windows Server 2016, Datacenter Edition (ad esclusione di Nano Server; Server Core supportato con sistema secondario a 32 bit)
• Famiglia di Windows Server 2019 (ad esclusione di Nano Server; Server Core supportato con sistema secondario a 32 bit)
• Famiglia di Windows 11
• Famiglia di Windows Server 2022

Macchine virtuali (immagini virtuali non in linea create da uno dei seguenti elementi)

Applicabile solo per la Gestione patch

• VMware ESXi 6.5 o successivo (VMware Tools è richiesto sulle macchine virtuali)
• VMware vCenter (formalmente VMware VirtualCenter) 6.0 o versione successiva (VMware Tools è richiesto sulle macchine virtuali)
• VMware Workstation 9.0 o versione successiva

Requisiti di configurazione

• Il servizio Registro di sistema remoto deve essere attivato
• Il servizio Server deve essere attivato
• Le porte NetBIOS (TCP 139) o Direct Host (TCP 445) devono essere accessibili
• Il servizio Windows Update non deve essere disabilitato; piuttosto, deve essere impostato su Manuale o Automatico, al fine di distribuire correttamente le patch. Inoltre, l’impostazione Windows Update su ciascun computer di destinazione (Pannello di controllo > Sistema e sicurezza > Windows Update > Modifica impostazioni) deve essere impostato su Non controllare mai la presenza di aggiornamenti.

Se si utilizza Windows 10 o Windows Server 2016, è possibile disattivare gli aggiornamenti automatici selezionando Disabilita configurazione aggiornamenti automatici nell'Editor criteri di gruppo. Fare riferimento alla Guida Microsoft per conoscere le linee guida su altri metodi per disattivare il servizio.

• Le connessioni al Desktop remoto devono essere consentite per permettere alla console di stabilire una connessione RDP con il computer di destinazione.
• Per i requisiti aggiuntivi al momento di eseguire le analisi patch dei computer remoti, vedere Prerequisiti di analisi patch.
• Quando si esegue un'analisi degli asset, il servizio Strumentazione gestione Windows (WMI, Windows Management Instrumentation) deve essere attivato e l'esecuzione del protocollo deve essere consentita per il computer (porta TCP 135). In Windows Firewall, il servizio si chiama Windows Management Instrumentation (WMI)/Remote Administration. Consultare la sezione Requisiti di analisi degli asset per ulteriori informazioni.

Prodotti supportati (per il programma patch)

• Consultare la pagina dei prodotti supportati sul sito Web di Ivanti (si apre in una nuova finestra) per l'elenco aggiornato

Spazio su disco (per il programma patch)

• Spazio su disco uguale a cinque volte le dimensioni delle patch in distribuzione

Lingue supportate (per il programma patch)

Vedere l'elenco Lingua indicatore stato download Vista patch sulla finestra di dialogo Opzioni visualizzazione.

Sui computer degli agenti è richiesto un file system NTFS.

Processore

• CPU da 500 MHz o superiore

Memoria

• Minimo: 256 MB di RAM
• Consigliato: 512 MB di RAM o superiore

Spazio su disco

• 50 MB per il client Security Controls Agent
• Minimo: almeno 2 GB per il repository patch
• Consigliato: 10 GB

Sistemi operativi (uno dei seguenti, escluse le versioni home)

• Famiglia di Windows 10
• Famiglia di Windows 11
• Famiglia Windows Server 2012 (richiede Microsoft Extended Security Updates (ESU) e una Ivanti ESU – contattare il proprio fornitore Ivanti)
• Famiglia Windows Server 2012 R2 (richiede Microsoft Extended Security Updates (ESU) e una Ivanti ESU – contattare il proprio fornitore Ivanti)
• Famiglia Windows Server 2016
• Famiglia Windows Server 2019
• Famiglia di Windows Server 2022

Requisiti di configurazione

• Il servizio Workstation deve essere attivato
• Piattaforme compatibili testate: Community Ivanti (si apre in una nuova finestra)
• Per eseguire il motore dell'interfaccia utente dell'agente Ivanti Security Controls (vedere Utilizzo di un agente su un computer), il computer client richiede .Net v8

Sistemi operativi

Tutte le varianti supportate dal fornitore del nodo server, workstation, client e computer dei seguenti sistemi (solo 64 bit).

Il pacchetto libicu e OpenSSL 1.0.2 o successivo sono necessari per tutte le distribuzioni e versioni.

Senza contenuto

• CentOS 7
• Oracle Linux 7, 8 e 9 (sia Red Hat Compatible Kernel che Unbreakable Enterprise Kernel)

Se un computer ha entrambi i kernel, entrambi vengono analizzati e aggiornati mediante patch. Tuttavia, poiché il kernel non in esecuzione non è in esecuzione e quindi non è vulnerabile, i suoi avvisi sono sempre segnalati come Installato.

• Red Hat Enterprise Linux 7, 8 e 9

Basata sul contenuto

• CentOS 7
• Red Hat Enterprise Linux 7 e 8

Requisiti porte

Secure Shell (SSH) e Port 22 sono utilizzati al momento di eseguire l'installazione push di un agente in un computer Linux.

Requisiti di autenticazione

Il tipo di autenticazione SSH di Autenticazione con password è necessario affinché le connessioni SSH riescano con l'installazione push. Su tutti gli endpoint Linux, assicurarsi che PasswordAuthentication sia impostato su sì in /etc/ssh/sshd_config.

Dopo aver modificato questo file di configurazione, riavviare il servizio sshd affinché la modifica abbia effetto.

Requisiti di configurazione

Al fine di eseguire un'installazione push di un agente dalla console Security Controls a un computer Linux, è possibile eseguire la connessione al computer usando l'account radice o l'accesso sudo senza password. Per motivi di sicurezza, l'utilizzo dell'accesso sudo è la procedura consigliata. Per implementare l'accesso Sudo, è necessario accedere manualmente a ciascun computer Linux come radice, richiamare Visudo e quindi eseguire le seguenti operazioni:

• Aggiungere il seguente comando al file.

<installUser> ALL=(ALL) NOPASSWD: /bin/sh /tmp/ivanti-[A-Za-z0-9][A-Za-z0-9][A-Za-z0-9][A-Za-z0-9]/install.sh *

Tale comando utilizza sudo (come fanno i super user) per concedere i privilegi radice alla console, in modo da poter eseguire un'installazione push di un agente nel computer Linux.

• Nel file, cercare una riga che contenga Defaults requiretty e, se esistente, modificarla in Defaults !requiretty.

In questo modo si evita un bug noto del sistema operativo disabilitando il contrassegno requiretty per ogni utente sul computer, abilitando l'esecuzione di Sudo con mezzi diversi dalla sola sessione di accesso. Se si preferisce, è possibile disabilitare il contrassegno per il solo utente di installazione modificandolo in Impostazioni predefinite:><installuser> !requiretty.

Questo contrassegno non è impostato nelle versioni più attuali di Red Hat e CentOS.

Se si sceglie di non utilizzare né l'accesso radice né l'accesso sudo dalla console ai propri computer Linux, è possibile installare manualmente un agente su ciascun computer.

Se i propri computer Linux risiedono in un ambiente disconnesso, è possibile scegliere di eseguire i passaggi di configurazione senza connessione nello stesso momento in cui si configura ciascun computer per l'accesso sudo.

Di seguito vengono indicati i requisiti predefiniti per le porte. Svariati numeri delle porte sono configurabili.

In alcuni ambienti chiusi, potrebbe essere necessario consentire specificamente il traffico sull'intervallo di porte dinamiche predefinito: 49152 - 65535.

Protocollo	Porta	Origine	Destinazione	Crittografato	Descrizione
UDP	9	Console Security Controls	Sistema(i) senza agenti	No	Per Wake-on-LAN (WoL) e segnalazione errori
TCP	22	Console Security Controls	Sistema(i) agente Linux	Sì	Consente alla console di eseguire un'installazione push di un agente in un computer Linux
TCP	80	Console Security Controls	Server di distribuzione: HTTP	No	Necessario per i server di distribuzione al fine di sincronizzare le patch con la console solo in caso di utilizzo di HTTP
		Console Security Controls	Server di distribuzione: HTTP	No	Necessario per i server di distribuzione al fine di sincronizzare le patch con la console solo in caso di utilizzo di HTTP
		Sistema(i) di agenti	Server di distribuzione: HTTP	No	Necessario per i server di distribuzione al fine di sincronizzare le patch con la console solo in caso di utilizzo di HTTP
		Console Security Controls	Configurazione Patch Repository / Patch	No	Download di patch in assenza di URL HTTPS disponibili
TCP	135	Console Security Controls	Sistema(i) senza agenti	No	Consente il protocollo WMI, richiesto per le analisi asset
UDP e TCP (Oppure sostituire il protocollo TCP 445 per tutte e tre le porte)	137-138 139	Console Security Controls	Sistema(i) senza agenti	No	(Condivisione file Windows/servizi directory) richiesti per il funzionamento dell'analisi senza agenti e della distribuzione
		Console Security Controls	Server di distribuzione: UNC	No	(Condivisione file Windows/servizi directory) richiesti per il funzionamento dell'analisi senza agenti e della distribuzione
		Sistema(i) di agenti	Server di distribuzione: UNC	No	(Condivisione file Windows/servizi directory) richiesti per il funzionamento dell'analisi senza agenti e della distribuzione
		Sistema(i) senza agenti	Server di distribuzione: UNC	No	(Condivisione file Windows/servizi directory) richiesti per il funzionamento dell'analisi senza agenti e della distribuzione
TCP	443	Console Security Controls	Server di distribuzione: HTTPS	Sì	Necessario per i server di distribuzione al fine di sincronizzare le patch con la console solo in caso di utilizzo di HTTP (sincronizzazione cloud)
		Sistema(i) di agenti	Server di distribuzione: HTTPS	Sì	Necessario per i server di distribuzione al fine di sincronizzare le patch con la console solo in caso di utilizzo di HTTP (agenti cloud)
		Console Security Controls	Configurazione Patch Repository / Patch	Sì	Download di patch e contenuto
		Console Security Controls	VMware vCenter	Sì	Utilizzato al momento di effettuare una connessione nel server vCenter
		Console Security Controls	Hypervisor VMware ESXi	Sì	Utilizzato al momento di effettuare una connessione all'hypervisor ESXi
TCP (Oppure sostituire con UDP 137-138 e TCP 139)	445	Console Security Controls	Sistema(i) senza agenti	Sì (SMBv3)	(Condivisione file Windows/servizi directory) richiesti per il funzionamento dell'analisi senza agenti e della distribuzione
		Console Security Controls	Server di distribuzione: UNC	Sì (SMBv3)	(Condivisione file Windows/servizi directory) richiesti per il funzionamento dell'analisi senza agenti e della distribuzione
		Sistema(i) senza agenti	Server di distribuzione: UNC	Sì (SMBv3)	(Condivisione file Windows/servizi directory) richiesti per il funzionamento dell'analisi senza agenti e della distribuzione
TCP	902	Console Security Controls	VMware vCenter / Hypervisor ESXi	Sì (TLS)	Utilizzato per l'installazione del disco sui computer virtuali e i modelli offline
TCP	3000	Estensione browser Chrome	Sistema(i) di agenti		Consente la comunicazione dalle estensioni browser a un agente di Controllo applicazioni; configurabile mediante l'impostazione BrowserCommsPort
TCP	3001	Browser Chrome	Sistema(i) di agenti		Consente l'installazione dell'estensione di controllo browser Chrome; configurabile mediante l'impostazione BrowserAppStorePort
TCP	3121	Sistema(i) di agenti	Console Security Controls	Sì	Richiesto per gli aggiornamenti di stato di Deployment Tracker per la distribuzione patch e la comunicazione agente alla console
		Sistema(i) senza agenti	Console Security Controls	Sì	Richiesto per gli aggiornamenti di stato di Deployment Tracker per la distribuzione patch e la comunicazione agente alla console
TCP	4155	Console Security Controls	Sistema(i) di agenti	Sì	Consente agli agenti in ascolto di ricevere comandi dalla console
TCP	5985	Console Security Controls	Sistema(i) senza agenti	Sì	Consente di utilizzare la funzionalità ITScripts

Porte configurabili

• TCP 3000: comunicazione dell'estensione browser Chrome con agente AC
• TCP 3001: installazione dell'estensione browser Chrome
• TCP 3121: funzioni di rollup dati
• TCP 4155: agenti in ascolto
• TCP 5985:ITScripts

Per Security Controls Cloud, aggiungere i seguenti URL all'elenco delle eccezioni URL consentite:

• isec.ivanticloud.com
• isecagent.blob.core.windows.net

A seconda del proprio utilizzo, potrebbe essere necessario includere altri URL, come indicato in Elenco eccezioni URL per Ivanti Security Controls (si apre in una nuova finestra).