Requisitos do Sistema
Você deve atender aos seguintes requisitos durante a instalação do console do Security Controls e a realização de ações nas máquinas clientes.
CONSOLE
Restrições
•Um sistema de arquivo NTFS é necessário na máquina de console
•Se você instalar o console em um controlador de domínio que usa autenticação de certificado LDAP, talvez seja necessário configurar o servidor para evitar problemas de conflito entre o certificado SSL e o certificado do programa Security Controls.
•Se você instalar o console em duas ou mais máquinas que compartilham um banco de dados, todas as máquinas de console devem ter identificadores de segurança exclusivo (SID) para evitar problemas de credenciais de usuário. Máquinas são susceptíveis de ter o mesmo SID, se você fizer uma cópia de uma máquina virtual ou se você fantasma uma máquina.
•A máquina do console deve ter recebido o maior número de patches possível antes da instalação do Security Controls.
Processador
•Mínimo: 2 núcleos de processamento operando a 2 GHz ou mais rápido
•Recomendado: 4 núcleos de processamento operando a 2 GHz ou mais rápido (para licença de 500 a 2.500 estações)
•Alto desempenho: 8 núcleos de processamento operando a 2 GHz ou mais rápido (para licença de 10.000 ou mais estações)
•Avaliação de patch sem agente: 8 ou mais núcleos de processamento operando a 2 GHz ou mais rápido
Memória
•Mínimo: 2 GB de RAM
•Recomendado: 4GB de RAM (para licença de 500 a 2.500 estações)
•Alto desempenho: 16 GB de RAM (para licença de 10.000 ou mais estações)
Vídeo
•Resolução de tela mínima: 1024 x 768
•Recomendada: 1280 x 1024 ou superior
Espaço em Disco
•500 MB por aplicativo
•Mínimo de 10 GB, recomendados 100 GB ou mais para repositório de patches
Sistema Operacional (um dos seguintes)
•Família Windows Server 2019, exceto Server Core e Nano Server (64 bits)
•Família Windows Server 2016, exceto Server Core e Nano Server (64 bits)
•Família Windows Server 2012 R2 Cumulative Update 1 ou posterior, exceto Server Core (64 bits)
•Família Windows Server 2012, exceto Server Core (64 bits)
•Windows 10 Pro, Enterprise ou Education Edition (64 bits)
•Windows 8.1 Cumulative Update 1 ou posterior, exceto Windows RT (64 bits)
Nota: recomenda-se usar a versão mais recente disponível sempre que possível.
Base de dados
•Use um banco de dados do Microsoft SQL Server [SQL Server 2008 ou posterior]. O SQL Server 2008 não será suportado em versões futuras.
Se você não tiver um banco de dados do SQL Server, a opção de instalar o SQL Server Express Edition será oferecida durante o processo de instalação dos softwares de pré-requisito.
•Recomendado: Microsoft SQL Server 2016 SP1 ou superior.
•Tamanho mínimo: 30 GB
•Tamanho médio: (licença para 500 a 2500 estações) 30 a 60 GB
•Tamanho empresarial: (licença para 10.000 ou mais estações) 60 a 100 GB
Alta disponibilidade do SQL
Se configurado de acordo com as práticas recomendadas da Microsoft, o espelhamento SQL é suportado pelo Security Controls.
Um servidor testemunha é necessário para failover automático. Sem testemunha, é necessária uma troca manual.
O espelhamento SQL é suportado no SQL Server 2012 e no 2014, mas não no SQL Express.
Software de pré-requisito
•Uso do Microsoft SQL Server 2008 ou mais recente
•Microsoft .NET Framework 4.8 ou posterior
•Microsoft Visual C++ Redistribuível para Visual Studio 2013 (necessário para análise de VMs offline)
•Microsoft Visual C++ Redistribuível para Visual Studio 2015-2019
•Windows Management Framework 5.1
Requisitos da conta do Windows
Para acessar todas as funcionalidades do Security Controls, você deve estar usando uma conta com privilégios de administrador.
Requisitos de Configuração
•Você deve adicionar uma série de URLs às suas listas de exceções de firewall, proxy e internet. Os URLs são usados pelo Security Controls para baixar conteúdo de patch de fornecedores terceiros.
Para obter a lista completa dos URL que devem ser adicionados, consulte:
https://forums.ivanti.com/s/article/URL-exception-list-for-Ivanti-Security-Controls
•Ao executar uma análise de ativos da máquina de console, o serviço de Instrumentação de Gerenciamento do Windows (WMI) deve estar habilitado e o protocolo permitido para à máquina. No Firewall do Windows, em máquinas do Windows XP/Windows 2003 o serviço é chamado de Administração Remota e em máquinas mais recentes do Windows, o serviço é chamado Instrumentação de Gerenciamento do Windows (WMI)/Administração Remota.
Idiomas suportados
Consulte a lista de Idiomas no diálogo Opções de Exibição.
CLIENTES WINDOWS (SEM AGENTE)
Sistemas Operacionais (versões de 32 e 64 bits de qualquer dos seguintes)
•Windows 7 Embedded
•Windows 7, Professional Edition
•Windows 7, Enterprise Edition
•Windows 7, Ultimate Edition
•Windows Server 2008, Standard
•Windows Server 2008, Enterprise
•Windows Server 2008, Datacenter
•Windows Server 2008, Standard - Core
•Windows Server 2008, Enterprise - Core
•Windows Server 2008, Datacenter - Core
•Windows Server 2008 R2, Standard
•Windows Server 2008 R2, Enterprise
•Windows Server 2008 R2, Datacenter
•Windows Server 2008 R2, Standard - Core
•Windows Server 2008 R2, Enterprise - Core
•Windows Server 2008 R2, Datacenter - Core
•Windows 8.1
•Windows 8.1 Embedded
•Windows 8.1 Enterprise
•Windows Server 2012, Foundation Edition
•Windows Server 2012, Essentials Edition
•Windows Server 2012, Standard Edition
•Windows Server 2012, Datacenter Edition
•Windows Server 2012 R2, Essentials Edition
•Windows Server 2012 R2, Standard Edition
•Windows Server 2012 R2, Datacenter Edition
•Windows 10 Pro
•Windows 10 Enterprise
•Windows 10 Education
•Windows Server 2016, Essentials Edition
•Windows Server 2016, Standard Edition (excluindo Nano Server; Server Core suportado com subsistema de 32 bits)
•Windows Server 2016, Datacenter Edition (excluindo Nano Server; Server Core suportado com subsistema de 32 bits)
•Família Windows Server 2019 (exceto Nano Server; Server Core suportado com subsistema de 32 bits)
Máquinas Virtuais (imagens virtuais offline criadas por qualquer um dos seguintes itens)
Aplicável somente ao Gerenciamento de Patches
•VMware ESXi 6.0 ou posterior (necessário VMware Tools nas máquinas virtuais)
•VMware vCenter (formalmente VMware VirtualCenter) 6.0 ou mais recente (necessário VMware Tools nas máquinas virtuais)
•VMware Workstation 9.0 ou mais recente
•VMware Player
Requisitos de Configuração
•Serviço de Registro Remoto deve estar executando
•Serviço do Servidor deve estar sendo executado
•Portas de NetBIOS (TCP 139) ou Host Direto (TCP 445) devem ser acessíveis
•O serviço Windows Update não deve estar desabilitado; em vez disso, ele deve estar definido com Manual ou Automático para que tenha sucesso na implantação de patches. Além disso, a configuração do Windows Update em cada máquina-alvo (Painel de Controle > Sistema e segurança > Windows Update > Alterar configurações) deve estar definido como Nunca verificar atualizações.
Nota: se estiver usando Windows 10 ou Windows Server 2016, você pode desabilitar as Atualizações Automáticas selecionando Desabilitar em Configurar Atualizações Automáticas no Editor de Política de Grupo. Consulte a Ajuda da Microsoft para obter orientação sobre outros métodos para desabilitar o serviço.
•
•Para requisitos adicionais ao executar análises de patch em máquinas remotas, consulte Pré-requisitos de Análise de Patch.
•
Os produtos suportados (para programa de patch)
•Consulte https://www.ivanti.com/en-US/support/supported-products para obter a lista atual
Espaço em Disco (para programa de patch)
•Espaço livre igual a cinco vezes o tamanho dos patches sendo implantado
Idiomas Suportados (para programa de patch)
Consulte a lista Idioma do indicador de status de download da exibição de patches no diálogo Opções de Exibição.
CLIENTES WINDOWS RODANDO COM UM AGENTE
Um sistema de arquivo NTFS é necessário na máquina de agente.
Processador
•500 MHz ou CPU mais rápido
Memória
•Mínimo: 256 MB de RAM
•Recomendado: 512 MB de RAM ou mais
Espaço em Disco
•50 MB para o cliente do Security Controls Agent
•Mínimo: 2 GB ou mais para repositório de patches
•Recomendado: 10 GB
Sistemas Operacionais (qualquer um dos seguintes exceto as edições home):
•Windows 7 SP1 ou posterior
•Família Windows 8.1
•Família Windows 10
•Windows Server 2008 R2, SP1 ou posterior com suporte a SHA-2.
•Família Windows Server 2012
•Família Windows Server 2012 R2
•Família Windows Server 2016
•Família Windows Server 2019
Requisitos de Configuração
•Serviço da estação de trabalho deve estar sendo executado
•Plataformas testadas compatíveis: https://forums.ivanti.com/s/article/Ivanti-Security-Controls-Supported-Platforms-Matrix
CLIENTES LINUX RODANDO COM UM AGENTE
Sistemas operacionais
Todas as variantes dos nós Servidor, Estação de Trabalho, Cliente e Computador suportadas pelo fornecedor para os seguintes sistemas.
•Red Hat Enterprise Linux 6 (necessário pacote libicu e OpenSSL 1.0.1 ou posterior)
•CentOS 7 e Red Hat Enterprise Linux 7 (necessário pacote libicu e OpenSSL 1.0.2 ou posterior)
•Red Hat Enterprise Linux 8 (necessário pacote libicu e OpenSSL 1.0.2 ou posterior)
Requisitos de porta
Secure Shell (SSH) e Porta 22 são usados ao instalar o agente via push em uma máquina Linux.
Requisitos de Configuração
Para instalar um agente por push pelo console do Security Controls em uma máquina Linux, você pode conectar a máquina usando uma conta root ou acesso sudo sem senha. Por motivos de segurança, a prática recomendada é usar o acesso sudo. Para implementar o acesso sudo, você deve logar manualmente em cada máquina Linux como root, invocar visudo e fazer o seguinte:
•Adicione o seguinte comando ao arquivo.
<installUser> ALL=(ALL) NOPASSWD: /bin/sh /tmp/ivanti-[A-Za-z0-9][A-Za-z0-9][A-Za-z0-9][A-Za-z0-9]/install.sh *
Esse comando usa o sudo (super user do) para conceder privilégios de root ao console, a fim de que ele possa instalar um agente via push na máquina Linux.
•No arquivo, procure a linha Defaults requiretty e, se ela existir, altere-a para Defaults !requiretty.
Isso contorna um conhecido erro do sistema operacional ao desativar o sinalizador requiretty para cada usuário na máquina, permitindo que o sudo seja executado a partir de outros meios além da sessão de login. Se preferir, você pode alterar para Defaults:><installuser> !requiretty a fim de desativar o sinalizador apenas para o usuário da instalação.
Esse sinalizador não está definido nas versões mais recentes do Red Hat e do CentOS.
Se decidir não usar o acesso root ou sudo do console às máquinas Linux, poderá instalar manualmente um agente em cada máquina.
Se as máquinas Linux residirem em um ambiente desconectado, pode ser útil executar as etapas de configuração desconectada ao mesmo tempo em que configura cada máquina para o acesso sudo.
REQUISITOS DE PORTA
Estes são os requisitos de porta padrão. Vários dos números de porta são configuráveis.
| Protocolo | Porta | Origem | Destino | Criptografado | Descrição |
|---|---|---|---|---|---|
| UDP | 9 | Security Controls Console | Sistema(s) sem agente | Não | Para Wake-on-LAN (WoL) e relatório de erros |
| TCP | 22 | Security Controls Console | Sistema(s) com agente Linux | Sim | Permite ao console instalar via push um agente em uma máquina Linux |
| TCP | 80 |
Security Controls Console |
Servidor de distribuição: HTTP |
Não |
Necessário para os servidores de distribuição sincronizarem patches com o console apenas se estiverem usando HTTP |
| Security Controls Console | Servidor de distribuição: HTTP | Não | Necessário para os servidores de distribuição sincronizarem patches com o console apenas se estiverem usando HTTP | ||
| Sistema(s) com agente | Servidor de distribuição: HTTP | Não | Necessário para os servidores de distribuição sincronizarem patches com o console apenas se estiverem usando HTTP | ||
| Security Controls Console | Repositórios de patch / configuração de patch | Não | Download patch quando URLs HTTPS não estão disponíveis | ||
| TCP | 135 | Security Controls Console | Sistema(s) sem agente | Não | Permite o protocolo WMI, que é necessário para análises de ativos |
|
UDP e TCP (Ou use TCP 445 em todas as três portas) |
137-138 139 |
Security Controls Console |
Sistema(s) sem agente |
Não |
(Compartilhamento de arquivos/serviços de diretório do Windows) necessário para que a análise sem agente e a implantação funcionem |
| Security Controls Console | Servidor de distribuição: UNC | Não | (Compartilhamento de arquivos/serviços de diretório do Windows) necessário para que a análise sem agente e a implantação funcionem | ||
| Sistema(s) com agente | Servidor de distribuição: UNC | Não | (Compartilhamento de arquivos/serviços de diretório do Windows) necessário para que a análise sem agente e a implantação funcionem | ||
| Sistema(s) sem agente | Servidor de distribuição: UNC | Não | (Compartilhamento de arquivos/serviços de diretório do Windows) necessário para que a análise sem agente e a implantação funcionem | ||
| TCP | 443 |
Security Controls Console |
Servidor de distribuição: HTTPS |
Não |
Necessário para servidores de distribuição sincronizarem patches com o console; apenas se estiverem usando HTTPS (Sincr. Cloud) |
| Sistema(s) com agente | Servidor de distribuição: HTTPS | Não | Necessário para servidores de distribuição sincronizarem patches com o console; apenas se estiverem usando HTTPS (agentes Cloud) | ||
| Security Controls Console | Repositórios de patch / configuração de patch | Nenhum | Download de patch e conteúdo | ||
| Security Controls Console | VMware vCenter | Não | Usado ao fazer conexão com o vCenter Server | ||
| Security Controls Console | Hipervisor ESXi VMware | Não | Usado ao fazer conexão com o hipervisor ESXi | ||
|
TCP (Ou substitua por UDP 137-138 e TCP 139) |
445 |
Security Controls Console |
Sistema(s) sem agente |
Sim (SMBv3) |
(Compartilhamento de arquivos/serviços de diretório do Windows) necessário para que a análise sem agente e a implantação funcionem |
| Security Controls Console | Servidor de distribuição: UNC | Sim (SMBv3) | (Compartilhamento de arquivos/serviços de diretório do Windows) necessário para que a análise sem agente e a implantação funcionem | ||
| Sistema(s) sem agente | Servidor de distribuição: UNC | Sim (SMBv3) |
(Compartilhamento de arquivos/serviços de diretório do Windows) necessário para que a análise sem agente e a implantação funcionem |
||
| TCP | 902 | Security Controls Console | VMware vCenter / Hipervisor ESXi | Sim (TLS) | Usado para montagem de disco em máquinas virtuais offline e modelos |
| TCP | 3000 | Extensão do navegador Chrome | Sistema(s) com agente | Permite comunicação de extensões do navegador com o agente do Application Control; configurável pelo parâmetro BrowserCommsPort | |
| TCP | 3001 | Navegador Chrome | Sistema(s) com agente | Permite que a extensão do controle de navegador do Chrome seja instalada; configurável pelo parâmetro BrowserAppStorePort | |
| TCP | 3121 |
Sistema(s) com agente |
Security Controls Console |
Sim
|
Necessário em atualizações de status do Rastreador de Implantação para implantação de patch e comunicação do agente de volta ao console |
|
Sistema(s) sem agente |
Security Controls Console |
Sim
|
Necessário em atualizações de status do Rastreador de Implantação para implantação de patch e comunicação do agente de volta ao console |
||
| TCP | 4155 | Security Controls Console | Sistema(s) com agente | Sim | Permite que agentes ouvintes recebam comandos do console |
| TCP | 5120 | Security Controls Console | Sistema(s) sem agente | Sim | Permite que o agendador receba comandos da máquina do console para implantações sem agente |
| TCP | 5985 | Security Controls Console | Sistema(s) sem agente | Sim | Permite que você use o recurso ITScripts |
Portas configuráveis
•TCP 3000: comunicação da extensão do navegador Chrome com o agente AC
•TCP 3001: Instalação da extensão do navegador Chrome
•TCP 3121: Funções de rollup de dados
•TCP 4155: Agentes ouvintes
•TCP 5120: Agendador
•TCP 5985: ITScripts