Requisitos do Sistema

Você deve atender aos seguintes requisitos durante a instalação do console do Security Controls e a realização de ações nas máquinas clientes.

Restrições

  • Um sistema de arquivo NTFS é necessário na máquina de console
  • Se você instalar o console em um controlador de domínio que usa autenticação de certificado LDAP, talvez seja necessário configurar o servidor para evitar problemas de conflito entre o certificado SSL e o certificado do programa Security Controls.
  • Se você instalar o console em duas ou mais máquinas que compartilham um banco de dados, todas as máquinas de console devem ter identificadores de segurança exclusivo (SID) para evitar problemas de credenciais de usuário. Máquinas são susceptíveis de ter o mesmo SID, se você fizer uma cópia de uma máquina virtual ou se você fantasma uma máquina.
  • A máquina do console deve ter recebido o maior número de patches possível antes da instalação do Security Controls.

Processador

  • Mínimo: 2 núcleos de processamento operando a 2 GHz ou mais rápido
  • Recomendado: 4 núcleos de processamento operando a 2 GHz ou mais rápido (para licença de 500 a 2.500 estações)
  • Alto desempenho: 8 núcleos de processamento operando a 2 GHz ou mais rápido (para licença de 10.000 ou mais estações)
  • Avaliação de patch sem agente: 8 ou mais núcleos de processamento operando a 2 GHz ou mais rápido

Memória

  • Mínimo: 2 GB de RAM
  • Recomendado: 4GB de RAM (para licença de 500 a 2.500 estações)
  • Alto desempenho: 16 GB de RAM (para licença de 10.000 ou mais estações)

Vídeo

  • Resolução de tela mínima: 1024 x 768
  • Recomendada: 1280 x 1024 ou superior

Espaço em Disco

  • 500 MB por aplicativo
  • Mínimo de 10 GB, recomendados 100 GB ou mais para repositório de patches

Sistema Operacional (um dos seguintes)

  • Família Windows Server 2022
  • Família Windows Server 2019, exceto Server Core e Nano Server (64 bits)
  • Família Windows Server 2016, exceto Server Core e Nano Server (64 bits)
  • Família Windows 11
  • Windows 10 v1607 Pro, Enterprise ou Education Edition (64 bits)

    • Você pode usar versões do Windows 10 anteriores à v1607, mas é necessário o WMF 5.1, que pode ser necessário instalar separadamente. Você pode baixar o WMF 5.1 no Centro de Download da Microsoft.

Recomenda-se usar a versão mais recente disponível sempre que possível.

Base de dados

  • Uso de um banco de dados Microsoft SQL Server [SQL Server 2014 ou posterior]

    • Se você não tiver um banco de dados do SQL Server, a opção de instalar o SQL Server Express Edition será oferecida durante o processo de instalação dos softwares de pré-requisito.

  • Recomendado: Microsoft SQL Server 2016 SP1 ou superior
  • Tamanho mínimo: 30 GB
  • Tamanho médio: (licença para 500 a 2500 estações) 30 a 60 GB
  • Tamanho empresarial: (licença para 10.000 ou mais estações) 60 a 100 GB

Alta disponibilidade do SQL

Se configurado de acordo com as práticas recomendadas da Microsoft, o espelhamento SQL é suportado pelo Security Controls.

Um servidor testemunha é necessário para failover automático. Sem testemunha, é necessária uma troca manual.

O espelhamento SQL é suportado no SQL Server 2014, mas não no SQL Express.

Software de pré-requisito

  • Uso de Microsoft SQL Server
  • Microsoft .NET Framework 4.8 ou posterior
  • Microsoft Visual C++ Redistribuível para Visual Studio 2015-2022

Requisitos da conta do Windows

  • Para acessar todas as funcionalidades do Security Controls, você deve estar usando uma conta com privilégios de administrador.

Requisitos de Configuração

  • Você deve adicionar uma série de URLs às suas listas de exceções de firewall, proxy e internet. Os URLs são usados pelo Security Controls para baixar conteúdo de patch de fornecedores terceiros.

    • Para obter a lista completa de URLs que você deve adicionar, consulte a Comunidade Ivanti (abre em nova janela).

  • Ao executar uma análise de ativos da máquina de console, o serviço de Instrumentação de Gerenciamento do Windows (WMI) deve estar habilitado e o protocolo permitido para à máquina. No Firewall do Windows, o serviço se chama Instrumentação de Gerenciamento do Windows (WMI)/Administração Remota.

Idiomas suportados

Consulte a lista de Idiomas no diálogo Opções de Exibição.

Sistemas Operacionais (versões de 32 e 64 bits de qualquer dos seguintes)

  • Windows Server 2012, Foundation Edition (requer Microsoft Extended Security Updates (ESU) e uma Ivanti ESU – contate seu fornecedor Ivanti)
  • Windows Server 2012, Essentials Edition (requer Microsoft Extended Security Updates (ESU) e uma Ivanti ESU – contate seu fornecedor Ivanti)
  • Windows Server 2012, Standard Edition (requer Microsoft Extended Security Updates (ESU) e uma Ivanti ESU – contate seu fornecedor Ivanti)
  • Windows Server 2012, Datacenter Edition (requer Microsoft Extended Security Updates (ESU) e uma Ivanti ESU – contate seu fornecedor Ivanti)
  • Windows Server 2012 R2, Essentials Edition (requer Microsoft Extended Security Updates (ESU) e uma Ivanti ESU – contate seu fornecedor Ivanti)
  • Windows Server 2012 R2, Standard Edition (requer Microsoft Extended Security Updates (ESU) e uma Ivanti ESU – contate seu fornecedor Ivanti)
  • Windows Server 2012 R2, Datacenter Edition (requer Microsoft Extended Security Updates (ESU) e uma Ivanti ESU – contate seu fornecedor Ivanti)
  • Windows 10 Pro
  • Windows 10 Enterprise
  • Windows 10 Education
  • Windows Server 2016, Essentials Edition
  • Windows Server 2016, Standard Edition (excluindo Nano Server; Server Core suportado com subsistema de 32 bits)
  • Windows Server 2016, Datacenter Edition (excluindo Nano Server; Server Core suportado com subsistema de 32 bits)
  • Família Windows Server 2019 (exceto Nano Server; Server Core suportado com subsistema de 32 bits)
  • Família Windows 11
  • Família Windows Server 2022

Máquinas Virtuais (imagens virtuais offline criadas por qualquer um dos seguintes itens)

Aplicável somente ao Gerenciamento de Patches

  • VMware ESXi 6.5 ou posterior (necessário VMware Tools nas máquinas virtuais)
  • VMware vCenter (formalmente VMware VirtualCenter) 6.0 ou mais recente (necessário VMware Tools nas máquinas virtuais)
  • VMware Workstation 9.0 ou mais recente

Requisitos de Configuração

  • Serviço de Registro Remoto deve estar executando
  • Serviço do Servidor deve estar sendo executado
  • Portas de NetBIOS (TCP 139) ou Host Direto (TCP 445) devem ser acessíveis
  • O serviço Windows Update não deve estar desabilitado; em vez disso, ele deve estar definido com Manual ou Automático para que tenha sucesso na implantação de patches. Além disso, a configuração do Windows Update em cada máquina-alvo (Painel de Controle > Sistema e segurança > Windows Update > Alterar configurações) deve estar definido como Nunca verificar atualizações.

    • Se estiver usando Windows 10 ou Windows Server 2016, você pode desabilitar as Atualizações Automáticas selecionando Desabilitar em Configurar Atualizações Automáticas no Editor de Política de Grupo. Consulte a Ajuda da Microsoft para obter orientação sobre outros métodos para desabilitar o serviço.

  • Conexões de Desktop Remotas devem ser permitidas para o console fazer uma conexão RDP com a máquina-alvo.
  • Para requisitos adicionais ao executar análises de patch em máquinas remotas, consulte Pré-requisitos de Análise de Patch.
  • Ao executar uma análise de ativos, o serviço de Instrumentação de Gerenciamento do Windows (WMI) deve estar habilitado e o protocolo permitido para à máquina (porta TCP 135). No Firewall do Windows, o serviço se chama Instrumentação de Gerenciamento do Windows (WMI)/Administração Remota. Consulte Requisitos de Análise de Ativos para obter mais detalhes.

Os produtos suportados (para programa de patch)

Espaço em Disco (para programa de patch)

  • Espaço livre igual a cinco vezes o tamanho dos patches sendo implantado

Idiomas Suportados (para programa de patch)

Consulte a lista Idioma do indicador de status de download da exibição de patches no diálogo Opções de Exibição.

Um sistema de arquivo NTFS é necessário na máquina de agente.

Processador

  • 500 MHz ou CPU mais rápido

Memória

  • Mínimo: 256 MB de RAM
  • Recomendado: 512 MB de RAM ou mais

Espaço em Disco

  • 50 MB para o cliente do Security Controls Agent
  • Mínimo: 2 GB ou mais para repositório de patches
  • Recomendado: 10 GB

Sistemas Operacionais (qualquer um dos seguintes exceto as edições home):

Requisitos de Configuração

Sistemas operacionais

Todas as variantes dos nós Servidor, Estação de Trabalho, Cliente e Computador suportadas pelo fornecedor para os seguintes sistemas.

O pacote libicu e o OpenSSL 1.0.2 ou posterior são necessários para todas as distribuições e versões.

Sem conteúdo

  • CentOS 7
  • Oracle Linux 7, 8 e 9 (Red Hat Compatible Kernel e Unbreakable Enterprise Kernel)

    • Se a máquina tiver ambos os kernels, ambos serão verificados e corrigidos. No entanto, como o kernel inativo não está em execução e, portanto, não está vulnerável, seus avisos são sempre relatados como Instalados.

  • Red Hat Enterprise Linux 7, 8 e 9

Baseado em conteúdo

  • CentOS 7
  • Red Hat Enterprise Linux 7 e 8

Requisitos de porta

Secure Shell (SSH) e Porta 22 são usados ao instalar o agente via push em uma máquina Linux.

Requisitos de autenticação

O tipo de autenticação SSH da Autenticação de Senha é necessário para que as conexões SSH sejam bem-sucedidas na instalação por push. Em todos os pontos de extremidade Linux, certifique-se de que PasswordAuthentication esteja definido como yes em /etc/ssh/sshd_config.

Após editar esse arquivo de configuração, reinicie o serviço sshd para que a alteração tenha efeito.

Requisitos de Configuração

Para instalar um agente por push pelo console do Security Controls em uma máquina Linux, você pode conectar a máquina usando uma conta root ou acesso sudo sem senha. Por motivos de segurança, a prática recomendada é usar o acesso sudo. Para implementar o acesso sudo, você deve logar manualmente em cada máquina Linux como root, invocar visudo e fazer o seguinte:

  • Adicione o seguinte comando ao arquivo.

    • <installUser> ALL=(ALL) NOPASSWD: /bin/sh /tmp/ivanti-[A-Za-z0-9][A-Za-z0-9][A-Za-z0-9][A-Za-z0-9]/install.sh *

    Esse comando usa o sudo (super user do) para conceder privilégios de root ao console, a fim de que ele possa instalar um agente via push na máquina Linux.

  • No arquivo, procure a linha Defaults requiretty e, se ela existir, altere-a para Defaults !requiretty.

    • Isso contorna um conhecido erro do sistema operacional ao desativar o sinalizador requiretty para cada usuário na máquina, permitindo que o sudo seja executado a partir de outros meios além da sessão de login. Se preferir, você pode alterar para Defaults:><installuser> !requiretty a fim de desativar o sinalizador apenas para o usuário da instalação.

    Esse sinalizador não está definido nas versões mais recentes do Red Hat e do CentOS.

    Se decidir não usar o acesso root ou sudo do console às máquinas Linux, poderá instalar manualmente um agente em cada máquina.

Se as máquinas Linux residirem em um ambiente desconectado, pode ser útil executar as etapas de configuração desconectada ao mesmo tempo em que configura cada máquina para o acesso sudo.

Estes são os requisitos de porta padrão. Vários dos números de porta são configuráveis.

Em alguns ambientes bloqueados, também poderá ser necessário permitir expressamente o tráfego no intervalo padrão de portas dinâmicas: 49152 - 65535.

Protocolo Porta Origem Destino Criptografado Descrição
UDP 9 Security Controls Console Sistema(s) sem agente Não Para Wake-on-LAN (WoL) e relatório de erros
TCP 22 Security Controls Console Sistema(s) com agente Linux Sim Permite ao console instalar via push um agente em uma máquina Linux
TCP 80

Security Controls Console

Servidor de distribuição: HTTP

Não

Necessário para os servidores de distribuição sincronizarem patches com o console apenas se estiverem usando HTTP
Security Controls Console Servidor de distribuição: HTTP Não Necessário para os servidores de distribuição sincronizarem patches com o console apenas se estiverem usando HTTP
Sistema(s) com agente Servidor de distribuição: HTTP Não Necessário para os servidores de distribuição sincronizarem patches com o console apenas se estiverem usando HTTP
Security Controls Console Repositórios de patch / configuração de patch Não Download patch quando URLs HTTPS não estão disponíveis
TCP 135 Security Controls Console Sistema(s) sem agente Não Permite o protocolo WMI, que é necessário para análises de ativos

UDP e

TCP

(Ou use TCP 445 em todas as três portas)

137-138

139

Security Controls Console

Sistema(s) sem agente

Não

(Compartilhamento de arquivos/serviços de diretório do Windows) necessário para que a análise sem agente e a implantação funcionem
Security Controls Console Servidor de distribuição: UNC Não (Compartilhamento de arquivos/serviços de diretório do Windows) necessário para que a análise sem agente e a implantação funcionem
Sistema(s) com agente Servidor de distribuição: UNC Não (Compartilhamento de arquivos/serviços de diretório do Windows) necessário para que a análise sem agente e a implantação funcionem
Sistema(s) sem agente Servidor de distribuição: UNC Não (Compartilhamento de arquivos/serviços de diretório do Windows) necessário para que a análise sem agente e a implantação funcionem
TCP 443

Security Controls Console

Servidor de distribuição: HTTPS

Sim

Necessário para servidores de distribuição sincronizarem patches com o console; apenas se estiverem usando HTTPS (Sincr. Cloud)
Sistema(s) com agente Servidor de distribuição: HTTPS Sim Necessário para servidores de distribuição sincronizarem patches com o console; apenas se estiverem usando HTTPS (agentes Cloud)
Security Controls Console Repositórios de patch / configuração de patch Sim Download de patch e conteúdo
Security Controls Console VMware vCenter Sim Usado ao fazer conexão com o vCenter Server
Security Controls Console Hipervisor ESXi VMware Sim Usado ao fazer conexão com o hipervisor ESXi

TCP

(Ou substitua por UDP 137-138 e TCP 139)

 445

Security Controls Console

Sistema(s) sem agente

Sim (SMBv3)

(Compartilhamento de arquivos/serviços de diretório do Windows) necessário para que a análise sem agente e a implantação funcionem
Security Controls Console Servidor de distribuição: UNC Sim (SMBv3) (Compartilhamento de arquivos/serviços de diretório do Windows) necessário para que a análise sem agente e a implantação funcionem
Sistema(s) sem agente Servidor de distribuição: UNC Sim (SMBv3)

(Compartilhamento de arquivos/serviços de diretório do Windows) necessário para que a análise sem agente e a implantação funcionem
TCP 902 Security Controls Console VMware vCenter / Hipervisor ESXi Sim (TLS) Usado para montagem de disco em máquinas virtuais offline e modelos
TCP 3000 Extensão do navegador Chrome Sistema(s) com agente   Permite comunicação de extensões do navegador com o agente do Application Control; configurável pelo parâmetro BrowserCommsPort
TCP 3001 Navegador Chrome Sistema(s) com agente   Permite que a extensão do controle de navegador do Chrome seja instalada; configurável pelo parâmetro BrowserAppStorePort
TCP 3121

Sistema(s) com agente

Security Controls Console

Sim

 

Necessário em atualizações de status do Rastreador de Implantação para implantação de patch e comunicação do agente de volta ao console

Sistema(s) sem agente

Security Controls Console

Sim

 

Necessário em atualizações de status do Rastreador de Implantação para implantação de patch e comunicação do agente de volta ao console
TCP 4155 Security Controls Console Sistema(s) com agente Sim Permite que agentes ouvintes recebam comandos do console
TCP 5985 Security Controls Console Sistema(s) sem agente Sim Permite que você use o recurso ITScripts

Portas configuráveis

Para o Security Controls Cloud, adicione os seguintes URLs à sua lista de exceções de URL permitidas:

  • isec.ivanticloud.com
  • isecagent.blob.core.windows.net

Dependendo do seu uso, também é preciso incluir outros URLs, conforme apresentado em Lista de exceções de URL para Ivanti Security Controls (abre em uma nova janela).