Instalar e dar suporte a agentes em máquinas baseadas na internet

Esta seção fornece uma recomendação básica para configurar uma política de agente que suporte máquinas fora do ambiente de rede. Essa configuração é ideal para usuários de laptop que ficam frequentemente desconectados da rede, mas estão regularmente conectados à Internet. Também é útil para locais autônomos que não tenham conectividade direta com a rede, mas possuam acesso à Internet.

Nesta solução, seus agentes fazem check-in e recebem atualizações de política a partir da nuvem. Isso é feito usando-se um recurso do Security Controls chamado Sincronização do Security Controls Cloud. Ele permite gerenciar agentes em máquinas que não são capazes de se comunicar diretamente com o console.

Consulte os tópicos a seguir para obter informações básicas sobre a Sincronização do Security Controls Cloud:

Instalação de agentes

Existem duas opções principais para instalar agentes em máquinas localizadas fora do ambiente de rede.

A instalação manual funciona bem se você tiver apenas um pequeno número de máquinas. Contudo, se o número de máquinas for grande, a recomendação é executar as instalações do agente pela nuvem.

Quando processo estiver concluído, todos os agentes devem ser capazes de puxar atualizações de políticas e enviar resultados, tanto interna quanto externamente. Você pode testar isso conectando uma máquina à Internet fora da rede, iniciando manualmente uma verificação e, em seguida, observando os resultados; repita isso dentro da rede.

Configuração da política do agente

  1. No menu principal, selecione Novo > Política de Agente.
  2. Nome da política.
  3. Configure as opções na guia Configurações Gerais.

    4. Você pode configurar as opções de Permitir ao usuário se julgar necessário. A recomendação é desabilitar Cancelar operações, já que a maioria dos usuários (caso saiba) interromperá a análise sempre que souber que ela está em execução, impedindo o agente de executar a tarefa.

    Na área Intervalo de check-in, a recomendação é configurar check-ins frequentes. Isso manterá o agente responsivo às mudanças de política no seu ambiente.

    Na área Local de download de mecanismo, dados e patch, o recomendado é Fornecedor na Internet, já que espera-se que os agentes estejam principalmente fora da rede. Se estiver configurando um número significativo de agentes, você pode habilitar Servidor de Distribuição e Usar fornecedor como fonte de backup. Os agente vão procurar os mecanismos e o arquivo de dados XML mais recentes primeiramente no servidor de distribuição, usando os sites de fornecedores na internet se o servidor de distribuição não estiver disponível.

    Na área Rede, marque a caixa de seleção Sincronizar com o Security Controls Cloud. Isso especifica que o agente terá opção de usar o Security Controls Cloud para recuperar as informações de política mais recentes, permitindo que ele faça a sincronização via nuvem. Esta caixa de seleção fica disponível apenas se o console estiver registrado no Security Controls Cloud. Quando você clica em Salvar e implantar nos agentes, uma cópia da política do agente e todos os componentes necessários são gravados no serviço Security Controls Cloud.

    A opção Agente escuta as atualizações na porta pode ser marcada. Se o fizer, a prática de segurança recomendada é modificar as regras de firewall para bloquear a porta quando estiver fora da rede e abri-la quando estiver dentro da rede.

  4. Na guia Patch, clique em Adicionar uma Tarefa de Patch do Windows, dê um nome a tarefa e configure-a.

    5. Essa política destina-se a proteger a máquina de destino, portanto, na guia Opções de análise e implantação, recomendamos usar Análise de Patches de Segurança como modelo de análise padrão. Você pode usar um modelo personalizado se desejar, mas vamos nos ater à prática de segurança recomendada neste exemplo.

    Verifique se a caixa de seleção Implantar patches está habilitada.

    Selecione um modelo de implantação que especifique o seguinte na guia Reinicialização Pós-Implantação:
    - Reinicializar quando necessário
    - Reinicialização agendada na próxima ocorrência do horário especificado
    - Especificar um horário fora do expediente para não interromper o dia de trabalho dos usuários finais

    Você pode especificar Todos os patches detectados como ausentes, que seria a opção mais segura, ou implantar com base em um Grupo de Patches e marcar a caixa de seleção Além de todos os patches críticos do fornecedor. Essa opção garante que, mesmo que você não tenha aplicado os patches de segurança mais recentes ao grupo de patches, ou o agente não tenha baixado uma lista atualizada, ele ainda implante os patches de segurança críticos liberados nos arquivos de dados XML mais recentes.

    Marque a caixa de seleção Implantar níveis de produto. Você pode implantar todos os níveis de produto identificados como ausentes pela análise ou limitar a implantação apenas aos níveis de produto definidos em um grupo de níveis de produto. Consulte Processo de Implantação de Patches e Níveis de Produto para obter mais informações.

    Na guia Agendar, selecione Diariamente e especifique um horário em que a máquina esteja normalmente ligada, mas em que o tráfego de rede possa ser menor (como a hora do almoço). Normalmente, você pode especificar um dia durante a semana de trabalho. Se você decidir fazer em uma hora do dia que esteja fora do horário comercial normal, é recomendável ativar a caixa de seleção Executar na inicialização se agenda perdida para garantir que a avaliação ocorra mesmo se a última tarefa agendada tiver sido perdida.

  5. Clique em Salvar e atualizar agentes.

Tópicos relacionados