Системные требования
Вы должны выполнить следующие условия во время установки консоли Security Controls консоли и выполнения действий на клиентских компьютерах.
КОНСОЛЬ
Ограничения
- Для работы консоли требуется компьютер с файловой системой NTFS.
- Если вы устанавливаете консоль на контролере домена, который использует аутентификацию сертификата LDAP, вам может потребоваться сконфигурировать сервер для предотвращения конфликтов между сертификатом SSL и сертификатом Security Controls.
- Если вы установите консоль на одном или двух компьютерах, которые совместно используют базу данных, все компьютеры с установленной консолью должны иметь уникальные идентификаторы безопасности (SID) для предотвращения проблем с учетными данными пользователей. Компьютеры, скорее всего, будут иметь одинаковые идентификаторы SID, если вы скопируете виртуальную машину или будете использовать компьютер, созданный с помощью приложения ghost.
- Компьютер консоли должен пройти полное исправление перед установкой Security Controls.
Процессор
- Минимум: 2 процессорных ядра с частой 2 ГГц или быстрее
- Рекомендуется: 4 процессорных ядра с частой 2 ГГц или быстрее (для лицензий на 500 - 2500 рабочих мест)
- Высокая производительность: 8 процессорных ядер с частой 2 ГГц или быстрее (для лицензий на более чем 10000 рабочих мест)
- Оценка исправления без агентов: 8 и более процессорных ядер с частой 2 ГГц или быстрее
Память
- Минимум: 2 ГБ ОЗУ
- Рекомендуется: 4 ГБ ОЗУ (для лицензий на 500 - 2500 рабочих мест)
- Высокая производительность: 16 ГБ ОЗУ (для лицензий на более чем 10000 рабочих мест)
Видео
- Мин. разрешение экрана - 1024 x 768
- Рекомендуется 1280 x 1024 или выше
Место на диске
- 500 МБ для приложения
- Минимум 10 ГБ, для хранилища исправлений рекомендуется 100 ГБ или более
Операционная система (одна из следующих)
- Семейство Windows Server 2022
- Семейство Windows Server 2019, исключая Server Core и Nano Server (64-разрядная версия)
- Семейство Windows Server 2016, исключая Server Core и Nano Server (64-разрядная версия)
- Семейство Windows 11
- Windows 10 Pro, Enterprise или Education Edition (64-разрядная версия)
Рекомендуется по возможности использовать последнюю доступную версию.
База данных
- Использование базы данных Microsoft SQL Server [SQL Server 2014 или новее]
- Рекомендуется: Microsoft SQL Server 2016 SP1 или новее
- Мин. размер: 30 ГБ
- Средний размер: (500 - 2500 рабочих мест) 30 - 60 ГБ
- Размер организации: (Более 10000 рабочих мест) 60 - 100 ГБ
Если у вас нет базы данных SQL Server, можно установить SQL Server Express Edition SP1, установка которой будет предложена во время проверки предварительных условий перед установкой ПО.
SQL высокой доступности
Если установка выполнена в соответствии рекомендациями Microsoft, отражение базы данных SQL поддерживается Security Controls.
Для автоматической отказоустойчивости необходим следящий сервер. Также необходимо переключение вручную без "слежения".
Отражение SQL поддерживается ПО SQL Server 2014, но не версией SQL Express Edition.
Предварительное ПО
- Использование Microsoft SQL Server
- Microsoft .NET Framework 4.8 или новее
- Дистрибутив Microsoft Visual C++ для Visual Studio 2015-2022
Ограничения учетной записи Windows
- Для обеспечения полного доступа к функциям приложения Security Controls вы должны запускать его, используя административные привилегии.
Требования к конфигурации
- Вы должны добавить ряд URL-адресов в списки исключений в вашем брандмауэре, прокси-сервере и в веб-фильтры. URL-адреса используются Security Controls для загрузки данных исправлений от сторонних поставщиков.
- Во время выполнения сканирования активов на компьютере консоли служба WMI (Windows Management Instrumentation) должна быть включена, и на компьютере разрешено использование соответствующего протокола. В брандмауэре Windows эта служба называется Windows Management Instrumentation (WMI)/Remote Administration.
Полный список добавляемых URL-адресов см. на сайте Сообщества пользователей Ivanti (будет открыт в новом окне).
Поддерживаемые языки
См. список Языки в диалоге Параметры отображения.
КЛИЕНТЫ WINDOWS (БЕЗ АГЕНТОВ)
Операционные системы (любые следующие 32- и 64-разрядные версии)
- Windows Server 2012, Foundation Edition (необходимы обновления Microsoft ESU (Extended Security Updates) и Ivanti ESU – обратитесь к вашему поставщику продуктов Ivanti)
- Windows Server 2012, Essentials Edition (необходимы обновления Microsoft ESU (Extended Security Updates) и Ivanti ESU – обратитесь к вашему поставщику продуктов Ivanti)
- Windows Server 2012, Standard Edition (необходимы обновления Microsoft ESU (Extended Security Updates) и Ivanti ESU – обратитесь к вашему поставщику продуктов Ivanti)
- Windows Server 2012, Datacenter Edition (необходимы обновления Microsoft ESU (Extended Security Updates) и Ivanti ESU – обратитесь к вашему поставщику продуктов Ivanti)
- Windows Server 2012 R2, Essentials Edition (необходимы обновления Microsoft ESU (Extended Security Updates) и Ivanti ESU – обратитесь к вашему поставщику продуктов Ivanti)
- Windows Server 2012 R2, Standard Edition (необходимы обновления Microsoft ESU (Extended Security Updates) и Ivanti ESU – обратитесь к вашему поставщику продуктов Ivanti)
- Windows Server 2012 R2, Datacenter Edition (необходимы обновления Microsoft ESU (Extended Security Updates) и Ivanti ESU – обратитесь к вашему поставщику продуктов Ivanti)
- Windows 10 Pro
- Windows 10 Enterprise
- Windows 10 Education
- Windows Server 2016, Essentials Edition
- Windows Server 2016, Standard Edition (исключая Nano Server; Server Core, поддерживаемые с 32-разрядной подсистемой)
- Windows Server 2016, Datacenter Edition (исключая Nano Server; Server Core, поддерживаемые с 32-разрядной подсистемой)
- Семейство Windows Server 2019 (исключая Nano Server; Server Core, поддерживаемые с 32-разрядной подсистемой)
- Семейство Windows 11
- Семейство Windows Server 2022
Виртуальные машины (неактивные виртуальные машины, созданные с помощью одного из следующих приложений)
Используется только для функции управления исправлениями
- VMware ESXi 6.5 или новее (на виртуальных машинах требуется установка VMware Tools)
- VMware vCenter (предыдущее название – VMware VirtualCenter) 6.0 или новее (на виртуальных машинах требуется установка VMware Tools)
- VMware Workstation 9.0 или новее
Требования к конфигурации
- Требуется работа службы удаленного реестра
- Требуется работа службы сервера
- Должны быть доступны порты NetBIOS (TCP 139) или Direct Host (TCP 445)
- Служба обновления Windows не должна быть отключена; для нее должно быть установлено значение Вручную или Автоматически для успешного развертывания исправлений. Кроме того, настройка службы обновления Windows на каждом целевом компьютере (Панель управления > Система и безопасность > Центр обновления Windows > Изменить настройки) должна иметь значение Не проверять наличие обновлений.
-
- Для получения информации о дополнительных требованиях при выполнении сканирования исправлений на удаленных компьютерах см. раздел Предварительные условия сканирования исправлений.
-
Если используется ОС Windows 10 или Windows Server 2016, вы можете выключить функцию автоматического обновления, выбрав Выключить конфигурацию автоматических обновлений в редакторе групповых политик. справку Microsoft для получения инструкций по другим способам выключения службы.
Поддерживаемые продукты (для программы исправления)
- Текущий список см. на странице поддерживаемых продуктов на веб-сайте Ivanti (будет открыт в новом окне)
Место на диске (для программы исправления)
- Свободное место должно быть в пять раз больше размера развертываемых исправлений.
Поддерживаемые языки (для программы исправления)
См. список Язык индикатора вида статуса загрузки исправлений в диалоге Параметры отображения.
КЛИЕНТЫ WINDOWS С АГЕНТАМИ
На компьютерах с агентами должна быть файловая система NTFS.
Процессор
- 500 МГц или быстрее
Память
- Минимум: 256 МБ ОЗУ
- Рекомендуется: 512 МБ ОЗУ или более
Место на диске
- 50 МБ для клиента Security Controls Agent
- Минимум: 2 ГБ или более для хранилища исправлений
- Рекомендуется: 10 КБ
Операционные системы (одна из следующих за исключением версий Home)
- Семейство Windows 10
- Семейство Windows 11
- Семейство серверов Windows Server 2012 (необходимы обновления Microsoft ESU (Extended Security Updates) и Ivanti ESU – обратитесь к вашему поставщику продуктов Ivanti)
- Семейство серверов Windows Server 2012 R2 (необходимы обновления Microsoft ESU (Extended Security Updates) и Ivanti ESU – обратитесь к вашему поставщику продуктов Ivanti)
- Семейство Windows Server 2016
- Семейство Windows Server 2019
- Семейство Windows Server 2022
Требования к конфигурации
- Требуется работа службы рабочей станции
- Совместимые протестированные платформы: Сообщество пользователей Ivanti (будет открыто в новом окне)
КЛИЕНТЫ LINUX С АГЕНТАМИ
Операционные системы
Все поддерживаемые поставщиком варианты узлов сервера, рабочей станции, клиента и компьютера следующих систем (только 64-разрядные).
Пакет libicu и OpenSSL 1.0.2 или новее необходимы для всех дистрибутивов и версий.
Без использования особых данных
- CentOS 7
- Oracle Linux 7, 8 и 9 (Red Hat Compatible Kernel и Unbreakable Enterprise Kernel)
- Red Hat Enterprise Linux 7, 8 и 9
Если на компьютере установлены оба ядра, они оба будут просканированы и исправлены. Однако, так как неактивное ядро неуязвимо, оповещения для него всегда будут указывать исправления как установленные.
С использованием данных
- CentOS 7
- Red Hat Enterprise Linux 7 и 8
Требования к портам
Secure Shell (SSH) и порт 22 во время принудительной установки агента на компьютерах Linux.
Требования к конфигурации
Для отправки и установки агента с консоли Security Controls на компьютер Linux вы можете подключиться к нему с использованием учетной записи root или с помощью беспарольного доступа sudo. Из соображений безопасности рекомендуется использовать доступ с помощью sudo. Для использования среды sudo вы должны вручную войти на каждый компьютер Linux с правами root, вызвать команду visudo и сделать следующее:
- Добавьте в файл следующую команду:
- В файле найдите строку
Defaults requirettyи, если она есть, измените ее наDefaults !requiretty.
<installUser> ALL=(ALL) NOPASSWD: /bin/sh /tmp/ivanti-[A-Za-z0-9][A-Za-z0-9][A-Za-z0-9][A-Za-z0-9]/install.sh *
Эта команда использует команду sudo (super user do) для предоставления прав пользователя root на консоли, чтобы на ней можно было выполнять отправку файлов установки агента на компьютер Linux.
Это позволит избежать известной ошибки операционной системы с помощью отмены установки параметра requiretty у каждого пользователя компьютера, использующего команду sudo из других сред, отличных от сеанса входа в систему. Если необходимо, этот флаг можно выключить для установки только среды пользователя, изменив его на Defaults:><installuser> !requiretty.
Этот флаг не установлен в самых последних версиях ОС Red Hat и CentOS.
Если вы решили не использовать доступ к root или sudo с консоли на ваших компьютерах Linux, вы можете вручную установить агент на каждом компьютере.
Если ваши компьютеры Linux находятся в изолированной среде, вам может потребоваться выполнить действия конфигурации этой среды во время настройки каждого компьютера для доступа с помощью sudo.
ТРЕБОВАНИЯ К ПОРТАМ
Требования к портам по умолчанию: Некоторые номера портов могут быть сконфигурированы.
В некоторых блокированных средах вам также может потребоваться специально разрешить трафик через диапазон динамических портов по умолчанию: 49152 - 65535.
| Протокол | Порт | Источник | Цели | Шифрование | Описание |
|---|---|---|---|---|---|
| UDP | 9 | Консоль Security Controls | Системы без агентов | Нет | Wake-on-LAN (WoL) и отчеты об ошибках |
| TCP | 22 | Консоль Security Controls | Системы Linux с агентами | Да | Используется для отправки файла установки агента с консоли на компьютеры Linux |
| TCP | 80 |
Консоль Security Controls |
Сервер распространения: HTTP |
Нет |
Необходимо для серверов распространения для синхронизации исправлений с консолью и только при использовании HTTP |
| Консоль Security Controls | Сервер распространения: HTTP | Нет | Необходимо для серверов распространения для синхронизации исправлений с консолью и только при использовании HTTP | ||
| Системы с агентами | Сервер распространения: HTTP | Нет | Необходимо для серверов распространения для синхронизации исправлений с консолью и только при использовании HTTP | ||
| Консоль Security Controls | Хранилища исправлений / Конфигурация исправлений | Нет | Загрузка исправлений, когда недоступны URL-адреса HTTPS | ||
| TCP | 135 | Консоль Security Controls | Системы без агентов | Нет | Обеспечивает работу протокола WMI, который необходим во время сканирования активов |
|
UDP и TCP (Или замените TCP 445 для всех трех портов) |
137-138 139 |
Консоль Security Controls |
Системы без агентов |
Нет |
(Службы совместного использования файлов/каталогов Windows) необходимы для работы безагентного сканирования и развертывания. |
| Консоль Security Controls | Сервер распространения: UNC | Нет | (Службы совместного использования файлов/каталогов Windows) необходимы для работы безагентного сканирования и развертывания. | ||
| Системы с агентами | Сервер распространения: UNC | Нет | (Службы совместного использования файлов/каталогов Windows) необходимы для работы безагентного сканирования и развертывания. | ||
| Системы без агентов | Сервер распространения: UNC | Нет | (Службы совместного использования файлов/каталогов Windows) необходимы для работы безагентного сканирования и развертывания. | ||
| TCP | 443 |
Консоль Security Controls |
Сервер распространения: HTTPS |
Да |
Необходимы для серверов распространения для синхронизации исправлений с консолью и только при использовании HTTPS (синхронизация Cloud). |
| Системы с агентами | Сервер распространения: HTTPS | Да | Необходимы для серверов распространения для синхронизации исправлений с консолью и только при использовании HTTPS (агенты Cloud). | ||
| Консоль Security Controls | Хранилища исправлений / Конфигурация исправлений | Да | Загрузка исправлений и данных | ||
| Консоль Security Controls | VMware vCenter | Да | Используется при подключении к серверу vCenter | ||
| Консоль Security Controls | Гипервизор VMware ESXi | Да | Используется при подключении к гипервизору ESXi | ||
|
TCP (или необходимо заменить на UDP 137-138 и TCP 139) |
445 |
Консоль Security Controls |
Системы без агентов |
Да (SMBv3) |
(Службы совместного использования файлов/каталогов Windows) необходимы для работы безагентного сканирования и развертывания. |
| Консоль Security Controls | Сервер распространения: UNC | Да (SMBv3) | (Службы совместного использования файлов/каталогов Windows) необходимы для работы безагентного сканирования и развертывания. | ||
| Системы без агентов | Сервер распространения: UNC | Да (SMBv3) |
(Службы совместного использования файлов/каталогов Windows) необходимы для работы безагентного сканирования и развертывания. |
||
| TCP | 902 | Консоль Security Controls | VMware vCenter / ESXi Hypervisor | Да (TLS) | Используется для подключения дисков к автономным виртуальным машинам и шаблонам. |
| TCP | 3000 | Расширение браузера Chrome | Системы с агентами | Используется для взаимодействия расширений браузера с агентом Application Control. Конфигурируется с помощью настройки BrowserCommsPort. | |
| TCP | 3001 | Браузер Chrome | Системы с агентами | Используется для установки расширения управления браузером Chrome. Конфигурируется с помощью настройки BrowserAppStorePort. | |
| TCP | 3121 |
Системы с агентами |
Консоль Security Controls |
Да
|
Требуется для получения статуса средства отслеживания развертывания для развертывания исправлений и взаимодействия агента с консолью. |
|
Системы без агентов |
Консоль Security Controls |
Да
|
Требуется для получения статуса средства отслеживания развертывания для развертывания исправлений и взаимодействия агента с консолью. |
||
| TCP | 4155 | Консоль Security Controls | Системы с агентами | Да | Используется принимающими агентами для получения команд с консоли. |
| TCP | 5985 | Консоль Security Controls | Системы без агентов | Да | Используется для активации функции ITScripts |
Конфигурируемые порты
- TCP 3000: Взаимодействие расширения браузера Chrome с агентом AC
- TCP 3001: Установка расширения браузера Chrome
- TCP 3121: Функции объединения данных
- TCP 4155: Принимающие агенты
-
URL-АДРЕСА СПИСКА ИСКЛЮЧЕНИЙ
Для сервиса Security Controls Cloud добавьте следующие URL-адреса в список исключений разрешенных URL-адресов:
- isec.ivanticloud.com
- isecagent.blob.core.windows.net
В зависимости от вашей конфигурации вам также может потребоваться включить другие URL-адреса, указанные в списке исключений URL-адресов для ПО Ivanti Security Controls (будет открыт в новом окне).