Системные требования
Вы должны выполнить следующие условия во время установки консоли Security Controls консоли и выполнения действий на клиентских компьютерах.
КОНСОЛЬ
Ограничения
•Для работы консоли требуется компьютер с файловой системой NTFS.
•Если вы устанавливаете консоль на контролере домена, который использует аутентификацию сертификата LDAP, вам может потребоваться сконфигурировать сервер для предотвращения конфликтов между сертификатом SSL и сертификатом Security Controls.
•Если вы установите консоль на одном или двух компьютерах, которые совместно используют базу данных, все компьютеры с установленной консолью должны иметь уникальные идентификаторы безопасности (SID) для предотвращения проблем с учетными данными пользователей. Компьютеры, скорее всего, будут иметь одинаковые идентификаторы SID, если вы скопируете виртуальную машину или будете использовать компьютер, созданный с помощью приложения ghost.
•Компьютер консоли должен пройти полное исправление перед установкой Security Controls.
Процессор
•Минимум: 2 процессорных ядра с частой 2 ГГц или быстрее
•Рекомендуется: 4 процессорных ядра с частой 2 ГГц или быстрее (для лицензий на 500 - 2500 рабочих мест)
•Высокая производительность: 8 процессорных ядер с частой 2 ГГц или быстрее (для лицензий на более чем 10000 рабочих мест)
•Оценка исправления без агентов: 8 и более процессорных ядер с частой 2 ГГц или быстрее
Память
•Минимум: 2 ГБ ОЗУ
•Рекомендуется: 4 ГБ ОЗУ (для лицензий на 500 - 2500 рабочих мест)
•Высокая производительность: 16 ГБ ОЗУ (для лицензий на более чем 10000 рабочих мест)
Видео
•Мин. разрешение экрана - 1024 x 768
•Рекомендуется 1280 x 1024 или выше
Место на диске
•500 МБ для приложения
•Минимум 10 ГБ, для хранилища исправлений рекомендуется 100 ГБ или более
Операционная система (одна из следующих)
•Семейство Windows Server 2022
•Семейство Windows Server 2019, исключая Server Core и Nano Server (64-разрядная версия)
•Семейство Windows Server 2016, исключая Server Core и Nano Server (64-разрядная версия)
•Семейство Windows Server 2012 R2, накопительный пакет обновления 1 или новее, исключая Server Core (64-разрядная версия)
•Семейство Windows Server 2012, исключая Server Core (64-разрядная версия)
•Семейство Windows 11
•Windows 10 Pro, Enterprise или Education Edition (64-разрядная версия)
Примечание: Рекомендуется по возможности использовать последнюю доступную версию. Завершение поддержки Windows Server 2012 R2 запланировано на конец 2023 г.
База данных
•Использование базы данных Microsoft SQL Server [SQL Server 2012 или новее]
Если у вас нет базы данных SQL Server, можно установить SQL Server Express Edition SP1, установка которой будет предложена во время проверки предварительных условий перед установкой ПО.
•Рекомендуется: Microsoft SQL Server 2016 SP1 или новее
•Мин. размер: 30 ГБ
•Средний размер: (500 - 2500 рабочих мест) 30 - 60 ГБ
•Размер организации: (Более 10000 рабочих мест) 60 - 100 ГБ
SQL высокой доступности
Если установка выполнена в соответствии рекомендациями Microsoft, отражение базы данных SQL поддерживается Security Controls.
Для автоматической отказоустойчивости необходим следящий сервер. Также необходимо переключение вручную без "слежения".
Отражение SQL поддерживается ПО SQL Server 2012 и 2014, но не версией SQL Express Edition.
Предварительное ПО
•Использование Microsoft SQL Server 2012 или новее
•Microsoft .NET Framework 4.8 или новее
•Дистрибутив Microsoft Visual C++ для Visual Studio 2013 (требуется для автономного сканирования виртуальных машин)
•Дистрибутив Microsoft Visual C++ для Visual Studio 2015-2022
•Windows Management Framework 5.1
Ограничения учетной записи Windows
Для обеспечения полного доступа к функциям приложения Security Controls вы должны запускать его, используя административные привилегии.
Требования к конфигурации
•Вы должны добавить ряд URL-адресов в списки исключений в вашем брандмауэре, прокси-сервере и в веб-фильтры. URL-адреса используются Security Controls для загрузки данных исправлений от сторонних поставщиков.
Полный список добавляемых URL-адресов:
https://forums.ivanti.com/s/article/URL-exception-list-for-Ivanti-Security-Controls
•Во время выполнения сканирования активов на компьютере консоли служба WMI (Windows Management Instrumentation) должна быть включена, и на компьютере разрешено использование соответствующего протокола. В брандмауэре Windows на компьютерах под управлением Windows XP/Windows 2003 служба называется Remote Administration, а в более новых версиях версиях Windows служба называется Windows Management Instrumentation (WMI)/Remote Administration.
Поддерживаемые языки
См. список Языки в диалоге Параметры отображения.
КЛИЕНТЫ WINDOWS (БЕЗ АГЕНТОВ)
Операционные системы (любые следующие 32- и 64-разрядные версии)
•Windows 7 Embedded
•Windows 7, Professional Edition
•Windows 7, Enterprise Edition
•Windows 7, Ultimate Edition
•Windows Server 2008, Standard
•Windows Server 2008, Enterprise
•Windows Server 2008, Datacenter
•Windows Server 2008, Standard - Core
•Windows Server 2008, Enterprise - Core
•Windows Server 2008, Datacenter - Core
•Windows Server 2008 R2, Standard
•Windows Server 2008 R2, Enterprise
•Windows Server 2008 R2, Datacenter
•Windows Server 2008 R2, Standard - Core
•Windows Server 2008 R2, Enterprise - Core
•Windows Server 2008 R2, Datacenter - Core
•Windows 8.1
•Windows 8.1 Embedded
•Windows 8.1 Enterprise
•Windows Server 2012, Foundation Edition
•Windows Server 2012, Essentials Edition
•Windows Server 2012, Standard Edition
•Windows Server 2012, Datacenter Edition
•Windows Server 2012 R2, Essentials Edition
•Windows Server 2012 R2, Standard Edition
•Windows Server 2012 R2, Datacenter Edition
•Windows 10 Pro
•Windows 10 Enterprise
•Windows 10 Education
•Windows Server 2016, Essentials Edition
•Windows Server 2016, Standard Edition (исключая Nano Server; Server Core, поддерживаемые с 32-разрядной подсистемой)
•Windows Server 2016, Datacenter Edition (исключая Nano Server; Server Core, поддерживаемые с 32-разрядной подсистемой)
•Семейство Windows Server 2019 (исключая Nano Server; Server Core, поддерживаемые с 32-разрядной подсистемой)
•Семейство Windows 11
•Семейство Windows Server 2022
Виртуальные машины (неактивные виртуальные машины, созданные с помощью одного из следующих приложений)
Используется только для функции управления исправлениями
•VMware ESXi 6.0 или новее (на виртуальных машинах требуется установка VMware Tools)
•VMware vCenter (предыдущее название – VMware VirtualCenter) 6.0 или новее (на виртуальных машинах требуется установка VMware Tools)
•VMware Workstation 9.0 или новее
•VMware Player
Требования к конфигурации
•Требуется работа службы удаленного реестра
•Требуется работа службы сервера
•Должны быть доступны порты NetBIOS (TCP 139) или Direct Host (TCP 445)
•Служба обновления Windows не должна быть отключена; для нее должно быть установлено значение Вручную или Автоматически для успешного развертывания исправлений. Кроме того, настройка службы обновления Windows на каждом целевом компьютере (Панель управления > Система и безопасность > Центр обновления Windows > Изменить настройки) должна иметь значение Не проверять наличие обновлений.
Примечание: Если используется ОС Windows 10 или Windows Server 2016, вы можете выключить функцию автоматического обновления, выбрав Выключить конфигурацию автоматических обновлений в редакторе групповых политик. См. справку Microsoft для получения инструкций по другим способам выключения службы.
•
•Для получения информации о дополнительных требованиях при выполнении сканирования исправлений на удаленных компьютерах см. раздел Предварительные условия сканирования исправлений.
•
Поддерживаемые продукты (для программы исправления)
•См. текущий список на странице https://www.ivanti.com/en-US/support/supported-products
Место на диске (для программы исправления)
•Свободное место должно быть в пять раз больше размера развертываемых исправлений.
Поддерживаемые языки (для программы исправления)
См. список Язык индикатора вида статуса загрузки исправлений в диалоге Параметры отображения.
КЛИЕНТЫ WINDOWS С АГЕНТАМИ
На компьютерах с агентами должна быть файловая система NTFS.
Процессор
•500 МГц или быстрее
Память
•Минимум: 256 МБ ОЗУ
•Рекомендуется: 512 МБ ОЗУ или более
Место на диске
•50 МБ для клиента Security Controls Agent
•Минимум: 2 ГБ или более для хранилища исправлений
•Рекомендуется: 10 КБ
Операционные системы (одна из следующих за исключением версий Home)
На компьютерах Windows 7 SP1 для клиента с агентом требуется установка .NET 5.0. Любые исправления, необходимые для поддержки .NET 5, устанавливаются пользователем.
•Windows 7 SP1 или новее
•Windows 8.1 family
•Семейство Windows 10
•Семейство Windows 11
•Windows Server 2008 R2, SP1 или новее с поддержкой SHA-2
•Семейство Windows Server 2012
•Семейство Windows Server 2012 R2
•Семейство Windows Server 2016
•Семейство Windows Server 2019
•Семейство Windows Server 2022
Требования к конфигурации
•Требуется работа службы рабочей станции
•Совместимые протестированные платформы: https://forums.ivanti.com/s/article/Ivanti-Security-Controls-Supported-Platforms-Matrix
КЛИЕНТЫ LINUX С АГЕНТАМИ
Операционные системы
Все поддерживаемые поставщиком варианты узлов сервера, рабочей станции, клиента и компьютера следующих систем (только 64-разрядные).
•CentOS 7 и Red Hat Enterprise Linux 7 (требуется пакет libicu и OpenSSL 2.0.1 или новее)
•Red Hat Enterprise Linux 8 (требуется пакет libicu и OpenSSL 1.0.2 или новее)
Требования к портам
Secure Shell (SSH) и порт 22 во время принудительной установки агента на компьютерах Linux.
Требования к конфигурации
Для отправки и установки агента с консоли Security Controls на компьютер Linux вы можете подключиться к нему с использованием учетной записи root или с помощью беспарольного доступа sudo. Из соображений безопасности рекомендуется использовать доступ с помощью sudo. Для использования среды sudo вы должны вручную войти на каждый компьютер Linux с правами root, вызвать команду visudo и сделать следующее:
•Добавьте в файл следующую команду:
<installUser> ALL=(ALL) NOPASSWD: /bin/sh /tmp/ivanti-[A-Za-z0-9][A-Za-z0-9][A-Za-z0-9][A-Za-z0-9]/install.sh *
Эта команда использует команду sudo (super user do) для предоставления прав пользователя root на консоли, чтобы на ней можно было выполнять отправку файлов установки агента на компьютер Linux.
•В файле найдите строку Defaults requiretty и, если она есть, измените ее на Defaults !requiretty.
Это позволит избежать известной ошибки операционной системы с помощью отмены установки параметра requiretty у каждого пользователя компьютера, использующего команду sudo из других сред, отличных от сеанса входа в систему. Если вы пожелаете, вы можете выключить этот флаг только для установки среды пользователя, изменив его на Defaults:><пользователь установки> !requiretty.
Этот флаг не установлен в самых последних версиях ОС Red Hat и CentOS.
Если вы решили не использовать доступ к root или sudo с консоли на ваших компьютерах Linux, вы можете вручную установить агент на каждом компьютере.
Если ваши компьютеры Linux находятся в изолированной среде, вам может потребоваться выполнить действия конфигурации этой среды во время настройки каждого компьютера для доступа с помощью sudo.
ТРЕБОВАНИЯ К ПОРТАМ
Требования к портам по умолчанию: Некоторые номера портов могут быть сконфигурированы.
В некоторых блокированных средах вам также может потребоваться специально разрешить трафик через диапазон динамических портов по умолчанию: 49152 - 65535.
| Протокол | Порт | Источник | Цели | Шифрование | Описание |
|---|---|---|---|---|---|
| UDP | 9 | Консоль Security Controls | Системы без агентов | Нет | Wake-on-LAN (WoL) и отчеты об ошибках |
| TCP | 22 | Консоль Security Controls | Системы Linux с агентами | Да | Используется для отправки файла установки агента с консоли на компьютеры Linux |
| TCP | 80 |
Консоль Security Controls |
Сервер распространения: HTTP |
Нет |
Необходимо для серверов распространения для синхронизации исправлений с консолью и только при использовании HTTP |
| Консоль Security Controls | Сервер распространения: HTTP | Нет | Необходимо для серверов распространения для синхронизации исправлений с консолью и только при использовании HTTP | ||
| Системы с агентами | Сервер распространения: HTTP | Нет | Необходимо для серверов распространения для синхронизации исправлений с консолью и только при использовании HTTP | ||
| Консоль Security Controls | Хранилища исправлений / Конфигурация исправлений | Нет | Загрузка исправлений, когда недоступны URL-адреса HTTPS | ||
| TCP | 135 | Консоль Security Controls | Системы без агентов | Нет | Обеспечивает работу протокола WMI, который необходим во время сканирования активов |
|
UDP и TCP (Или замените TCP 445 для всех трех портов) |
137-138 139 |
Консоль Security Controls |
Системы без агентов |
Нет |
(Службы совместного использования файлов/каталогов Windows) необходимы для работы безагентного сканирования и развертывания. |
| Консоль Security Controls | Сервер распространения: UNC | Нет | (Службы совместного использования файлов/каталогов Windows) необходимы для работы безагентного сканирования и развертывания. | ||
| Системы с агентами | Сервер распространения: UNC | Нет | (Службы совместного использования файлов/каталогов Windows) необходимы для работы безагентного сканирования и развертывания. | ||
| Системы без агентов | Сервер распространения: UNC | Нет | (Службы совместного использования файлов/каталогов Windows) необходимы для работы безагентного сканирования и развертывания. | ||
| TCP | 443 |
Консоль Security Controls |
Сервер распространения: HTTPS |
Да |
Необходимы для серверов распространения для синхронизации исправлений с консолью и только при использовании HTTPS (синхронизация Cloud). |
| Системы с агентами | Сервер распространения: HTTPS | Да | Необходимы для серверов распространения для синхронизации исправлений с консолью и только при использовании HTTPS (агенты Cloud). | ||
| Консоль Security Controls | Хранилища исправлений / Конфигурация исправлений | Да | Загрузка исправлений и данных | ||
| Консоль Security Controls | VMware vCenter | Да | Используется при подключении к серверу vCenter | ||
| Консоль Security Controls | Гипервизор VMware ESXi | Да | Используется при подключении к гипервизору ESXi | ||
|
TCP (или необходимо заменить на UDP 137-138 и TCP 139) |
445 |
Консоль Security Controls |
Системы без агентов |
Да (SMBv3) |
(Службы совместного использования файлов/каталогов Windows) необходимы для работы безагентного сканирования и развертывания. |
| Консоль Security Controls | Сервер распространения: UNC | Да (SMBv3) | (Службы совместного использования файлов/каталогов Windows) необходимы для работы безагентного сканирования и развертывания. | ||
| Системы без агентов | Сервер распространения: UNC | Да (SMBv3) |
(Службы совместного использования файлов/каталогов Windows) необходимы для работы безагентного сканирования и развертывания. |
||
| TCP | 902 | Консоль Security Controls | VMware vCenter / ESXi Hypervisor | Да (TLS) | Используется для подключения дисков к автономным виртуальным машинам и шаблонам. |
| TCP | 3000 | Расширение браузера Chrome | Системы с агентами | Используется для взаимодействия расширений браузера с агентом Application Control. Конфигурируется с помощью настройки BrowserCommsPort. | |
| TCP | 3001 | Браузер Chrome | Системы с агентами | Используется для установки расширения управления браузером Chrome. Конфигурируется с помощью настройки BrowserAppStorePort. | |
| TCP | 3121 |
Системы с агентами |
Консоль Security Controls |
Да
|
Требуется для получения статуса средства отслеживания развертывания для развертывания исправлений и взаимодействия агента с консолью. |
|
Системы без агентов |
Консоль Security Controls |
Да
|
Требуется для получения статуса средства отслеживания развертывания для развертывания исправлений и взаимодействия агента с консолью. |
||
| TCP | 4155 | Консоль Security Controls | Системы с агентами | Да | Используется принимающими агентами для получения команд с консоли. |
| TCP | 5120 | Консоль Security Controls | Системы без агентов | Да | Используется планировщиком для получения команд из компьютера консоли для развертываний без агентов. |
| TCP | 5985 | Консоль Security Controls | Системы без агентов | Да | Используется для активации функции ITScripts |
Конфигурируемые порты
•TCP 3000: Взаимодействие расширения браузера Chrome с агентом AC
•TCP 3001: Установка расширения браузера Chrome
•TCP 3121: Функции объединения данных
•TCP 4155: Принимающие агенты
•TCP 5120: Планировщик
•TCP 5985: ITScripts