Seguridad del agente y certificados de confianza

Endpoint Manager utiliza un sistema de autenticación basado en certificados. Los agentes de dispositivo se autentican en servidores centrales autorizados, con lo cual se evita que los servidores centrales no autorizados tengan acceso a los clientes. Cada servidor central tiene una clave privada y un certificado exclusivos que el programa de instalación de Endpoint Manager crea al instalar el servidor central o el servidor central de resumen por primera vez.

Estas son las claves privadas y los archivos de certificado:

  • <keyname>.key: el archivo .key es la clave privada del servidor central y solo reside en dicho servidor. Si esta clave no es confidencial, las comunicaciones entre el dispositivo y servidor central no serán seguras. No dé a conocer esta clave. Por ejemplo, no la incluya en ningún correo electrónico.
  • <keyname>.crt: el archivo .crt contiene la clave pública del servidor central. El archivo .crt es una versión de fácil visualización de la clave pública que puede consultar para ver más información acerca de la clave.
  • <hash>.0: el archivo .0 es un archivo de certificado de confianza y su contenido es idéntico al del archivo .crt. Sin embargo, se le ha dado un nombre que permite al equipo encontrar rápidamente el archivo de certificado que se está buscando en una carpeta que contiene muchos certificados diferentes. El nombre es un valor hash (suma comprobación) de la información del asunto del certificado. Para determinar el nombre de archivo hash para un certificado concreto, consulte el archivo <keyname>.CRT. Hay una sección de archivo .ini [LDMS] en el archivo. El par hash=value indica el valor <hash>.

Otro método alternativo para obtener el valor hash es utilizar la aplicación openssl, la cual está almacenada en la carpeta \Archivos de programa\LANDesk\Shared Files\Keys. Se mostrará el valor hash asociado al certificado mediante la siguiente línea de comandos:

openssl.exe x509 -in <keyname>.crt -hash -noout

Todas las claves se almacenan en el servidor central en \Archivos de programa\LANDesk\Shared Files\Keys. La clave pública <hash>.0 también se incluye en el directorio ldlogon y es necesario que permanezca allí de forma predeterminada. <keyname> es el nombre del certificado que suministró durante la instalación de Endpoint Manager. En dicho proceso, resulta útil ofrecer un nombre de clave descriptivo, como el nombre del servidor central (o incluso su nombre completo) y el de la clave (ejemplo: ldcore o ldcore.org.com). De este modo, se facilitará la identificación de los archivos de certificado/clave privada en un entorno de varios servidores.

Se debe colocar una copia de seguridad del contenido de la carpeta de Claves del servidor central en un lugar seguro. Si por alguna razón debe reinstalar o reemplazar el servidor central, no podrá administrar los dispositivos de dicho servidor si no agrega los certificados del servidor central original al nuevo servidor.

Certificados de dispositivos administrados

Ivanti® Endpoint Manager la versión 2016 introduce un modelo de seguridad basado en los certificados del cliente para los dispositivos de Windows. Cuando este modelo de seguridad está activo, sólo los dispositivos con certificados válidos pueden descifrar los datos del servidor central seguro. Este modelo de seguridad se habilita por defecto en versiones desde 2020.

En dispositivos administrados, los certificados se guardan en:

  • C:\Program Files (x86)\LANDesk\Shared Files\cbaroot\broker

Existen tres archivos:

  • broker.key: clave privada. Debe protegerse. Sólo los administradores tienen derechos para tratar con ella.
  • broker.csr: Solicitud de firma de certificado que se envía al servidor central para que se firme.
  • broker.crt: Clave pública con formato de certificado X509.