Seguridad basada en el certificado del cliente

Ivanti® Endpoint Manager 2016 introdujo un nuevo modelo de seguridad basado en los certificados del cliente para los dispositivos de Windows. Cuando este modelo de seguridad está activo, sólo los dispositivos con certificados válidos pueden descifrar los datos del servidor central seguro.

En la versión 2020.1, esta seguridad se habilita por defecto y la configuración ya no pide que se habilite. Si va a actualizar a la versión 2020.1 o posterior y no ha habilitado la seguridad basada en el certificado del cliente en una versión anterior, deberá seguir los pasos de este tema.

Si habilitó la seguridad basada en el certificado del cliente en la versión 2016 o posterior y va a actualizar a una versión de Endpoint Manager más reciente, no necesita seguir los pasos de este tema.

SiEndpoint Manager versión 2016 o posterior es la primera instalación de Endpoint Manager en su entorno de red, puede habilitar con seguridad la seguridad basada en el certificado del cliente, porque las versiones anteriores del agente no estarán presentes.

Si tiene dispositivos con versiones de agente anteriores y habilita la seguridad basada en el certificado de cliente, esos dispositivos no podrán descifrar los datos seguros desde el servidor central y muchas funciones de agente no funcionarán correctamente.

Una vez habilitada la seguridad basada en el certificado del cliente, ésta no se puede deshabilitar.

Siga estos pasos para habilitar la seguridad basada en el certificado del cliente

1.Evalúe la disponibilidad y actualice los dispositivos ejecutando versiones del agente anteriores (9.x)

2.Apruebe los certificados de cliente

3.Habilite la seguridad basada en el certificado del cliente en el servidor central

4.Vuelva a cifrar las contraseñas del componente del servidor central que utilizan los clientes

5.(Si utiliza la sincronización de servidores centrales): Copie las nuevas claves de cifrado en otros servidores centrales

Paso 1: Asegúrese de que todos los dispositivos de Windows estén disponibles.

El cuadro de diálogo Configuración de seguridad (Configurar > Seguridad) incluye un gráfico que muestra la tasa de éxito de la autenticación basada en certificados en dispositivos administrados. Cuando los dispositivos administrados intentan una conexión segura con el servidor central o cuando se ejecuta el rastreador de seguridad (vulscan.exe), los resultados de la conexión se guardan en el inventario del dispositivo. Esto sucede aunque el nuevo modelo de seguridad no se haya habilitado aún.

Los dispositivos que no tengan el estado Autenticación correcta no se podrán administrar completamente después de habilitar el nuevo modelo de seguridad. Normalmente los agentes de dispositivos antiguos son los que provocan que los dispositivos entren en otros estados. No habilite el nuevo modelo de seguridad hasta que los dispositivos estén disponibles.

El gráfico de este cuadro de diálogo resume los resultados de los intentos de conexión:

  • Autenticación correcta: El dispositivo tiene agentes de versión 2016, está conectado de manera segura y está disponible para el nuevo modelo de seguridad. Lo ideal es que todos los dispositivos estén aquí.
  • Sin información de autenticación: El dispositivo no ha intentado una conexión segura o el rastreador de seguridad no ha informado aún de ningún resultado sobre la conexión al servidor central. Tenga en cuenta que si el servidor central no tiene agentes instalados, éste aparecerá en esta lista y es CORRECTO.
  • Error de autenticación: El dispositivo intentó autenticarse y, por algún motivo, no pudo. Normalmente esto sucede porque el dispositivo no ha recibido la aprobación del certificado del cliente (Configurar > Administrar el acceso de clientes), como se explica en la sección siguiente.
  • Los agentes de cliente deben actualizarse: El dispositivo no puede autenticarse porque está ejecutando agentes anteriores (9.x).

Elementos de doble clic del gráfico para ver dispositivos asociados en la vista de red. La consulta generada de manera dinámica para un elemento en el que hizo doble clic aparece en Consultas > Mis consultas > Consultas generadas por gráficos. Puede utilizar esta vista para establecer con más facilidad los destinos o los destinos con problemas a solucionar.

Hay disponibles más detalles de conexiones en el inventario del dispositivo, en Ivanti Management > Seguridad basada en el certificado de cliente > Estado de autenticación.

Paso 2: Apruebe los certificados de cliente

La instalación del agente de Endpoint Manager 2016 también genera automáticamente los certificados de seguridad del cliente. Antes, esto era algo que los administradores debían hacer manualmente después de la instalación del agente. Cuando un dispositivo con un certificado de seguridad se comunica por primera vez con el servidor central, éste agregar una entrada "no aprobado" para el dispositivo en la pestaña Administrar certificados de cliente del cuadro de diálogo Acceso de cliente. A continuación, los administradores puede aprobar o bloquear el acceso al servidor central para esos certificados.

Cuando no está habilitada la seguridad basada en certificados de cliente, los dispositivos no aprobados funcionan con normalidad pero no pueden comunicarse a través de un Cloud Services Appliance (CSA) hasta que estén aprobados.

Cuando se habilita la seguridad basada en certificados de cliente, los dispositivos no aprobados no podrán descifrar los datos seguros del servidor central y muchas funciones del agente no funcionarán correctamente.

Cuando se aprueba un certificado de dispositivo, el servidor central no obtendrá la actualización del estado de autenticación del dispositivo hasta que se ejecute un rastreo de seguridad que active una nueva comprobación de autenticación.

Puede ver el gráfico Estado de aprobación de certificados para obtener más información acerca del progreso y estado (Herramientas > Seguridad y cumplimiento > Actividad de seguridad).

Para administrar las aprobaciones de certificados de clientes

1.Haga clic en Configurar > Administrar el acceso de los clientes.

2.Seleccione los dispositivos sin aprobar válido y haga clic en Aprobar seleccionados.

3.Haga clic en Cerrar.

Paso 3: Habilite la seguridad basada en el certificado del cliente en el servidor central

Si está seguro de que el entorno está listo para la seguridad basada en certificados de cliente y ya la ha habilitado, siga los pasos siguientes.

Para habilitar la seguridad basada en certificados de cliente

1.Haga clic en Configurar > Seguridad.

2.Visualice el gráfico y lea las advertencias. Asegúrese de que comprende la actualización y está listo para aplicarla.

3.Haga clic en el botón de radio Seguridad basada en certificados de cliente para habilitarlo.

4.Si desea guardar los resultados de autenticación y de descifrado, seleccione las opciones que desee.

5.Haga clic en Guardar.

6.Lea atentamente el cuadro de diálogo de advertencias de los ajustes de seguridad que aparece.

7.Haga clic en Aceptar para activar la seguridad basada en certificados de cliente. Haga clic en Cancelar si no está seguro o no está listo. Una vez activada, no se puede deshabilitar.

Paso 4: Volver a cifrar las contraseñas de componentes del servidor central

Cuando se habilita la autenticación basada en certificados de cliente, el servidor central crea una nueva clave de cifrado única que utilizará para cifrar los datos nuevos. Los datos que no se hayan modificado desde que se habilitó el nuevo modelo de seguridad seguirán estando cifrados del modo antiguo. Para volver a cifrar las contraseñas de componentes importantes del servidor central que se comparten con los dispositivos administrados, cámbielas después de habilitar el nuevo modelo de seguridad.

Para actualizar las contraseñas del servidor preferido

1.Haga clic en Herramientas > Distribución > Replicación de contenido / Servidores preferidos.

2.Cambie la contraseña en las propiedades de cada servidor preferido.

Para actualizar las credenciales que hay almacenadas en paquetes de software

1.Haga clic en Herramientas > Distribución > Paquetes de distribución.

2.En la barra de herramientas, haga clic en Actualización masiva de credenciales de paquetes.

3.Introduzca la información de Dominio/usuario y Contraseña

4.Hacer clic en Actualizar.

Para actualizar las contraseñas de distribución y del agente de revisión.

1.Haga clic en Herramientas > Configuración > Configuración del agente.

2.En el árbol, haga clic en Distribución y revisión.

3.Edite cada ajuste de distribución y agente de revisión y, en la página de información de MSI, actualice el MSI y ejecútelo como credenciales.

Paso 5 (si utiliza la sincronización de servidores centrales): Copie las nuevas claves de cifrado en otros servidores centrales

Si el servidor central que está configurando utiliza la sincronización central, verá una advertencia adicional acerca de la necesidad de copiar las claves de cifrado en esos otros servidores centrales. Después de cifrar los datos con las nuevas claves de cifrado, los servidores centrales de destino no podrán descifrarlo hasta que lleve a cabo esto.

Copie con seguridad las claves de cifrado .xml de esta carpeta a la misma carpeta de los servidores centrales de destino:

  • C:\Program Files\LANDesk\Shared Files\keys\Compatible

Se trata de claves de cifrado así que trátelas con cuidado. Sólo el servidor central debe poder acceder a ellas.