Segurança de agente e certificados confiáveis

Endpoint Manager usa um modelo de autenticação baseado em certificados. Os agentes do dispositivo se autenticam em servidores núcleo autorizados, evitando o acesso de núcleos não autorizados aos clientes. Cada um dos servidores núcleo possui um certificado e uma chave privada exclusivos que a Instalação do Endpoint Manager cria na primeira instalação do núcleo ou do servidor núcleo de rollup.

Estes são os arquivos de chave privada e de certificados:

  • <keyname>.key: O arquivo .key é a chave privada do servidor núcleo e reside apenas no servidor núcleo. Se a privacidade desta chave for comprometida, o servidor núcleo e as comunicações com o dispositivo não estarão protegidas. Mantenha essa chave protegida. Por exemplo, não use e-mail para movê-lo.
  • <keyname>.crt: O arquivo .crt contém a chave pública do servidor núcleo. O arquivo .crt é uma versão da chave pública que pode ser visualizada para se obter mais informações.
  • <hash>.0: O arquivo .0 é um arquivo de certificado confiável cujo conteúdo é idêntico ao do arquivo .crt. Entretanto, seu nome é atribuído de forma a permitir que o computador localize rapidamente o arquivo de certificado em uma pasta com muitos certificados diferentes. O nome é um hash (checksum) das informações do certificado. Para determinar o nome de arquivo hash de um certificado específico, veja o arquivo <keyname>.crt. Há uma seção do arquivo .ini [LDMS] no arquivo. O par hash=value indica o valor <hash>.

Um outro método de obter o hash é usar o aplicativo openssl, que está armazenado na pasta \Arquivos de programas\LANDesk\Shared Files\Keys. Ele mostrará o hash associado a um certificado, usando a seguinte linha de comando:

openssl.exe x509 -in <keyname>.crt -hash -noout

Todas as chaves são armazenadas no servidor-núcleo em \Arquivos de programas\LANDesk\Shared Files\Keys. A chave pública <hash>.0 está também na pasta ldlogon e, como padrão, deve estar ali. <keyname> é o nome do certificado fornecido durante a configuração Endpoint Manager . É útil fornecer um nome descritivo durante a instalação, por exemplo, você pode utilizar o nome do servidor núcleo (ou mesmo o nome completo dele) para a chave (exemplo: ldcore ou ldcore.org.com). Isso facilitará a identificação dos arquivos de certificado/chave privada em um ambiente com vários núcleos.

Você deve fazer backup do conteúdo da pasta Keys (Chaves) do seu servidor núcleo em lugar seguro e protegido. Se, por alguma razão, for necessário reinstalar ou substituir o servidor núcleo, você não poderá gerenciar os dispositivos desse servidor núcleo até adicionar os certificados do núcleo original ao novo núcleo.

Certificados de dispositivos gerenciados

Ivanti® Endpoint Manager versão 2016 introduz um novo modelo de segurança baseado no certificado do cliente para dispositivos Windows. Quando este modelo de segurança estiver ativo, apenas dispositivos com certificados válidos poderão descriptografar dados protegidos do servidor-núcleo. Esse modelo de segurança fica ativado por padrão a partir da versão 2020.

Em dispositivos gerenciados, os certificados são armazenados aqui:

  • C:\Program Files (x86)\LANDesk\Shared Files\cbaroot\broker

Há três arquivos:

  • broker.key: Chave privada. Ele deve ser protegido. Apenas os administradores têm direitos a ele.
  • broker.csr: Solicitação de assinatura de certificado enviado ao núcleo para que seja assinado.
  • broker.crt: Chave pública no formato de certificado X.509.