Segurança baseada no certificado de cliente

Ivanti® Endpoint Manager 2016 introduziu um novo modelo de segurança baseado em certificado de cliente para dispositivos Windows. Quando este modelo de segurança estiver ativo, apenas dispositivos com certificados válidos poderão descriptografar dados protegidos do servidor-núcleo.

Na versão 2020.1, essa segurança fica habilitada por padrão, e a instalação não pergunta mais se você deseja ativá-la. Se você estiver atualizando para a versão 2020.1 ou posterior e não tiver ativado a segurança baseada em certificado de cliente em uma versão anterior, precisará seguir as etapas neste tópico.

Se você já ativou a segurança baseada em certificado de cliente na versão 2016 ou posterior e está atualizando para uma versão mais recente do Endpoint Manager, não é necessário seguir as etapas deste tópico.

Se o Endpoint Manager versão 2016 ou posterior é a primeira instalação do Endpoint Manager no seu ambiente de rede, você pode habilitar a segurança baseada em certificado de cliente sem problemas, pois as versões mais antigas do agente não estarão presentes.

Se você tiver dispositivos com versões anteriores do agente e habilitar a segurança baseada no certificado do cliente, esses dispositivos não poderão descriptografar dados seguros do servidor-núcleo e muitos recursos não funcionarão corretamente.

Depois que a segurança baseada no certificado do cliente estiver habilitada, ela não poderá ser desabilitada.

Siga estes passos para habilitar a segurança baseada no certificado do cliente

1.Avalie a prontidão e atualize os dispositivos executando versões anteriores (9.x) de agente.

2.Aprove os certificado do cliente

3.Habilite a segurança baseada no certificado do cliente no servidor-núcleo

4.Criptografe novamente as senhas do componente do servidor-núcleo usadas pelos clientes

5.(se você usar sincronização do núcleo): Copie as novas chaves de criptografia para outros servidores-núcleo

Passo 1: Certifique-se de que os dispositivos Windows estejam prontos

A caixa de diálogo Configurações de segurança (Configurar > Segurança) inclui um gráfico que mostra a taxa de sucesso da autenticação baseada em certificados para dispositivos gerenciados. Quando os dispositivos gerenciados tentam um conexão segura com servidor-núcleo ou quando o scanner de segurança (vulscan.exe) é executado, os resultados de conexão são salvos no inventário do dispositivo. Isso acontece mesmo se o novo modelo de segurança não estiver habilitado ainda.

Os dispositivos não em um estado de Autenticação bem-sucedida não serão gerenciáveis totalmente depois que o novo modelo de segurança estiver habilitado. Geralmente, são agentes de dispositivo anteriores que fazem com que os dispositivos estejam em outros estados. Não habilite o novo modelo de segurança até que seus dispositivos estejam prontos para ele.

O gráfico na caixa de diálogo resume os resultados de tentativa de conexão:

  • Autenticação bem-sucedida: o dispositivo tem agentes da versão 2016, está conectado com segurança e pronto para o novo modelo de segurança. Idealmente, todos os dispositivos estão aqui.
  • Nenhuma informação sobre autenticação: o dispositivo não tentou uma conexão segura ou o scanner de segurança não ainda não informou ao núcleo os resultados de conexão. Observe que se o servidor-núcleo não tiver agentes instalados, o núcleo aparecerá nesta lista e tudo bem.
  • Falha na autenticação: o dispositivo tentou autenticar e não conseguiu por alguma razão. Geralmente, isso acontece porque o dispositivo não recebeu a aprovação do certificado do cliente (Configurar > Gerenciar o acesso para cliente), como discutido na próxima seção.
  • Os agentes-cliente devem ser atualizados: o dispositivo não pode autenticar porque está executando agentes antigos (9.x).

Clicar duas vezes nos itens no gráfico para exibir os dispositivos associados na tela de rede. A consulta gerada dinamicamente para um item em que você clicou duas vezes aparece em Consultas > Minhas Consultas > Consultas geradas pelo gráfico. Você pode usar essa tela para um direcionamento mais fácil ou para solução de problemas de dispositivos.

Mais detalhes de conexão podem estar disponíveis no inventário do dispositivo em Gerenciamento Ivanti > Segurança baseada no certificado do cliente > Status de autenticação.

Etapa 2: Aprove os certificado do cliente

A instalação do agente do Endpoint Manager 2016 também gera automaticamente certificado de segurança do cliente. Anteriormente, isso era algo que os administradores tinham que fazer manualmente após a instalação do agente. Quando um dispositivo com um certificado de segurança se comunica pela primeira vez com o núcleo, o núcleo adiciona uma entrada “não aprovada” para esse dispositivo na guia Gerenciar certificados do cliente da caixa de diálogo Acesso para cliente. Os administradores podem, então, aprovar ou bloquear o acesso ao núcleo para esses certificados.

Quando a segurança baseada no certificado do cliente não está habilitada, os dispositivos não aprovados funcionam normalmente, mas ele não podem se comunicar por meio de um Aparelho de Serviços de Nuvem (CSA) até que eles sejam aprovados.

Quando a segurança baseada no certificado do cliente estiver habilitada, dispositivos não aprovados não poderão descriptografar dados protegidos do servidor-núcleo e muitos recursos de agente não funcionarão corretamente.

Quando você aprovar o certificado de um dispositivo, o núcleo não obterá a atualização de um status de autenticação desse dispositivo até que ele execute uma análise de segurança, acionando uma nova verificação de autenticação.

Você pode visualizar o gráfico Status de aprovação de certificados para obter mais informações sobre o andamento e status das aprovações (Ferramentas > Segurança e conformidade > Atividade de segurança).

Para gerenciar aprovações de certificado do cliente

1.Clique em Configurar > Gerenciar acesso para cliente.

2.Selecione os dispositivos válidos não aprovados e clique em Aprovar selecionados.

3.Clique em Fechar.

Etapa 3: Habilite a segurança baseada no certificado do cliente no servidor-núcleo

Se você se certificou de que o ambiente está pronto para a segurança baseada no certificado do cliente e você está pronto para habilitá-lo, faça o seguinte:

Para habilitar a segurança baseada no certificado do cliente

1.Clique em Configurar > Segurança.

2.Exiba o gráfico e leia os avisos. Certifique-se de que entende e está pronto para a atualização.

3.Clique no botão de opção Segurança baseada no certificado do cliente para habilitar.

4.Se desejar salvar os resultados de autenticação e descriptografia, selecione as opções desejadas.

5.Clique em Salvar.

6.Leia atentamente a caixa de diálogo com avisos das configurações de segurança.

7.Clique em OK para ativar a segurança baseada no certificado de cliente. Clique em Cancelar se não tiver certeza de que está pronto. Depois de habilitada, ela não pode ser desabilitada.

Etapa 4: Criptografe novamente as senhas do componente do servidor-núcleo

Quando você habilitar a autenticação baseada no certificado do cliente, o servidor-núcleo cria uma nova e única chave de criptografia que será usada para criptografar novos dados. Os dados que não foram alterados desde que você habilitou o novo modelo de segurança ainda serão criptografar da maneira antiga. Para criptografar novamente as senhas de componente do servidor-núcleo que são compartilhadas com dispositivos gerenciados, altere-as depois de habilitar o novo modelo de segurança.

Para atualizar as senhas do servidor preferencial

1.Clique em Ferramentas > Distribuição > Replicação de conteúdo/Servidores preferenciais.

2.Nas propriedades para cada servidor preferencial, altere a senha.

Para atualizar as credenciais armazenadas nos pacotes de software

1.Clique em Ferramentas > Distribuição > Pacotes de distribuição.

2.Na barra de ferramentas, clique em Atualização em massa das credenciais do pacote .

3.Insira as informações de Domínio\Usuário e Senha.

4.Clique em Atualizar.

Para atualizar as senhas de agente de distribuição e patch

1.Clique em Ferramentas > Configuração > Configurações do agente.

2.Na árvore, clique e Distribuição e patch.

3.Edite a configuração de cada agente de distribuição e patch e, na página de informações de MSI, atualize o MSI e as credenciais Executar Como.

Passo 5 (se você usar sincronização do núcleo): Copie as novas chaves de criptografia para outros servidores-núcleo

Se o servidor-núcleo que estiver sendo configurado usar a sincronização de núcleo, você verá um aviso adicional da necessidade de copiar chaves de criptografia para outros servidores-núcleo. Depois que os dados estiverem criptografados com as novas chaves de criptografia, os servidores-núcleo de destino não poderão descriptografar esses dados até que você faça isso.

Copie de forma segura as chaves de criptografia .xml desta pasta para a mesma pasta nos núcleos de destino:

  • C:\Program Files\LANDesk\Shared Files\keys\Compatible

Uma vez que elas são chaves de criptografia, trate-as com cuidado. Apenas o servidor-núcleo deveria poder acessá-las.