Защита агентов и доверенные сертификаты

Endpoint Manager использует модель аутентификации на основе сертификатов. Агенты устройства выполняют аутентификацию на авторизованных главных серверах, что предотвращает доступ к клиентам с неавторизованных главных серверов. Каждый главный сервер имеет уникальный сертификат и закрытый ключ, создаваемые программой установки Endpoint Manager во время первой установки главного сервера или главного сервера объединения.

Далее представлены файлы сертификата и закрытого ключа:

  • <keyname>.key: Файл .key является закрытым ключом для главного сервера и находится только на главном сервере. Если ключ дискредитирован, то связь между главным сервером и устройством окажется незащищенной. Храните этот ключ в безопасном месте. Например, не отправляйте его по электронной почте.
  • <keyname>.crt: Файл .crt содержит открытый ключ для главного сервера. Файл .crt является удобной для просмотра версией открытого ключа (можно просматривать информацию о ключе).
  • <hash>.0: Файл .0 является файлом доверенного сертификата и его содержание идентично файлу .crt. Однако он назван таким образом, чтобы компьютер мог быстро найти файл сертификата в папке, содержащей большое количество различных сертификатов. Имя — это хэш (контрольная сумма) информации об объекте сертификата. Для определения имени хэш-файла для определенного сертификата просмотрите файл <keyname>.crt. В файле есть сегмент файла .ini [LDMS]. Пара хэш=значение показывает значение <hash>.

Альтернативным способом получения хэша является использование приложения openssl, которое находится в папке \Program Files\LANDesk\Shared Files\Keys. Оно отобразит связанный с сертификатом хэш с помощью следующей командной строки:

openssl.exe x509 -in <keyname>.crt -hash -noout

Все ключи хранятся на главном сервере в каталоге \Program Files\LANDesk\Shared Files\Keys. Открытый ключ <hash>.0 также хранится в папке ldlogon и должен оставаться там по умолчанию. <keyname> - имя сертификата, указанное при установке приложения Endpoint Manager. При установке желательно указать описательное имя ключа, например использовать в качестве имени ключа имя главного сервера или даже его полное имя (например: ldcore или ldcore.org.com). Это облегчит идентификацию файлов сертификата/закрытого ключа в среде с несколькими серверами.

Необходимо хранить резервную копию содержимого папки Keys главного сервера в безопасном месте. Если по каким-либо причинам необходимо переустановить или заменить главный сервер, то нельзя будет управлять устройствами этого главного сервера до тех пор, пока сертификаты исходного главного сервера не будут добавлены на новый главный сервер.

Сертификаты управляемых устройства

В Ivanti® Endpoint Manager версии 2016 представлена новая модель безопасности клиентов для Windows на основе сертификатов. Когда данная модель безопасности активна, только устройства с действительными сертификатами смогут расшифровывать данные, получаемые из главного сервера. Эта модель безопасности по умолчанию входит в состав версий, начиная с 2020.

На управляемых устройствах сертификаты находятся в папке:

  • C:\Program Files (x86)\LANDesk\Shared Files\cbaroot\broker

Среди них есть три файла:

  • broker.key: Это закрытый ключ. Он должен быть защищен. Только администраторы имеют право на его использование.
  • broker.csr: Это файл запроса для подписи с помощью сертификата, отправляемый на главный сервер.
  • broker.crt: Это общий ключ в формате сертификата X509.