Consideracions de xarxa i seguretat
FlexxAgent, en el seu funcionament habitual, requereix una sèrie de requisits de xarxa per connectar-se als serveis d'orquestració cloud i suportar proxies, així com ecosistemes de xarxa complexos.
Abans de procedir al desplegament de FlexxAgent en els dispositius, es recomana validar que a nivell de xarxa aquests poden accedir a les destinacions definides en URLs i ports.
Ús de l'ample de banda
Procés FlexxAgent
Quan arrenca FlexxAgent, recull i envia un informe inicial aproximat de 75 KB; a partir d'aquest moment, envia informes diferencials de aproximadament 3-4 KB. Aquest procés s'ocupa d'executar les accions a demanda o automàtiques en el dispositiu. En aquests moments el trànsit de xarxa podria incrementar-se.
Procés FlexxAgent Analyzer
FlexxAgent Analyzer recopila informació de la sessió de l'usuari cada 15 segons, com els consums d'aplicacions, l'ús de recursos i altres. I afegeix aquesta informació en fitxers d'aproximadament 35-50 KB, que són enviats a les consoles cada 5 minuts, tot i que el temps pot canviar en funcionalitats específiques.
En sistemes multiusuari, s'executarà una única instància de FlexxAgent i tantes instàncies de FlexxAgent Analyzer com sessions d'usuari tingui el sistema.
URLs i ports requerits
Pel que fa a comunicacions, FlexxAgent ha de ser capaç de contactar amb la capa d'orquestració del servei allotjada a internet, que inclou:
| URL | Àmbit | Port | Regió | Producte |
|---|---|---|---|---|
| https://flxsbname\*\*\*.servicebus.windows.net | Agent | 443 | West Europe | FXXOne, FlexxClient & FlexxDesktop |
| https://flxiothub\*\*\*.azure-devices.net | Agent | 443 | West Europe | FXXOne, FlexxClient & FlexxDesktop |
| https://west-eu.agent-api.analyzer.flexxible.com | Agent | 443 | West Europe | FXXOne, FlexxClient & FlexxDesktop |
| https://flexxibleglobal.blob.core.windows.net | Agent | 443 | West Europe | FXXOne, FlexxClient & FlexxDesktop |
| https://api.ipify.org | Agent | 443 | West Europe | FXXOne, FlexxClient & FlexxDesktop |
| https://ras.flexxible.com | Agent – Assistència remota | 443 | West Europe | FXXOne, FlexxClient & FlexxDesktop |
| https://update.workspaces.flexxible.com | Agent | 443 | West Europe | FXXOne, FlexxClient & FlexxDesktop |
| https://agents-weu.one.flexxible.net | Agent | 443 | West Europe | FXXOne |
| https://agents-weu.flexxible.net | Agent | 443 | West Europe | FlexxClient & FlexxDesktop |
| https://west-eu-01.agent-api.one.analyzer.flexxible.com | Agent | 443 | West Europe | FXXOne |
*** identificador únic proporcionat per Flexxible.
Seguretat
Per garantir una bona experiència d'usuari, en alguns casos serà necessari configurar exclusions en l'antivirus; tanmateix, si no es gestionen de forma adequada, aquestes exclusions poden suposar un risc de seguretat.
Per aquest motiu, es recomana realitzar anàlisis periòdics dels arxius i carpetes que hagin estat exclosos de l'escaneig de l'antivirus. Tant Microsoft com Flexxible recomanen:
-
Utilitzar una solució File Integrity Monitoring (FIM) o Host Intrusion Prevention (HIP) per protegir la integritat dels elements exclosos de l'anàlisi en temps real.
-
Si s'utilitza Azure Sentinel i Windows Defender no està configurat correctament, poden sorgir problemes de rendiment. Desactiva Windows Defender amb la següent comanda de PowerShell:
Set-MpPreference -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableRealtimeMonitoring $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend
Exclusions de l'antivirus
FlexxAgent hauria de ser capaç de funcionar correctament sense configurar excepcions, però en aquells entorns més restrictius és possible que se n'hagin d'establir algunes.
Els elements per excloure de l'anàlisi de l'antivirus són els següents:
Carpetes
C:\Program Files\FlexxibleC:\Windows\Temp\FlexxibleIT\
Procés
FlexxAgent.exeFlexxibleRA.exeFlexxibleRemoteAssistance_XXXX.exe
Fitxers
C:\Windows\Temp\FlexxAgentInstallation.logC:\Windows\Temp\UpdateFlexxAgent.ps1C:\Windows\Temp\FlexxAgentHealthCheck.log
Inspecció profunda de SSL
Per solucions de seguretat com Deep SSL Inspection (Inspecció Profunda de SSL) o Trend Micro, cal tenir en compte les indicacions que es descriuen a continuació, a favor del funcionament òptim de FlexxAgent.
S'ha de procurar deshabilitar Deep SSL Inspection per a les següents URLs en aquells dispositius que ho tinguin com a solució de seguretat:
- https://flxsbname\*\*\*.servicebus.windows.net
- https://flxiothub\*\*\*.azure-devices.net
- https://agents-weu.flexxible.net
- https://ras.flexxible.com
Restricció de processos PowerShell
Algunes solucions de seguretat no permeten que la instal·lació i/o l'autoactualització de FlexxAgent es realitzi de manera eficaç, com és el cas de Trend Micro.
Durant el procés, l'instal·lador pot retornar el missatge:
The process was terminated with errors. A corrupted installation was detected due to external processes. This is usually caused by antivirus activity. Please check your antivirus settings.
Per solucionar-ho, Flexxible recomana excloure els següents arxius del dispositiu:
C:\Windows\Temp\FlexxibleIT
C:\Windows\Temp\UpdateFlexxAgent.ps1
Wake on LAN (WoL)
Wake on LAN permet engegar dispositius mitjançant l'enviament d'un paquet màgic que dóna a la targeta de xarxa l'ordre d'engegada. Per poder utilitzar aquesta funcionalitat es requereix:
- Targeta de xarxa compatible
- Activar WoL en BIOS/UEFI
- Configurar WoL en el sistema operatiu
- Un dispositiu
Ponta la mateixa xarxa que el dispositiu que es vol engegar, amb FlexxAgent instal·lat i reportant
Wake on LAN (WoL) opera normalment dins d'una xarxa local, i pot funcionar entre subxarxes sempre que no existeixin restriccions imposades per firewalls o dispositius de xarxa que bloquegin la transmissió del paquet màgic (Magic Packet). En entorns amb segmentació per subxarxes, és necessari configurar excepcions a nivell de xarxa que permetin l'encaminament del paquet màgic entre aquestes subxarxes.
Configurar Wake on LAN (WoL) a Windows
Per configurar la funcionalitat de Wake on LAN (WoL) en un dispositiu amb sistema operatiu Windows, cal seguir els següents passos:
- Verificar si WoL està actiu
A la finestra de CMD, executar la següent comanda:
powercfg /devicequery wake_programmable
- Activa WoL
Executar la comanda:
powercfg /deviceenablewake "Realtek PCIe GbE Family Controller"
Reemplaçar "Realtek PCIe GbE Family Controller" pel nom del controlador que correspongui.
Assistència remota a través de proxy
Per a l'assistència remota, FlexxAgent farà servir proxy quan estigui configurat i accessible.
En cas que estigui configurat amb proxy però aquest no sigui accessible en aquell moment, es llançarà l'assistència remota amb l'opció “auto detect” que farà servir la configuració de sortida a internet que tingui configurat l'usuari final.
vPro
Si una organització vol activar vPro, requerirà que el hostname del servidor Flexxible Intel EMA pugui resoldre's des de tots els seus dispositius.
| URL | Àmbit | Port | Regió | Producte |
|---|---|---|---|---|
| iagent.flexxible.com | Agent | TCP 8080 i 443 | West Europe | FXXOne, FlexxClient & FlexxDesktop |
Per obtenir més informació, si us plau consulta la secció Integracions.