Rede e segurança
FlexxAgent, em seu funcionamento habitual, requer uma série de requisitos de rede para se conectar aos serviços de orquestração cloud e suportar proxies, assim como ecossistemas de rede complexos.
Antes de proceder com a implantação do FlexxAgent nos dispositivos, recomenda-se validar que, ao nível da rede, eles podem acessar os destinos definidos em endereços URL e portas.
Uso de largura de banda
Processo FlexxAgent
Quando o FlexxAgent inicializa, ele coleta e envia um relatório inicial de aproximadamente 75 KB; a partir desse momento, envia relatórios diferenciais de aproximadamente 3-4 KB. Este processo é responsável por executar as ações sob demanda ou automáticas no dispositivo. Nesse momento, o tráfego de rede pode aumentar.
Processo FlexxAgent Analyzer
O FlexxAgent Analyzer coleta informações da sessão do usuário a cada 15 segundos, como consumo de aplicativos, uso de recursos e muito mais. E adiciona essa informação em arquivos de aproximadamente 35-50 KB, que são enviados às consoles a cada 5 minutos, embora o tempo possa variar em funcionalidade específicas.
Em sistemas multiusuário, será executada uma única instância do FlexxAgent e tantas instâncias do FlexxAgent Analyzer quantas sessões de usuário o sistema tiver.
Endereços URL e portas necessários
Em termos de comunicação, o FlexxAgent deve ser capaz de entrar em contato com a camada de orquestração do serviço hospedado na Internet, que inclui:
| URL | Âmbito | Porta | Região |
|---|---|---|---|
| https://flxsbname\*\*\*.servicebus.windows.net | Agente | 443 | Europa Ocidental |
| https://flxiothub\*\*\*.azure-devices.net | Agente | 443 | Europa Ocidental |
Os três asteriscos (***) representam um identificador dinâmico e único com uma extensão de 9 a 15 caracteres alfanuméricos, fornecido pela Flexxible.
Dependendo das capacidades do dispositivo de segurança, as exceções de URL podem ser configuradas usando expressões regulares (RegEx) ou curingas (wildcards).
Exemplos de exceções usando expressões regulares (Regex)
^https://flxsbname[a-zA-Z0-9]{9,15}.servicebus.windows.net$
^https://flxiothub[a-zA-Z0-9]{15,24}.azure-devices.net$
Exemplos de exceções usando curingas (wildcards)
https://flxsbname*
https://flxiothub*
| URL | Âmbito | Porta | Região |
|---|---|---|---|
| https://west-eu.agent-api.analyzer.flexxible.com | Agente | 443 | Europa Ocidental |
| https://flexxibleglobal.blob.core.windows.net | Agente | 443 | Europa Ocidental |
| https://api.ipify.org | Agente | 443 | Europa Ocidental |
| https://ras.flexxible.com | Agente – Flexxible Assistência Remota | 443 | Europa Ocidental |
| https://update.workspaces.flexxible.com | Agente | 443 | Europa Ocidental |
| https://agents-weu.flexxible.net | Agente | 443 | Europa Ocidental |
| https://south-br.agent-api.analyzer.flexxible.com (Solo Brasil) | Agente | 443 | Brazil South |
Segurança
Para garantir uma boa experiência do usuário, em alguns casos será necessário configurar exclusões no antivírus; no entanto, se não forem geridas de forma adequada, essas exclusões podem representar um risco de segurança.
Por esse motivo, recomenda-se realizar análises periódicas dos arquivos e pastas que tenham sido excluídos da varredura do antivírus. Tanto a Microsoft quanto a Flexxible recomendam:
-
Utilizar uma solução de Monitoramento de Integridade de Arquivos (FIM) ou Prevenção de Intrusão do Host (HIP) para proteger a integridade dos elementos excluídos da análise em tempo real.
-
Se estiver usando o Azure Sentinel e o Windows Defender não estiver configurado corretamente, podem surgir problemas de desempenho. Desative o Windows Defender com o seguinte comando do PowerShell:
Set-MpPreference -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableRealtimeMonitoring $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend
Exclusões do antivírus
FlexxAgent deve ser capaz de funcionar corretamente sem configurar exceções, mas naqueles ambientes mais restritivos pode ser necessário estabelecer algumas.
Os elementos a serem excluídos da análise do antivírus são os seguintes:
Pastas
C:\Program Files\FlexxibleC:\Windows\Temp\FlexxibleIT\
Processos
FlexxAgent.exeFlexxibleRA.exeFlexxibleRemoteAssistance_XXXX.exe
Arquivos
C:\Windows\Temp\FlexxAgentInstallation.logC:\Windows\Temp\UpdateFlexxAgent.ps1C:\Windows\Temp\FlexxAgentHealthCheck.log
Inspeção Profunda SSL
É necessário desativar a Inspeção Profunda de SSL para as seguintes URLs nos dispositivos que a têm como solução de segurança, em favor do funcionamento ideal do FlexxAgent.
- https://flxsbname\*\*\*.servicebus.windows.net
- https://flxiothub\*\*\*.azure-devices.net
- https://agents-weu.flexxible.net
- https://ras.flexxible.com
Restrição de processos PowerShell
Algumas soluções de segurança não permitem que a instalação e/ou autoatualização do FlexxAgent seja realizada de forma eficaz. Durante o processo, o instalador pode devolver a mensagem:
O processo foi terminado com erros. Uma instalação corrompida foi detectada devido a processos externos. Isso geralmente é causado pela atividade do antivírus. Por favor, verifique as configurações do seu antivírus.
Para resolvê-lo, a Flexxible recomenda excluir os seguintes elementos:
C:\Windows\Temp\FlexxibleIT
C:\Windows\Temp\UpdateFlexxAgent.ps1
Wake on LAN (WoL)
Wake on LAN (WoL) permite ligar dispositivos através do envio de um pacote mágico (Magic Packet) que dá à placa de rede a ordem de ligar. Para utilizar esta funcionalidade é necessário:
- Placa de rede compatível
- Ativar WoL na BIOS/UEFI
- Configurar WoL no sistema operacional
- Um dispositivo ponte —com FlexxAgent instalado e reportando— na mesma rede que o dispositivo que se deseja ligar.
WoL opera normalmente dentro de uma rede local. Pode funcionar entre sub-redes desde que não existam restrições impostas por firewalls ou dispositivos de rede que bloqueiem a transmissão do pacote mágico. Em ambientes com segmentação por sub-redes, é necessário configurar exceções a nível de rede que permitam o roteamento do pacote mágico entre essas sub-redes.
Configurar Wake on LAN (WoL) no Windows
Para configurar a funcionalidade de Wake on LAN (WoL) em um dispositivo com sistema operacional Windows, devem ser seguidos os seguintes passos:
- Verificar se WoL está ativado
Na janela do CMD, executar o seguinte comando:
powercfg /devicequery wake_programmable
- Ativar WoL
Executar o comando:
powercfg /deviceenablewake "Realtek PCIe GbE Family Controller"
Substitua "Realtek PCIe GbE Family Controller" pelo nome do controlador correspondente.
Flexxible Assistência Remota através de um proxy
Para a assistência remota, o FlexxAgent usará um proxy quando estiver configurado e acessível.
Caso esteja configurado com um proxy, mas este não seja acessível no momento, o Flexxible Assistência Remota será executado com a opção “auto detect”, que usará a configuração de saída para a internet configurada pelo usuário final.
vPro
Se uma organização quiser ativar o vPro, exigirá que o hostname do servidor Flexxible Intel EMA possa ser resolvido a partir de todos os seus dispositivos.
| URL | Âmbito | Porta | Região |
|---|---|---|---|
| https://iagent.flexxible.com | Agente | 443 | Europa Ocidental |
Requisitos para o funcionamento do vPro através de um proxy
- O protocolo de configuração dinâmica de hosts (DHCP) deve fornecer um sufixo DNS (opção 15 do DHCP) que corresponda ao domínio do certificado.
- O proxy deve permitir o método HTTP CONNECT para as portas utilizadas.
- A URL da Flexxible deve ser excluída para evitar uma inspeção profunda de SSL/TLS nas conexões de Client Initiated Remote Access (CIRA).
- O proxy não deve modificar os cabeçalhos HTTP durante a fase CONNECT.
Para mais informações sobre vPro, por favor consulte a seção Integrações.