Consideracions de xarxa i seguretat
FlexxAgent, en el seu funcionament habitual, requereix una sèrie de requisits de xarxa per connectar-se als serveis d'orquestració cloud i suportar proxies, així com ecosistemes de xarxa complexos.
Abans de procedir al desplegament de FlexxAgent en els dispositius, es recomana validar que a nivell de xarxa aquests poden accedir a les destinacions definides en URLs i ports.
Ús de l'ample de banda
Procés FlexxAgent
Quan arrenca FlexxAgent, recull i envia un informe inicial aproximat de 75 KB; a partir d'aquest moment, envia informes diferencials de aproximadament 3-4 KB. Aquest procés s'ocupa d'executar les accions a demanda o automàtiques en el dispositiu. En aquests moments el trànsit de xarxa podria incrementar-se.
Procés FlexxAgent Analyzer
FlexxAgent Analyzer recopila informació de la sessió de l'usuari cada 15 segons, com els consums d'aplicacions, l'ús de recursos i altres. I afegeix aquesta informació en fitxers d'aproximadament 35-50 KB, que són enviats a les consoles cada 5 minuts, tot i que el temps pot canviar en funcionalitats específiques.
En sistemes multiusuari, s'executarà una única instància de FlexxAgent i tantes instàncies de FlexxAgent Analyzer com sessions d'usuari tingui el sistema.
URLs i ports requerits
Pel que fa a comunicacions, FlexxAgent ha de ser capaç de contactar amb la capa d'orquestració del servei allotjada a internet, que inclou:
| URL | Àmbit | Port | Regió | Producte |
|---|---|---|---|---|
| https://flxsbname\*\*\*.servicebus.windows.net | Agent | 443 | West Europe | FXXOne, FlexxClient & FlexxDesktop |
| https://flxiothub\*\*\*.azure-devices.net | Agent | 443 | West Europe | FXXOne, FlexxClient & FlexxDesktop |
| https://west-eu.agent-api.analyzer.flexxible.com | Agent | 443 | West Europe | FXXOne, FlexxClient & FlexxDesktop |
| https://flexxibleglobal.blob.core.windows.net | Agent | 443 | West Europe | FXXOne, FlexxClient & FlexxDesktop |
| https://api.ipify.org | Agent | 443 | West Europe | FXXOne, FlexxClient & FlexxDesktop |
| https://ras.flexxible.com | Agent – Assistència remota | 443 | West Europe | FXXOne, FlexxClient & FlexxDesktop |
| https://update.workspaces.flexxible.com | Agent | 443 | West Europe | FXXOne, FlexxClient & FlexxDesktop |
| https://agents-weu.one.flexxible.net | Agent | 443 | West Europe | FXXOne |
| https://agents-weu.flexxible.net | Agent | 443 | West Europe | FlexxClient & FlexxDesktop |
| https://west-eu-01.agent-api.one.analyzer.flexxible.com | Agent | 443 | West Europe | FXXOne |
*** identificador únic proporcionat per Flexxible.
Seguretat
Per garantir una bona experiència d'usuari, en alguns casos serà necessari configurar exclusions en l'antivirus; tanmateix, si no es gestionen de forma adequada, aquestes exclusions poden suposar un risc de seguretat.
Per aquest motiu, es recomana realitzar anàlisis periòdics dels arxius i carpetes que hagin estat exclosos de l'escaneig de l'antivirus. Tant Microsoft com Flexxible recomanen:
-
Utilitzar una solució File Integrity Monitoring (FIM) o Host Intrusion Prevention (HIP) per protegir la integritat dels elements exclosos de l'anàlisi en temps real.
-
Si s'utilitza Azure Sentinel i Windows Defender no està configurat correctament, poden sorgir problemes de rendiment. Desactiva Windows Defender amb la següent comanda de PowerShell:
Set-MpPreference -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableRealtimeMonitoring $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend
Exclusions de l'antivirus
Els elements per excloure de l'anàlisi de l'antivirus són els següents:
Carpetes
C:\Program Files\Flexxible
Procés
FlexxAgent.exeFlexxibleRA.exeFlexxibleRemoteAssistance_XXXX.exe
Inspecció profunda de SSL
Per solucions de seguretat com Deep SSL Inspection (Inspecció Profunda de SSL) o Trend Micro, cal tenir en compte les indicacions que es descriuen a continuació, a favor del funcionament òptim de FlexxAgent.
S'ha de procurar deshabilitar Deep SSL Inspection per a les següents URLs en aquells dispositius que ho tinguin com a solució de seguretat:
- https://flxsbname\*\*\*.servicebus.windows.net
- https://flxiothub\*\*\*.azure-devices.net
- https://agents-weu.flexxible.net
- https://ras.flexxible.com
Restricció de processos PowerShell
Algunes solucions de seguretat no permeten que la instal·lació i/o l'autoactualització de FlexxAgent es realitzi de manera eficaç, com és el cas de Trend Micro.
Durant el procés, l'instal·lador pot retornar el missatge:
The process was terminated with errors. A corrupted installation was detected due to external processes. This is usually caused by antivirus activity. Please check your antivirus settings.
Per solucionar-ho, Flexxible recomana excloure els següents arxius del dispositiu:
C:\Windows\Temp\FlexxibleIT
C:\Windows\Temp\UpdateFlexxAgent.ps1
Wake on LAN (WoL)
Wake on LAN permet engegar dispositius mitjançant l'enviament d'un paquet màgic que dóna a la targeta de xarxa l'ordre d'engegada. Per poder utilitzar aquesta funcionalitat es requereix:
- Targeta de xarxa compatible
- Activar WoL en BIOS/UEFI
- Configurar WoL en el sistema operatiu
- Un dispositiu
Ponta la mateixa xarxa que el dispositiu que es vol engegar, amb FlexxAgent instal·lat i reportant
Wake on LAN (WoL) opera normalment dins d'una xarxa local, i pot funcionar entre subxarxes sempre que no existeixin restriccions imposades per firewalls o dispositius de xarxa que bloquegin la transmissió del paquet màgic (Magic Packet). En entorns amb segmentació per subxarxes, és necessari configurar excepcions a nivell de xarxa que permetin l'encaminament del paquet màgic entre aquestes subxarxes.
Configurar Wake on LAN (WoL) a Windows
Per configurar la funcionalitat de Wake on LAN (WoL) en un dispositiu amb sistema operatiu Windows, cal seguir els següents passos:
- Verificar si WoL està actiu
A la finestra de CMD, executar la següent comanda:
powercfg /devicequery wake_programmable
- Activa WoL
Executar la comanda:
powercfg /deviceenablewake "Realtek PCIe GbE Family Controller"
Reemplaçar "Realtek PCIe GbE Family Controller" pel nom del controlador que correspongui.
Assistència remota a través de proxy
Per a l'assistència remota, FlexxAgent farà servir proxy quan estigui configurat i accessible.
En cas que estigui configurat amb proxy però aquest no sigui accessible en aquell moment, es llançarà l'assistència remota amb l'opció “auto detect” que farà servir la configuració de sortida a internet que tingui configurat l'usuari final.