Skip to main content

Агенты

tip

Раздел доступен в Консоли управления на вкладке Дополнительно, если Indeed CM настроен для работы с клиентскими агентами (включена опция Разрешить использование клиентских агентов в разделе Клиентский агент Мастера настройки Indeed CM) и членам роли предоставлена привилегия Просмотр репозитория агентов.

info

Если в разделе Клиентский агент Мастера настройки Indeed CM отключена Автоматическая регистрация агентов, то после установки и настройки Агента на рабочей станции он появится в разделе со статусом Ожидает регистрации.

Для поиска Агента укажите один или несколько параметров:

  • Имя агента – по умолчанию в качестве имени задается версия операционной системы, на которой установлен Агент. Имя можно изменить в профиле Агента.
  • Имя компьютера – DNS имя компьютера.
  • Операционная система – версия операционной системы, на которой установлен Агент.
  • IP-адрес – IP-адрес компьютера (IPv4 или IPv6), на котором установлен Агент.
  • Комментарий – комментарий, заданный администратором Indeed CM в профиле Агента.
  • Статус – текущее состояние Агента. Возможные значения:
    • Не задано – поиск производится без учёта статуса
    • Ожидает регистрации
    • Зарегистрирован
    • Отклонен

Поддерживаемые шаблоны поиска:

  • Полное совпадение – Win7x86.demo.local
  • Частичное совпадение –*86.demo.local или *demo*
  • Все результаты – *

Нажмите на имя Агента в результатах поиска, чтобы перейти в профиль Агента. Нажмите Зарегистрировать для подтверждения запроса на регистрацию или Отклонить, чтобы отклонить запрос.

В области уведомления Windows появится значок .

Профиль агента

В профиле содержится информация об Агенте, сессиях пользователей, привязанных устройствах и последних событиях, связанных с Агентом.

  • Имя Агента – обязательный параметр. По умолчанию в качестве значения используется DNS-имя компьютера, на котором установлен Агент. Для редактирования нажмите Изменить имя.
  • Комментарий – необязательный параметр. По умолчанию отсутствует. Для установки или редактирования комментария нажмите Изменить комментарий.
  • Сессии – сессии пользователей, выполнивших вход на рабочую станцию (необязательно по смарт-карте) или сессии сервисных служб (отображаются, когда рабочая станция включена). Существует два типа сессий пользователя:
    • Консольная – пользователь выполнил вход на рабочую станцию напрямую.
    • Терминальная – пользователь подключился к рабочей станции удаленно (например, по RDP).
  • Привязанные устройства – список устройств, которые администратор Indeed CM закрепил за Агентом.
  • Последние события – последние пять событий, связанных с работой Агента.
Пример профиля Агента с сессиями и устройством пользователя

Назначение устройства

Агент Indeed CM автоматически определяет устройства, подключенные к рабочей станции, и запрашивает у сервера Indeed CM список задач, которые требуется выполнить с устройствами. Закреплять устройство пользователя за его рабочей станцией в этом случае не требуется.

Закрепление устройства за рабочей станцией (Агентом) позволит контролировать использование устройств в организации. Например, Агент сможет выполнять определенные действия при подключении незакрепленных за ним устройств (см. Контроль за использованием устройств).

Для закрепления устройства за Агентом перейдите в раздел Привязанные устройства в профиле Агента и нажмите Привязать устройство.
Если устройство доступно, подключите его к рабочей станции или выберите из списка подключенных и нажмите Привязать.
Если устройство недоступно, то укажите его серийный номер, тип и нажмите Привязать.

Устройство отобразится в разделе Привязанные устройства профиля Агента. Для отвязки устройства нажмите и затем Отвязать.

Контроль за использованием устройств

Для привязанных к агенту устройств в разделе Контроль политики Indeed Certificate Manager задаются настройки использования. При подключении устройства к рабочей станции, установленный на ней агент реагирует на события:

  • При нарушении условий привязки устройства к агенту. Например, пользователь подключил к своей рабочей станции чужую смарт-карту, и она не привязана к агенту.
  • При нарушении условий привязки устройства и пользователя. Например, пользователь выполнил вход на рабочую станцию по смарт-карте, привязанной к агенту, а затем сменил учетную запись в операционной системе.
Для пользователей составного каталога и каталога КриптоПро УЦ 2.0

Привязка пользователя к Агенту не контролируется для пользователей составного каталога и каталога КриптоПро УЦ 2.0.

При обнаружении агентом одного из событий возможны следующие действия:

  • Запись события в журнал системы
  • Блокировка пользовательской сессии, запись события
  • Блокировка устройства, запись события
  • Блокировка пользовательской сессии и устройства, запись события

Если выбрано действие Блокировка пользовательской сессии или Блокировка пользовательской сессии и устройства, то укажите Таймаут до блокировки пользовательской сессии, максимальное значение 5 секунд.

Чтобы агент отслеживал привязку сессии пользователя к подключенному устройству, включите опцию Включить проверку привязки устройства к пользователю. Если агенты и устройства будут использоваться на рабочих станциях, не входящих в домен вашей организации, то включите опцию Проверять условия привязки устройства к пользователю на компьютерах, не включенных в домен.

Задайте сообщение, которое будет отображаться пользователю при нарушении привязки, и действие, которое должен выполнить агент в этом случае.

В сообщениях пользователю допустимо использовать следующие атрибуты:

  • {sn} – вывод серийного номера устройства
  • {atr} – вывод значения ATR (Answer to reset) устройства
  • {model} – вывод модели устройства
  • {label} – вывод метки устройства
Пример сообщения

"Подключенное устройство {model}: {sn} не соответствует сессии пользователя."

Мониторинг подключенных устройств

Клиентский агент проверяет все устройства, подключенные к рабочей станции пользователя, и фиксирует в системный Журнал следующие события:

  • наличие устройств с заблокированным PIN-кодом пользователя и администратора (в том числе для ГОСТ-областей, если поддерживается устройством),
  • попытки ввода неверных PIN-кодов пользователя и администратора (в том числе для ГОСТ-областей, если поддерживается устройством),
  • подключение незарегистрированных устройств.

При длительном отсутствии связи агента с сервером Indeed CM служба Card Monitor фиксирует это событие в системный журнал. Период отсутствия связи агента с сервером задается в разделе Служба Card Monitor Мастера настройки Indeed CM.

Администратор Indeed CM может получать почтовые уведомления о следующих событиях на устройствах:

  • Обнаружена блокировка PIN-кода администратора на устройстве,
  • Обнаружена блокировка PIN-кода пользователя на устройстве,
  • Ввод неверного PIN-кода администратора на устройстве,
  • Ввод неверного PIN-кода пользователя на устройстве.

Опция работает для устройств в состоянии Выпущено, В ожидании, Отозвано, Выключено и Назначено.

tip

Создание уведомлений aдминистратора и Настройка шаблонов почтовых уведомлений о данных событиях настраиваются в политике использования устройств.

События, передаваемые в Indeed CM устройствами аутентификации
Производитель устройствСписок поддерживаемых событий
Компания «Актив»Обнаружение блокировки PIN-кода пользователя/администратора на устройстве. Ввод неверного PIN-кода пользователя/администратора на устройстве.
Компания ИндидОбнаружение блокировки PIN-кода пользователя/администратора на устройстве.
Аладдин Р.Д.Обнаружение блокировки PIN-кода пользователя/администратора на устройстве Ввод неверного PIN-кода пользователя/администратора на устройстве.
ACSОбнаружение блокировки PIN-кода пользователя на устройстве. Ввод неверного PIN-кода пользователя на устройстве.
AvestОбнаружение блокировки PIN-кода пользователя/администратора на устройстве.
Bit4idОбнаружение блокировки PIN-кода пользователя/администратора на устройстве.
CRYPTASОбнаружение блокировки PIN-кода пользователя/администратора на устройстве. Ввод неверного PIN-кода пользователя/администратора на устройстве.
CryptovisionОбнаружение блокировки PIN-кода пользователя/администратора на устройстве.
FeitianОбнаружение блокировки PIN-кода пользователя/администратора на устройстве.
HIDФиксирование событий не поддерживается.
ISBCОбнаружение блокировки PIN-кода пользователя/администратора на устройстве.
KaztokenОбнаружение блокировки PIN-кода пользователя/администратора на устройстве. Ввод неверного PIN-кода пользователя/администратора на устройстве.
Microsoft VSC (TPM)
Microsoft Windows Hello for Business (WHfB)
Фиксирование событий не поддерживается.
RegistryФиксирование событий не поддерживается.
RSAОбнаружение блокировки PIN-кода пользователя/администратора на устройстве.
Thales Group (Ex Gemalto and SafeNet)Обнаружение блокировки PIN-кода пользователя/администратора на устройстве. Ввод неверного PIN-кода пользователя/администратора на устройстве.
YubicoФиксирование событий не поддерживается.

Журнал событий

Сведения о работе Агентов Indeed Certificate Manager заносятся в журналы сервера и клиента. События Агентов фиксируют сервисы: Сервис регистрации агентовСервис агентов и Монитор устройств.

Для просмотра событий Агентов во вкладке Журнал Консоли управления Indeed CM отфильтруйте содержимое журнала по одному из сервисов или по событиям.

События Агента на рабочей станции пользователя записываются в локальный журнал событий Indeed CM и передаются на сервер. Если связи с сервером Indeed CM нет, то события хранятся на рабочей станции пользователя и будут отправлены на сервер, когда связь с ним восстановится.