ConfiguracionesFortiNACGuías técnicas

Soporte WMI en FortiNAC 8.5

La versión 8.5 de FortiNAC añade la posibilidad de hacer profiling de dispositivos usando información obtenida de equipos Windows usando WMI.

A nivel de profiling, tendremos dos métodos de profiling nuevos: WMI-RM y WMI Profile.

    • WinRM: Permite ejecutar comandos Powershell, como si fuera una conexión ssh, y esperar una respuesta concreta.
    • WMI Profile: Permite inspeccionar el dispositivo para comprobar la versión de Windows, antivirus-antispyware… servicios corriendo, aplicaciones instaladas…

Requisitos en los endpoints: 

Es necesario cumplir una serie de requisites en los endpoints:

–      El servicio WinRM debe estar habilitado

–      Los puertos HTTP para WinRM (5986 o 5985 -inseguro-) deben de estar habilitados en el endpoint, con conectividad entre FortiNAC y el propio endpoint.

–      Versión mínima de WMF (Windows Management Framework): 3.0

Se soportan los siguientes S.O.:

Windows Server 2008 R2 SP1 – With WMF 3.0

Windows 7 SP1 – With WMF 3.0

Windows 8.1

Windows Server 2012 R2

Windows 10 (All versions)

Windows Server 2016

Windows Server 2019

La autenticación NTLM desde FortiNAC se hará con un usuario autorizado a leer el registro y a ejecutar algunos comandos powershell: get-wmiobject, get-itemproperty, get-service, get-process, convertto-json

Aunque se recomienda encarecidamente usar HTTPS (puerto 5986), vamos a ver inicialmente la configuración sobre HTTP, porque permite evaluar la funcionalidad ahorrando algún paso adicional.

Configuración de los endpoints: 

Para saber si el endpoint tiene habilitado WinRM ejecutamos en el endpoint el comando: winrm enumerate winrm/config/listener

Lo normal es que no esté configurado, pero si lo está, obtendremos una respuesta similar a :

En este caso, está habilitada la conexión sobre HTTP y puerto 5985. Si no estuviera configurado, para habilitarlo (modo inseguro) , ejecutaríamos:

winrm quickconfig -transport:http

winrm set winrm/config/service/auth @{Basic=”true”}

winrm set winrm/config/client/auth @{Basic=”true”}

winrm set winrm/config/service @{EnableCompatibilityHttpListener=”true”}

winrm set winrm/config/service @{AllowUnencrypted=”true”}

Configuración de FortiNAC: 

Creamos un perfil que haga la inspección WMI, con los requisitos que necesitemos.

En esta configuración, el puerto es 5985 (inseguro).

Una vez tenemos hecha la configuración, podemos seleccionar un host (en dominio) y seleccionar su adaptador:

Sobre el adaptador, podemos testear la “profiling rule” creado anteriormente:

Si todo va bien, deberíamos tener un “rule Matches”, que indica que el dispositivo hace match con esa regla de perfilado que hemos creado.

Cuando se conecte un dispositivo de dominio no registrado, se comprobará si es accesible WMI y si cumple los requisitos, y se le dará de alta.

En la próxima entrada explicaremos cómo hacer esta misma inspección, pero sobre un canal Seguro.

 

Tags

Contenidos relacionados

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *