Pour plus d'informations sur ce sujet, veuillez consulter KACE-SMA Course 1 Installing the KACE SMA-Web-based Training.
Le processus de patch et de mise à jour de Quest pour les SMA (System Management Appliances) KACE® comprend plusieurs caractéristiques de sécurité. Par exemple, les transmissions des métadonnées de patch et de mise à jour de Quest pour les SMA sont chiffrées. Des sommes de contrôle sont utilisées pour valider l'intégrité des charges utiles des patchs SMA. De plus, le répertoire dans lequel se trouvent les patchs SMA est contrôlé par des autorisations afin d'éviter toute altération par l'utilisateur.Comme pour toute application basée sur un serveur web, les meilleures pratiques en matière de sécurité consistent à limiter l'accès à l'appareil de gestion des systèmes (SMA) de KACE à partir d'Internet. Une attention particulière et un examen de l'environnement sont nécessaires pour garantir la sécurité.Il est fortement recommandé de prendre en compte les pare-feux, le chiffrement, l'accès aux ports, les rôles, l'antivirus, le SSL, la liste de contrôle d'accès, la reprise après sinistre, et de les revoir Best Practices for Securing your SMA avant de configurer le SMA sur Internet. Au minimum, si la SMA est configuré en face d'Internet/public, seul le trafic du port 443 (HTTPS) doit être autorisé à entrer dans la SMA via un pare-feu pour l'accès à l'interface utilisateur et le trafic de communication des agents.
Port | Objet | Configuration Location | Facultatif / Obligatoire | Direction | Protocole |
---|---|---|---|---|---|
20/21 | Partage FTP pour la sauvegarde | Security Settings | Facultatif | Entrant | FTP |
22 | SSH pour le support KACE Tether | Security Settings | Facultatif | Sortant/NAT | SSH |
25 | SMTP | Queue Configuration / Network Settings | Facultatif | Bidirectionnel | TCP |
80 | User/Admin/System UI (non-SSL); Agent/Replication Share Downloads (non-SSL) | Security Settings | Nécessaire pour le trafic UI/Agent si le SSL n'est pas activé ; Nous recommandons fortement d'utiliser le SSL à la place ; Nécessaire pour le trafic sortant/NAT pour le SMA lui-même |
Entrant (non-SSL); Sortant/NAT (SMA requiert HTTP pour la synchronisation des flux de patchs) | HTTP |
161 | SNMP Monitoring de la SMA | Security Settings | Facultatif | Entrant | UDP |
443 | SSL User/Admin/System UI; Agent/Replication Share Downloads | Security Settings | Requis si le SSL est activé |
Entrant (Agent/Replication Share Traffic); Sortant/NAT (plusieurs services, dont les correctifs, reposent sur la possibilité de télécharger vers le SMA à partir d'Internet via HTTPS) | HTTPS |
587 | Relai SMTPS Mail sortant | Queue Configuration / Network Settings | Requis pour l'envoi de courrier électronique via SMTPS |
Sortant; NAT (si vous utilisez un service cloud) | TCP |
110/995 | POP3/SPOP Mail entrant | Queue Configuration / Network Settings | Requis pour la récupération de courrier électronique via POP/SPOP |
Sortant; NAT (si vous utilisez un service cloud) | TCP |
139/445 | Accès aux actions Samba, généralement utilisées pour le provisionnement des agents (méthode non-WinRM) | Security Settings | Les deux ports requis pour l'approvisionnement (non-WinRM) | Bidirectionnel | SMB |
389/636 | LDAP/LDAPS | LDAP Filters / LDAP Authentication | Facultatif |
Sortant; NAT (si vous utilisez un service cloud) | LDAP |
3306 | Accès à distance à la base de données en lecture seule (ODBC) | Security Settings | Facultatif | Entrant | TCP |
5985/5986 | WinRM (HTTP/HTTPS) utilisé pour le provisionnement des agents | Agent Provisioning | Facultatif | Sortant | HTTP/HTTPS |
52231 | Page d'état des mises à jour (serveur web temporaire pendant la mise à jour) | Non configurable | Facultatif | Entrant | HTTP/HTTPS |
Vous trouverez ci-dessous les URL utilisées pour mettre à jour les logiciels SMA, OVAL, SCAP, la garantie Dell et les mises à jour Dell. Veuillez les mettre en liste blanche dans votre pare-feu pour les ports 80 et 443 (HTTP/HTTPS) :
Objet | URL |
---|---|
Fonctionnalité de base / Liens interface utilisateur |
service.kace.com servicecdn.kace.com www.kace.com quest.com |
KACE Tether | tether.kace.com |
KACE GO App Notifications | notify.kace.com |
Dell Updates Feed / Packages |
ftp.dell.com downloads.dell.com |
Dell Warranty | api.dell.com |
Lenovo Warranty | SupportAPI.lenovo.com |
HP Warranty | css.api.hp.com |
Vous trouverez ci-dessous les URL utilisées pour mettre à jour les listes de correctifs. Veuillez les mettre en liste blanche dans votre pare-feu pour les ports 80 et 443 (HTTP/HTTPS):
Editeur | URL(s) |
---|---|
KACE Patch Catalog | cdn01.catalog.kace.com |
Adobe Systems, Inc. |
ardownload.adobe.com armdl.adobe.com |
Altova, Inc. | cdn.sw.altova.com |
Atlassian Software Systems Ltd | s3.amazonaws.com |
Autodesk, Inc. |
download.autodesk.com knowledge.autodesk.com up.autodesk.com |
Canneverbe Limited | download.cdburnerxp.se |
Don HO | download.notepad-plus-plus.org |
EverNote Corporation | cdn1.evernote.com |
Foxit Software | cdn01.foxitsoftware.com |
GlavSoft LLC. | www.tightvnc.com |
inkscape.org | media.inkscape.org |
LIGHTNING UK! | download.imgburn.com |
Microsoft Corporation |
b1.download.windowsupdate.com dl.delivery.mp.microsoft.com download.microsoft.com download.windowsupdate.com endpoint920510.azureedge.net officecdn.microsoft.com officecdn-microsoft-com.akamaized.net |
Mozilla | ftp.mozilla.org |
Opera Software ASA | ftp.opera.com |
Piriform Ltd | download.ccleaner.com |
Python Software Foundation | www.python.org |
RealVNC Ltd. | www.realvnc.com |
Simon Tatham | the.earth.li |
The GIMP developer community | download.gimp.org |
VideoLAN Team | download.videolan.org |
VMWare, Inc. | download3.vmware.com |
win.rar GmbH | www.rarlab.com |
Wireshark Foundation |
ftp.uni-kl.de www.wireshark.org |
Vous trouverez ci-dessous les URL utilisées pour mettre à jour les listes de correctifs dans les versions 9.1 et inférieures. Veuillez les mettre en liste blanche dans votre pare-feu pour les ports 80 et 443 (HTTP/HTTPS):
Editeur | URL(s) |
---|---|
Patch Catalog |
kace.cdn.lumension.com kace.cdn.heatsoftware.com cache.patchlinksecure.net cache.lumension.com leic.lumension.com novell.cdn.heatsoftware.com |
Adobe Systems, Inc. |
ardownload.adobe.com armdl.adobe.com download.adobe.com ftp.adobe.com swupdl.adobe.com www.adobe.com |
Microsoft Corporation |
go.microsoft.com download.windowsupdate.com www.download.windowsupdate.com download.skype.com download.microsoft.com wsus.ds.download.windowsupdate.com download.visualstudio.microsoft.com dl.delivery.mp.microsoft.com |
Mozilla Firefox | ftp.mozilla.org |
Mysql | cdn.mysql.com |
Ultra VNC | support1.uvnc.com |
7-Zip | downloads.sourceforge.net |
VideoLAN VLC | download.videolan.org |
Notepad++ | notepad-plus-plus.org |
Oracle Virtualbox | download.virtualbox.org |
Wireshark | www.wireshark.org |
© 2024 Quest Software Inc. ALL RIGHTS RESERVED. Conditions d’utilisation Confidentialité Cookie Preference Center