Gérer les plug-ins d'intégration de la sécurité des points de terminaison pour Windows
Les plug-ins d'intégration de la sécurité des points de terminaison étendent la fonctionnalité équivalente d'Okta en permettant à Okta Verify de collecter des signaux de confiance à partir de l'appareil Windows sur lequel il s'exécute.
Vous pouvez utiliser un outil de gestion des appareils mobiles (MDM) pour configurer les plug-ins sur votre appareil Windows (par exemple, en utilisant des scripts PowerShell). Vous pouvez exécuter ces scripts pour installer et désinstaller les plug-ins sur chaque appareil individuellement. Cela vous permet de spécifier les signaux d'appareils à collecter.
Sur les appareils Windows, ces plug-ins se trouvent dans le dossier %PROGRAMDATA%\Okta\OktaVerify\Plugins.
-
Installer le plug-in d'intégration de sécurité relative au point de terminaison WSC
-
Installer le plug-in d'intégration de sécurité relative au point de terminaison CrowdStrike
-
Désinstaller un plug-in d'intégration de sécurité relative au point de terminaison
Avant de commencer
-
Configurer les intégration de sécurité relatives au point de terminaison Consultez Démarrer avec les intégration de sécurité relatives au point de terminaison.
-
Activez Okta FastPass. Consultez Activer Okta FastPass.
-
Vérifiez que vos appareils Windows sont enregistrés avec Okta. Consultez Enregistrement d'appareil.
-
Vérifiez que le logiciel client respecte la configuration minimale suivante :
-
Okta Verify pour Windows 3.0 ou version ultérieure
-
CrowdStrike Falcon Agent 6.14 ou version ultérieure
-
Installer le plug-in d'intégration de sécurité relative au point de terminaison WSC
Par défaut, le plug-in Windows Security Center (WSC) est installé automatiquement lors de l'installation d'Okta Verify.
Si vous devez réinstaller le plug-in ultérieurement pour une raison quelconque, désinstallez la version actuelle, puis utilisez ce script.
$content = "{`r`n`t`"name`": `"com.okta.windowsSecurityCenter`",`r`n`t`"description`": `"Okta provided integration collecting signals through the Windows Security Center APIs.`",`r`n`t`"type`": `"DEFAULT`",`r`n`t`"format`": `"JSON`",`r`n`t`"availabilityChecks`": [`r`n`t`t{`r`n`t`t`t`"type`": `"SERVICE_RUNNING`",`r`n`t`t`t`"value`": `"wscsvc`"`r`n`t`t}`r`n`t]`r`n}"
$path = $env:ProgramData + "\Okta\OktaVerify\Plugins\"
$filePath = $path + "com.okta.windowsSecurityCenter.json"
if (-not (Test-Path $path))
{
New-Item $path -ItemType Directory
}
$content | Out-File -FilePath $filePathLe script PowerShell configure le fichier de plug-in JSON suivant :
{
"name": "com.okta.windowsSecurityCenter",
"description": "Okta provided integration collecting signals through the Windows Security Center APIs.",
"type": "DEFAULT",
"format": "JSON",
"availabilityChecks": [
{
"type": "SERVICE_RUNNING",
"value": "wscsvc"
}
]
}Installer le plug-in d'intégration de la sécurité des points de terminaison CrowdStrike
Le plug-in CrowdStrike n'est pas installé automatiquement lorsque Okta Verify est installé. En fonction de votre scénario d'installation, désinstallez la version actuelle s'il en existe une, puis suivez la procédure d'installation appropriée :
Déployer Okta Verify sur les appareils Windows
N'utilisez pas le script PowerShell dans ce scénario. Utilisez plutôt la ligne de commande fournie par votre outil de gestion (GPO, logiciel MDM) pour inclure l'indicateur EnableZTAPlugin dans la commande d'installation.
Consultez Déployer Okta Verify sur les appareils Windows pour les options d'installation.
Tous les autres scénarios de déploiement
D'autres scénarios sont également possibles :
- L'utilisateur final a installé Okta Verify sur son appareil, plutôt que un administrateur via un outil de gestion.
- Vous souhaitez activer ou désactiver la fonctionnalité après l'installation d'Okta Verify sur l'appareil.
Utilisez le script PowerShell suivant :
$content = "{`r`n`t`"name`": `"com.crowdstrike.zta`",`r`n`t`"description`": `"Okta provided integration with CrowdStrike Falcon endpoint collecting the zta score.`",`r`n`t`"type`": `"FILE`",`r`n`t`"format`": `"JWT`",`r`n`t`"location`": `"%ProgramData%\\CrowdStrike\\ZeroTrustAssessment\\data.zta`",`r`n`t`"availabilityChecks`": [`r`n`t`t{`r`n`t`t`t`"type`": `"SERVICE_RUNNING`",`r`n`t`t`t`"value`": `"csagent`"`r`n`t`t}`r`n`t]`r`n}"
$path = $env:ProgramData + "\Okta\OktaVerify\Plugins\"
$filePath = $path + "com.crowdstrike.zta.json"
if (-not (Test-Path $path))
{
New-Item $path -ItemType Directory
}
[System.IO.File]::WriteAllText($filePath, $content)Le script PowerShell génère le fichier plug-in JSON :
{
"name": "com.crowdstrike.zta",
"description": "Okta provided integration with CrowdStrike Falcon endpoint collecting the zta score.",
"type": "FILE",
"format": "JWT",
"location": "%ProgramData%\\CrowdStrike\\ZeroTrustAssessment\\data.zta",
"availabilityChecks": [
{
"type": "SERVICE_RUNNING",
"value": "csagent"
}
]
}Installer le plug-in d'intégration osquery
Le plug-in d'intégration osquery est nécessaire à la fonctionnalité de vérifications de posture avancées. Ce plug-in n'est pas installé automatiquement lorsque Okta Verify est installé.
Le plug-in nécessite que la valeur de configuration EnableOSQueryCustomChecks soit définie, ainsi qu'un fichier manifeste de plug-in contenant une liste des domaines autorisés. Consultez EnableOSQueryCustomChecks dans Configurations Okta Verify pour les appareils Windows.
Utilisez le script PowerShell suivant pour générer le fichier manifeste :
$manifest = [ordered]@{
name = "com.okta.device.osquery"
description = "Okta provided integration collecting signals through osquery."
type = "com.okta.device.osquery"
format = "JSON"
timeout = 10000
allowedDomains = @("okta.okta.com", "okta.example.com") # Add your allowed domains here
}
$filePath = "$env:ProgramData\Okta\OktaVerify\Plugins\com.okta.device.osquery.json"
$content = $manifest | ConvertTo-Json
$utf8 = New-Object System.Text.UTF8Encoding($false)
[System.IO.File]::WriteAllText($filePath, $content, $utf8)
Exemple de fichier manifeste :
{
"name": "com.okta.device.osquery",
"description": "Okta provided integration collecting signals through osquery.",
"type": "com.okta.device.osquery",
"format": "JSON",
"timeout": 10000,
"allowedDomains": [
"okta.okta.com",
"okta.example.com"
]
}Désinstaller un plug-in d'intégration de sécurité relative au point de terminaison
Désinstallez toujours le plug-in d'intégration de sécurité relative au point de terminaison actuel avant d'installer une nouvelle version.
Pour désinstaller un plug-in d'intégration de la sécurité des points de terminaison sur des ordinateurs Windows pour quelque raison que ce soit, utilisez le script PowerShell suivant.
$path = $env:ProgramData + "\Okta\OktaVerify\Plugins\[JSON_FILE_NAME]"
if ((Test-Path $path))
{
Remove-Item -Path $path
}Remplacez [NOM_DU_FICHIER_JSON] dans le script PowerShell par le fichier JSON applicable :
- Windows Security Center : com.okta.windowsSecurityCenter.json
- CrowdStrike : com.crowdstrike.zta.json
- osquery : com.okta.device.osquery.json