Jak przygotować stacje robocze do zdalnego wdrażania BEST

Jak przygotować stacje robocze do zdalnego wdrażania BEST

Jedną z głównych funkcji, którą dostarcza Bitdefender Endpoint Security Tools jest możliwość zdalnego zainstalowania na punktach końcowych procesy zwanego wdrożeniem.

Aby zadanie wdrażania Bitdefender Endpoint Security Tools zakończyło się powodzeniem na docelowych systemach, musisz spełnić następujące wymagania wstępne konfiguracji:

1. Wymagania systemowe

– Upewnij się, że docelowy punkt końcowy spełnia minimalne wymagania systemowe , zgodnie z Podręcznikiem Instalacji GravityZone. Dla kilku punktów końcowych możesz potrzebować zainstalować najnowsze, dostępne service packi do systemów operacyjnych, lub zwolnić miejsce na dysku twardym. Opracuj listę punktów końcowych, które nie spełniają wymagań, aby można było wykluczyć je z zarządzania.

– Bitdefender Endpoint Security Tools nie wspiera zdalnego wdrożenia na systemach operacyjnych Windows legacy, włączając w to rodziny Windows XP, oraz Windows Vista.

– Podczas wdrażania agenta za pośrednictwem Linuxowego relay’a muszą być spełnione następujące dodatkowe warunki:

– Relay musi mieć zainstalowany pakiet Samba (smbclient) w wersji 4.1.0, lub wyższej, aby mógł wdrożyć agentów Windows.

– Docelowe punkty końcowe Windows muszą mieć włączone Udostępnianie Administracyjne, oraz Udostępnianie Sieci.

– Docelowe punkty końcowe Lunux i Mac muszą mieć włączone SSH, oraz wyłączoną zaporę sieciową.

2. Uprawnienia administracyjne

Instalacja wymaga uprawnień administracyjnych. Upewnij się, że masz konieczne dane pod ręką dla wszystkich komputerów.

Musisz też określić ustawienia Kontroli Konta Użytkownika (User Account Control (UAC)) zgodnie z konfiguracją docelowego punktu końcowego.

– Dla Windows 8.1, oraz 10, potrzebujesz pełne uprawnienia administracyjne (poświadczenia wbudowanego konta administratora lub konta użytkownika domeny) Po więcej informacji, jak z powodzeniem wdrożyć BEST na urządzeniach z Windows 8.1, oraz Windows 10, zajrzyj do tego artykułu KB.

Dla systemów docelowych, które są częścią Grupy Roboczej, musisz wyłączyć UAC tylko, jeśli używasz innych poświadczeń uprawnień administracyjnych z wyjątkiem wbudowanego konta administratora domeny podczas konfigurowania zadania wdrażania. Jeśli zadanie wdrożenia jest skonfigurowane do uwierzytelnienia za pomocą wbudowanego konta administratora domeny(oraz domyślne ustawienia UAC na koncie nie były zmieniane w polityce grupy), będzie działać bez konieczności zmiany ustawień UAC.

Dla systemów docelowych, które są częścią Domeny Active Directory, oprócz poprzednich zaleceń, jeśli administrator chce skonfigurować zadanie, oraz podać poświadczenia wdrażania użytkowników będących członkami grupy zabezpieczeń Administratorzy domeny, obiekt zasad grupy można skonfigurować w celu zastosowania tej grupy zabezpieczeń z następującymi ustawieniami:

[Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options]

Polityka

Ustawienie

Kontrola dostępu użytkownika: zachowanie polecenia podniesienia dla administratorów w trybie zatwierdzania przez administratora.

Podniesienie bez polecenia

Kontrola dostępu użytkownika: Wykrycie zainstalowanych aplikacji oraz polecenie podniesienia

Wyłączony

Kontrola dostępu użytkownika: Uruchom wszystkich administratorów w trybie zatwierdzania przez administratora

Włączony

Ważne:

Jako najlepsza praktyka bezpieczeństwa, po zakończeniu cyklu wdrażania, przywróć ustawienia domyślne. Po informacje na temat domyślnej konfiguracji UAC można znaleźć w tym artykule Microsoftu.

W systemach Windows 7,8, oraz 10, należy wyłączyć UAC w następujący sposób:

Wejdź w Start > Panel Sterowania > Konta Użytkowników

Kliknij Ustawienia Kontroli Dostępu Użytkownika

Ustaw UAC na Nigdy nie powiadamiaj, a następnie kliknij OK.

3. Wymagania dotyczące łączności

Na wszystkich stacjach roboczych, którymi chcesz zarządzać, a które muszą mieć połączenie sieciowe z urządzeniem GravityZone, musisz skonfigurować zaporę, aby dopuszczała następujące porty komunikacyjne, używane przez komponenty bezpieczeństwa:

8443: port komunikacyjny pomiędzy konsolą GravityZone, a Bitdefender Endpoint Security Tools. Ten port musi być dozwolony na wszystkich komputerach w sieci.

7074: port komunikacyjny używany dla wdrażanie, oraz aktualizacji przez Relay.

Ważne: Porty te nie mogą być używane przez żadne inne zainstalowane aplikacje w sieci.

Zalecane jest, aby używać statycznego adresu IP dla serwera relay. Jeśli nie możesz ustawić statycznego adresu IP, użyj nazwy hosta urządzenia.

Skonfiguruj każdą stację roboczą, aby nie korzystała z kreatora udostępniania w następujący sposób:

W Windows 7:

1. Wejdź w Start > Komputer > Organizuj > Układ, a następnie wybierz Pasek Menu;

2. Kliknij Narzędzia, a później Opcje Folderów… > Widok;

3. Odznacz pole wyboru Użyj Kreatora Udostępniania z listy ustawienia zaawansowane;

4. Kliknij OK.

W Windows 8, oraz 8.1:

1. Wejdź w Komputer > Widok > Opcje;

2. W oknie Opcje Folderów kliknij zakładkę Widok;

3. Odznacz pole wyboru Użyj Kreatora Udostępniania z listy ustawienia zaawansowane;

4. Kliknij OK.

W Windows 10:

1. Wejdź w Ten Komputer > Widok > Opcje;

2. Kliknij zakładkę Widok;

3. Odznacz pole wyboru Użyj Kreatora Udostępniania z listy ustawienia zaawansowane;

4. Kliknij OK.

Upewnij się, że protokół Udostępniania Plików i Drukarek jest włączony. Ta usługa używa portów TCP 139, 445, oraz portów UDP 137, 138. Aby sprawdzić, czy protokół Udostępniania Plików i Drukarek jest włączony:

Wejdź w Start > Panel Sterowania > Centrum Sieci i Udostępniania;

Określ, które połączenie sieciowe jest ustanowione, a następnie kliknij je;

Kliknij Właściwości;

Ważne:

Aby połączenie było udane:

Wyłącz Zaporę Systemu , lub skonfiguruj ją , aby pozwalała na ruch przez protokół Udostępniania Plików i Drukarek. Aby wyłączyć Zaporę Systemu Windows, otwórz Panel Sterowania > Zapora Systemu Windows, a następnie kliknij Wyłącz.

Zezwól na ruch ICMP (dzięki czemu można sprawdzić ping stacji roboczej).

Aby sprawdzić, czy stacja robocza jest poprawnie skonfigurowana:

Sprawdź ping odpowiedniej stacji sieciowej;

Spróbuj zalogować się do udostępniania administracyjnego.

4. Usuwanie oprogramowania zabezpieczającego innej firmy

Odinstaluj (nie tylko wyłącz) wszelkie, istniejące na komputerach programy chroniące przed złośliwym oprogramowaniem, zapory sieciowe, lub te związane z bezpieczeństwem internetowym. Uruchomienie agenta bezpieczeństwa jednocześnie z innym oprogramowaniem zabezpieczającym na punkcie końcowym może wpłynąć na jego działanie, oraz spowodować poważne problemy z systemem.

Wiele z niekompatybilnych programów zabezpieczających jest automatycznie wykrywanych, oraz usuwanych w trakcie instalacji.

Aby dowiedzieć się więcej, oraz sprawdzić listę oprogramowania zabezpieczającego wykrywanego przez Bitdefender Endpoint Security Tools dla obecnych systemów operacyjnych Windows (Windows 7 / Windows Server 2008 R2, i późniejsze) odnieś się do tego artykułu KB.

Aby sprawdzić listę oprogramowania zabezpieczającego wykrywanego przez Bitdefender Endpoint Security Tools dla systemów operacyjnych Windows legacy (włączając rodziny Windows XP, oraz Windows Vista) odnieś się do tego artykułu KB.

Jeśli chcesz wdrożyć agenta bezpieczeństwa na komputerze z Bitdefender Antivirus for Mac 5.x, musisz najpierw usunąć tego drugiego ręcznie. Aby uzyskać wskazówki przejdź do tego artykułu .

Źródło: https://www.bitdefender.com/support/how-to-prepare-workstations-for-best-remote-deployment-457.html