Jak przygotować stacje robocze do zdalnej instalacji EPS / BEST

Bitdefender GravityZone zapewnia pełny wgląd w ogólną postawę bezpieczeństwa organizacji, globalne zagrożenia bezpieczeństwa i kontrolę nad swoimi usługami bezpieczeństwa, które chronią wirtualne lub fizyczne komputery stacjonarne, serwery i urządzenia mobilne. Wszystkie rozwiązania Enterprise Security Bitdefender są zarządzane w GravityZone za pośrednictwem jednej konsoli, Control Center, która zapewnia kontrolę, raportowanie i usługi alarmowania dla różnych ról w organizacji.

W tym artykule wyjaśniono, jak skonfigurować zabezpieczenia urządzeń mobilnych w GravityZone, dodając urządzenia mobilne do użytkowników w Centrum sterowania i instalując aplikację klienta mobilnego na odpowiednich urządzeniach.

 

Wprowadzenie

 

GravityZone Security for Mobile Devices zapewnia jednolite zarządzanie urządzeniami iPhone, iPad i Android podłączonymi do sieci korporacyjnej poprzez skanowanie w czasie rzeczywistym i egzekwowanie zasad bezpieczeństwa organizacji na dowolnej liczbie urządzeń.

 

Aby zarządzać bezpieczeństwem urządzeń mobilnych używanych w firmie, najpierw musisz powiązać je z określonymi użytkownikami w Centrum Sterowania, a następnie zainstalować i aktywować aplikację klienta mobilnego na każdym z nich.

 

Bezpieczeństwo urządzeń mobilnych – wymagania wstępne

 

Aby zarządzać urządzeniami mobilnymi z GravityZone Control Center, musi spełnić szereg warunków.

 

Tworzenie niestandardowych użytkowników

Aby włączyć urządzenia mobilne do zarządzania GravityZone, musisz powiązać je z istniejącymi użytkownikami w Control Center. Możesz dodać urządzenia mobilne do dostępnych użytkowników Active Directory. Jeśli integracja z Active Directory jest niedostępna, najpierw musisz utworzyć niestandardowych użytkowników. Tak czy inaczej, możesz w dowolnej chwili zdefiniować niestandardowych użytkowników jako właścicieli urządzeń mobilnych podłączonych do sieci Twojej firmy.

Aby utworzyć niestandardowych użytkowników:

1.     Przejdź do strony Sieć.

2.     Z menu w lewej górnej części strony wybierz Urządzenia Mobilne.

3.     W lewym panelu wybierz Niestandardowe Grupy.

4.     Kliknij ikonę Dodaj Użytkownika na pasku narzędzi akcji. Pojawi się okno konfiguracji.

5.     Podaj wymagane dane użytkownika.

       Sugestywna nazwa użytkownika (na przykład pełne imię i nazwisko użytkownika)

       Adres e-mail użytkownika

Ważne: podaj poprawny adres e-mail. Użytkownik zostanie wysłany instrukcje instalacji przez e-mail po dodaniu urządzenia.

Uwaga: Każdy adres e-mail może być powiązany tylko z jednym użytkownikiem.

6.     Kliknij OK.

 

 

Dodawanie urządzeń mobilnych do użytkowników w Control Center

Możesz dodać nieograniczoną liczbę urządzeń mobilnych do każdego użytkownika. Możesz dodać tylko jedno urządzenie do określonego użytkownika naraz.

Aby dodać urządzenie do określonego użytkownika:

1.     Przejdź do strony Sieć.

2.     Z menu w lewym górnym rogu strony wybierz Urządzenia Mobilne.

3.     Wyszukaj użytkownika w folderach Active Directory lub w grupach niestandardowych i zaznacz odpowiednie pole wyboru w prawym panelu.

4.     Kliknij ikonę Dodaj Urządzenie w górnej części tabeli. Pojawi się okno konfiguracji.

5.     Skonfiguruj szczegóły urządzenia mobilnego:

       Wpisz sugestywną nazwę urządzenia.

       Wybierz typ własności urządzenia (firmowy lub osobisty). W każdej chwili możesz filtrować urządzenia mobilne według właściciela i zarządzać nimi zgodnie z własnymi potrzebami.

       Okno konfiguracji wyświetla unikalny token aktywacji przypisany do urządzenia i adres serwera komunikacyjnego, a także odpowiedni kod QR, wymagany do aktywacji urządzenia mobilnego po instalacji Klienta Mobilnego.

Uwaga: Jeśli zamierzasz zainstalować Klienta Mobilnego na urządzeniu użytkownika, przejdź do tego bez zamykania tego okna. Po instalacji, gdy pojawi się monit o aktywację urządzenia, wprowadź token aktywacyjny i adres serwera komunikacyjnego lub przeskanuj dostarczony kod QR.

6.     Kliknij OK. Użytkownik jest natychmiast wysyłany e-mailem z instrukcjami instalacji i szczegółami aktywacji, które należy skonfigurować na urządzeniu. Szczegóły aktywacji obejmują token aktywacyjny i adres serwera komunikacyjnego (i odpowiedni kod QR).

            Uwaga: Możesz w każdej chwili wyświetlić szczegóły aktywacji urządzenia, klikając jego   nazwę w Centrum sterowania.

Możesz sprawdzić liczbę urządzeń przypisanych każdemu użytkownikowi w prawym panelu, w kolumnie Urządzenia.

 

 

Instalacja GravityZone Mobile Client na urządzeniach

Urządzenia mobilne mogą być własnością firmy lub własnością prywatną. Możesz zainstalować i aktywować Klienta Mobilnego na każdym urządzeniu mobilnym, a następnie przekazać go do odpowiedniego użytkownika. Użytkownicy mogą także instalować i aktywować Klienta Mobilnego samodzielnie, postępując zgodnie z instrukcjami otrzymanymi pocztą e-mail.

Aplikacja Klienta Mobilnego jest dystrybuowana wyłącznie za pośrednictwem Apple App Store i Google Play.

Aby zainstalować klienta mobilnego na urządzeniu:

1.     Wyszukaj aplikację w oficjalnym sklepie z aplikacjami:

       Google Play

       Sklep Apple

2.     Pobierz i zainstaluj aplikację na urządzeniu.

3.     Uruchom aplikację.

4.     Wprowadź wymaganą konfigurację:

a. Wybierz Aktywuj, aby włączyć GravityZone jako administrator urządzenia. Przeczytaj uważnie podane informacje.

b. Wprowadź token aktywacyjny i adres serwera komunikacyjnego lub ewentualnie zeskanuj odpowiedni kod QR.

Uwaga: Informacje o aktywacji są dostępne w Control Center w danych urządzenia mobilnego, a także w wiadomościach e-mail odebranych przez użytkownika.

c. Po wyświetleniu monitu wybierz Trust, aby zaakceptować Certyfikat Serwera Komunikacyjnego. W ten sposób GravityZone Mobile Client sprawdza poprawność serwera komunikacyjnego i akceptuje tylko wiadomości od niego, zapobiegając atakom typu “man-in-the-middle”.

d. Wybierz Aktywuj.

e. Na urządzeniach z systemem iOS pojawi się monit o zainstalowanie profilu MDM. Jeśli twoje urządzenie jest chronione hasłem, zostaniesz poproszony o jego podanie. Ponadto musisz zezwolić GravityZone na dostęp do ustawień urządzenia, w przeciwnym razie proces instalacji powróci do poprzedniego kroku. Postępuj zgodnie z instrukcjami wyświetlanymi na ekranie, aby dokończyć instalację profilu.

Po zakończeniu instalacji możesz przeglądać zarządzane urządzenia przenośne w GravityZone Control Center, pod odpowiednimi użytkownikami. Kliknij liczbę urządzeń powiązanych z użytkownikiem, który Cię interesuje, aby wyświetlić listę podłączonych urządzeń mobilnych.

 

 Jedną z głównych funkcji EPS i BEST jest możliwość zdalnej instalacji stacji sieciowych, proces zwany wdrożeniem. W niektórych przypadkach możliwe jest napotkanie komunikatu o błędzie podczas próby wykonania takiego wdrożenia (“Odmowa dostępu” lub “Wylogowanie z sieci”).

W bieżącym dokumencie przedstawiono sposób przygotowania stacji sieciowych do zdalnego wdrażania.

Przygotuj komputery sieciowe do wdrożenia w następujący sposób:

1.     Upewnij się, że komputery sieciowe spełniają odpowiednie wymagania systemowe:

       W przypadku Windows XP wymagany jest

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

       W systemach Windows Vista i Windows 7, 8, 10 należy wyłączyć Kontrolę konta użytkownika (UAC). Aby wyłączyć UAC, przejdź do Start > Panel sterowania > Konta użytkowników. Tutaj musisz kliknąć Zmień Ustawienia Kontroli Konta Użytkownika. Ustaw UAC na Never Notify, a następnie kliknij OK.

       W przypadku Windows 8.1 i 10 stacji potrzebujesz pełnych uprawnień administracyjnych (poświadczeń wbudowanego konta administratora lub konta użytkownika domeny). Aby uzyskać więcej informacji o tym, jak skutecznie wdrażać EPS / BEST na stacjach Windows 8.1 i 10, zapoznaj się z tym artykułem KB.

2.     Konfiguracja wymagana na komputerach Grupy Roboczej:

       Skonfiguruj każdą stację roboczą, aby nie używała prostego udostępniania plików. Wykonaj następujące kroki:

                                   a. W menu Start systemu Windows kliknij Mój komputer

                                   b. Kliknij Narzędzia > Opcje folderów, a następnie zakładkę Widok

                                   c. Wyczyść pole wyboru Użyj Prostego Udostępniania Plików na liście ustawień zaawansowanych

 

       Na wszystkich stacjach roboczych i serwerach, którymi chcesz zarządzać, skonfiguruj zaporę tak, aby zezwalała na porty komunikacyjne używane przez komponenty bezpieczeństwa. Lub, jeśli wolisz, możesz wyłączyć zapory. Są to domyślne porty komunikacyjne, na które musisz zezwolić:

 

      8443 – port komunikacyjny między konsolą On Premise i EPS / BEST. Ten port musi być dozwolony na wszystkich komputerach w sieci;

        7074 – port komunikacyjny służący do wdrażania i aktualizacji w przypadku korzystania z przekaźnika;

Uwaga: Porty te nie mogą być używane przez żadną inną aplikację zainstalowaną w sieci. Jeśli któryś z tych portów jest używany przez inną aplikację, będziesz musiał wybrać nowy port komunikacyjny i ustawić zapory, aby zezwolić na to zamiast domyślnego portu.

       Sprawdź, czy włączony jest protokół udostępniania Plików i Drukarek: przejdź do Start > Panel sterowania > Połączenia sieciowe (lub Centrum Sieci i Udostępniania w systemie Windows Vista / 7). Zidentyfikować kartę sieciową, na której ustanowiono połączenie sieciowe, Połączenie Lokalne, kliknąć prawym przyciskiem myszy, a następnie kliknąć Właściwości (lub kliknąć dwukrotnie, a następnie kliknąć Właściwości)

 

 

 

 

 

 

 

 

 

 

Uwaga: Aby połączenie się powiodło, musisz albo wyłączyć zaporę systemu Windows, albo     skonfigurować ją tak, aby zezwalała na ruch przez protokół Udostępniania Plików i           Drukarek, a także zezwalać na ruch ICMP (jeśli można było pomyślnie użyć polecenia        PING na stacji roboczej). Aby wyłączyć Zaporę Systemu Windows, otwórz Panel sterowania> Zapora systemu Windows i kliknij opcję Wyłącz. Aby sprawdzić, czy stacje sieciowe są poprawnie skonfigurowane, spróbuj wykonać następujące czynności:

       Pinguj odpowiednią stację sieciową;

       Spróbuj zalogować się do działu administracyjnego

 3.     Usuń wszelkie inne oprogramowanie zabezpieczające zainstalowane na stacjach roboczych

            Przed wdrożeniem EPS / BEST na stacjach roboczych USUŃ wszelkie oprogramowanie        zabezpieczające innej firmy zainstalowane na zarządzanych stacjach roboczych.    Nieprzestrzeganie tego może spowodować awarię EPS / BEST i niestabilność systemu.

 

Źródło: https://www.bitdefender.com/support/how-to-prepare-workstations-for-endpoint-security-automatic-deployment-457.html