Bitdefender GravityZone zapewnia pełny wgląd w ogólną postawę bezpieczeństwa organizacji, globalne zagrożenia bezpieczeństwa i kontrolę nad swoimi usługami bezpieczeństwa, które chronią wirtualne lub fizyczne komputery stacjonarne, serwery i urządzenia mobilne. Wszystkie rozwiązania Enterprise Security Bitdefender są zarządzane w GravityZone za pośrednictwem jednej konsoli, Control Center, która zapewnia kontrolę, raportowanie i usługi alarmowania dla różnych ról w organizacji.
W tym artykule wyjaśniono, jak skonfigurować zabezpieczenia urządzeń mobilnych w GravityZone, dodając urządzenia mobilne do użytkowników w Centrum sterowania i instalując aplikację klienta mobilnego na odpowiednich urządzeniach.
Wprowadzenie
GravityZone Security for Mobile Devices zapewnia jednolite zarządzanie urządzeniami iPhone, iPad i Android podłączonymi do sieci korporacyjnej poprzez skanowanie w czasie rzeczywistym i egzekwowanie zasad bezpieczeństwa organizacji na dowolnej liczbie urządzeń.
Aby zarządzać bezpieczeństwem urządzeń mobilnych używanych w firmie, najpierw musisz powiązać je z określonymi użytkownikami w Centrum Sterowania, a następnie zainstalować i aktywować aplikację klienta mobilnego na każdym z nich.
Bezpieczeństwo urządzeń mobilnych – wymagania wstępne
Aby zarządzać urządzeniami mobilnymi z GravityZone Control Center, musi spełnić szereg warunków.
Tworzenie niestandardowych użytkowników
Aby włączyć urządzenia mobilne do zarządzania GravityZone, musisz powiązać je z istniejącymi użytkownikami w Control Center. Możesz dodać urządzenia mobilne do dostępnych użytkowników Active Directory. Jeśli integracja z Active Directory jest niedostępna, najpierw musisz utworzyć niestandardowych użytkowników. Tak czy inaczej, możesz w dowolnej chwili zdefiniować niestandardowych użytkowników jako właścicieli urządzeń mobilnych podłączonych do sieci Twojej firmy.
Aby utworzyć niestandardowych użytkowników:
1.Przejdź do strony Sieć.
2.Z menu w lewej górnej części strony wybierz Urządzenia Mobilne.
3.W lewym panelu wybierz Niestandardowe Grupy.
4.Kliknij ikonę Dodaj Użytkownika na pasku narzędzi akcji. Pojawi się okno konfiguracji.
5.Podaj wymagane dane użytkownika.
•Sugestywna nazwa użytkownika (na przykład pełne imię i nazwisko użytkownika)
•Adres e-mail użytkownika
Ważne: podaj poprawny adres e-mail. Użytkownik zostanie wysłany instrukcje instalacji przez e-mail po dodaniu urządzenia.
Uwaga: Każdy adres e-mail może być powiązany tylko z jednym użytkownikiem.
6.Kliknij OK.
Dodawanie urządzeń mobilnych do użytkowników w Control Center
Możesz dodać nieograniczoną liczbę urządzeń mobilnych do każdego użytkownika. Możesz dodać tylko jedno urządzenie do określonego użytkownika naraz.
Aby dodać urządzenie do określonego użytkownika:
1.Przejdź do strony Sieć.
2.Z menu w lewym górnym rogu strony wybierz Urządzenia Mobilne.
3.Wyszukaj użytkownika w folderach Active Directory lub w grupach niestandardowych i zaznacz odpowiednie pole wyboru w prawym panelu.
4.Kliknij ikonę Dodaj Urządzenie w górnej części tabeli. Pojawi się okno konfiguracji.
5.Skonfiguruj szczegóły urządzenia mobilnego:
•Wpisz sugestywną nazwę urządzenia.
•Wybierz typ własności urządzenia (firmowy lub osobisty). W każdej chwili możesz filtrować urządzenia mobilne według właściciela i zarządzać nimi zgodnie z własnymi potrzebami.
•Okno konfiguracji wyświetla unikalny token aktywacji przypisany do urządzenia i adres serwera komunikacyjnego, a także odpowiedni kod QR, wymagany do aktywacji urządzenia mobilnego po instalacji Klienta Mobilnego.
Uwaga: Jeśli zamierzasz zainstalować Klienta Mobilnego na urządzeniu użytkownika, przejdź do tego bez zamykania tego okna. Po instalacji, gdy pojawi się monit o aktywację urządzenia, wprowadź token aktywacyjny i adres serwera komunikacyjnego lub przeskanuj dostarczony kod QR.
6.Kliknij OK. Użytkownik jest natychmiast wysyłany e-mailem z instrukcjami instalacji i szczegółami aktywacji, które należy skonfigurować na urządzeniu. Szczegóły aktywacji obejmują token aktywacyjny i adres serwera komunikacyjnego (i odpowiedni kod QR).
Uwaga: Możesz w każdej chwili wyświetlić szczegóły aktywacji urządzenia, klikając jego nazwę w Centrum sterowania.
Możesz sprawdzić liczbę urządzeń przypisanych każdemu użytkownikowi w prawym panelu, w kolumnie Urządzenia.
Instalacja GravityZone Mobile Client na urządzeniach
Urządzenia mobilne mogą być własnością firmy lub własnością prywatną. Możesz zainstalować i aktywować Klienta Mobilnego na każdym urządzeniu mobilnym, a następnie przekazać go do odpowiedniego użytkownika. Użytkownicy mogą także instalować i aktywować Klienta Mobilnego samodzielnie, postępując zgodnie z instrukcjami otrzymanymi pocztą e-mail.
Aplikacja Klienta Mobilnego jest dystrybuowana wyłącznie za pośrednictwem Apple App Store i Google Play.
Aby zainstalować klienta mobilnego na urządzeniu:
1.Wyszukaj aplikację w oficjalnym sklepie z aplikacjami:
•Google Play
•Sklep Apple
2.Pobierz i zainstaluj aplikację na urządzeniu.
3.Uruchom aplikację.
4.Wprowadź wymaganą konfigurację:
a. Wybierz Aktywuj, aby włączyć GravityZone jako administrator urządzenia. Przeczytaj uważnie podane informacje.
b. Wprowadź token aktywacyjny i adres serwera komunikacyjnego lub ewentualnie zeskanuj odpowiedni kod QR.
Uwaga: Informacje o aktywacji są dostępne w Control Center w danych urządzenia mobilnego, a także w wiadomościach e-mail odebranych przez użytkownika.
c. Po wyświetleniu monitu wybierz Trust, aby zaakceptować Certyfikat Serwera Komunikacyjnego. W ten sposób GravityZone Mobile Client sprawdza poprawność serwera komunikacyjnego i akceptuje tylko wiadomości od niego, zapobiegając atakom typu „man-in-the-middle”.
d. Wybierz Aktywuj.
e. Na urządzeniach z systemem iOS pojawi się monit o zainstalowanie profilu MDM. Jeśli twoje urządzenie jest chronione hasłem, zostaniesz poproszony o jego podanie. Ponadto musisz zezwolić GravityZone na dostęp do ustawień urządzenia, w przeciwnym razie proces instalacji powróci do poprzedniego kroku. Postępuj zgodnie z instrukcjami wyświetlanymi na ekranie, aby dokończyć instalację profilu.
Po zakończeniu instalacji możesz przeglądać zarządzane urządzenia przenośne w GravityZone Control Center, pod odpowiednimi użytkownikami. Kliknij liczbę urządzeń powiązanych z użytkownikiem, który Cię interesuje, aby wyświetlić listę podłączonych urządzeń mobilnych.
Jedną z głównych funkcji EPS i BEST jest możliwość zdalnej instalacji stacji sieciowych, proces zwany wdrożeniem. W niektórych przypadkach możliwe jest napotkanie komunikatu o błędzie podczas próby wykonania takiego wdrożenia („Odmowa dostępu” lub „Wylogowanie z sieci”).
W bieżącym dokumencie przedstawiono sposób przygotowania stacji sieciowych do zdalnego wdrażania.
Przygotuj komputery sieciowe do wdrożenia w następujący sposób:
1.Upewnij się, że komputery sieciowe spełniają odpowiednie wymagania systemowe:
•W przypadku Windows XP wymagany jest
•W systemach Windows Vista i Windows 7, 8, 10 należy wyłączyć Kontrolę konta użytkownika (UAC). Aby wyłączyć UAC, przejdź do Start > Panel sterowania > Konta użytkowników. Tutaj musisz kliknąć Zmień Ustawienia Kontroli Konta Użytkownika. Ustaw UAC na Never Notify, a następnie kliknij OK.
•W przypadku Windows 8.1 i 10 stacji potrzebujesz pełnych uprawnień administracyjnych (poświadczeń wbudowanego konta administratora lub konta użytkownika domeny). Aby uzyskać więcej informacji o tym, jak skutecznie wdrażać EPS / BEST na stacjach Windows 8.1 i 10, zapoznaj się z tym artykułem KB.
2.Konfiguracja wymagana na komputerach Grupy Roboczej:
•Skonfiguruj każdą stację roboczą, aby nie używała prostego udostępniania plików. Wykonaj następujące kroki:
a. W menu Start systemu Windows kliknij Mój komputer
b. Kliknij Narzędzia > Opcje folderów, a następnie zakładkę Widok
c. Wyczyść pole wyboru Użyj Prostego Udostępniania Plików na liście ustawień zaawansowanych
•Na wszystkich stacjach roboczych i serwerach, którymi chcesz zarządzać, skonfiguruj zaporę tak, aby zezwalała na porty komunikacyjne używane przez komponenty bezpieczeństwa. Lub, jeśli wolisz, możesz wyłączyć zapory. Są to domyślne porty komunikacyjne, na które musisz zezwolić:
▪8443 – port komunikacyjny między konsolą On Premise i EPS / BEST. Ten port musi być dozwolony na wszystkich komputerach w sieci;
▪7074 – port komunikacyjny służący do wdrażania i aktualizacji w przypadku korzystania z przekaźnika;
Uwaga: Porty te nie mogą być używane przez żadną inną aplikację zainstalowaną w sieci. Jeśli któryś z tych portów jest używany przez inną aplikację, będziesz musiał wybrać nowy port komunikacyjny i ustawić zapory, aby zezwolić na to zamiast domyślnego portu.
•Sprawdź, czy włączony jest protokół udostępniania Plików i Drukarek: przejdź do Start > Panel sterowania > Połączenia sieciowe (lub Centrum Sieci i Udostępniania w systemie Windows Vista / 7). Zidentyfikować kartę sieciową, na której ustanowiono połączenie sieciowe, Połączenie Lokalne, kliknąć prawym przyciskiem myszy, a następnie kliknąć Właściwości (lub kliknąć dwukrotnie, a następnie kliknąć Właściwości)
Uwaga: Aby połączenie się powiodło, musisz albo wyłączyć zaporę systemu Windows, albo skonfigurować ją tak, aby zezwalała na ruch przez protokół Udostępniania Plików i Drukarek, a także zezwalać na ruch ICMP (jeśli można było pomyślnie użyć polecenia PING na stacji roboczej). Aby wyłączyć Zaporę Systemu Windows, otwórz Panel sterowania> Zapora systemu Windows i kliknij opcję Wyłącz. Aby sprawdzić, czy stacje sieciowe są poprawnie skonfigurowane, spróbuj wykonać następujące czynności:
•Pinguj odpowiednią stację sieciową;
•Spróbuj zalogować się do działu administracyjnego
3.Usuń wszelkie inne oprogramowanie zabezpieczające zainstalowane na stacjach roboczych
Przed wdrożeniem EPS / BEST na stacjach roboczych USUŃ wszelkie oprogramowanie zabezpieczające innej firmy zainstalowane na zarządzanych stacjach roboczych. Nieprzestrzeganie tego może spowodować awarię EPS / BEST i niestabilność systemu.