Jak przygotować stacje robocze do zdalnej instalacji EPS / BEST

Mateusz

24 listopada 2018

FAQ – Produkty dla firmy (biznesowe) :

Bitdefender GravityZone zapewnia pełny wgląd w ogólną postawę bezpieczeństwa organizacji, globalne zagrożenia bezpieczeństwa i kontrolę nad swoimi usługami bezpieczeństwa, które chronią wirtualne lub fizyczne komputery stacjonarne, serwery i urządzenia mobilne. Wszystkie rozwiązania Enterprise Security Bitdefender są zarządzane w GravityZone za pośrednictwem jednej konsoli, Control Center, która zapewnia kontrolę, raportowanie i usługi alarmowania dla różnych ról w organizacji.

W tym artykule wyjaśniono, jak skonfigurować zabezpieczenia urządzeń mobilnych w GravityZone, dodając urządzenia mobilne do użytkowników w Centrum sterowania i instalując aplikację klienta mobilnego na odpowiednich urządzeniach.

Wprowadzenie

GravityZone Security for Mobile Devices zapewnia jednolite zarządzanie urządzeniami iPhone, iPad i Android podłączonymi do sieci korporacyjnej poprzez skanowanie w czasie rzeczywistym i egzekwowanie zasad bezpieczeństwa organizacji na dowolnej liczbie urządzeń.

Aby zarządzać bezpieczeństwem urządzeń mobilnych używanych w firmie, najpierw musisz powiązać je z określonymi użytkownikami w Centrum Sterowania, a następnie zainstalować i aktywować aplikację klienta mobilnego na każdym z nich.

Bezpieczeństwo urządzeń mobilnych – wymagania wstępne

Aby zarządzać urządzeniami mobilnymi z GravityZone Control Center, musi spełnić szereg warunków.

Tworzenie niestandardowych użytkowników

Aby włączyć urządzenia mobilne do zarządzania GravityZone, musisz powiązać je z istniejącymi użytkownikami w Control Center. Możesz dodać urządzenia mobilne do dostępnych użytkowników Active Directory. Jeśli integracja z Active Directory jest niedostępna, najpierw musisz utworzyć niestandardowych użytkowników. Tak czy inaczej, możesz w dowolnej chwili zdefiniować niestandardowych użytkowników jako właścicieli urządzeń mobilnych podłączonych do sieci Twojej firmy.

Aby utworzyć niestandardowych użytkowników:

1. Przejdź do strony Sieć.

2. Z menu w lewej górnej części strony wybierz Urządzenia Mobilne.

3. W lewym panelu wybierz Niestandardowe Grupy.

4. Kliknij ikonę Dodaj Użytkownika na pasku narzędzi akcji. Pojawi się okno konfiguracji.

5. Podaj wymagane dane użytkownika.

• Sugestywna nazwa użytkownika (na przykład pełne imię i nazwisko użytkownika)

• Adres e-mail użytkownika

Ważne: podaj poprawny adres e-mail. Użytkownik zostanie wysłany instrukcje instalacji przez e-mail po dodaniu urządzenia.

Uwaga: Każdy adres e-mail może być powiązany tylko z jednym użytkownikiem.

6. Kliknij OK.

Dodawanie urządzeń mobilnych do użytkowników w Control Center

Możesz dodać nieograniczoną liczbę urządzeń mobilnych do każdego użytkownika. Możesz dodać tylko jedno urządzenie do określonego użytkownika naraz.

Aby dodać urządzenie do określonego użytkownika:

1. Przejdź do strony Sieć.

2. Z menu w lewym górnym rogu strony wybierz Urządzenia Mobilne.

3. Wyszukaj użytkownika w folderach Active Directory lub w grupach niestandardowych i zaznacz odpowiednie pole wyboru w prawym panelu.

4. Kliknij ikonę Dodaj Urządzenie w górnej części tabeli. Pojawi się okno konfiguracji.

5. Skonfiguruj szczegóły urządzenia mobilnego:

• Wpisz sugestywną nazwę urządzenia.

• Wybierz typ własności urządzenia (firmowy lub osobisty). W każdej chwili możesz filtrować urządzenia mobilne według właściciela i zarządzać nimi zgodnie z własnymi potrzebami.

• Okno konfiguracji wyświetla unikalny token aktywacji przypisany do urządzenia i adres serwera komunikacyjnego, a także odpowiedni kod QR, wymagany do aktywacji urządzenia mobilnego po instalacji Klienta Mobilnego.

Uwaga: Jeśli zamierzasz zainstalować Klienta Mobilnego na urządzeniu użytkownika, przejdź do tego bez zamykania tego okna. Po instalacji, gdy pojawi się monit o aktywację urządzenia, wprowadź token aktywacyjny i adres serwera komunikacyjnego lub przeskanuj dostarczony kod QR.

6. Kliknij OK. Użytkownik jest natychmiast wysyłany e-mailem z instrukcjami instalacji i szczegółami aktywacji, które należy skonfigurować na urządzeniu. Szczegóły aktywacji obejmują token aktywacyjny i adres serwera komunikacyjnego (i odpowiedni kod QR).

Uwaga: Możesz w każdej chwili wyświetlić szczegóły aktywacji urządzenia, klikając jego nazwę w Centrum sterowania.

Możesz sprawdzić liczbę urządzeń przypisanych każdemu użytkownikowi w prawym panelu, w kolumnie Urządzenia.

Instalacja GravityZone Mobile Client na urządzeniach

Urządzenia mobilne mogą być własnością firmy lub własnością prywatną. Możesz zainstalować i aktywować Klienta Mobilnego na każdym urządzeniu mobilnym, a następnie przekazać go do odpowiedniego użytkownika. Użytkownicy mogą także instalować i aktywować Klienta Mobilnego samodzielnie, postępując zgodnie z instrukcjami otrzymanymi pocztą e-mail.

Aplikacja Klienta Mobilnego jest dystrybuowana wyłącznie za pośrednictwem Apple App Store i Google Play.

Aby zainstalować klienta mobilnego na urządzeniu:

1. Wyszukaj aplikację w oficjalnym sklepie z aplikacjami:

• Google Play

• Sklep Apple

2. Pobierz i zainstaluj aplikację na urządzeniu.

3. Uruchom aplikację.

4. Wprowadź wymaganą konfigurację:

a. Wybierz Aktywuj, aby włączyć GravityZone jako administrator urządzenia. Przeczytaj uważnie podane informacje.

b. Wprowadź token aktywacyjny i adres serwera komunikacyjnego lub ewentualnie zeskanuj odpowiedni kod QR.

Uwaga: Informacje o aktywacji są dostępne w Control Center w danych urządzenia mobilnego, a także w wiadomościach e-mail odebranych przez użytkownika.

c. Po wyświetleniu monitu wybierz Trust, aby zaakceptować Certyfikat Serwera Komunikacyjnego. W ten sposób GravityZone Mobile Client sprawdza poprawność serwera komunikacyjnego i akceptuje tylko wiadomości od niego, zapobiegając atakom typu “man-in-the-middle”.

d. Wybierz Aktywuj.

e. Na urządzeniach z systemem iOS pojawi się monit o zainstalowanie profilu MDM. Jeśli twoje urządzenie jest chronione hasłem, zostaniesz poproszony o jego podanie. Ponadto musisz zezwolić GravityZone na dostęp do ustawień urządzenia, w przeciwnym razie proces instalacji powróci do poprzedniego kroku. Postępuj zgodnie z instrukcjami wyświetlanymi na ekranie, aby dokończyć instalację profilu.

Po zakończeniu instalacji możesz przeglądać zarządzane urządzenia przenośne w GravityZone Control Center, pod odpowiednimi użytkownikami. Kliknij liczbę urządzeń powiązanych z użytkownikiem, który Cię interesuje, aby wyświetlić listę podłączonych urządzeń mobilnych.

Jedną z głównych funkcji EPS i BEST jest możliwość zdalnej instalacji stacji sieciowych, proces zwany wdrożeniem. W niektórych przypadkach możliwe jest napotkanie komunikatu o błędzie podczas próby wykonania takiego wdrożenia (“Odmowa dostępu” lub “Wylogowanie z sieci”).

W bieżącym dokumencie przedstawiono sposób przygotowania stacji sieciowych do zdalnego wdrażania.

Przygotuj komputery sieciowe do wdrożenia w następujący sposób:

1. Upewnij się, że komputery sieciowe spełniają odpowiednie wymagania systemowe:

• W przypadku Windows XP wymagany jest

• W systemach Windows Vista i Windows 7, 8, 10 należy wyłączyć Kontrolę konta użytkownika (UAC). Aby wyłączyć UAC, przejdź do Start > Panel sterowania > Konta użytkowników. Tutaj musisz kliknąć Zmień Ustawienia Kontroli Konta Użytkownika. Ustaw UAC na Never Notify, a następnie kliknij OK.

• W przypadku Windows 8.1 i 10 stacji potrzebujesz pełnych uprawnień administracyjnych (poświadczeń wbudowanego konta administratora lub konta użytkownika domeny). Aby uzyskać więcej informacji o tym, jak skutecznie wdrażać EPS / BEST na stacjach Windows 8.1 i 10, zapoznaj się z tym artykułem KB.

2. Konfiguracja wymagana na komputerach Grupy Roboczej:

• Skonfiguruj każdą stację roboczą, aby nie używała prostego udostępniania plików. Wykonaj następujące kroki:

a. W menu Start systemu Windows kliknij Mój komputer

b. Kliknij Narzędzia > Opcje folderów, a następnie zakładkę Widok

c. Wyczyść pole wyboru Użyj Prostego Udostępniania Plików na liście ustawień zaawansowanych

• Na wszystkich stacjach roboczych i serwerach, którymi chcesz zarządzać, skonfiguruj zaporę tak, aby zezwalała na porty komunikacyjne używane przez komponenty bezpieczeństwa. Lub, jeśli wolisz, możesz wyłączyć zapory. Są to domyślne porty komunikacyjne, na które musisz zezwolić:

▪ 8443 – port komunikacyjny między konsolą On Premise i EPS / BEST. Ten port musi być dozwolony na wszystkich komputerach w sieci;

▪ 7074 – port komunikacyjny służący do wdrażania i aktualizacji w przypadku korzystania z przekaźnika;

Uwaga: Porty te nie mogą być używane przez żadną inną aplikację zainstalowaną w sieci. Jeśli któryś z tych portów jest używany przez inną aplikację, będziesz musiał wybrać nowy port komunikacyjny i ustawić zapory, aby zezwolić na to zamiast domyślnego portu.

• Sprawdź, czy włączony jest protokół udostępniania Plików i Drukarek: przejdź do Start > Panel sterowania > Połączenia sieciowe (lub Centrum Sieci i Udostępniania w systemie Windows Vista / 7). Zidentyfikować kartę sieciową, na której ustanowiono połączenie sieciowe, Połączenie Lokalne, kliknąć prawym przyciskiem myszy, a następnie kliknąć Właściwości (lub kliknąć dwukrotnie, a następnie kliknąć Właściwości)

Uwaga: Aby połączenie się powiodło, musisz albo wyłączyć zaporę systemu Windows, albo skonfigurować ją tak, aby zezwalała na ruch przez protokół Udostępniania Plików i Drukarek, a także zezwalać na ruch ICMP (jeśli można było pomyślnie użyć polecenia PING na stacji roboczej). Aby wyłączyć Zaporę Systemu Windows, otwórz Panel sterowania> Zapora systemu Windows i kliknij opcję Wyłącz. Aby sprawdzić, czy stacje sieciowe są poprawnie skonfigurowane, spróbuj wykonać następujące czynności:

• Pinguj odpowiednią stację sieciową;

• Spróbuj zalogować się do działu administracyjnego

3. Usuń wszelkie inne oprogramowanie zabezpieczające zainstalowane na stacjach roboczych

Przed wdrożeniem EPS / BEST na stacjach roboczych USUŃ wszelkie oprogramowanie zabezpieczające innej firmy zainstalowane na zarządzanych stacjach roboczych. Nieprzestrzeganie tego może spowodować awarię EPS / BEST i niestabilność systemu.