Вы находитесь на странице: 1из 162

Endpoint Security

Management Server

E80.40
Руководство администратора

27 февраля 2013
© 2012 Check Point Software Technologies Ltd.
Все права защищены. Данный продукт и соответствующие документы защищены авторским
правом, и распространяются по лицензированию, ограничивающему их использование,
копирование, распространение и декомпиляцию. Никакая часть настоящего продукта или
соответствующей документации не может воспроизводиться ни в какой форме, никакими
средствами без предварительного письменного разрешения со стороны Check Point. Несмотря на
все меры предосторожности, принятые при подготовке данной книги, Check Point не берет на себя
ответственность за ошибки или упущения. Данное издание и описанные в нем функциональные
возможности могут быть изменены без предупреждения.
ИНФОРМАЦИЯ ОБ ОГРАНИЧЕНИИ ПРАВ:
На использование, копирование и предоставление информации правительством действуют
ограничения, установленные в подпункте (c)(1)(ii) пункта о Правах в Положении о технических
данных и программном обеспечении в DFARS 252.227-7013 и FAR 52.227-19.
ТОВАРНЫЕ ЗНАКИ:
Список товарных знаков представлен на странице об авторском праве
(http://www.checkpoint.com/copyright.html).
Список соответствующих авторских прав и лицензий третьих сторон представлен в уведомлениях
об авторском праве третьих сторон (http://www.checkpoint.com/3rd_party_copyright.html).

Руководство администратора Endpoint Security Management Server E80.40 | 2


Важная информация
Последняя версия программного обеспечения
Мы рекомендуем установить самую последнюю версию программного обеспечения, чтобы
пользоваться новейшими функциональными улучшениями, исправлениями стабильности,
доработками безопасности и защитой от новых угроз.

Последняя версия документации


Последняя версия данного документа находится по адресу:
http://supportcontent.checkpoint.com/documentation_download?ID=17162
Для получения дополнительной технической информации посетите Центр технической поддержки
Check Point (http://supportcenter.checkpoint.com).
Для получения дополнительной информации об этом издании, посетите домашнюю страницу E80.40
(http://supportcontent.checkpoint.com/solutions?id=sk82100).

История изменений

Дата Описание
Добавлено «Как работает синхронизация» (на странице 66) для High
Availability
27 февраля 2013 г.
Добавлено пояснение к «Аутентификация активного каталога
Endpoint Security» (на странице 76)

Улучшено форматирование и оформление документа

Обновлено «Как работают серверы политики Endpoint Policy?» (на странице


71)
Добавлено «Аналитический отчет Endpoint Security» (на странице 138)
Добавлено «Настройка прокси для доступа в Интернет» (на странице 15)
6 ноября 2012 г.
Добавлено пояснение к «Настройка глобальной аутентификации» (на
странице 78)
Добавлено пояснение к «Лицензии продуктов Endpoint Security» (на
странице 12)

Добавлено «Настройка пересылки журнала регистрации событий» (на


странице 55) (удалено из Руководства по установке и обновлению)

Добавлено « Аутентификация активного каталога Endpoint Security» (на


странице 76)
15 октября 2012 г.
Добавлена информация о «Удаленная помощь через веб портал»
("Общие сведения об удаленной помощи" на странице 162)

11 октября 2012 г. Улучшено форматирование и оформление документа

09 октября 2012 г. Первая версия данного документа

Отзывы
Check Point непрерывно работает над улучшением своей документации.

Пожалуйста, помогите нам, отправив ваши комментарии на


(mailto:cp_techpub_feedback@checkpoint.com?subject=Feedback on Endpoint Security Management Server
E80.40 Administration Guide).
Содержание
Важная информация .............................................................................................................. 3
Введение в Endpoint Security ................................................................................................ 9
Общие сведения об архитектуре системы ............................................................................. 10
Дополнительные компоненты системы .................................................................................... 10
Программные блейды .............................................................................................................. 11
Службы и порты Endpoint Security............................................................................................ 12
Централизованная организация пользователей и компьютеров .......................................... 13
Организационно-центрическая модель................................................................................... 13
Политико-центрическая модель ............................................................................................ 13
Централизованное развертывание .......................................................................................... 13
Централизованный мониторинг ............................................................................................... 13
Лицензии Endpoint Security.................................................................................................... 14
Лицензии продуктов Endpoint Security ..................................................................................... 14
Демо и временные лицензии .................................................................................................... 15
Обеспечение соблюдения лицензии ....................................................................................... 15
Получение лицензий ................................................................................................................. 15
Получение и применение контрактов....................................................................................... 16
Настройка прокси для доступа в Интернет .............................................................................. 16
Статус лицензии........................................................................................................................ 17
Использование SmartEndpoint ............................................................................................. 18
Вкладка Overview (Общие сведения) ..................................................................................... 18
Вкладка Policy (Политика) ........................................................................................................ 19
Вкладка Users and Computers (Пользователи и компьютеры) ............................................... 19
Вкладка Reporting (Отчеты) ....................................................................................................... 20
Alerts (Оповещения) ................................................................................................................ 21
Compliance (Соответствие)....................................................................................................... 22
Activity Reports (Отчеты об операциях) .................................................................................. 23
Software Deployment (Развертывание программного обеспечения) ..................................... 23
Versions in Use (Используемые версии) .................................................................................. 23
Full Disk Encryption (Шифрование всего содержимого диска) ................................................ 24
User Authentication (OneCheck) (Аутентификация пользователей (OneCheck)) ..................... 24
Media Encryption & Port Protection (Шифрование данных на сменных носителях и Управление
портами ПК) .............................................................................................................................. 25
Anti-Malware (Защита от вредоносного ПО) ............................................................................ 25
WebCheck ................................................................................................................................. 25
Licenses Status Report (Отчет статуса лицензий) ..................................................................... 26
Custom Report (Настраиваемый отчет) .................................................................................... 26
Вкладка Deployment (Развертывание) .................................................................................... 26
Ведение журнала регистрации событий клиента .................................................................... 26
Поиск компонентов в SmartEndpoint ....................................................................................... 27
Endpoint Security на Mac системах ....................................................................................... 28
Сводная информация о доступных блейдах ........................................................................... 28
Firewall (Сетевой экран)............................................................................................................ 28
VPN ........................................................................................................................................... 28
Full Disk Encryption (Шифрование всего содержимого диска) ................................................. 29
Compliance Rules (Правила соответствия) ............................................................................. 29
Компоновка пакета дистрибутива ........................................................................................... 29
Установка .................................................................................................................................. 31
Установка клиента .................................................................................................................... 31
Деинсталляция клиента ........................................................................................................... 31
Мигрирование с других продуктов ........................................................................................... 31
Пользователи и компьютеры ............................................................................................... 33
Управление пользователями и компьютерами ....................................................................... 33
Использование вкладки Users and Computers ........................................................................ 33
Использование окна информации об объекте ........................................................................ 33
Использование дерева Users and Computers ......................................................................... 34
Управление пользователями ................................................................................................... 35
Управление организационными единицами и группами .......................................................... 35
Управление компьютерами ...................................................................................................... 36
Редактирование свойств объектов, не входящих в активный каталог ................................... 38
Сканер активного каталога ....................................................................................................... 38
Первичная настройка сканера каталога .................................................................................. 38
Настройка копии сканера каталога .......................................................................................... 39
Активация и деактивация копии сканера ................................................................................ 40
Синхронизация каталога .......................................................................................................... 40
Устранение сбоев в работе сканера каталога ......................................................................... 40
Устранение сбоев, связанных с SSL ........................................................................................ 41
Роли администратора Endpoint Security .................................................................................. 41
Работа с виртуальными группами ............................................................................................ 42
Типы виртуальных групп........................................................................................................... 42
Основы управления виртуальными группами ......................................................................... 43
Добавление объектов с помощью установочного пакета ....................................................... 43
Мониторинг объектов виртуальной группы ............................................................................. 44
Развертывание клиентов Endpoint Security........................................................................ 45
Общие сведения о развертывании........................................................................................... 45
Развертывание Исходного клиента.......................................................................................... 45
Получение пакетов Исходного клиента ................................................................................... 46
Развертывание Исходного клиента на компьютерах конечных точек .................................... 47
Просмотр статуса развертывания ............................................................................................ 47
Развертывание пакета программных блейдов ........................................................................ 48
Работа с пакетами программных блейдов .............................................................................. 48
Экспортирование пакетов ........................................................................................................ 49
Работа с правилами развертывания........................................................................................ 50
Создание новых правил развертывания ................................................................................. 50
Изменение существующих правил развертывания ................................................................. 50
Установка пакетов на клиентах................................................................................................ 51
Расширенные настройки пакетов ............................................................................................. 51
Определение VPN сайта........................................................................................................... 51
Репозиторий пакетов ................................................................................................................ 51
Настройка сигнатур программного обеспечения ..................................................................... 52
Установка клиента через интерпретатор командной строки................................................... 52
Обновление клиентов Endpoint Security .................................................................................. 53
Обновление клиентов до E80.40 ............................................................................................. 53
Деинсталляция клиента Endpoint Security ............................................................................... 53
Устранение сбоев при установке ............................................................................................. 53
Настройка пересылки журнала регистрации событий ............................................................. 54
Работа с политиками Endpoint Security ............................................................................... 56
Общие сведения о политике Endpoint Security ........................................................................ 56
Политики программных блейдов ............................................................................................. 57
Защита для серверов ............................................................................................................... 57
Работа с правилами .................................................................................................................. 58
Наследование и приоритет правила ........................................................................................ 58
Создание новых правил политики ........................................................................................... 58
Работа с действиями политики ................................................................................................ 59
Панель инструментов политики ............................................................................................... 59
Приведение правил в исполнение в зависимости от состояния............................................. 60
Установка изменений политики на клиентах ........................................................................... 61
Heartbeat-интервал ................................................................................................................... 61
Настройка состояния "About to be Restricted". . ....................................................................... 61
Решение Management High Availability ................................................................................. 63
Общие сведения о High Availability для Endpoint Security ...................................................... 63
Потребность в Management High Availability ........................................................................... 63
Среда High Availability .............................................................................................................. 63
Планирование для Management High Availability .................................................................... 64
Аварийное переключение......................................................................................................... 64
Изменение режима сервера на Активный или Резервный...................................................... 64
Синхронизация Активного и Резервных серверов управления Endpoint Security .................. 65
Какие данные синхронизируются? ........................................................................................... 65
Как работает синхронизация .................................................................................................... 65
Расшифровка статусов сервера ............................................................................................... 66
Процедуры синхронизации ....................................................................................................... 67
Обновление версии PAT на сервере ....................................................................................... 68
Устранение сбоев при синхронизации ..................................................................................... 69
Внешние серверы политики Endpoint Policy ...................................................................... 70
Общие сведения о серверах политики Endpoint Policy ........................................................... 70
Как работают серверы политики Endpoint Policy? .................................................................. 70
Конфигурация настроек сервера политики.............................................................................. 71
Анализ близости сервера политики Endpoint Policy ................................................................ 71
Назначение сервера управления сервером политики Endpoint Policy ................................... 72
Сообщение между сервером политики и сервером управления ............................................ 73
Мониторинг активности сервера политики Endpoint Policy ..................................................... 73
Аутентификация активного каталога Endpoint Security .................................................... 75
Настройка аутентификации ..................................................................................................... 76
Настройка активного каталога на аутентификацию ................................................................ 76
Настройка глобальной аутентификации .................................................................................. 77
Устранение сбоев при аутентификации в журнале регистрации событий сервера.............. 78
Устранение сбоев при аутентификации в журналах регистрации событий клиентов............ 79
Резервное копирование и восстановление данных .......................................................... 80
Общие сведения о резервном копировании и восстановлении данных................................ 80
Предварительные условия ....................................................................................................... 80
Создание резервной копии и восстановление данных........................................................... 80
Обновление версии PAT на сервере после восстановления данных ................................... 81
Политика Full Disk Encryption ................................................................................................ 82
Общие сведения о компоненте Full Disk Encryption ............................................................... 82
Действия правила компонента Full Disk Encryption ................................................................. 82
Шифрование содержимого диска ............................................................................................ 82
Аутентификация до операционной системы (Pre-boot) .......................................................... 83
Авторизация пользователя до шифрования ........................................................................... 86
OneCheck Logon ....................................................................................................................... 87
Установка и развертывание компонента Full Disk Encryption ................................................. 87
Требования к клиенту для развертывания Full Disk Encryption............................................... 88
Завершение развертывания Full Disk Encryption на клиенте ................................................ 88
Этапы фазы развертывания..................................................................................................... 88
Главные составляющие Full Disk Encryption ............................................................................ 89
Восстановление данных компонента Full Disk Encryption ....................................................... 89
Создание средства восстановления данных ........................................................................... 90
Использование средства восстановления .............................................................................. 90
Обновление компонента Full Disk Encryption .......................................................................... 90
Обновление более ранней версии Full Disk Encryption .......................................................... 91
Устранение сбоев в компоненте Full Disk Encryption............................................................... 91
Использование CPinfo .............................................................................................................. 91
Использование CPinfoPreboot .................................................................................................. 92
Проблемы Pre-boot ................................................................................................................... 93
Журнал регистрации событий Full Disk Encryption.................................................................. 94
Проблемы при обновлении....................................................................................................... 94
Фаза развертывания Full Disk Encryption ................................................................................. 94
Утилита Dynamic Mount Utility .................................................................................................. 95
Политика User Authentication (OneCheck)............................................................................ 96
Общие сведения о User Authentication (OneCheck) ............................................................... 96
Действия политики User Authentication (OneCheck)................................................................. 96
Методы Pre-boot аутентификации............................................................................................ 96
Сложность и безопасность пароля .......................................................................................... 98
Синхронизация паролей ........................................................................................................... 99
Блокировка учетной записи...................................................................................................... 99
Настройки входа в систему ...................................................................................................... 100
Разрешения удаленной помощи.............................................................................................. 101
Перед настройкой Smart Card аутентификации ...................................................................... 101
Сценарии Smartcard .................................................................................................................. 102
Примечания по использованию карт Smartcard ...................................................................... 103
Изменение пароля пользователя ............................................................................................ 103
Политика Media Encryption & Port Protection....................................................................... 104
Терминология Media Encryption & Port Protection .................................................................... 104
Общие сведения о Media Encryption & Port Protection ........................................................... 104
Работа с действиями правила.................................................................................................. 105
Настройка действия чтения ...................................................................................................... 105
Настройка действия записи...................................................................................................... 106
Настройка доступа периферийных устройств ......................................................................... 108
Работа с определениями устройств в правилах ..................................................................... 109
Расширенные действия............................................................................................................ 112
Преобразование способа шифрования устройств File Encryption в Media Encryption ......... 120
Политика Anti-Malware ........................................................................................................... 122
Предварительные условия ....................................................................................................... 122
Действия политики Anti-Malware .............................................................................................. 123
Сканировать все файлы при доступе ....................................................................................... 123
Обновления сигнатур вредоносного ПО .................................................................................. 123
Расписание сканирования на наличие вредоносного ПО ........................................................ 124
Объекты сканирования по расписанию ................................................................................... 124
Оптимизация сканирования ..................................................................................................... 125
Обработка вредоносного ПО ................................................................................................... 126
Отправка данных об обнаружении вредоносного ПО и об ошибочных обнаружениях ........ 126
Политика Firewall Rules .......................................................................................................... 127
Планирование политики Firewall.............................................................................................. 127
Правила входящего трафика ................................................................................................... 127
Правила исходящего трафика ................................................................................................. 128
Создание правил Firewall ......................................................................................................... 128
Службы и объекты сети ............................................................................................................ 129
Деактивация и удаление правил ............................................................................................. 129
Настройки беспроводного соединения..................................................................................... 130
Настройки беспроводных точек доступа ................................................................................. 130
Трафик IPv6............................................................................................................................... 130
Политика Compliance Rules ................................................................................................... 131
Общие сведения о Compliance Rules ...................................................................................... 131
Планирование для Compliance Rules ...................................................................................... 131
Действия политики Compliance Rules ...................................................................................... 132
Действие работы блейдов ....................................................................................................... 132
Действие верификации VPN клиента....................................................................................... 132
Аналитический отчет Endpoint Security ................................................................................... 132
Настраиваемые действия ......................................................................................................... 132
Отслеживание состояний соответствия ................................................................................... 137
Heartbeat-интервал ................................................................................................................... 138
Настройка состояния "About to be Restricted". . ....................................................................... 138
WebCheck ................................................................................................................................ 140
Действия WebCheck ................................................................................................................. 140
Защита просмотра веб-страниц............................................................................................... 140
Анти-фишинг ............................................................................................................................. 141
Статус сайта и запись в журнал регистрации событий ............................................................ 142
Временная деактивация WebCheck ........................................................................................ 142
Политика Application Control ................................................................................................ 143
Работа с политикой Application Control ................................................................................... 143
Служба репутации .................................................................................................................... 144
Использование Службы репутации с прокси-сервером ......................................................... 144
Импорт параметров программ .................................................................................................. 145
Политика Common Client Settings......................................................................................... 148
Действия политик Common Client Settings .............................................................................. 148
Настройки интерфейса пользователя клиента........................................................................ 148
Загрузка журнала регистрации событий .................................................................................. 149
Настройки установки и обновления ......................................................................................... 149
Деактивация пользователями защиты сети ............................................................................ 150
Политика Access Zones .......................................................................................................... 151
Доверенная зона ....................................................................................................................... 151
Изменение политики Access Zones .......................................................................................... 152
Объекты сети ............................................................................................................................ 153
Настройка хоста как объекта сети ........................................................................................... 153
Настройка диапазона адресов как объекта сети ..................................................................... 153
Настройка сети как объекта сети ............................................................................................. 154
Настройка сайта как объекта сети ........................................................................................... 154
Настройка группы как объекта сети ......................................................................................... 154
Настройка группы сетей с исключением .................................................................................. 154
Настройка группы сайтов как объекта сети ............................................................................. 155
Удаленная помощь ................................................................................................................. 156
Общие сведения об удаленной помощи ................................................................................. 156
Предоставление удаленной помощи пользователям Full Disk Encryption ............................. 156
Рабочий процесс удаленной помощи по Media Encryption & Port Protection .......................... 157
Деактивация удаленной помощи ............................................................................................. 158
Алфавитный указатель ........................................................................................................ 159
Глава 1
Введение в Endpoint Security
В этой главе
Общие сведения об архитектуре системы 9
Программные блейды 10
Службы и порты Endpoint Security 11
Централизованная организация пользователей и компьютеров 13
Централизованное развертывание 13
Централизованный мониторинг 13

Endpoint Security является программным блейдом на сервере управления безопасностью Check Point
(Check Point Security Management server). SmartEndpoint является консолью управления клиентами на
конечных точках, а также их компонентами.

Свойства Endpoint Security:


• Единая консоль управления для управления безопасностью на конечных точках сети.
• Отслеживание вашего статуса безопасности через настраиваемую, понятную с первого взгляда,
информационную панель.
• Быстрое развертывание необходимой защиты для пользователей с помощью правил
развертывания программных блейдов.
• Использование предопределенных и настраиваемых политик.
• Легкость изменения и оповещения об изменениях политики безопасности на всех уровнях
организации.
• Детализация вплоть до пользователей и всех связанных с ними машин для определения статуса
безопасности.
• Принудительное исполнение и разрешение проблем соответствия на конечных точках сети перед
предоставлением доступа к корпоративной сети.

Руководство администратора Endpoint Security Management Server E80.40 | 9


Введение в Endpoint Security

Общие сведения об архитектуре системы


Среда Endpoint Security включает в себя SmartEndpoint, сервер управления Endpoint Security (Endpoint
Security Management Server) и клиентов Endpoint Security. Она интегрирована с клиентами управления
безопасностью Check Point (Check Point Security Management clients).
Endpoint Security E80.40 интегрирована с системой управления R75.40. Вы можете использовать клиентов
E80.40 SmartConsole для управления объектами безопасности сети R75.40. Вы можете также
использовать клиентов R75.40 SmartConsole для управления программными блейдами, не являющимися
компонентами системы Endpoint Security в E80.40.

Сервер управления Endpoint Security


SmartEndpoint – Приложение Check Point SmartConsole для развертывания, мониторинга и
конфигурации клиентов и политик Endpoint Security. Устанавливается на сервере управления
Endpoint Security Management Server или на компьютере, на котором поддерживается установка
клиента.
Сервер управления Endpoint Security – Программный блейд на сервере управления
безопасностью с управлением политиками Endpoint Security и базами данных. Он сообщается с
клиентами на конечных точках сети для обновления их политик и данных для защиты.

Блейды Endpoint Security – Программные блейды, доступные на сервере управления Endpoint


Security. Вы можете установить некоторые или все из этих блейдов на клиентах конечных точек сети.

База данных Endpoint Security – Содержит политики, обеспечивающие безопасность на


клиентах конечных точек, содержит объекты пользователя и компьютера, данные о
лицензировании и о мониторинге конечной точки.

Сканер каталогов – Программный компонент, синхронизирующий структуру и содержание


Активного каталога (Active Directory) с базой данных политик Endpoint Security.

Клиенты Endpoint Security


Клиенты Endpoint Security – Приложение, установленное на компьютерах конечных
пользователей для мониторинга статуса безопасности и обеспечения исполнения политик
безопасности.
Агент конечной точки (Endpoint Agent) – Программное обеспечение Endpoint Security на
клиентских компьютерах. Оно работает как контейнер для программных блейдов, развернутых на
клиенте конечной точки, и сообщается с сервером управления Endpoint Security. (Агент конечной
точки также известен как Агент устройства (Device Agent или DA)

Блейды Endpoint Security – Программные блейды, развернутые на клиенте конечной точки.

Внимание – Когда используется термин «сервер Endpoint Security», он обозначает


все серверы Endpoint Security в среде. Сюда включаются серверы управления
Endpoint Security и серверы политик Endpoint Policy.

Дополнительные компоненты системы


Чтобы обеспечить эффективную работу вашей системы Endpoint Security и предотвратить нежелательное
время простоя, вы можете также включить следующие компоненты в вашу архитектуру системы:
• Дополнительные серверы политик Endpoint Policy, управляющие трафиком от клиентов Endpoint
Security. Это улучшает производительность в крупных средах.
• Один или более дополнительных серверов управления Endpoint Security для High Availability. Благодаря
этому в ситуациях простоя всегда доступен резервный сервер.

Руководство администратора Endpoint Security Management Server E80.40 | 10


Введение в Endpoint Security

Программные блейды
На сервере управления Endpoint Security имеются правила политики для этих свойств безопасности.

Блейд Правило Описание

Управляет:
Full Disk
• тем, как пользователь Full Disk Encryption входит в систему на
User Authentication компьютере
Encryption
(OneCheck) • тем, как обрабатываются неудавшиеся попытки входа
(Шифрование
(Аутентификация
всего
пользователей
• безопасностью паролей
содержимого • обращением к удаленной помощи.
(OneCheck))
диска)

Full Disk
Encryption Full Disk Encryption
Сочетает Pre-boot защиту (необходимость ввода данных
(Шифрование (Шифрование
пользователя до загрузки системы), аутентификацию при
всего всего содержимого
загрузке и криптостойкое шифрование, чтобы только
содержимого диска)
авторизованные пользователи имели доступ к информации,
диска)
хранящейся на настольных компьютерах и ноутбуках.

Media Encryption Media Encryption &


& Port Protection Port Protection
(Шифрование (Шифрование Защищает данные, хранящиеся на компьютерах, путем
данных на данных на шифрования съемных устройств хранения данных и
сменных сменных тщательного контроля портов компьютеров (USB, Bluetooth
носителях и носителях и и т.д.).
Управление Управление
портами ПК) портами ПК)

Anti-Malware
(Защита от
Anti-Malware Защищает клиентов от известных и неизвестных вирусов,
вредоносного
(Защита от червей, троянов, рекламных ПО и регистраторов работы
вредоносного ПО) клавиатуры.
ПО)

Firewall (Сетевой Access Zones Определяет топологию организационной сети, разделяя ее на


экран) (Зоны доступа) Доверенные домены и Интернет домены.

Firewall Rules
Firewall (Сетевой Блокирует или разрешает сетевой трафик на основании
(Правила сетевого
экран)
экрана)
атрибутов сетевых подключений.

Firewall (Сетевой
Application Control Управляет доступом к сети для каждого приложения,
экран)
(Управление позволяя вам ограничивать доступ приложений согласно
приложениями) зонам и направлениям.
Обеспечивает соответствие защищенных компьютеров
требованиям вашей организации и позволяет вам назначать
Compliance
Compliance Rules различные уровни безопасности в соответствии с состоянием
(Соответствие)
(Правила соответствия компьютера конечной точки. Например,
соответствия) несоответствие компьютера политике безопасности может
привести к выводу сообщения об устранении нарушения,
предупреждения или ограничению доступа к сети.

VPN удаленного VPN удаленного доступа позволяет пользователям удаленно


VPN
доступа подключаться к шлюзу Check Point Security, используя IPSec.

Защищает компьютеры конечных точек от фишинг-атак.


WebCheck создает свой собственный виртуальный браузер со
WebCheck WebCheck своей собственной файловой системой. Изменения,
сделанные не доверенным сайтом, ограничиваются
файловой системой виртуального браузера.

Руководство администратора Endpoint Security Management Server E80.40 | 11


Введение в Endpoint Security

Службы и порты Endpoint Security


Операции Endpoint Security внедрены через различные службы на сервере управления Endpoint Security,
SmartEndpoint и клиентах Endpoint Security.
Важно – Убедитесь, чтобы эти службы и порты не блокируются правилами сетевого
экрана. Для этого откройте SmartDashboard на сервере управления Endpoint Security и
SmartEndpoint. Изучите правила на вкладке Firewall (Сетевой экран).
Обязательно изучите скрытые правила Implied Rules (Скрытые правила). Вам может
потребоваться настроить правила сетевого экрана так, чтобы они разрешали этот
трафик на этих портах.

Службы, используемые клиентом для сообщения с сервером управления Endpoint Security:

Службы от клиента к серверу Протокол Порт Примечания


• Скачивания политик
• Антивирусные обновления
HTTP TCP/80
• Клиентский пакет
• Управление приложениями
Используется для шифрования
• Регистрация конечной точки
сообщений, посылаемых через
• Получение нового ключа HTTPS TCP/443
зашифрованный протокол
шифрования файлов
Endpoint Security
• Запрос синхронизации ESP
Heartbeat, сообщает об изменениях
• Heartbeat-сообщения Encrypted
TCP/80 в политике, статусе и состоянии
• Загрузка журнала регистрации (Зашифр
соответствия.
событий ован)

• Загрузка данных восстановления


Full Disk Encryption
ESP
• Обмен ключами для Media Encryption
Encrypted
& Port Protection TCP/443
(Зашифр
• Прием пользователя Full Disk
ован)
Encryption и данные доступа
пользователя.

SmartEndpoint использует SIC для обращения к серверу управления Endpoint Security:


Служба Протокол Порт Примечания

Защищенная внутренняя
SIC TCP/18190
связь Check Point

Перед установкой сервера управления Endpoint Security убедитесь, что следующие порты не
заблокированы:
TCP порт Зарезервирован для:
8080 Связи между сервером управления безопасностью и сканером каталогов с Tomcat

8009 Связи между Apache и Tomcat

1080 SOCKS прокси

Руководство администратора Endpoint Security Management Server E80.40 | 12


Введение в Endpoint Security

Централизованная организация пользователей и


компьютеров
Вы можете управлять вашими компьютерами конечных точек и пользователями через сервер управления
Endpoint Security.

Организационно-центрическая модель
Вы можете импортировать пользователей и компьютеры на сервер управления Endpoint Security,
который использует существующую иерархию вашей организации для создания графического дерева
компьютеров конечных точек. Затем вы задаете политики развертывания программного обеспечения и
политики безопасности централизованно для всех узлов и элементов, выполняя глобальные или конкретные
назначения в зависимости от ваших нужд.

Политико-центрическая модель
Вы можете предопределить политики безопасности перед установкой организации. Интерфейс сервера
управления Endpoint Security предлагает детальный обзор всех политик Endpoint Security,
сгруппированных по блейду, для которого производится настройка.
Вы создаете и назначаете политики корневому узлу организационного дерева как свойство каждого блейда
Endpoint Security. Политики могут быть развернуты одна за другой или все вместе. Ввиду того, что
различные группы, сети, организационные единицы, компьютеры и пользователи имеют различные
потребности в плане безопасности, вы можете настроить различные блейды соответственно их
потребностям.

Централизованное развертывание
Развертывание программного обеспечения на сервере управления Endpoint Security позволяет вам
контролировать конкретные блейды и версии Endpoint Security, установленные на защищенных рабочих
станциях конечных пользователей.

Централизованный мониторинг
Сервер управления Endpoint Security может выполнять отчеты по всей системе, равно как и по отдельным
пользователям и компьютерам. Вы можете отслеживать статус подключения клиента Endpoint Security,
статус соответствия политике безопасности, информацию о событиях безопасности и многое другое.
• General status reports (Общие отчеты о статусах) можно просмотреть на сервере управления
Endpoint Security.
• Historical data for clients and servers (Данные истории для клиентов и серверов) можно
просмотреть в приложении SmartView Tracker.

Руководство администратора Endpoint Security Management Server E80.40 | 13


Глава 2
Лицензии Endpoint Security
В этой главе
Лицензии продуктов Endpoint Security 14
Демо и временные лицензии 15
Обеспечение соблюдения лицензии 15
Получение лицензий 15
Получение и применение контрактов 16
Статус лицензии 17

В этой главе приведена информация о лицензиях на серверы и клиенты Endpoint Security.


Все лицензии Endpoint Security физически устанавливаются на сервере управления Endpoint Security.

Лицензии продуктов Endpoint Security


В этой главе описываются требуемые лицензии продуктов для Endpoint Security.
Тип лицензии Описание

Лицензия на
Одна лицензия на каждого клиента конечной точки (рабочее место). Эта
контейнер
лицензия прикрепляется к агенту конечной точки (Endpoint Agent).
(Container license)

Одна лицензия на каждый программный блейд Endpoint Security, установленный


на клиенте конечной точки (рабочем месте). Эти лицензии на блейды включают:
• Full Disk Encryption (Шифрование всего содержимого диска)
Лицензии на • Media Encryption & Port Protection (Шифрование данных на сменных носителях и
программные Управление портами ПК)
• WebCheck
блейды (Software
• Anti-Malware (Защита от вредоносного ПО)
Blade licenses) • Network Protection (Защита сети) – Пакет лицензий, включающий Endpoint Security
Firewall (Сетевой экран), Compliance Rules (Правила соответствия), Application Control
(Управление приложениями) и Access Zones (Зоны доступа). Эта лицензия
автоматически поставляется с лицензией на контейнер.

Лицензия на Лицензия на каждый сервер управления Endpoint Security. Лицензия на


управление управление также включает следующие блейды управления:
• Management (Управление)
(Management
• Logging & Status (Ведение журнала регистрации событий и статус ).
license) • User Directory (Каталог пользователей).

Лицензия на VPN шлюз, к которому подключаются пользователи конечных точек.


Лицензия на VPN Эта лицензия устанавливается на сервер управления безопасностью, который
(VPN License) управляет VPN шлюзами. НЕ устанавливайте лицензию VPN на сервер
управления Endpoint Security.

Руководство администратора Endpoint Security Management Server E80.40 | 14


Лицензии Endpoint Security

Демо и временные лицензии


Доступны следующие демо и пробные лицензии Endpoint Security:

Тип лицензии Описание


Демо лицензия на 15 дней автоматически устанавливается с
Демо лицензия продуктами безопасности сети Check Point. Эта лицензия позволяет
(Demo License) вам использовать шлюзы безопасности, сервер управления
безопасностью и все приложения SmartConsole.
Пробная лицензия на 30 дней автоматически устанавливается,
Пробная
когда вы устанавливаете Endpoint Security. Эта лицензия позволяет
лицензия (Trial
вам использовать все блейды Endpoint Security для ограниченного
License)
количества рабочих мест клиентов конечных точек.
Оценочная
Оценочная лицензия доступна для указанных программных
лицензия
блейдов на ограниченное количество рабочих мест.
(Evaluation)
Вы должны приобрести лицензию продукта для каждого программного
блейда Endpoint Security, работающего на клиенте. Лицензии можно
Продукт (Product)
приобрести в качестве подписки, ежегодно обновляемого контракта
или в виде единовременной покупки.

Обеспечение соблюдения лицензии


Действие лицензии подчиняется следующим условиям:
• Вы можете добавлять лицензии Endpoint Security по необходимости, используя один из следующих
методов:
• SmartUpdate
• Gaia или SecurePlatform WebUI.
• Команда cplic CLI
• Команда cpconfig для платформ Windows

• Вы можете удалить лицензию клиента путем переустановки клиента или удаления клиента, используя
SmartEndpoint. Эти лицензии возвращаются в пул лицензий.
• Каждый клиент получает свою лицензию на контейнер и блейд из пула доступных лицензий.
• Вы можете совмещать лицензии для получения общего требуемого количества клиентов.
• Валидация лицензии происходит, когда клиент посылает SYNC или heartbeat-сообщения на сервер.
• Когда лицензия на контейнер отсутствует, регистрация программного блейда блокируется.

Получение лицензий
Эта процедура предполагает, что у вас уже есть учетная запись пользователя в Check Point User Center
(Пользовательском центре Check Point), и что вы приобрели необходимые лицензии и контракты.
Для получения лицензии для вашего сервера управления Endpoint Security:
1. Войдите в Пользовательский центр Check Point (http://usercenter.checkpoint.com).
2. Нажмите на Products (Продукты).
На странице будут показаны приобретенные лицензии.
У лицензий Endpoint Security имеются следующие части в SKU:
• CPEP – контейнеры Check Point Endpoint Security.
• CPSB – Программный блейд Check Point. Если макрострока включает суффикс -SUBSCR, вы должны
получить и применить контракт для этого свойства ("Получение и применение контрактов"
на странице 14).

Руководство администратора Endpoint Security Management Server E80.40 | 15


Лицензии Endpoint Security

3. Для каждой лицензии выберите License (Лицензия) в выпадающем меню с правой стороны от ряда.
4. Заполните открывшуюся форму.
• Убедитесь, что значение Version (Версия) R80 или выше.
• Убедитесь, что IP Address (IP адрес) – это IP адрес сервера управления Endpoint Security.
5. Нажмите на License (Лицензия).
Откроется окно, где будут отображены данные о лицензии.
6. Сохраните файл лицензии.
7. Добавьте свои лицензии, используя один из следующих методов:
• SmartUpdate
• Gaia или SecurePlatform WebUI.
• Команда cplic CLI
• Команда cpconfig для платформ Windows

Получение и применение контрактов


Если в лицензию включено -SUBSCR,вы должны скачать файл контракта и применить его к серверу. Если у
сервера управления Endpoint Security есть доступ в Интернет, он автоматически обновляет контракты. По
умолчанию сервер управления Endpoint Security осуществляет поиск новых контрактов каждые два часа.
Чтобы изменить временной интервал по умолчанию:
1. Откройте этот файл:
$CPDIR/conf/downloads/dlprofCNTCRMGR.xml
2. Измените значения <interval> по необходимости.
3. Запустите cpstop и cpstart.

Чтобы применить контракт вручную:


1. Зайдите в Пользовательский центр Check Point (http://usercenter.checkpoint.com).
2. Нажмите на Products (Продукты).
3. Выберите Get Contracts File (Получить файл контрактов) и выпадающем меню с правой стороны от
ряда.
4. В открывшемся окне сохраните файл контракта и нажмите на Open (Открыть).
5. Откройте SmartUpdate. (Меню Start (Пуск) > Check Point > SmartUpdate)
6. Выберите License & Contracts > Updated Contracts > From File (Лицензии и контракты >
Обновленные контракты > Из файла).
7. В открывшемся окне перейдите в папку, где вы сохранили файл контракта, и нажмите на Open
(Открыть).
Контракт применится к серверу управления Endpoint Security.
Если у сервера управления Endpoint Security нет доступа в Интернет, скачайте файл контракта с
Пользовательского центра иным образом.

Чтобы скачать контракт на другой компьютер:


1. В Пользовательском центре нажмите на Products > Additional Services (Продукты > Дополнительные
услуги).
2. Выберите учетную запись контракта.
3. Нажмите на Email File (Отослать файл по email) или Download Now (Скачать сейчас).
4. Когда файл контракта скачается, переместите его на сервер управления Endpoint Security.

Руководство администратора Endpoint Security Management Server E80.40 | 16


Лицензии Endpoint Security

Настройка прокси для доступа в Интернет


Если серверу управления Endpoint Security требуется прокси для доступа в Интернет, вы можете настроить
данные прокси в SmartDashboard.
Чтобы настроить прокси для среды в целом:
1. В SmartDashboard выберите Global Properties > Proxy (Глобальные свойства > Прокси).
2. Выберите Use proxy server (Использовать прокси-сервер).
3. Введите URL и порт.
4. Нажмите на OK.
5. Выберите File > Save (Файл > Сохранить).

Чтобы настроить прокси для сервера управления Endpoint Security:


1. В SmartDashboard откройте объект сервера управления Endpoint Security.
2. Выберите Topology > Proxy (Топология > Прокси).
3. Выберите Use custom proxy settings for this network object (Использовать заданные
пользователем настройки прокси для данного объекта сети).
4. Введите URL и порт.
5. Нажмите на OK.
6. Выберите File > Save (Файл > Сохранить).

Статус лицензии
Вы можете посмотреть статус лицензий на контейнеры и блейды на сервере управления Endpoint Security на
вкладке Reporting > Licenses Report (Отчеты > Отчет о лицензиях). На этой панели показывается общее
количество рабочих мест и количество используемых рабочих мест. Если количество рабочих мест
превышает количество лицензий, вы должны добавить количество лицензий, показанное как Insufficient
Seats (Недостаточно рабочих мест).
В нижнем разделе отчета показывается информация о каждой лицензии, включая:
• Название и статус лицензии
• Программные блейды
• Количество используемых рабочих мест
• Общее количество рабочих мест
• Процент общего количества используемых рабочих мест
• Срок истечения
• IP адрес хоста лицензии

Руководство администратора Endpoint Security Management Server E80.40 | 17


Глава 3
Использование SmartEndpoint
В этой главе
Вкладка Overview (Общие сведения) 18
Вкладка Policy (Политика) 19
Вкладка Users and Computers (Пользователи и компьютеры) 19
Вкладка Reporting (Отчеты) 19bookmark29
Вкладка Deployment (Развертывание) 26
Ведение журнала регистрации событий клиента 26
Поиск компонентов в SmartEndpoint 27

Используйте SmartEndpoint, подключающийся к серверу управления Endpoint Security, для управления


вашей средой Endpoint Security. В этом разделе содержится общие сведения о действиях, которые вы
можете выполнять на каждой вкладке в SmartEndpoint.

Внимание -
Вы можете использовать клиенты E80.40 SmartConsole для управления
шлюзами безопасности R75.40 и другими объектами.

Вы можете использовать R75.40 SmartConsole для управления программными


блейдами, не входящими в систему Endpoint Security, в E80.40.

Чтобы открыть SmartEndpoint:


Перейдите в Start > All Programs > Check Point SmartConsole R75.40 and <version> > SmartEndpoint
(Пуск > Все программы > Check Point SmartConsole R75.40 и <версия> > SmartEndpoint).

Вкладка Overview (Общие сведения)


На вкладке Overview (Общие сведения) показываются сводные данные в графическом виде по важной
информации безопасности, касающейся клиентов конечных точек в вашей организации. В этой вкладке три
информационные секции:

Security Summary for the Organization (Сводные данные о безопасности для


организации)
В этой секции показывается общее количество конечных точек, обнаруженных в организации. В этой секции
также отображается количество конечных точек, которые:
• Соответствуют политике безопасности организации
• Имеют предупреждения безопасности
• Имеют нарушения безопасности

Active Alerts (Активные оповещения)


В этой секции показывается количество активных оповещений безопасности в разных категориях. Вы можете
нажать на ссылку View Current Status (Просмотр текущего статуса) для каждой категории, чтобы увидеть
конечные точки, на которых были созданы оповещения. Список оповещений обновляется каждые десять
минут.
Вы можете активировать/деактивировать оповещения, настраивать пороговые величины для оповещений
и настраивать email уведомления ("Alerts (Оповещения)" на странице 19) во вкладке Reporting > Alerts
(Отчеты > Оповещения).

Руководство администратора Endpoint Security Management Server E80.40 | 18


Использование SmartEndpoint

Security Status (Статус безопасности)


В этой секции показывается схема различных категорий статусов безопасности, включая:
1. Deployment Progress (Ход развертывания) – Показывает ход развертывания пакета на компьютерах
конечных точек
2. Blade Health Check (Проверка работы блейдов) – Показывает, на каких компьютерах установлены
блейды, которые не работают
3. Disk Encryption Status (Статус шифрования содержимого диска) - Показывает статус шифрования
всего содержимого диска на компьютерах конечных точек
4. Anti-Malware Updates (Обновления защиты от вредоносного ПО) – Показывает, какие компьютеры
конечных точек имеют или не имеют актуальные обновления сигнатур Anti-Malware
5. Anti-Malware Protections (Защита Anti-Malware) – Показывает, на каких компьютерах конечных
точек нет вредоносного ПО, на каких не проводилось сканирование и на каких имеются проблемы,
вызванные вредоносным ПО
6. Compliance Verification (Проверка соответствия) – Показывает, какие компьютеры конечных точек
соответствуют политике безопасности, для каких доступ ограничен и для каких выведены
предупреждения безопасности
В каждой категории есть:
• Вкладка Trend (Тренд)
Линейная диаграмма, показывающая тренд с течением времени.
• Вкладка Endpoints (Конечные точки)
Таблица, в которой показаны компьютеры конечных точек более подробно.
Вы можете также нажать на ссылку Getting Started (Начало работы), чтобы запустить Endpoint Security
Express Setup Wizard (Мастер быстрой настройки Endpoint Security). Выполните шаги, предложенные
на страницах мастера, чтобы быстро настроить политику по умолчанию для каждого блейда. Мастер также
позволяет вам запустить Сканер каталогов ("Сканер активного каталога" на странице 38) и настроить
правила развертывания ("Развертывание пакета программных блейдов" на странице 47).

Вкладка Policy (Политика)


Вы можете задать и управлять политиками для каждого программного блейда Endpoint Security на вкладке
Policy (Политика). Политика Endpoint Security – это набор правил безопасности, которые обеспечивают
безопасность на компьютерах конечных точек.
Правила содержатся в табличной сетке с отдельным разделом для каждого программного блейда. В каждом
разделе содержатся правила, применимые к конкретному программному блейду. У каждого программного
блейда есть одно правило по умолчанию, которое применяется ко всем компьютерам конечных точек и
пользователям, которые не назначены другому правилу. Вы можете изменить настройки правила по
умолчанию, но вы не можете его удалить.

Вкладка Users and Computers (Пользователи и


компьютеры)
Узлы дерева Users and Computers (Пользователи и компьютеры) заполняются автоматически путем
сканирования Активного каталога или когда установленные клиенты Endpoint Security подключаются к
серверу управления Endpoint Security.
Единственный узел, содержимое которого задаете и контролируете вы, это узел Networks (Сети).
Чтобы создать сеть:
1. Откройте вкладку Users and Computers (Пользователи и компьютеры).
2. Нажмите правой кнопкой мыши на Networks (Сети) и выберите New Address Range (Новый диапазон
адресов).
Откроется окно Address Range Properties (Свойства диапазона адресов).
3. Ввведите имя для этого диапазона адресов.
4. Ввведите первый IP адрес и последний IP адрес диапазона.
Руководство администратора Endpoint Security Management Server E80.40 | 19
Использование SmartEndpoint

5. Добавьте описательный комментарий и выберите цвет.


6. Нажмите на Save (Сохранить).

Вкладка Reporting (Отчеты)


Вкладка Reporting (Отчеты) включает множество различных типов отчетов о состоянии Endpoint Security. В
каждом отчете показывается сводная таблица и список информации мониторинга. Вы можете
сортировать и фильтровать информацию мониторинга по различным критериям.
Чтобы просмотреть отчеты мониторинга:
1. В SmartEndpoint нажмите на вкладку Reporting (Отчеты).
2. Выберите тип отчета из дерева Monitoring (Мониторинг). Отчет
покажется в секции окна.
3. При двойном нажатии кнопкой мыши на запись в поле User (Пользователь) или Computer Name (Имя
компьютера) открывается окно Details (Информация). В окне Details вы можете также назначать,
создавать и изменять политики.
В каждом отчете содержится таблица со сводной информацией в графическом виде о статусе выбранного
элемента отчета и Endpoint List (Список конечных точек), в котором отображаются все соответствующие
пользователи и компьютеры. Вы можете выполнять поиск и фильтровать список, чтобы выводились только
интересующие вас элементы. Дважды нажмите кнопкой мыши на пользователя или компьютер, чтобы
увидеть его статус, настроенные правила и действия для каждого установленного блейда.
Раздел списка конечных точек – иконки и элементы управления
Элемент Описание

Введите строку текста для поиска по всем колонкам, и выведутся


Search (Поиск)
результаты, содержащие строку.

Выберите статус, по которому будет выполняться фильтрация. Опции


Status (Статус):
основаны на открытом отчете. Выведутся конечные точки с этим статусом.
Сузьте результаты до организационной единицы, узла или группы в
In (В): организации. Нажмите ..., чтобы выбрать элемент в окне Select Node
(Выберите узел).
Дважды нажмите кнопкой мыши, чтобы открыть выбранного пользователя или
компьютер.
Нажмите, чтобы увидеть остальные доступные опции. Некоторые опции
доступны не для всех отчетов.
• Export to file (Экспортировать в файл)
Экспортировать результаты отчета в XLS, HTML или CSV файл.
• Toggle chart percentage (Переключить проценты в таблице)
Добавить или удалить проценты, указанные в графике.
• Navigate To (Перейти к)
Позволяет вам переходить к указанным пользователям или компьютерам.
• Add to Virtual Group (Добавить в виртуальную группу)
Добавить выбранные объекты в виртуальную группу.
• Search Device Image in Google (Искать изображение устройства в
Google)
Название устройства вводится в Google.
• Change authentication method (Изменить метод аутентификации)
Это опция в отчете Pre-boot Authentication Methods (Методы
аутентификации перед загрузкой). Она открывает новое окно, в котором
можно изменить метод аутентификации перед загрузкой для выбранного
объекта или объектов.
• Add device as exception (Добавить устройство в исключения)
Опция в отчетах Media Encryption & Port Protection (Шифрование данных на
сменных носителях и Управление портами ПК).

Руководство администратора Endpoint Security Management Server E80.40 | 20


Использование SmartEndpoint

Alerts (Оповещения)
В секции окна Alerts (Оповещения) показывается, какие компьютеры конечных точек нарушают критические
правила безопасности. Оповещения могут вызывать следующие типы нарушений:
• Компьютеры с проблемами Anti-Malware
• Компьютеры с ошибками обновления Anti-Malware
• Проблемы соответствия
• Компьютеры, на которых некоторые программные блейды не работают или их статус неизвестен
• Компьютеры со сбоями развертывания
• Компьютеры с проблемами шифрования
• Компьютеры, на которых не проводилось сканирование компонентом Anti-Malware
• Компьютеры с предупреждениями проверки безопасности
Свойство Security Picture (Картина безопасности) автоматически отсылает оповещения по электронной
почте администраторам, когда количество конечных точек с нарушениями безопасности превышает
предопределенные пороги. В верхнем разделе секции показывается статус каждого типа нарушения,
включая количество и процент компьютеров конечных точек, на которых имеется нарушение. Также
показываются пороговые условия для отсылки и прекращения оповещений.
Нижний раздел секции содержит две вкладки:
• Trend (Тренд) – Показывает линейную диаграмму тренда нарушений безопасности с течением времени
• Endpoints (Конечные точки) – Показывает стандартный список компьютеров конечных точек

Настройка сообщений оповещений


Вы можете настроить, чтобы Endpoint Security отсылал следующие типы сообщений:

Тип сообщения Когда отсылается Комментарии


Количество конечных точек с Показывает количество конечных
Исходное
нарушениями безопасности точек с нарушениями и тип
оповещение
превышает указанный порог нарушений
Периодически, согласно
Показывает количество конечных
Оповещение – указанной частоте, пока
точек с нарушениями и тип
напоминание количество конечных точек
нарушений
превышает порог
Количество конечных точек с
Оповещение о
нарушениями безопасности Показывает, что проблема
разрешении
падает до значения ниже разрешена
проблемы
указанного порога
Чтобы задать оповещения безопасности:
1. В секции Alerts (Оповещения) выберите тип нарушения безопасности.
2. Нажмите правой кнопкой мыши на колонку Threshold (Порог) и выберите Edit Threshold
(Редактировать порог).
3. В окне Edit Threshold настройте следующие параметры:
Measure Endpoints (Измерять конечные точки) - Выберите значения By Percentage (В процентах)

или By Absolute (В абсолютным значениях) в качестве значения измерений.
• Trigger alert (Вызов оповещения) – Введите значение, при превышении которого вызывается
оповещение.
• After the alert was triggered (После вызова оповещения) - Выберите эту опцию и введите
значение, при котором оповещения прекращаются, когда количество конечных точек с
нарушениями падает ниже указанного значения.
4. Нажмите правой кнопкой мыши на колонку Action (Действие) и выберите Edit (Редактировать).

Руководство администратора Endpoint Security Management Server E80.40 | 21


Использование SmartEndpoint

5. В окне Edit Action (Редактировать действие) настройте следующие параметры:


• Выберите опцию Notify on alert activation (Уведомлять при активации оповещения), чтобы
отослалось сообщение исходного оповещения.
Снимите флажок с опции, чтобы деактивировать исходные оповещения.
• Выберите опцию Notify on alert resolution (Уведомлять при разрешении проблемы), чтобы
отослалось сообщение оповещения о разрешении проблемы, когда это применимо.
Снимите флажок с опции, чтобы деактивировать сообщения оповещений о разрешении проблемы.
• Выберите Alert Reminder frequency (Частоту оповещений-напоминаний) в списке Remind every
(Напоминать каждые).
Выберите None (Нет) (по умолчанию), чтобы деактивировать напоминания.
6. Добавьте email адрес для указанных получателей.
Выполните эту процедуру для каждого типа нарушения безопасности.
Внимание - Вы можете также активировать или деактивировать типы сообщений
напрямую в меню опций, нажав правой кнопкой мыши на колонку Action (Действие).

Настройка сервера электронной почты


Вы должны настроить ваш сервер электронной почты, перед тем как Security Picture (Картина безопасности)
сможет отсылать электронные сообщения с оповещениями. Эти настройки включают параметры сети и
аутентификации, необходимые для доступа на сервер электронной почты. Вы можете задать только один
сервер электронной почты.
Чтобы настроить сервер электронной почты:
1. В SmartEndpoint выберите Manage > Email Server Settings > Configure Settings (Управление >
Настройки сервера электронной почты > Задать настройки).
2. В окне Email Server Settings (Настройки сервера электронной почты) введите имя хоста сервера
электронной почты или IP адрес.
3. Если необходима аутентификация сервера электронной почты, выберите User authentication is required
(Требуется аутентификация пользователя).
Настройте следующие параметры:
• Port (Порт) – Номер порта сервера электронной почты (значение по умолчанию - 25)
• User Name (Имя пользователя)
• Password (Пароль)
4. Нажмите на Check Connectivity (Проверить подключение), чтобы убедиться, что вы можете успешно
обращаться к серверу электронной почты.
Если проверка не удается, исправьте ошибки параметров или решите проблемы подключения сети.

Compliance (Соответствие)
• Compliance Status (Статус соответствия) – Показывает политики соответствия конечной точки,
которые обеспечивают, чтобы:
• Была установлена правильная версия Endpoint Security.
• Операционная система включала все необходимые обновления и пакеты обновлений.
• Были установлены только утвержденные программные приложения.
Если у пользователя или компьютера имеется нарушение правила, в колонке Compliance Violations
(Нарушения соответствия) показывается название правила. Также показываются названия правил,
созданных пользователем.
• Top Violations (Основные нарушения) - Показывает основные нарушения соответствия.
В отчетах используются следующие статусы соответствия:
• Compliant (Соответствует) – Компьютер отвечает всем требованиям соответствия.
• About to be restricted (Доступ вскоре будет ограничен) – Компьютер не соответствует
требованиям безопасности, и доступ будет ограничен, если не будут предприняты меры по достижению
соответствия. См. настройку состояния "About to be Restricted" ("Настройка состояния "About to be
Restricted" на странице 62).
• Observe (Наблюдение) – Не соблюдается одно или более правил соответствия, установленных как
Observe (Наблюдение). Пользователи не знают об этом статусе и не имеют ограничений.
• Restricted (Ограничен) – Компьютер не соответствует требованиям безопасности и имеет
ограниченный доступ к ресурсам сети.

Руководство администратора Endpoint Security Management Server E80.40 | 22


Использование SmartEndpoint

• Warn (Предупреждение) – Компьютер не соответствует требованиям безопасности, но пользователь


может продолжать пользоваться доступом к ресурсам сети. Необходимо выполнить требуемые шаги для
достижения соответствия.
• Not Running (Не запущено)
• Unknown (Неизвестно)
• Not installed (Не установлено) – Защита сети деактивирована или не установлена.

Activity Reports (Отчеты об операциях)


Группа Activity Reports (Отчеты об операциях) включает следующие отчеты о статусах конечных точек и
сервера политик Endpoint:
• Endpoint Connectivity (Подключение конечной точки) - Показывает, когда каждый компьютер
конечной точки подключался к сети в последний раз.
• Endpoint Blade Status (Статус блейдов конечной точки) - Показывает статус программных блейдов
для пользователей и компьютеров конечных точек. Вы можете использовать этот отчет, чтобы
посмотреть, какие блейды работают или не работают.
• Protected by Endpoint Security (Защищено Endpoint Security) – Показывает, защищены ли компьютеры
конечных точек Endpoint Security. Вы можете отсортировать по статусу:
• Unprotected Computers (Незащищенные компьютеры) – Компьютеры, на которых не установлен
агент конечной точки (Endpoint Agent).
• Unassociated Users (Неассоциированные пользователи) – Пользователи, которые были
идентифицированы при сканировании каталога, но не вошли в компьютер с Endpoint Security.
• Endpoint Installed (Endpoint установлен) – Компьютеры, на которых установлен агент конечной точки
(Endpoint Agent).
• Endpoint Policy Server Status (Статус сервера политики Endpoint Policy) - Показывает статус
сервера политики Endpoint Policy (активный или неактивный)
• Endpoint Connectivity by Policy Server (Подключение конечных точек по серверу политики) –
Показывает, к какому серверу политики Endpoint Policy подключается каждая конечная точка.

Software Deployment (Развертывание программного


обеспечения)
Вы можете выбрать отчеты, которые отображают статус развертывания по следующим параметрам:
• Deployment Status (Статус развертывания) - Показывает развертывание по категории статуса
развертывания.
• Top Deployment Errors (Основные ошибки развертывания) - Показывает основные ошибки.
• Deployment by Package (Развертывание по пакету) - Показывает статус развертывания по имени
пакета.
• Deployment by Profile (Развертывание по профилю) - Показывает статус развертывания по имени
профиля.
Для всех отчетов развертывания программного обеспечения доступны следующие категории статусов:
• Completed (Завершен)
• Scheduled (Запланирован)
• Downloading (Скачивается)
• Deploying (Развертывается)
• Uninstalling (Деинсталлируется)
• Failed Retrying (Неудачно. Повторная попытка)
• Failed (Неудачно)
Наведите курсор мыши на элемент в Условных обозначениях (Legend), чтобы выделить его, и вы сможете
посмотреть количество компьютеров конечных точек в каждой категории статусов.

Versions in Use (Используемые версии)


Данная группа включает следующие отчеты:
• Full Disk Encryption Versions (Версии Full Disk Encryption) - Показывает установленную версию
блейда Full Disk Encryption для клиентов конечных точек.
• Endpoint Package Versions (Версии пакета Endpoint) - Показывает установленную версию агента

Руководство администратора Endpoint Security Management Server E80.40 | 23


Использование SmartEndpoint

конечной точки (Endpoint Agent) для отдельных клиентов конечных точек.


• WebCheck Versions (Версии WebCheck) - Показывает установленную версию блейда WebCheck для
отдельных клиентов конечных точек.

Full Disk Encryption (Шифрование всего содержимого диска)


Здесь представлены отчеты, содержащие информацию о шифровании компьютера, и отчеты,
содержащие информацию о Pre-boot (Предзагрузке).
• Encryption Status (Статус шифрования) - Показывает статус шифрования содержимого компьютера
конечной точки. Категории статусов шифрования:
• Encrypted (Зашифровано)
• Decrypting (Дешифруется)
• Not installed (Не установлено)
• Unencrypted (Не зашифровано)
• Encrypting (Шифруется)
• Encryption Troubleshooting (Устранение сбоев шифрования) - Показывает пользователей и
компьютеры, которым может потребоваться устранить сбои при шифровании содержимого диска. Вы
можете посмотреть шаг этапа развертывания компонента Full Disk Encryption, на котором находится
каждый компьютер конечной точки. Эта информация может быть полезной, когда необходимо найти
проблему, мешающую шифрованию содержимого компьютера. Категории статусов:
• Initialization (Инициализация)
• Waiting for Policy (Ожидание политики)
• User Acquisition (Прием пользователей)
• Verifying Setup (Проверка установки)
• Setup protection (Защита установки)
• Deliver Recovery file (Доставить файл восстановления)
• Waiting for restart (Ожидание перезагрузки)
• Not installed (Не установлено)
• Encryption in Progress (Шифрование в процессе)

User Authentication (OneCheck) (Аутентификация


пользователя (OneCheck))
• Pre-boot Access Status (Статус Pre-boot доступа) - Показывает статус Pre-boot компонента Full Disk
Encryption на каждом компьютере конечной точки. Категории статусов:
• Pre-boot Disabled (Pre-boot деактивирован)
• Pre-boot Temporarily Disabled (Pre-boot временно деактивирован)
• Pre-boot Enabled (Pre-boot активирован)
• Not Installed (Не установлен) – Компонент Full Disk Encryption не установлен на конечной точке.
• Pre-boot Access Troubleshooting (Устранение сбоев Pre-boot доступа) - Показывает пользователей и
компьютеры, которым требуется устранение сбоев при Pre-boot аутентификации. Проблемы делятся на
две категории: настройки пользователя или драйверы Smartcard на компьютере.
• Computers with Smartcard driver issues (Компьютеры с проблемами драйвера Smartcard). Статус
может быть:
• No Smartcard users configured, no drivers installed (Пользователи Smartcard не настроены, драйверы не
установлены)
• No drivers installed, Smartcard users configured (Драйверы не установлены, пользователи Smartcard
настроены)
• Driver mismatch (Несоответствие драйвера)
• Users with Pre-boot access issues (Пользователи с проблемами Pre-boot доступа). Статус может
быть:
• Password not configured (Пароль не настроен)
• Certificate not configured (Сертификат не настроен)
• Certificate not valid (Сертификат недействителен)
• Certificate does not meet requirements (Сертификат не отвечает требованиям)
• Pre-boot Authentication Methods (Методы Pre-boot аутентификации) - Показывает настроенный метод

Руководство администратора Endpoint Security Management Server E80.40 | 24


Использование SmartEndpoint

Pre-boot аутентификации пользователей и способ аутентификации, использовавшийся в последний раз.


Вы можете отсортировать результаты по настроенному методу аутентификации. Колонки отчета:
• Method Used (Используемый метод) – Метод Pre-boot аутентификации, который пользователь
использовал в последний раз.
• Method Configured (Настроенный метод) - Метод Pre-boot аутентификации, настроенный для
пользователя. Это сконфигурированная глобальная Pre-boot Authentication Settings (Настройка
Pre-boot аутентификации) или, если она перекрывается, настройка пользователя.
• Method Configured at (Метод настроен) – Когда был настроен метод.
• Last Pre-boot Authentication (Последняя Pre-boot аутентификация) – Когда пользователь
последний раз аутентифицировался в компьютер клиента Endpoint Security.
• Grace Period Enabled (Период отсрочки активирован) – Если настроен новый метод
аутентификации, имеют ли пользователи период времени, в течение которого они все еще могут
аутентифицироваться с помощью предыдущего метода.
• Grace Period Active (Период отсрочки активен) – Активен ли период отсрочки для этого
пользователя в этот раз.

Media Encryption & Port Protection (Шифрование данных на


сменных носителях и Управление портами ПК)
На этой странице находится линейный график, на котором показывается количество устройств в
соответствии со следующими категориями статусов:
• Allowed devices (Разрешенные устройства)
• Blocked Devices (Заблокированные устройства)
• Approved by UserCheck (Одобренные UserCheck)
В Endpoint List (Список конечных точек) показаны все устройства, подключенные к компьютерам
конечных точек в течение последних 14 дней.
• User and computer name (Имя пользователя и компьютера)
• Status (see above) (Статус) (см. выше)
• Device name (Имя устройства)
• Device Category (Категория устройства)
• Device Serial Number (Серийный номер устройства)
• Last Event Date (Дата последнего события)
• User Check scenario and reason (Сценарий и причина проверки пользователя)
• IP Address (IP адрес)
• Date of last connection (Дата последнего подключения)
• Computer type (Тип компьютера)
Вы можете выполнять поиск и фильтровать список, используя несколько критериев.

Anti-Malware (Защита от вредоносного ПО)


Эти отчеты показывают статус обнаружения и лечения, выполняемого компонентом Anti-Malware. Доступны
следующие отчеты:
• Anti-Malware Status (Статус защиты от вредоносного ПО) - Показывает статистику обнаружения при
сканировании.
• Top Infections (Основные инфекции) - Показывает пять основных инфекций в течение последних 14
дней.
• Anti-Malware Provider Brands (Бренды провайдеров защиты от вредоносного ПО) - Показывает
статус сканирования по бренду провайдера защиты от вредоносного ПО.
• Anti-Malware Scanned Date (Дата сканирования защиты от вредоносного ПО) - Показывает статус
по дате последнего сканирования.

Руководство администратора Endpoint Security Management Server E80.40 | 25


Использование SmartEndpoint

WebCheck
Статус WebCheck - Показывает текущий статус мониторинга WebCheck для клиентов конечных точек.
Категории статусов:
• Enabled (Активирован)
• Disabled (Деактивирован)
• The user disabled this feature (Пользователь отключил это свойство)
• Unknown (Неизвестен)
• Not installed (Не установлено)

Licenses Status Report (Отчет статуса лицензий)


Licenses Status Report (Отчет статуса лицензий) показывает текущий статус лицензии на контейнер и
блейд. В сводной таблице показывается:
• Insufficient seats (Недостаточно рабочих мест)
• Total seats (Общее количество рабочих мест)
• Seats in Use (Количество используемых рабочих мест)
В списке лицензий показывается подробная информация о лицензиях и статус для выбранного блейда или
контейнера. Вы можете экспортировать данные статуса лицензии в файл.

Custom Report (Настраиваемый отчет)


Этот тип отчета позволяет вам создавать настраиваемые отчеты на основании многих критериев
мониторинга.
Чтобы создать настраиваемый отчет:
1. Во вкладке Reporting (Отчеты) выберите Custom Report (Настраиваемый отчет).
2. В секции Custom Report (Настраиваемый отчет) нажмите на Choose monitoring criteria (Выбрать
критерии мониторинга).
3. В окне Custom Report (Настраиваемый отчет) используйте кнопки для добавления или удаления
критериев мониторинга из списка Selected Status (Выбранные статусы).
4. Нажмите OK.
5. Используйте поле Show Endpoints that (Показать конечные точки, которые), чтобы показать данные,
соответствующие выбранным критериям.
6. В области Endpoints List (Список конечных точек) используйте поле выпадающего списка Status
(Статус) для создания фильтра для компьютеров конечных точек, которые покажутся в списке.

Вкладка Deployment (Развертывание)


Вкладка Deployment (Развертывание) используется, чтобы:
• Создать правила развертывания программного обеспечения
• Настроить пакеты клиентов безопасности Endpoint для экспорта
• Сконфигурировать следующие расширенные настройки пакетов:
• Настройки VPN клиента
• Репозиторий пакетов после загрузки на сервер
• Метод подписки файла для защиты целостности пакета клиента

Ведение журнала регистрации событий клиента


Следующие политики на клиенте загружают журнал регистрации событий на сервер управления Endpoint
Security:
• Firewall (Сетевой экран)
• Application Control (Управление приложениями)
• Anti-Malware (Защита от вредоносного ПО)

Руководство администратора Endpoint Security Management Server E80.40 | 26


Использование SmartEndpoint

• Compliance Rules (Правила соответствия)


• Full Disk Encryption (Шифрование всего содержимого диска)
• Media Encryption & Port Protection (Шифрование данных на сменных носителях и Управление портами ПК)
• WebCheck
На сервере журнал регистрации событий хранится в общей базе данных журналов, которая прочитывается
SmartView Tracker.

Внимание - Блейд VPN загружает журнал регистрации событий SCV на шлюз VPN.

Клиентский журнал регистрации событий:


• Хранится локально по адресу:
C:\Documents and Settings\All Users\Application Data\CheckPoint\Endpoint
Security\Logs
Файл журнала Комментарии
epslog.1.log • Файл журнала в формате обычного текста
epslog.2. log • Когда файл становится слишком большим, создается другой.
epslog. <number>.log • Могут существовать максимум 10 файлов журнала. Когда
создается epslog.11 .log, eplog1.log удаляется.
• Могут просматриваться любым просмотрщиком ASCII или
с помощью клиентского просмотрщика или вручную,
запустив:
C:\Program Files\Common Files\Check Point\Logviewer\EPS
LogViewer.exe
epslog.ini
epslog.1.elog Внутренние файлы, сжатые и зашифрованные.
epslog.1.elog.hmac

• Загружается в соответствии с общей клиентской политикой на сервер управления Endpoint Security и


просматривается в SmartView Tracker.
• Клиентские журналы регистрации событий могут использоваться для требований внешнего аудита и
внутреннего устранения сбоев в работе.
См. Руководство пользователя Endpoint Security (http://supportcontent.checkpoint.com/solutions?id=sk82100)
для подробной информации о том, что могут делать клиенты с журналом регистрации событий на своих
компьютерах.

Поиск компонентов в SmartEndpoint


Вы можете использовать поиск для нахождения таких компонентов как, например, компьютеры,
пользователи, каталоги и программы.
Чтобы найти компонент:
1. В панели поля Search (Поиск) введите строку, соответствующую компоненту.
2. Нажмите на Search (Поиск).
Search Results (Результаты поиска) покажутся во вкладке Users and Computers (Пользователи и
компьютеры).
3. Если компонент, который вы ищете, есть в списке, дважды нажмите на него кнопкой мыши.
Внимание – Как вариант, нажмите правой кнопкой мыши на любого пользователя,
показываемого во вкладке Reporting (Отчеты), и выберите Edit (Редактировать).

Руководство администратора Endpoint Security Management Server E80.40 | 27


Глава 4
Endpoint Security на Mac системах
В этой главе
Сводная информация о доступных блейдах 28
Компоновка пакета дистрибутива 29
Установка 31
Мигрирование с других продуктов 31

Клиент Check Point Endpoint Security обеспечивает безопасность конечных точек, на которых установлена
система Mac OS X. Клиент защищает конечную точку с помощью следующих программных блейдов:
• Firewall (Сетевой экран) для безопасности настольного компьютера
• Compliance Rules (Правила соответствия)
• Full Disk Encryption (Шифрование всего содержимого диска)
• VPN для прозрачного удаленного доступа к корпоративным ресурсам.
Эта редакция является обновлением для:
• Endpoint Security VPN для Mac E75 (и выше)
• Full Disk Encryption 3.3.5 (и выше) для Mac

Блейды Firewall, Compliance Rules и Full Disk Encryption централизованно управляются с сервера управления
E80.40 Endpoint Security. Блейд VPN управляется политикой, созданной в SmartDashboard и установленной
на шлюзе.

Сводная информация о доступных блейдах


В этом разделе представлено описание программных блейдов, поддерживаемых клиентом E80.40.

Firewall (Сетевой экран)


Правила Firewall (Сетевого экрана) разрешают или блокируют сетевой трафик на основании информации о
подключении, как например IP адреса, порты и протоколы. Доступны два типа правил Firewall для
управления Endpoint Security:
• Правила входящего трафика
Правила, которые разрешают или блокируют входящий сетевой трафик в компьютер конечной точки.
• Правила исходящего трафика
Правила, которые разрешают или блокируют исходящий сетевой трафик из компьютера конечной точки.

Руководство администратора Endpoint Security Management Server E80.40 | 28


Endpoint Security на Mac системах

VPN
Блейд VPN основан на Endpoint Security E75.01 VPN. У блейда имеются следующие возможности
подключения, безопасности, установки и администрирования:
• Полный IPSec VPN
• Обнаружение «мертвых» шлюзов
• Точка множественного доступа
• Режим гостя
• NAT-T
• Режим хаба
• VPN туннелирование
• Внесение сертификата в списки и обновление
• И другие

Full Disk Encryption (Шифрование всего содержимого диска)


В компоненте Full Disk Encryption (Шифрование всего содержимого диска) совмещается защита при загрузке
с Pre-boot авторизацией и криптостойкое шифрование. Благодаря этому, компонент Full Disk Encryption
гарантирует, что только авторизованные пользователи будут иметь доступ к информации, хранимой на
настольных компьютерах или ноутбуках.

Compliance Rules (Правила соответствия)


Этот блейд обеспечивает соблюдение компьютером конечной точки требований безопасности организации.
Например, правило может следить за тем, чтобы антивирусные сигнатуры были актуальными.
• Поддерживаемые разработчики антивирусного ПО: Kaspersky, Symantec, McAfee, Sophos и Trend.
• Несоблюдение политики может привести к выводу сообщения о необходимости устранения нарушения,
предупреждения или ограничению доступа к сети.

Внимание – Проверка регистрации и версии файлов не действуют на Mac.

Компоновка пакета дистибутива


Клиентский пакет для Mac нельзя настроить на сервере E80.40. Вам необходимо настроить пакет с
помощью Компоновщика пакета дистрибутива (Distribution Package Builder). Утилита, запускаемая в окне
терминала, создает образ диска, содержащий настроенный пакет Endpoint Security. С помощью утилиты
можно задать:
• Какие блейды устанавливает пакет дистрибутива
• Настройки конфигурации

Предварительные условия:
1. Скачайте EPS_E80.40.zip с Центра загрузок (Download Center).
В zip файле содержится:
• EPSE80.40.pkg
Базовый клиентский пакет со всеми компонентами клиента Endpoint Security
• Компоновщик пакета дистрибутива (Distribution Package Builder)
Утилита для настройки пакета для распределения и установки.

Руководство администратора Endpoint Security Management Server E80.40 | 29


Endpoint Security на Mac системах

2. Скопируйте эти файлы с сервера на Mac. Поместите их в ту же папку.


Файл Путь
• Unix: $FWDIR/conf/SMC Files/uepm/DA
Config.dat
• Windows: %FWDIR%\conf\SMC Files\uepm\DA

В этом файле содержатся данные конфигурации ядра сервера, которые нужны клиенту для успешного
соединения с сервером.

Файл Путь

• Unix: $FWDIR/conf/SMC Files/uepm/DA


• Windows: %FWDIR%\conf\SMC Files\uepm\DA

Примечание: файл доступен в этих местах только после того, как


клиентский пакет windows (содержащий блейд VPN) уже был
Trac.config экспортирован с сервера управления.
Как вариант, a Trac.config (со сконфигурированными настройками
VPN) можно взять с существующего Endpoint Security VPN E75 (или E75.01)
для установки на Mac по адресу:

/Library/Application Support/Checkpoint/Endpoint Connect

В этом файле содержатся настройки VPN клиента.


Чтобы настроить пакет до распределения:
1. Откройте окно терминала
2. Перейдите к папке, где находится компоновщик пакета.
3. Введите: ./Distributor.
Distributer -create <mask> config <mask> <input-package-

Синтаксис
path> <output-distribution-path>

Параметры Параметр Описание


<mask> - это сумма нужных блейдов.
• Блейд Firewall = 1
blades <mask> • Блейд VPN = 2
• Блейд Compliance = 4
• Блейд Full Disk Encryption = 8

<mask> - это сумма файлов конфигурации,


config <mask> которые нужно включить. Значения:
• Конфигурация ядра (config.dat) = 1
• Конфигурация VPN (Trac.config) = 2

input-package-path Полный явный путь к образу установки

output-distribution-path Полный явный путь к настроенному образу

-help Показать информацию помощи.

Руководство администратора Endpoint Security Management Server E80.40 | 30


Endpoint Security на Mac системах

./Distributer -create blades 15 config 3


Пример /packages/Endpoint_Security_Distribution.pkg
./Test.dmg

******* Creating a package for distribution *******


* Blades to install: Firewall, VPN, Compliance.
* Initial configuration for the following blades:
Endpoint Security Core (config.dat), VPN (Trac.config).
Вывод
* Using a basis package from: ./EPS_E80.40.pkg
* Resulting distribution will be written to:
./EPS_E80.40_Full.dmg
***************************************************

Комментарии
• В этом примере создается пакет дистрибутива со всеми блейдами, и используются как опции
конфигурации ядра, так и VPN.
• Запрошенные файлы конфигурации должны находиться в том же каталоге, что и утилита.

Установка
Если вы включили блейд VPN в пакет развертывания, убедитесь, что соблюдаются следующие требования:

Требования сети
• У вас есть шлюзы, поддерживающие удаленный доступ VPN, и, если необходимо, на них установлен
требуемый Hotfix.
• Если режим гостя настроен на порту 443 шлюза VPN, и WebUI шлюза активирован, убедитесь, что WebUI
прослушивает соединения на порту, отличном от 443. В противном случае клиент не подключится.

Требования связки ключей


• Только сертификаты, выданные общественными центрами сертификации, могут быть сохранены в
системе управления паролями связки ключей, если дважды нажать кнопкой мыши на файл PKCS#12.
• Если вы хотите, чтобы пользователи внесли сертификат, выданный ICA, в связку ключей, они должны
выполнить процесс внесения в списки. Во время внесения в списки клиент автоматически вносит
сертификат в связку ключей.

Установка клиента
1. Скачайте с EPS_E80.40_Full.dmg образ диска на Mac.
(Это пакет, созданный с помощью утилиты компоновки пакета).
2. Если у вас есть образы диска с предыдущих установок клиента, убедитесь, что образы не монтированы.
3. Дважды нажмите кнопкой мыши на образ диска.
После того как образ диска будет монтирован в файловую систему, откроется окно Finder (Поиск) с
содержимым пакета.
4. Дважды нажмите кнопкой мыши на файл E80.40.pkg, чтобы запустить установку.
5. Следуйте инструкциям на экране.

Деинсталляция клиента
Чтобы деинсталлировать клиент на Mac, если это необходимо:
1. Откройте окно терминала.
2. Запустите:
sudo "/Library/Application Support/Checkpoint/Endpoint Security/uninstall.sh"

Руководство администратора Endpoint Security Management Server E80.40 | 31


Endpoint Security на Mac системах

Внимание – Если конечная точка была зашифрована, скрипт деинсталляции сначала


попросит пере загрузиться, чтобы тома HFS можно было дешифровать. После
дешифровки скрипт продолжит деинсталлировать клиент.

Мигрирование с других продуктов


Доступны два пути мигрирования с:
• E75 Endpoint Security VPN для Mac (и выше)
• Full Disk Encryption для Mac 3.3.5 (и выше)

Чтобы мигрировать с обоих этих продуктов на E80.40:


1. Скопируйте файл E PS _ E 80.40_Full.dmg на конечную точку Mac.
Это пакет, созданный с помощью Компоновщика пакета дистрибутива (Distribution Package Builder).
2. Дважды нажмите кнопкой мыши на файл образа диска (.dgm).
• Образ диска монтируется в файловую систему
• Откроется окно Finder (Поиск) с содержимым пакета.
3. Дважды нажмите кнопкой мыши на файл EPS_E80.40.pkg, чтобы начать установку.
4. Следуйте инструкциям на экране.
E75 Endpoint Security VPN для Mac обновится до E80.40 с сохранением своих настроек конфигурации.

Руководство администратора Endpoint Security Management Server E80.40 | 32


Глава 5
Пользователи и компьютеры
В этой главе
Управление пользователями и компьютерами 33
Сканер активного каталога 38
Роли администратора Endpoint Security 41
Работа с виртуальными группами 42

Управление пользователями и компьютерами


Вкладка Users and Computers (Пользователи и компьютеры) используется для просмотра и управления
следующими типами объектов:
• Пользователи
• Компьютеры
• Организационные единицы и узлы активного каталога
• Группы компьютеров и пользователей
• Сети
• Виртуальные группы

Использование вкладки Users and Computers


Вкладка Users and Computers (Пользователи и компьютеры) включает следующие элементы:
• Дерево каталога (Directory Tree) - Показывает иерархию и структуру пользователей и компьютеров в
виде папок и объектов.
• Секция Blades (Блейды) - Показывает программные блейды и их статус для выбранного объекта.
Выберите программный блейд, чтобы посмотреть его правила и статус.
• Секция Rule and Status (Правила и статус) - Показывает правила и статус выбранного программного
блейда. Вы можете редактировать правила и выполнять некоторые действия для компонентов Full Disk
Encryption и Media Encryption & Port Protection, нажав на соответствующие элементы в панели
инструментов в этой секции.
В секции Rule and Status (Правила и статус) можно найти следующую информацию в зависимости от
выбранного блейда:
• Название правила и когда оно вступает в силу.
• Назначено ли правило напрямую выбранному объекту или унаследовано от другого объекта.
• Заданные действия для этого правила.
• Информация о статусе выбранного программного блейда (если применимо). Для организационных
единиц и групп в разделе статуса показываются выбранные отчеты ("Вкладка Reporting (Отчеты)" на
странице 18) для некоторых блейдов.

Использование окна информации об объекте


В окне Object Details (Информация об объекте) показывается более подробная информация о выбранном
объекте, чем в секции Rules and Status (Правила и статус). Вы не можете добавлять или изменять
правила политики в этом окне.Чтобы отобразить окно Object Details (Информация об объекте):
1. Перейдите к соответствующему объекту в дереве Users and Computers (Пользователи и Компьютеры).
2. Нажмите правой кнопкой мыши на объект и выберите Edit (Редактировать). Для объектов
пользователя и компьютера вы можете дважды нажать кнопкой мыши на объект.

Руководство администратора Endpoint Security Management Server E80.40 | 33


Пользователи и компьютеры

В окне Object Details (Информация об объекте) есть три секции, доступные из дерева с правой стороны
от окна.
General Details (Общая информация) - Показывает основную информацию о выбранном объекте и статус
каждого программного блейда. Вы можете нажать на программный блейд, чтобы перейти к секции
подробной информации об этом блейде.
• Details (Подробности) (только пользователи и компьютеры) - Показывает информацию LDAP
(Облегченного протокола доступа к сетевому каталогу) и группы, в которые входит пользователь или
компьютер.
• Content (Содержание) (только организационные единицы и группы) - Показывает участников
выбранной организационной единицы или группы.
• Программные блейды - Показывает подробную информацию о правилах и статусах для каждого блейда.
Для организационных единиц и групп показывается подробные отчеты о статусе ("Вкладка Reporting
(Отчеты)" на странице 18).

Изменение настроек аутентификации


Вы можете изменить следующие настройки User Authentication (OneCheck) в окне User Details
(Информация о пользователе):
• Метод Pre-boot аутентификации ("Методы Pre-boot аутентификации" на странице 98), когда активен
блейд Full Disk Encryption. Метод аутентификации по умолчанию – Password (Пароль).
• Заблокировать пользователя ("Блокировка учетной записи" на странице 102) после указанного
количества неудачных попыток входа в систему с экрана Pre-boot (предзагрузки).
• Изменить пароль пользователя.
• Добавить или удалить сертификаты для аутентификации с помощью smartcard.
• Добавить или удалить авторизованные компьютеры или группы для Pre-boot компонента Full Disk
Encryption.
Использование дерева Users and Computers
В дереве каталога Users and Computers (Пользователи и компьютеры) показывается иерархия
пользователей и компьютеров в виде папок и объектов. Дерево User and Computers можно использовать для
просмотра и выбора объектов пользователей и компьютеров.
В дереве по умолчанию имеются следующие каталоги:
• Directories (Каталоги) - Пользователи и компьютеры, включенные в организационные единицы
активного каталога.
• Other Users/Computers (Другие пользователи и компьютеры) - Пользователи и компьютеры, не
включенные в активный каталог.
• Networks (Сети) – Предопределенные диапазоны IP адресов.
• Deleted Users and Computers (Удаленные пользователи и компьютеры) - Пользователи и
компьютеры, которые были удалены из активного каталога.
• Virtual Groups (Виртуальные группы) – Предопределенные группы пользователей и компьютеров
Endpoint Security. Участники виртуальной группы могут также входить в активный каталог или быть
участниками других виртуальных групп.
При нажатии правой кнопкой мыши на объект в дереве, вы можете выполнить некоторые из следующих
действий, которые показываются в меню опций, в зависимости от типа объекта:
• Edit (Редактировать) – Откройте окно Object Details (Информация об объекте), чтобы просмотреть
подробную информацию о правилах и статусе. Вы не можете редактировать правила и информацию об
объекте на этой странице. Вы можете также воспользоваться кнопкой More Info (Дополнительная
информация) (в верхнем правом углу секции), чтобы открыть это окно.
• Add to virtual group or Add content to virtual group (Добавить в виртуальную группу или Добавить
содержимое в виртуальную группу) – Добавить объект и его участников в виртуальную группу.
• Add to favorites or Remove from Favorites (Добавить в избранное или Удалить из избранного) –
Добавить или удалить выбранный объект в список Favorites (Избранное), расположенный в дереве
Users and Computers (Пользователи и компьютеры).
• Authorize preboot users (Авторизировать Pre-boot пользователей) – Вручную добавить
пользователей, которые могут входить в систему через экран Pre-boot компонента Full Disk Encryption.

Руководство администратора Endpoint Security Management Server E80.40 | 34


Пользователи и компьютеры

• Authorize preboot nodes (Авторизировать Pre-boot узлы) – Вручную добавить компьютеры, на


которых авторизованные пользователи могут входить в систему через экран Pre-boot компонента Full
Disk Encryption.
• Disable preboot protection (Деактивировать Pre-boot защиту) – Временно деактивировать вход через
Pre-boot для выбранного пользователя или участников выбранной организационной единицы или группы.
• Encryption recovery media (Средства восстановления шифрования) – Вручную добавить
пользователей, которым разрешено использовать средства восстановления для восстановления
зашифрованного диска.
• Reset computer data (Вернуть данные компьютера в исходное состояние) ("Возврат настроек
компьютера в исходное состояние" на странице 37) – Удалить лицензии, данные восстановления
компонента Full Disk Encryption, настройки Pre-boot, пользователей и журналы регистрации событий с
выбранного компьютера.
• Address Range (Диапазон адресов) – Задать новый диапазон адресов.

Как пользоваться деревом Users and Computers (Пользователи и Компьютеры):


• Используйте интеллектуальную Search Bar (Строку поиска) (сверху от дерева) для поиска объектов.
Вы можете использовать части слов или фраз, чтобы просмотреть все объекты, содержащие текст
поиска.
• Дважды нажмите кнопкой мыши на родительский каталог, чтобы просмотреть дочерние элементы.
• Нажмите на треугольник, чтобы перейти обратно к родительскому каталогу.
• Нажмите на иконку Users and Computers (Пользователи и компьютеры) в панели инструментов, чтобы
перейти вверх дерева.
• Выберите пользователя, компьютер или папку, чтобы просмотреть статус и настройки программного
блейда выбранного элемента.
• Дважды нажмите кнопкой мыши на пользователя или компьютер, чтобы открыть окно Details
(Информация).

Управление пользователями
Во вкладке Users and Computers (Пользователи и компьютеры) показывается статус и назначенные правила
для каждого блейда. Вы можете также редактировать правила и создавать ваши собственные правила в
случае необходимости.
Чтобы посмотреть информацию о пользователе:
1. Выберите вкладку Users and Computers (Пользователи и компьютеры).
2. Нажмите правой кнопкой мыши на пользователя в дереве Users and Computers (Пользователи и
компьютеры) и выберите Edit (Редактировать).
Откроется окно User Details (Информация о пользователе) ("Использование окна информации об объекте"
на странице 32). Вы можете посмотреть подробную информацию, а также информацию о правилах и статусе
для каждого программного блейда. Вы не можете изменять правила и настройки действий в этом окне.
Чтобы изменить правила:
1. Выберите пользователя в дереве Users and Computers (Пользователи и компьютеры).
2. Выберите блейд в секции Blades (Блейды).
3. Нажмите Edit Rule (Редактировать правило).
4. Выполните шаги, перечисленные в Мастере Edit Specific Rule (Редактировать конкретное правило).
Подробная информация о настройке приведена в темах о соответствующих программных блейдах.

Управление организационными единицами и группами


Вы можете управлять организационными единицами и группами активного каталога во вкладке Users and
Computers (Пользователи и компьютеры).
Чтобы посмотреть информацию об организационной единице или группе:
1. Выберите организационную единицу или группу в дереве Users and Computers (Пользователи и
компьютеры).
2. Нажмите правой кнопкой мыши на организационную единицу или группу в дереве Users and
Computers (Пользователи и компьютеры) и выберите Edit (Редактировать).
Откроется окно Details (Информация) ("Использование окна информации об объекте" на странице 32). Вы
можете посмотреть подробную информацию, а также информацию о правилах и статусе для каждого
программного блейда. Вы не можете изменять правила и настройки действий в этом окне.

Руководство администратора Endpoint Security Management Server E80.40 | 35


Пользователи и компьютеры

Чтобы изменить правила организационной единицы или группы:


1. Выберите организационную единицу или группу в дереве Users and Computers (Пользователи и
компьютеры).
2. Выберите блейд в секции Blades (Блейды).
3. Нажмите на Edit Rule (Редактировать правило).
4. Выполните шаги, перечисленные в Мастере Edit Specific Rule (Редактировать конкретное правило).
Подробная информация о настройке приведена в темах о соответствующих программных блейдах.
5. В панели инструментов SmartEndpoint выберите File > Save (Файл > Сохранить).

Временная деактивация Pre-boot


Временный обход Pre-boot (Temporary Preboot Bypass) позволяет администратору временно деактивировать
Pre-boot защиту, например, на время технических работ. Раньше это называлось Wake on LAN (WOL)
(технология дистанционного включения по сети).
Можно активировать и деактивировать временный обход Pre-boot для компьютера, группы или
организационной единицы с объекта компьютера или группы. Настройки Pre-boot в политике Full Disk
Encryption устанавливают, как ведет себя временный обход Pre-boot, когда вы его активируете для
компьютера.
Временный обход Pre-boot снижает уровень безопасности. Следовательно, используйте его только в случае
необходимости и только на необходимое время. Настройками политики Full Disk Encryption
устанавливается, когда временный обход Pre-boot автоматически отключается и Pre-boot защита снова
становится активной.
Если вы временно деактивируете Pre-boot для группы, настройка будет действовать для компьютеров,
которые входят в эту группу в тот момент, когда вы сохраняете изменения. Если вы добавите компьютер в
группу, измените вручную настройку на самом объекте компьютера.
Чтобы временно деактивировать Pre-boot:
1. Нажмите правой кнопкой мыши на узел в дереве Users and Computers (Пользователи и
компьютеры).
2. Выберите Disable Pre-boot Protection (Деактивировать Pre-boot защиту).
3. Нажмите на Temporarily Disable Pre-boot (Временно деактивировать Pre-boot).
4. Нажмите на Yes (Да).

Чтобы снова активировать Pre-boot:


1. Выберите узел в дереве Users and Computers (Пользователи и компьютеры).
2. Нажмите правой кнопкой мыши и выберите Disable Pre-boot Protection (Деактивировать Pre-boot
защиту).
3. Нажмите на Revert to Policy Configuration (Вернуться к настройке политики).
4. Нажмите на Yes (Да).

Управление компьютерами
Вы можете управлять отдельными компьютерами в окне Users and Computers (Пользователи и
компьютеры). В этом окне показывается информация о компьютере, а также о политиках и назначенном им
пользователе. Вы можете настроить, какие пользователи могут входить в этот компьютер.
Чтобы посмотреть информацию о компьютере:
1. Выберите компьютер в дереве Users and Computers (Пользователи и компьютеры).
2. Нажмите правой кнопкой мыши на компьютер в дереве Users and Computers (Пользователи и
компьютеры) и выберите Edit (Редактировать).
Откроется окно Computer Details (Информация о компьютере). Вы можете просмотреть подробную
информацию, а также информацию о правилах и статусе для каждого программного блейда. Вы не
можете изменять правила и настройки действий в этом окне.
Чтобы изменить правила:
1. Выберите компьютер в дереве Users and Computers (Пользователи и компьютеры).

Руководство администратора Endpoint Security Management Server E80.40 | 36


Пользователи и компьютеры

2. Выберите блейд в секции Blades (Блейды).


3. Нажмите на Edit Rule (Редактировать правило).
4. Выполните шаги, перечисленные в Мастере Edit Specific Rule (Редактировать конкретное правило).
Подробная информация о настройке приведена в темах о соответствующих программных блейдах.
5. В панели инструментов SmartEndpoint выберите File > Save (Файл > Сохранить).

Управление пользователями компьютера


Если в политику для конкретного компьютера включен блейд Full Disk Encryption, только пользователи,
авторизованные на этом компьютере, могут в него входить.
Вы можете управлять пользователями, которые могут входить в компьютер в Computer Details > Security
Blades > User Authentication (OneCheck) (Информация о компьютере > Блейды безопасности > User
Authentication (OneCheck)) для конкретного компьютера.
Чтобы добавить авторизованных пользователей в компьютер:
1. Нажмите правой кнопкой мыши на компьютер в дереве Users and Computers (Пользователи и
компьютеры) и выберите Authorize Pre-boot users (Авторизовать Pre-boot пользователей).
2. В окне Authorized preboot users (Авторизованные Pre-boot пользователи) нажмите на Add
(Добавить).
3. В окне Select User (Выберите пользователя) введите или выберите пользователя из списка.
В случае необходимости добавьте еще пользователей.
4. Дополнительно: Выберите User Locked (Пользователь заблокирован), чтобы пользователь не
мог зайти ни в один компьютер.
5. Нажмите на OK.
6. В панели инструментов SmartEndpoint выберите File > Save (Файл > Сохранить).
Чтобы удалить авторизованных пользователей из компьютера:
1. Нажмите правой кнопкой мыши на компьютер в дереве Users and Computers (Пользователи и
компьютеры) и выберите Authorize Pre-boot users (Авторизовать Pre-boot пользователей).
2. В окне Authorized preboot users (Авторизованные Pre-boot пользователи) выберите
пользователя и нажмите на Remove (Удалить).
3. Нажмите на OK.
4. В панели инструментов SmartEndpoint выберите File > Save (Файл > Сохранить).

Возврат настроек компьютера в исходное состояние


Когда на компьютере установлен клиент Endpoint Security, информация о компьютере отсылается и
хранится на сервере управления Endpoint Security. Возврат настроек компьютера в исходное
состояние означает удаление всей информации о нем с сервера. Возврат настроек компьютера в
исходное состояние не удаляет объект из дерева Users and Computers (Пользователи и компьютеры)
и не изменяет его расположение в дереве.
Важно - Вы можете вернуть настройки компьютера в исходное состояние, только если
клиент Endpoint Security не установлен. Если вы возвращаете настройки в исходное
состояние у компьютера, на котором установлен Endpoint Security, будет удалена
важная информация, и компьютер может не быть в состоянии сообщаться с сервером
управления Endpoint Security.

Вам может потребоваться вернуть настройки компьютера в исходное состояние, если:


• Клиент Endpoint Security Client был деинсталлирован или на компьютере перезаписан образ.
• Необходимо вернуть настройки компьютера в исходное состояние перед установкой нового
клиента Endpoint Security. Например, если компьютер передается другому лицу.
Возврат настроек компьютера в исходное состояние:
• Удаляет все лицензии с компьютера.
• Удаляет данные восстановления компонента Full Disk Encryption.

Руководство администратора Endpoint Security Management Server E80.40 | 37


Пользователи и компьютеры

• Удаляет настройки пользователей, которые могут в него входить.


• Удаляет компьютер из мониторинга Endpoint Security.
• Удаляет Pre-boot настройки.
• Получает отметку «незарегистрированный».

После возврата настроек компьютера в исходное состояние, вы должны переформатировать его,


прежде чем он сможет снова подключиться к службе Endpoint Security.
Внимание - Возврат настроек компьютера в исходное состояние – это не то же самое,
что его удаление. Если вы удаляете компьютер, вся информация в базах данных,
которые к нему подключены, удаляется.

Чтобы вернуть настройки компьютера в исходное состояние:


1. Во вкладке Users and Computers (Пользователи и компьютеры) или в любом другом месте в
SmartEndpoint, где показан объект компьютера, нажмите правой кнопкой мыши на компьютер и
выберите Reset Computer Data (Вернуть настройки компьютера в исходное состояние).
2. Когда появится сообщение Reset Computer (Вернуть настройки компьютера в исходное
состояние), нажмите на Yes (Да) для подтверждения.
3. В панели инструментов SmartEndpoint выберите File > Save (Файл > Сохранить).

Редактирование свойств объектов, не входящих в


активный каталог
Все объекты, которые не входят в активный каталог, находятся в узле Other Users/Computers (Другие
пользователи / компьютеры) во вкладке Users and Computers (Пользователи и компьютеры).
Оттуда вы можете:
• Редактировать свойства пользователя и компьютера. Вы можете редактировать все поля, рядом с
которыми есть значок карандаша.
• Нажмите правой кнопкой мыши на объект и выберите Delete (Удалить), чтобы удалить объекты,
не входящие в активный каталог, из вашей среды.

Сканер активного каталога


Если ваша организация использует активный каталог от Microsoft (Microsoft Active Directory (AD)), вы
можете импортировать пользователей, группы, организационные единицы и компьютеры из
нескольких доменов активных каталогов на сервер управления Endpoint Security. После того как
объекты импортированы, вы можете назначить политики, которые должным образом отражают
потребности организации.
Когда вы в первый раз входите в SmartEndpoint, дерево Users and Computers (Пользователи и
компьютеры) пустое. Чтобы заполнить дерево пользователями из активного каталога, вы должны
настроить сканер каталога.
Сканер каталога (Directory Scanner) сканирует заданный активный каталог и заполняет узел
Directories (Каталоги) во вкладке Users and Computers (Пользователи и компьютеры), копируя
существующую структуру активного каталога в базу данных сервера. Для этого учетная запись
пользователя, ассоциированная с каждой копией сканера каталога, требует прав на чтение на:
• Сканируемый путь активного каталога.
• Контейнер удаленных объектов.
Объект, удаленный из активного каталога, не стирается немедленно, а перемещается в контейнер
удаленных объектов. Сравнение объектов в активном каталоге с объектами в контейнере удаленных
объектов дает четкую картину о ресурсах сети (компьютерах, серверах, пользователях, группах),
которые изменились с момента предыдущего сканирования. Более подробную информацию можно
найти в Базе знаний Microsoft (http://support.microsoft.com/default.aspx?scid=kb;en-us;892806).
Внимание – При использовании многодоменного сканирования вы должны настроить копию
активного каталога для каждого домена. Копия сканера каталога имеет свою учетную запись,
настроенную в соответствии с вышеуказанными требованиями.

Руководство администратора Endpoint Security Management Server E80.40 | 38


Пользователи и компьютеры

Первичная настройка сканера каталога


До настройки, каждый раз, когда вы открываете сканер каталога, показывается сообщение, в котором
спрашивается, хотите ли вы настроить сканер каталога. Когда вы нажмете на Configure the Directory
Scanner (Настроить сканер каталога), в сообщениях будет показано, как настроить сканер в первый
раз и как установить копию сканера.
Копия сканера задает, какой путь активного каталога будет сканироваться и как часто. Одна копия
сканера может включать весь активный каталог.
Внимание – Сканирование большого количества объектов активного каталога может повлиять на
производительность.
Предварительные условия:
• Каждая копия сканера каталога имеет свою собственную учетную запись. Это может быть одна и
та же учетная запись для всех копий или отдельная учетная запись для каждой копии.
• Ваша учетная запись активного каталога должна иметь права Read (Чтение) для:
• Всех сканируемых путей
• Контейнера Deleted Objects (Удаленные объекты)
Внимание – Мы рекомендуем вам создать для сканера каталога учетную запись активного
каталога. Убедитесь, что пароль для этой учетной записи имеет бессрочное действие.
Чтобы настроить сканер каталога:
1. В SmartEndpoint откройте Tools > Directory Scanner (Инструменты > Сканер каталога).
2. Во вводном сообщении Directory Scanner (Сканер каталога) нажмите на Configure the Directory
Scanner (Настроить сканер каталога). Это происходит, когда вы запускаете сканер каталога в
первый раз.
3. Нажмите на Yes (Да) в окне подтверждения.
4. В ответ на вопрос Do you want to add a Scanner Instance now (Вы хотите добавить копию
сканера сейчас?), нажмите на Yes (Да), чтобы добавить вашу первую копию сканера.
5. Продолжите с шага 4 в Настройке копии сканера каталога (на странице 39).

Настройка копии сканера каталога


Информация и статус сканера каталога показываются в окне Directory Scanner (Сканер каталога).
Scan Status (Статус сканирования) может быть:
• Waiting for First Scan (Ожидание первого сканирования) – Копия сканера ни разу не
запускалась.
• Pending (Ожидание) – Ожидание, пока сканирование не будет запущено снова.
• Scanning (Сканирование) – В процессе сканирования.
• Completed (Завершено) – Сканирование прошло успешно.
Чтобы создать новую копию сканера:
1. Перейдите во вкладку SmartEndpoint > Users and Computers (Пользователи и компьютеры).
2. В меню Tools (Инструменты) выберите Directory Scanner (Сканер каталога).
3. В окне Directory Scanner (Сканер каталога) нажмите на Add (Добавить).
4. В окне Domain Name (Имя домена) введите имя домена и формате FQDN (например,
mycompany.com).
5. Нажмите на OK.
6. В Directory Access Credentials (Данные доступа каталога) введите данные доступа.
•DC Host (Domain Controller host) (Хост контроллера домена) – Имя хоста контроллера
домена или IP адрес
• Logon Name (Имя для входа в систему) – Имя пользователя (учетной записи с требуемыми
данными доступа)
• Password (Пароль)
Для хостов контроллера домена эта информация вводится автоматически.
7. Нажмите на OK.
8. В окне Directory Scanner (Сканер каталога) настройте следующие параметры:

Руководство администратора Endpoint Security Management Server E80.40 | 39


Пользователи и компьютеры

Поле Описание
Scanner Name
Уникальное имя для этой копии сканера.
(Имя сканера)
Scan Interval
(Интервал Интервал в минутах между сканированиями для поддержания актуальности каталога.
сканирования)
SSL Enabled (SSL Выберите эту опцию для использования SSL соединения. Снимите флажок с этой
активирован) опции, чтобы использовать незашифрованное соединение (по умолчанию).

Введите номер порта. Порты по умолчанию:


Port (Порт) 636 для SSL соединений
389 для незашифрованных соединений
Выберите путь каталога из дерева. Путь LDAP показывается автоматически, и вы не
можете ввести путь LDAP вручную.
Если путь LDAP не появится автоматически, введите путь в этом формате:
LDAP://<Domain-Controller Host Name>/<Root DN> где:
Domain-Controller Host Name: Имя контроллера домена.
Root DN: Различительное имя корня поисковой базы. Обычно это различительное
LDAP Path (Путь имя домена.
LDAP) Корневая база поиска может также быть организационной единицей в домене.
Например: OU=Users,OU=Europe,OU=Enterprise,DC=mycompany,DC=com или
CN=Users,DC=mycompany,DC=com.
Сканер каталога сканирует все объекты в выбранной организационной единице.
Внимание – Если заданная поисковая база содержит группы активного
каталога с участниками, которых нет в этой поисковой базе, сканер не будет
сканировать этих участников.

9. После завершения сканирования обновите дисплей SmartEndpoint.


Новые элементы активного каталога покажутся во вкладке Users and Computers (Пользователи и
компьютеры) только после обновления.

Внимание – Сканирование активного каталога занимает время. Объекты активного


каталога показываются в той последовательности, в которой они были обнаружены.

Активация и деактивация копии сканера


После настройки сканирования вы можете деактивировать его, чтобы он не запускался, или активировать,
если он был деактивирован.
Чтобы активировать или деактивировать копию сканера:
1. В SmartEndpoint перейдите в Tools > Directory Scanner (Инструменты > Сканер каталога).
В окне Directory Scanner (Сканер каталога) показывается список настроенных копий сканера.
2. В колонке Enabled (Активировано):
• Уберите флажок с поля, чтобы деактивировать сканирование.
• Поставьте флажок в поле, чтобы активировать сканирование.
3. Нажмите на Close (Закрыть).

Синхронизация каталога
Через указанные интервалы копии сканера, сканер каталога синхронизирует узлы Endpoint Security в дереве
Users and Computers (Пользователи и компьютеры) с узлами в активном каталоге. Когда происходит
синхронизация:
• Новые объекты активного каталога добавляются в Endpoint Security и наследуют политику в
соответствии с расчетом назначения политик Endpoint Security.
• Удаленные пользователи удаляются из дерева Users and Computers (Пользователи и компьютеры),
но только если у них не было зашифрованных съемных устройств хранения данных. Удаленные
пользователи с зашифрованными съемными устройствами хранения данных перемещаются в папку
Deleted Users/Computers (Удаленные пользователи / компьютеры). Несмотря на то, что
пользователь уже не существует в активном каталоге, сервер хранит ключи шифрования на случай

Руководство администратора Endpoint Security Management Server E80.40 | 40


Пользователи и компьютеры

возможного восстановления.
Вы можете удалить этих пользователей вручную с помощью SmartEndpoint.
• Компьютеры, удаленные из активного каталога, на которых не установлен Endpoint Security, удаляются
из Users and Computers (Пользователи и компьютеры).
• Компьютеры, удаленные из активного каталога, на которых установлен Endpoint Security,
перемещаются в папку Deleted Users/Computers (Удаленные пользователи / компьютеры),
потому что может потребоваться их восстановление. Вы можете удалить эти компьютеры вручную
в консоли управления.
• Объекты, обновленные в активном каталоге, также обновляются и на сервере.
• Неизмененные записи остаются без изменений.

Устранение сбоев в работе сканера каталога


Проблема Решение
Учётная запись копии сканера каталога не
имеет необходимых прав на чтение для Установите требуемые права.
активного каталога или для контейнера
удаленных объектов.

Удалите объект или отмените учетную запись,


В активном каталоге существует используемую правами на чтение сканера
каталога на тот объект. Если поврежденный
поврежденный объект. объект является объектом контейнера, права
отменяются для всех объектов в контейнере.

Устранение сбоев, связанных с SSL


Во время настройки копии активного каталога, вы можете увидеть сообщение, касающееся
настройки SSL. Вы можете найти проблему и решение здесь.
Проблема: Требуется более строгая аутентификация
Решение:
Попытайтесь подключиться с SSL по следующим шагам:
a) Получите SSL сертификат у вашего контроллера домена.
b) Импортируйте SSL сертификат на сервер управления Endpoint Security.
c) Убедитесь, что для этой копии сканера каталога активирован SSL.

Проблема: Неверный порт SSL Решение:


Измените SSL порт или деактивируйте SSL. Вы можете сделать это в настройках.

Проблема: Невозможно подключиться к контроллеру домена


Решение:
Проверьте путь LDAP контролера домена в Directory Scanner Configuration (Настройках сканера каталога) и
убедитесь, что сервер LDAP запущен на настроенной машине.
Проблема: SSL сертификат не установлен Решение:
• Получите SSL сертификат у вашего контроллера домена и импортируйте его на сервер
управления Endpoint Security.
Или
• Деактивируйте SSL.

Роли администратора Endpoint Security


Endpoint Security E80.40 использует свойство R75.40 Permissions Profiles (Профили прав), для определения
ролей администратора. Вы можете задать роли администратора Endpoint Security в SmartDashboard.
Чтобы задать профили прав администратора Endpoint Security:
1. В SmartDashboard выберите вкладку Firewall Rules (Правила сетевого экрана).
2. Выберите Manage Permissions Profiles (Управление профилями прав).
3. В окне Permissions Profile (Профиль прав) дважды нажмите кнопкой мыши на существующий
профиль или нажмите на New (Новый).
4. В окне Permissions Profile Properties (Свойства профиля прав) выберите Customized

Руководство администратора Endpoint Security Management Server E80.40 | 41


Пользователи и компьютеры

(Настраиваемые) и нажмите на Edit (Редактировать).


5. В окне Edit Permissions of Profile (Редактировать права профиля) выберите ветку Endpoint.
6. Настройте следующие права администратора в соответствии с необходимостью:
• Manage Policies (Управление политиками) – Администратор может работать с политиками,
правилами и действиями. Выберите права Read/write (Чтение/запись) или Read Only (Только
чтение).
• Policies Installation (Установка политик) - Администратор может устанавливать политики на
компьютеры конечных точек.
• Manage Software Deployment (Управление развертыванием программного обеспечения) -
Администратор может задавать правила развертывания, создавать пакеты для экспорта и
конфигурировать расширенные настройки пакетов. Выберите права Read/write (Чтение/запись)
или Read Only (Только чтение).
• Install Deployment Installation (Установить установку развертывания) - Администратор может
развертывать пакеты и устанавливать клиенты конечных точек.
• Recovery Media (Средства восстановления) - Администратор может создавать средства
восстановления на компьютерах конечных точек и устройствах.
• Remote Help (Удаленная помощь) - Администратор может использовать свойство Remote Help
(Удаленная помощь), чтобы заново задать пароли пользователей и предоставить доступ
заблокированным пользователям.

Работа с виртуальными группами


Виртуальные группы позволяют вам управлять группами пользователей и компьютеров в SmartEndpoint. Вы
можете использовать виртуальные группы с активным каталогом для дополнительной гибкости или в
качестве альтернативы активному каталогу.
Объекты могут быть участниками более чем одной виртуальной группы. Участники организационных единиц
или групп активного каталога могут также быть участниками виртуальных групп.

Преимущества использования виртуальных групп включают:


• Возможность использования активного каталога без необходимости использования его для Endpoint
Security. Например:
• Различные администраторы управляют активным каталогом и Endpoint Security.
• Ваши требования Endpoint Security более сложные, чем группы активного каталога. Например, вы
хотите, чтобы были разные группы для ноутбуков и для настольных компьютеров.
• Использование инструмента LDAP, не входящего в активный каталог.
• Работа без LDAP.

Работа виртуальных групп очень похожа на работу активного каталога. Вы можете:


• Создавать группы и затем добавлять объекты в группы автоматически или вручную.
• Назначать политики виртуальным группам или пользователям.
• Помещать объекты в более чем одну группу.
• Выбирать, какие политики имеют приоритет для конечных точек, которые принадлежат более чем одной
виртуальной группе.

Важно - Вы можете использовать виртуальные группы, чтобы управлять компьютерами и


серверами во всех средах. Для управления пользователями с помощью виртуальной группы, вы
должны выполнить один из следующих шагов:
• Использовать Full Disk Encryption и активировать User Acquisition (Прием пользователя).
• Импортировать объекты в Endpoint Security сканером активного каталога. Впоследствии вы
можете перемещать их между виртуальными группами вручную.

Типы виртуальных групп


Есть два типа виртуальных групп:
• Virtual Group (Виртуальная группа) – может содержать пользователей и компьютеры.
• Computer Group (Группа компьютеров) – содержит только компьютеры. Компьютеры в этой группе
имеют политики, связанные с компьютером, если имеется политика, назначенная группе. Приоритет
политик основан на последовательности правил в Базе правил политик.

Руководство администратора Endpoint Security Management Server E80.40 | 42


Пользователи и компьютеры

Например, правила политики Media Encryption & Port Protection обычно применяются к пользователям вне
зависимости от того, какой компьютер конечной точки они используют. Однако если правило Media
Encryption & Port Protection применяется к группе компьютеров, правило может работать до правила,
применимого к пользователю. Это имеет место, если правило группы компьютеров выше правила
пользователя в Базе правил политик.

Следующие предопределенные виртуальные группы создаются с пользователями и компьютерами,


назначенными им, автоматически:
• All Laptops (Все ноутбуки)
• All Desktops (Все настольные компьютеры)
• All Servers (Все серверы)
• All Mac OS X Desktops (Все настольные компьютеры с Mac OS X)
• All Mac OS X Laptops (Все ноутбуки с Mac OS X)
• All Windows Desktops (Все настольные компьютеры Windows)
• All Windows Laptops (Все ноутбуки Windows)
Если вы добавите объекты в виртуальную группу с помощью установочного пакета ("Добавление
объектов с помощью установочного пакета" на странице 44), объекты не попадают автоматически в эти
виртуальные группы. Вы должны сделать это вручную.

Основы управления виртуальными группами


Вы можете работать с виртуальными группами в ветке Virtual Groups (Виртуальные группы) дерева Users
and Computers (Пользователи и компьютеры). Виртуальные группы расположены в ветке Virtual Group
(Виртуальная группа).
Когда вы создаете новую виртуальную группу, вы должны задать тип группы, который вы не сможете
изменить. Изменения в виртуальной группе сохраняются автоматически и устанавливаются немедленно.
• Вы можете копировать пользователей и компьютеры в другие виртуальные группы.
• Вы можете удалять пользователей и компьютеры из виртуальной группы.
• Вы можете копировать пользователей активного каталога, компьютеры и участников групп активного
каталога в виртуальную группу.
Чтобы создать новую виртуальную группу:
1. В дереве Users and Computers (Пользователи и компьютеры) нажмите на Virtual Groups
(Виртуальные группы).
2. Нажмите правой кнопкой мыши и выберите New Virtual Group (Новая виртуальная группа).
3. В окне New Virtual Group (Новая виртуальная группа):
• Введите название группы.
• Дополнительно: введите Comment (Комментарий).
• Выберите Virtual Group (Виртуальная группа) или Computer Group (Группа компьютеров).
4. Нажмите на OK.
Чтобы добавить компьютеры и пользователей из активного каталога в виртуальную группу
1. Нажмите правой кнопкой мыши на организационную единицу в ветке Directories (Каталоги) дерева
Users and Computers (Пользователи и компьютеры).
2. Выберите Add content to Virtual Group (Добавить содержимое в виртуальную группу).
3. Выберите виртуальную группу и нажмите на OK.
Все пользователи и компьютеры в указанной организационной единице добавятся в виртуальную группу.
Если выбрать одну из виртуальных групп по умолчанию, добавятся только пользователи и компьютеры,
соответствующие той группе. Например, если вы выберете виртуальную группу All Laptops (Все ноутбуки), в
группу добавятся только ноутбуки и их пользователи.

Чтобы скопировать пользователя или компьютер в другую виртуальную группу:


1. Нажмите правой кнопкой мыши на пользователя, компьютер или группу активного каталога.
2. Выберите Add to Virtual Group (Добавить в виртуальную группу).
3. Выберите целевую виртуальную группу.
Объект-источник становится участником целевой группы, оставаясь при этом участником группы-источника.

Руководство администратора Endpoint Security Management Server E80.40 | 43


Пользователи и компьютеры

Чтобы удалить пользователя или компьютер из виртуальной группы.


1. Нажмите правой кнопкой мыши на пользователя или компьютер.
2. Выберите Remove from Virtual Group (Удалить из виртуальной группы).

Добавление объектов с помощью установочного пакета


При распределении нового установочного пакета клиента Endpoint Security, вы можете назначить
пользователей и компьютеры целевой группе. Компьютеры и пользователи, использующие этот пакет,
автоматически назначаются группе при подключении к серверу в первый раз.
Например, MSP, обслуживающий 5 организаций, может экспортировать 5 установочных пакетов, чтобы
разделить конечные точки на 5 различных групп. Пользователи, установившие пакет, предназначенный для
Группы A, автоматически помещаются в Группу A. Пользователи, установившие пакет, предназначенный для
Группы B, автоматически помещаются в Группу B.
Чтобы настроить целевую виртуальную группу для установочного пакета:
1. Во вкладке Users and Computers (Пользователи и компьютеры) создайте виртуальную группу.
2. Во вкладке Software Deployment (Развертывание программного обеспечения) нажмите на Packages
for Export (Пакеты для экспорта).
3. Выберите пакет и измените настройки правила на Export to (Экспорт в) новую виртуальную группу.
Измените другие настройки правила по мере необходимости. Если вы обновляетесь с версии R73 или
более ранней, не забудьте настроить пароли более ранней версии.
4. Нажмите правой кнопкой мыши на пакет и выберите Export Package (Экспортировать пакет) в меню
опций.
5. In в окне Export Package (Экспортировать пакет) выберите тип платформы и 32-бит или 64-бит.
6. Задайте путь к каталогу, в который сохраняется пакет.
7. Нажмите на OK.
Пакет скачивается в указанное место.

Мониторинг объектов виртуальной группы


Объекты виртуальной группы отображаются в отчетах вкладки Reporting (Отчеты), как и другие объекты,
которые вы можете создать для мониторинга и других целей. Конечные точки могут входить в более чем
одну группу.
Например, если вы хотите испытать новое обновление Endpoint Security, вы можете создать виртуальную
группу, в которую входят только те конечные точки, которые включены в испытание. Затем вы можете
создать отчет по развертыванию и работе этих конечных точек.
Чтобы просмотреть работу объектов виртуальной группы:
1. Перейдите во вкладку Reporting (Отчеты) и выберите в дереве Software Deployment (Развертывание
программного обеспечения).
2. Нажмите на кнопку ... в разделе Endpoint List (Список конечных точек) секции Software Deployment
Status (Статус развертывания программного обеспечения).
3. Выберите Virtual Groups (Виртуальные группы), а затем виртуальную группу, которую вы хотите
просмотреть.

Руководство администратора Endpoint Security Management Server E80.40 | 44


Глава 6
Развертывание клиентов Endpoint
Security
В этой главе
Общие сведения о развертывании 45
Развертывание Исходного клиента 45
Развертывание пакета программных блейдов 48
Работа с правилами развертывания 50
Расширенные настройки пакетов 51
Установка клиента через интерпретатор командной строки 52
Обновление клиентов Endpoint Security 53
Деинсталляция клиента Endpoint Security 53
Устранение сбоев при установке 53
Настройка пересылки журнала регистрации событий 54

В этой главе приведена информация и процедуры по развертыванию клиентов Endpoint Security на


компьютерах конечных точек. Вы можете использовать одну из следующих стратегий развертывания:
• Automatically (Автоматически) – Использование правил развертывания программного обеспечения для
автоматического скачивания и установки предопределенных пакетов на компьютеры конечных точек
сети.
• Manually (Вручную) – Создание пакетов экспорта, которые пользователи конечных точек могут скачать
вручную и установить на своих компьютерах.

Общие сведения о развертывании


Есть два типа пакетов развертывания, которые вам нужно развернуть, чтобы установить клиенты на
конечных точках:
• Initial Client (Исходный клиент)
Этот пакет включает в себя агента Endpoint, который сообщается с сервером управления Endpoint
Security.
• Software Blade Package (Пакет программных блейдов)
Этот пакет включает в себя указанные программные блейды, которые должны быть установлены на
клиенте конечной точки.
Мы рекомендуем сначала развернуть Исходный клиент и убедиться, что клиент может сообщаться с
сервером управления Endpoint Security. Вы можете затем развернуть соответствующий пакет программных
блейдов.
Внимание - Пользователи конечных точек должны иметь на своих компьютерах права
администратора, чтобы установить пакеты. Для компьютеров на Windows 7 и Vista с
активированным контролем учетных записей пользователей (UAC), пользователи конечных точек
должны также запустить пакет с помощью опции Run as Administrator (Запуск от имени
администратора).

Развертывание Исходного клиента


Исходный клиент использует различные пакеты для клиентов 32-битной системы Windows и для клиентов
64-битной системы Windows.
Вы можете также получить Исходный клиент из дистрибутивов или в Центре технической поддержки Check

Руководство администратора Endpoint Security Management Server E80.40 | 45


Развертывание клиентов Endpoint Security

Point (https://supportcenter.checkpoint.com). Если вы получите Исходный клиент этими альтернативными


способами, вы должны дать пользователям конечных точек имя хоста или IP адрес сервера управления
Endpoint Security. Они должны ввести эту информацию для подключения к серверу управления Endpoint
Security вручную.
Есть два различных типа пакетов Исходного клиента.
• Для новых установок клиента используйте Исходный клиент eps.msi.
• Для обновления существующих клиентов с поддержкой более раннего пароля используйте Исходный
клиент PreUpgrade.exe.
Пакет PreUpgrade.exe разблокирует более ранние файлы с помощью предопределенного пароля
деинсталляции. Затем он продолжит установку пакета Исходного клиента.
Вы можете также установить исходный клиент молча с помощью стороннего программного обеспечения
развертывания.msi, как например, AKA GPO, Symantec Altiris или других решений.

Получение пакетов Исходного клиента


Перед тем как вы сможете развернуть Исходный клиент, вы должны получить файл развертывания пакета
(.msi) для соответствующей версии клиента Endpoint Security. Наилучший способ сделать это – это
использовать SmartEndpoint, так как Исходный клиент может автоматически обнаружить и подключиться к
серверу управления Endpoint Security. Вы можете также получить Исходный клиент из дистрибутивов или в
Центре технической поддержки Check Point.
Чтобы получить Исходный клиент с помощью SmartEndpoint:

1. В SmartEndpoint перейдите во вкладку Deployment (Развертывание).

2. Нажмите на Get Initial Client (Получить Исходный клиент).

3. В окне Platform Selection (Выбор платформы) выберите версию Windows, 32-битную или 64-битную.

Важно – Версия Исходного клиента на 32 бита также поддерживает 64-битные


компьютеры. Она автоматически развертывает 64-битные пакеты, когда вы используете
Software Deployment Rules (Правила развертывания программного обеспечения).
4. Нажмите на OK.
5. Если вы обновляетесь с более ранних клиентов Endpoint Security ("Обновление более ранних клиентов"
на странице 47), введите соответствующую информацию в окне Legacy Uninstall Password (Пароль
деинсталляции более ранней версии).
Если нет, нажмите на Skip (Пропустить), чтобы продолжить.
6. Дополнительно: Выберите целевую виртуальную группу для конечных точек, которые будут
зарегистрированы на сервере, используя этот пакет.
7. В окне Browse for Folder (Найти папку), нажмите на Make new Folder (Создать новую папку).
Назначьте имя папки, которое описывает содержимое пакета, например, 'Initial Client 64 Bit'
(Исходный клиент 64 бит).
8. Нажмите на OK.
Сервер управления Endpoint Security сохранит пакет в указанную папку.

Чтобы получить Исходный клиент из дистрибутивов:


1. Создайте папки для 32-битной или 64- битной версий Исходного клиента на вашем локальном
компьютере.
2. В дистрибутивах перейдите в windows\cPEPclnt\NEWDA или NEWDAx64.
3. Скопируйте EPS.msi в папку для соответствующей версии. Повторите действие для каждой версии
Исходного клиента.

Руководство администратора Endpoint Security Management Server E80.40 | 46


Развертывание клиентов Endpoint Security

Чтобы получить Исходный клиент в Центре технической поддержки:


1. Создайте папки для 32-битной или 64- битной версий Исходного клиента на вашем локальном
компьютере.
2. Перейдите на сайт Центра технической поддержки (https://supportcenter.checkpoint.com).
3. Найдите сервер управления Endpoint Security.
4. В разделе фильтра Version (Версия) выберите E80.40.
5. Скачайте Endpoint Security E80.40 Server for Windows (Endpoint Security E80.40 Server для
Windows).
6. В файле ISO перейдите к windows \CPEPclnt\NEWDA или NEWDAx64.
7. Скопируйте EPS.msi в папку для соответствующей версии. Повторите действие для каждой версии
Исходного клиента.

Обновление более ранних клиентов


См. Информацию по версии Endpoint Security (http://supportcontent.checkpoint.com/solutions?id=sk82100),
чтобы найти поддерживаемые пути обновления для данной версии. Более ранними клиентами считаются
клиенты старше версии R80. Вы должны ввести пароль для обновления более ранних компонентов Secure
Access и Full Disk Encryption.

Развертывание Исходного клиента на компьютерах


конечных точек
Вы можете использовать стороннее программное обеспечение развертывания, путь совместно
используемой сети, FTP, электронную почту или другой метод для развертывания Исходного клиента на
клиентах конечных точек. Пользователи вручную запускают пакет развертывания на своих компьютерах,
чтобы установить Исходный клиент.

Просмотр статуса развертывания


Чтобы просмотреть статус развертывания программного блейда:
1. Перейдите во вкладку Reporting (Отчеты).
2. Выберите в дереве Software Deployment (Развертывание программного обеспечения).
3. Выберите один из отчетов статуса развертывания программного обеспечения.

Развертывание пакета программных блейдов


Пакет программных блейдов содержит программные блейды, которые должны быть установлены на
клиентах конечных точек. Каждый программный блейд имеет одну или более политик, которые определяют
настройки безопасности. Вы можете настроить политики для программных блейдов до или после того, как
вы развернете пакет программных блейдов. Это различные пакеты программных блейдов для 32-битных и
64-битных платформ Windows.
В данную версию включены следующие пакеты клиентов по умолчанию:

Имя каталога Содержит следующие пакеты клиентов

Master_FULL 32-битный полный пакет, включающий все программные блейды


Master_FULL_x64 64-битный полный пакет, включающий все программные блейды

Руководство администратора Endpoint Security Management Server E80.40 | 47


Развертывание клиентов Endpoint Security

32-битный пакет, только Media Encryption & Port Protection, Full


Master_FULL_NO_NP
Disk Encryption и WebCheck.
Master FULL NO NP
64-битный пакет, только Media Encryption & Port Protection, Full
x64
Disk Encryption и WebCheck.

32-битный Исходный клиент без блейдов


NEWDA 64-битный Исходный клиент без блейдов
NEWDA_x64 Вы не можете выполнять распределение этих пакетов с помощью
правил развертывания
Каталоги пакетов по умолчанию можно найти по следующим путям:
• Windows - %fwdir%\conf\SMCFiles\uepm\msi
• Gaia и Secure Platform - $FWDiR/conf/SMCFiles/uepm/msi
Стандартные названия пакетов программных блейдов:

Название пакета Блейды


Check Point Endpoint Total Security Все программные блейды
Check Point Endpoint Disk and Full Disk Encryption, Media Encryption & Port Protection и
Media Security WebCheck
В случае необходимости вы можете создать ваши собственные индивидуально настроенные пакеты
программных блейдов. Вы можете развернуть пакеты программных блейдов на клиенты конечных точек,
используя следующие методы:
• Software Deployment Rules (Правила развертывания программного обеспечения) – Автоматически
устанавливает правильную версию пакета программных блейдов (32-битную или 64-битную) на
клиентах конечных точек. Вы задаете правила развертывания и управляете развертываниями с
помощью SmartEndpoint.
Вы можете просмотреть статус всех развертываний во вкладке Reporting (Отчеты).
• Exporting Packages (Экспорт пакетов) - Вы можете экспортировать пакеты программных блейдов из
сервера управления Endpoint Security на клиенты конечных точек с помощью стороннего программного
обеспечения развертывания, пути совместно используемых сетей, электронной почты или другого
метода.
Убедитесь, что установили правильную версию пакета (32-битную или 64-битную) на клиентах конечных
точек. Если вы попытаетесь установить неправильный пакет, установка будет неудачной. Вы можете
увидеть статус развертывания только после того, как пакет будет успешно установлен.

Работа с пакетами программных блейдов


Вы можете экспортировать пакеты программных блейдов из сервера управления Endpoint Security на
клиенты конечных точек с помощью стороннего программного обеспечения развертывания, пути
совместно используемых сетей, электронной почты или другого метода.

Процедура создания пакета программных блейдов почти такая же, как и при задании правила
развертывания программного обеспечения. Вы выбираете в пакет различные наборы программных блейдов
для настольных компьютеров и для ноутбуков. Программа установки пакета автоматически определяет тип
компьютера и устанавливает соответствующие программные блейды.
Чтобы создать или изменить пакет:
1. Во вкладке Deployment (Развертывание) выберите Packages for Export (Пакеты для экспорта).
2. Для добавления нового пакета нажмите на Add (Добавить).
Новые пакеты покажутся внизу списка.
3. Дважды нажмите кнопкой мыши на клетку Name (Название) в соответствующем пакете и введите

Руководство администратора Endpoint Security Management Server E80.40 | 48


Развертывание клиентов Endpoint Security

название пакета.
4. Дополнительно: Дважды нажмите кнопкой мыши на клетку Version (Версия) и выберите другую версию
клиента Endpoint из списка. Вы можете выбрать Upload (Загрузить), чтобы добавить больше версий
пакетов в репозиторий.
5. Нажмите на клетки Desktop Blades (Блейды для настольных компьютеров) и Laptop Blades
(Блейды для ноутбуков) и затем выберите программные блейды, которые будут включены в пакет.
6. В колонке Settings (Настройки):
• Выберите Virtual Group (Виртуальная группа) или Computer Group (Группа компьютеров), чтобы
получить политику.
• Задайте новые виртуальные группы или группы компьютеров.
• Добавьте пароли для обновления более ранних компонентов Secure Access и Full Disk Encryption.
• Удалите выбранную группу
Если вы задали блейд удаленного доступа VPN, нажмите правой кнопкой мыши на настройки VPN и
выполните одно из следующих действий:
• Выберите предопределенный VPN сайт из списка.
• Используйте локальный файл настроек VPN
• Добавьте новый VPN сайт
7. Если вы обновляете более раннюю версию Endpoint Security:
a) Дважды нажмите кнопкой мыши на Legacy Secure Access upgrade support (Помощь по
обновлению более ранней версии компонента безопасного доступа) и/или Legacy Full Disk
Encryption EW upgrade support (Помощь по обновлению более ранней версии компонента Full
Disk Encryption EW).
b) Введите и подтвердите соответствующие пароли.
8. В окне Software Deployment Rules (Правила развертывания программного обеспечения)
нажмите на Save (Сохранить).
Чтобы удалить существующее название пакета, выберите Name (Название) пакета и нажмите на
Remove (Удалить).

Определение VPN сайта по умолчанию


Вы можете настроить, чтобы каждый пакет программных блейдов подключался к VPN сайту по умолчанию.
Это можно сделать, изменив заданный VPN сайт в клетке Settings (Настройки).
По умолчанию новый пакет использует настройку No VPN site defined (Нет заданного VPN сайта).
Чтобы задать VPN сайт по умолчанию:
1. Выберите пакет.
2. В клетке Settings (Настройки) дважды нажмите кнопкой мыши на линию VPN.
Эта линия может содержать элемент No VPN site defined (Нет заданного VPN сайта) или
предопределенный VPN сайт.
3. Выберите другой VPN сайт из списка.
Вы можете также нажать на Add (Добавить), чтобы создать новый VPN сайт ("Определение VPN сайта"
на странице 52).
4. В окне Software Deployment Rules (Правила развертывания программного обеспечения) нажмите
на Save (Сохранить).

Экспортирование пакетов
1. В окне Packages for Export (Пакеты для экспорта) выберите пакет.
2. Нажмите на Export Package (Экспортировать пакет).
3. В окне Export Package (Экспортировать пакет):
a) Выберите версии платформы (32/64 бит), чтобы экспортировать пакеты для ноутбуков и настольных

Руководство администратора Endpoint Security Management Server E80.40 | 49


Развертывание клиентов Endpoint Security

компьютеров.
b) Введите или перейдите к целевой папке.
4. Нажмите на OK.
Файлы пакета EPS.msi и/или PreUpgrade.exe скачиваются по указанному пути. Для каждой опции,
выбранной на шаге 3a, автоматически создается отдельная папка.
5. Пошлите файлы EPS.msi и PreUpgrade.exe пользователям конечных точек. Пользователи конечных
точек вручную устанавливают пакеты. Для этого у них должны быть права администратора.
Вы можете также использовать стороннее программное обеспечение развертывания, путь совместно
используемых сетей, электронную почту или другой метод.

Работа с правилами развертывания


Правила развертывания программного обеспечения позволяют вам управлять развертыванием пакета и
обновлений с помощью SmartEndpoint. Правило Default Policy (Политика по умолчанию) применяется ко
всем клиентами конечных точек, для которых не применяется ни одно другое правило в Базе правил. Вы
можете изменить политику по умолчанию в зависимости от необходимости.
Вы можете задать больше правил для индивидуальной настройки развертывания программных блейдов на
группы компьютеров конечных точек с различными критериями, например:
• Указанные организационные единицы и узлы активного каталога
• Указанные сети
• Указанные компьютеры и пользователи
• Указанные виртуальные группы Endpoint Security, например, предопределенные виртуальные группы
(“All Laptops” («Все ноутбуки»), “All Desktops” («Все настольные компьютеры») и другие.). Вы можете
также задать свои собственные виртуальные группы.
Вы должны установить Исходный клиент на компьютерах конечных точек перед тем, как вы сможете
развернуть программные блейды. Исходный клиент проверяет версию компьютера конечной точки (32-
битная или 64-битная) и устанавливает соответствующий пакет.

Создание новых правил развертывания


1. Нажмите на вкладку Deployment (Развертывание) и выберите Software Deployment Rules (правила
развертывания программного обеспечения).
2. Нажмите на Create Rule (Создать правило).
Откроется Мастер Create Rule (Создать правило).
3. В окне Select Entities (Выберите элементы) выберите элемент (организационная единица,
виртуальная группа, компьютер или пользователь). Дважды нажмите кнопкой мыши на узел, чтобы
отобразить элементы, находящиеся в этом узле.
4. Нажмите на Next (Далее).
5. В окне Change Rule Actions (Действия по изменения правила) выберите метод установки:
• Install Blades Automatically (Установить блейды автоматически), чтобы развернуть пакет
программных блейдов автоматически. Если вы выберете эту опцию, перейдите к следующим
шагам.
• Do Not Install Blades Automatically (Не устанавливать блейды автоматически), чтобы
экспортировать пакет клиентам.
Убедитесь, что вы устанавливаете правильную версию (32-битную или 64-битную), соответствующую
архитектуре компьютера клиента. Для этого действия больше не нужно настраивать никаких параметров.
Перейдите сразу к шагу 8.
6. Выберите Client Version (Версию клиента) из списка или нажмите на Upload (Загрузить), чтобы
загрузить другую версию клиента из окна Packages Repository (Репозиторий пакетов).
7. Нажмите на любой программный блейд, а затем выберите программные блейды для установки по этому
правилу. Снимите флажок с программных блейдов, которые не будут устанавливаться по этому
правилу.
8. Нажмите на Next (Далее).

Руководство администратора Endpoint Security Management Server E80.40 | 50


Развертывание клиентов Endpoint Security

9. В окне Name and Comment (Название и комментарии) введите уникальное название для этого
правила и необязательный комментарий.
10. Нажмите на Finish (Готово), чтобы добавить правило в Software Deployment Rules (Правила
развертывания программного обеспечения).
11. Нажмите на Save (Сохранить).
12. Установите политику.

Изменение существующих правил развертывания


1. Нажмите на вкладку Deployment (Развертывание) и выберите Software Deployment Rules (Правила
развертывания программного обеспечения).
2. Выберите правило.
3. Чтобы изменить название, дважды нажмите кнопкой мыши на клетку Name (Название) и введите другое
название.
4. Чтобы изменить параметр Applies To (Применяется к), нажмите правой кнопкой мыши на элемент:
a) Выберите Add new entity to this rule (Добавить новый элемент к этому правилу), а затем
выберите элемент из дерева.
b) Выберите Remove entity from this rule (Удалить элемент из этого правила), чтобы удалить
элемент.
5. В колонке Installation Method (Метод установки) выберите одну из следующих опций:
• Install Blades Automatically (Установить блейды автоматически), чтобы развернуть пакет
программных блейдов автоматически. Если вы выберете эту опцию, перейдите к следующим шагам.
• Do Not Install Blades Automatically (Не устанавливать блейды автоматически), чтобы
экспортировать пакет клиентам.
Убедитесь, что вы устанавливаете правильную версию (32-битную или 64-битную), соответствующую
архитектуре компьютера клиента.
6. В колонке Installed Blades (Установленные блейды) выберите или отмените выбор программных
блейдов, в зависимости от необходимости.
7. На панели инструментов нажмите на Save (Сохранить).
8. Установите политику.

Установка пакетов на клиентах


1. Во вкладке Deployment (Развертывание) нажмите на Install (Установить).
2. Если появится это сообщение, нажмите на Save (Сохранить), чтобы сохранить правила.
3. Выберите Rules to install (Устанавливаемые правила), а затем нажмите на Install (Установить).

Расширенные настройки пакетов


В этом разделе находятся расширенные настройки пакетов:
• Настройка VPN сайтов
• Загрузка и удаление версий пакетов из репозитория пакетов
• Выбор метода подписи файла для MSI файлов, которые будут развернуты с помощью внешней системы
распределения

Определение VPN сайта


Определения VPN сайта содержат IP адрес / DNS имя VPN сервера и требования аутентификации для
подключения.
Чтобы настроить VPN сайт:
1. Перейдите во вкладку Deployment > Advanced Package Settings > VPN Client Settings > страница VPN

Руководство администратора Endpoint Security Management Server E80.40 | 51


Развертывание клиентов Endpoint Security

Sites (Развертывание > Расширенные настройки пакета > Настройки VPN клиента > страница VPN
Сайты).
2. Нажмите на New (Новый).
3. В окне Endpoint Secure Configuration (Безопасная настройка конечной точки) введите:
• Display Name (Отображаемое имя) – Уникальное имя данного VPN сайта
• Site address (Адрес сайта) - IP адрес сайта иди DNS имя
• Authentication Method (Метод аутентификации) - Выберите метод аутентификации из списка
4. Нажмите на OK.

Репозиторий пакетов
Воспользуйтесь Репозиторием пакетов (Package Repository), чтобы загрузить новые версии клиентов на
сервер управления Endpoint Security.
Чтобы загрузить пакет клиента в репозиторий:
Откройте вкладку Deployment (Развертывание) > Advanced Package Settings (Расширенные настройки
пакета) > Packages Repository (Репозиторий пакетов).
1. Нажмите на одну из следующих опций:
• Upload new version MSI (Загрузить MSI новой версии)
Выберите один файл MSI для загрузки.
• Upload new version folder (Загрузить папку новой версии)
Выберите папку, содержащую несколько пакетов MIS для загрузки.
Чтобы удалить версию пакета из репозитория:
Выберите an Endpoint Version (Версия конечной точки), а затем нажмите на Delete Version (Удалить
версию).

Настройка сигнатур программного обеспечения


Вы можете проследить, чтобы конечные точки в вашей организации получили правильные пакеты клиента,
добавив сигнатуру к этому пакету. Сервер управления Endpoint Security хранит сертификат в указанной
папке.
По умолчанию клиент использует для аутентификации внутреннюю сигнатуру.
Чтобы создать настроенную сигнатуру:
1. Откройте вкладку Deployment (Развертывание) > Advanced Package Settings (Расширенные
настройки пакета) > страница Software Signature (Сигнатура программного обеспечения).
2. В области Certificate Settings (Настройки сертификата) выберите один из следующих методов
подписания файлов:
• None (Отсутствует)
• Internal (Внутренний)
• Custom (Настроенный)
Если вы выберете Custom (Настроенный), выполните следующие шаги:
a) Нажмите на Browse (Обзор) и найдите сертификат (файл P12).
b) Введите имя и пароль для сертификата.
Сертификат создастся на сервере управления Endpoint Security.
c) Отошлите файл p12 на компьютеры клиентов, перед тем как будете устанавливать пакет клиента.

Руководство администратора Endpoint Security Management Server E80.40 | 52


Развертывание клиентов Endpoint Security

Установка клиента через интерпретатор командной строки


Вы можете установить экспортированный пакет через интерпретатор командной строки (CLI) на клиенте с
помощью следующих команд:
Опция командной строки Описание
msiexec /i EPS.msi /l*vd installation.log Выполнить установку экспортированного пакета
с нуля
msiexec /i EPS.msi /l*vd installation.log Добавить исходный блейд или блейды
msiexec /i EPS.msi /l*vd
Добавить или удалить программные блейды,
installation.log /qb! REINSTALL=DUMMY
используя экспортированный пакет
REINSTALLMODE=vomus
Обновить, используя указанный
экспортированный пакет. Этот пакет должен
msiexec /i EPS.msi /l*vd installation.log
включать в себя те же блейды, которые
установлены в настоящее время.

Опции записи в журнал регистрации событий


Чтобы создать записи в журнале регистрации событий, выполните один из следующих шагов:
• Добавьте /i*vd <путь к файлу журнала> в любую из командных строк выше.
• Добавьте инструкции по записи в журнал регистрации событий в реестр Windows:

Key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Installer
Reg_SZ Logging
Value Voicewarmupx

Windows генерирует файл журнала в каталоге %TEMP% и называет его MSI****.LOG.

Обновление клиентов Endpoint Security


В этом разделе приведена процедура обновления клиентов конечных точек до E80.40.

Обновление клиентов до E80.40


Вы можете обновиться до E80.40 с более ранних версий клиентов R80.x и E80.x с соблюдением следующих
требований:
• Вы должны обновить как Исходный клиент, так и пакет программных блейдов одновременно. Вы не
можете обновить только Исходный клиент.
• Во время обновления вы не можете удалить блейды Full Disk Encryption и WebCheck.
• Вы можете изменить все другие программные блейды и настройки конфигурации для всех программных
блейдов.
Последовательность операций при обновлении клиента:
1. Для клиентов Endpoint Security E80.20 и более ранних со старыми VPN клиентами (до R80), удалите все
блейды, связанные с сетевым экраном. Выполните эти действия до обновления.
2. Убедитесь, что клиенты подключены к серверу управления E80.40 Endpoint Security.
3. Разверните пакеты программных блейдов ("Развертывание пакета программных блейдов" на странице
47) клиентам по Правилам развертывания программного обеспечения ("Работа с правилами
развертывания" на странице 50) или путем экспортирования пакетов ("Работа с пакетами программных
блейдов" на странице 51).

Руководство администратора Endpoint Security Management Server E80.40 | 53


Развертывание клиентов Endpoint Security

Постепенное обновление
Чтобы обновиться постепенно, вы можете создать новый профиль развертывания и распределить его
только указанным компьютерам.

Внимание – Для экспортированного пакета, сохраните новый пакет в месте, отличном


от того, где сохранен предыдущий пакет.

Когда вы будете готовы обновить все клиенты, обновите все профили развертывания.

Деинсталляция клиента Endpoint Security


Чтобы деинсталлировать клиент Endpoint Security:
1. Если вы используете Windows 7 или Vista, деактивируйте контроль учетных записей пользователей
(UAC).
2. Перейдите в приложение Add/Remove Programs (Установка и удаление программ) в Панели
управления Windows.
3. Убедитесь, что исходные файлы EPS.msi и PreUpgrade.exe все еще находятся на компьютере
конечной точки.
4. Если на клиенте установлен компонент Full Disk Encryption, снова запустите приложение Add/Remove
(Установка и удаление программ) после того, как диск завершит дешифровку.

Устранение сбоев при установке


Привилегии администратора
При установке Endpoint Security пользователь должен иметь привилегии администратора.
• При установке и деинсталляции клиента на Windows 7 или Vista с активным контролем учетных
записей пользователей (UAC) пользователь должен запустить установщик с опцией “Запуск от
имени администратора”. Чтобы ее активировать, нажмите правой кнопкой мыши на опцию,
добавьте следующую информацию в реестр:
[HKEY CLASSES ROOT\Msi.Package\shell\runas\command]

@=hex(2) : 22, 00, 25, 00, 53, 00, 79, 00, 73, 00, 74, 00, 65, 00, 6d, 00, 52
,00,6f,00,6f,00,74,\
00, 25, 00, 5c, 00, 53, 00, 79, 00, 73, 00, 74, 00, 65, 00, 6d, 00, 33, 00, 32
, 00,5c,00,6d,00,\
73, 00, 69, 00, 65, 00, 78, 00, 65, 00, 63, 00, 2e, 00, 65, 00, 78, 00, 65, 00
,22,00,20,00,2f,\
00, 69, 00,20, 00, 22, 00,25, 00, 31, 00, 22, 00,20, 00,25, 00, 2a, 00, 00
,00
• Чтобы установить или деинсталлировать с помощью командной строки, пользователь должен
иметь привилегии администратора (“Запуск от имени администратора”).

• Пакеты Microsoft. Во время установки может появиться сообщение об ошибке 1720:


“Error 1720. There is a problem with this Windows Installer package.
A script required for this install to complete could not be run.
Contact your support personnel or package vendor.
Custom action ExtractConfigs script error -2147024770, : Line 2, C…”

Руководство администратора Endpoint Security Management Server E80.40 | 54


Развертывание клиентов Endpoint Security

Microsoft предлагает два возможных решения:

Решение Microsoft Пояснения


Зарегистрируйте объект WScript, запустив команду wscript -regserver
KB311269 из приглашения командной строки или из опции Run (Запуск) в меню «Пуск».
Убедитесь, что на компьютере конечной точки установлен Scrrun.dll, и что
он корректно зарегистрирован. Чтобы зарегистрировать dll:
KB20027 • Откройте приглашение командной строки
• Измените каталог на c:\windows\system32
• Запустите: Regsvr32 scrrun.dll

• См. также шифрование по алгоритму стандарта DES на клиентах Windows 7 ("Настройка активного
каталога на аутентификацию" на странице 77).

Служба EPS для VPN подключения


Если VPN клиент не может подключиться к настроенному шлюзу, показывается сообщение Connectivity to
the VPN server is lost (Подключение к VPN серверу потеряно). Чтобы устранить проблему:
1. Убедитесь, что служба Check Point Endpoint Security (служба EPS) в рабочем состоянии.
2. Если этот служба не существует, установите ее, открыв приглашение командной строки и запустив:
"c:\Program Files\CheckPoint\Endpoint Security\Endpoint
Connect\TracSrvWrapper.exe" –install

Настройка пересылки журнала регистрации событий


Вы можете пересылать журнал регистрации событий с одного сервера управления Endpoint Security или
сервера политики на другой сервер управления Endpoint Security или сервер политики.
Журналы регистрации событий с каждого клиента Endpoint Security отправляются на сервер Endpoint
Security (сервер политики Endpoint Policy или сервер управления Endpoint Security), к которому
подключен клиент.
Чтобы просмотреть все собранные журналы регистрации событий в SmartView Tracker, вам необходимо
настроить пересылку журнала регистрации событий для каждого сервера Endpoint Security в
SmartDashboard.
Выполните эту процедуру для каждого сервера Endpoint Security.
Чтобы настроить пересылку журнала регистрации событий с одного сервера Endpoint Security на
другой сервер Endpoint Security:
1. Откройте SmartDashboard и подключитесь к серверу управления Endpoint Security.
2. Дважды нажмите кнопкой мыши на объект сервера управления Endpoint Security в дереве объектов.
3. В дереве окна, которое откроется, выберите Logs and Masters > Log Servers (Журналы регистрации
событий и Мастера > Серверы журналов регистрации событий).
4. В разделе Always Send Logs To (Всегда посылать журналы регистрации событий на), необходимо
Add (Добавить) целевой сервер, на который будут отсылаться журналы регистрации событий.
5. Нажмите на OK.
6. Выберите Policy > Install Database (Политика > Установить базу данных) и установите базу данных на
всех хостах.
7. Запустите cprestart на сервере управления Endpoint Security.

Руководство администратора Endpoint Security Management Server E80.40 | 55


Глава 7
Работа с политиками Endpoint
Security
В этой главе
Общие сведения о политике Endpoint Security 56
Политики программных блейдов 56
Защита для серверов 57
Работа с правилами 58
Работа с действиями политики 59
Панель инструментов политики 59
Приведение правил в исполнение в зависимости от состояния 60
Установка изменений политики на клиентах 61
Heartbeat-интервал 61

Общие сведения о политике Endpoint Security


Политика Endpoint Security – это набор правил безопасности, которые определяют, как программные блейды
обеспечивают безопасность для клиентов Endpoint Security. Каждый установленный и лицензированный
программный блейд содержит одно или более правил.
У каждого программного блейда может быть:
• Default Rule (Правило по умолчанию) (обязательное) – Применяется ко всем пользователям и
компьютерам в организации, если нет Других правил, которые соответствуют пользователю или
компьютеру.
• Additional Rules (Дополнительные правила) – Одно или более правил политики, которые
применяются к подгруппам, пользователям или компьютерам.
• Other Rules based on Connection or Compliance state (Другие правила исходя из состояния
подключения или соответствия) – Правила политики, которые приводятся в исполнение только когда
компьютеры, включенные в правило, находятся в указанном состоянии: Connected (Подключен),
Disconnected (Отключен) или Restricted (Доступ ограничен).
Правило по умолчанию можно отредактировать, чтобы оно соответствовало потребностям вашей
организации настолько, насколько это возможно. Затем создайте Другие правила для подгрупп,
пользователей и компьютеров, которым требуются другие настройки.
Action (Действие) – это набор настроек, которые определяют указанную логику работы для программного
блейда. Вы можете использовать одни и те же Действия для нескольких правил. Каждое Действие,
отличающееся от Действия в правиле по умолчанию, отмечено жирным шрифтом в Базе правил политики.
Правила политики устанавливаются на клиентах Endpoint Security при нажатии на Install (Установить).
В Базе правил политики:
• Нажмите правой кнопкой мыши в клетке, чтобы:
• Редактировать клетку.
• Добавить правило.
• Удалить правило.
• Нажмите правой кнопкой мыши на элемент в колонке Action (Действие), чтобы его изменить.

Руководство администратора Endpoint Security Management Server E80.40 | 56


Работа с политиками Endpoint Security

Политики программных блейдов


В политику могут быть включены следующие программные блейды:
Блейд Функции блейда

Full Disk Encryption Сочетает защиту при загрузке, Pre-boot аутентификацию и


криптостойкое шифрование, чтобы только авторизованные
(Шифрование всего пользователи имели доступ к информации, хранящейся на
содержимого диска) настольных компьютерах и ноутбуках.
User Authentication Определяет аутентификацию на уровне пользователей для клиентов
(OneCheck) (Аутентификация Endpoint Security с установленным компонентом Full Disk Encryption.
пользователя (OneCheck))
Media Encryption & Port
Protection (Шифрование Защищает данные, хранящиеся на компьютерах, путем шифрования
данных на сменных съемных устройств хранения информации и тщательным
носителях и Управление управлением портами компьютеров (USB, Bluetooth и т.д.).
портами ПК)

Anti-Malware Определяет защиту клиентов от известных и неизвестных


(Защита от вредоносного ПО) вирусов и вредоносного ПО.
Firewall Rules Блокирует или разрешает сетевой трафик на основании атрибутов
(Правила сетевого экрана) сетевых подключений.
Обеспечивает соответствие защищенных компьютеров требованиям
вашей организации. Вы можете назначать различные уровни
Compliance Rules безопасности в соответствии с состоянием соответствия
(Правила соответствия) компьютера. Например, несоответствие может привести к выводу
сообщения об устранении нарушения, предупреждения или
ограничению доступа к сети.

Защищает компьютеры конечных точек от фишинг-сайтов,


WebCheck злонамеренно выдающих себя за другие сайты.

Application Control Управляет доступом к сети для каждого приложения, что позволяет
(Управление приложениями) вам
ограничивать сетевой доступ между конкретным приложением и
заданными Зонами доступа.

Определяет общую политику, влияющую на многие блейды. Эти


Common Client Settings настройки включают в себя: настройки установки,
(Общие настройки клиента) индивидуализацию, составление журналов регистрации событий и
некоторые настройки для блейдов защиты сети.

Access Zones (Зоны доступа) Определяет топологию организационной сети, разделяя ее на


Доверенные домены и Интернет домены.

Настройки для некоторых программных блейдов задаются для компьютеров, в то время как другие
задаются для пользователей. Например:
• Политика Firewall Rules применяется к пользователям и приводится в исполнение для пользователей на
всех компьютерах компании, в которые они входят.
• Политика Full Disk Encryption применяется к компьютеру. Для всех пользователей, которые входят в
компьютер, политика шифрования диска остается той же самой.

Защита для серверов


Начиная с версии E80.30, следующие блейды могут устанавливаться на поддерживаемых серверах таким же
образом, как они устанавливаются на рабочих станциях:
• Anti-Malware (Защита от вредоносного ПО)

Руководство администратора Endpoint Security Management Server E80.40 | 57


Работа с политиками Endpoint Security

• Firewall (Сетевой экран)


• Compliance (Соответствие)
Важно – Application Control не поддерживается на сервере Windows.
Чтобы деактивировать Application Control на серверах:
a) Назначьте группу серверов или участников новой политике управления приложениями.
b) Деактивируйте управление приложениями в политике.
c) Установите политику.
Если вы устанавливаете политики Anti-Malware и Firewall Rules на серверах, лучше всего, если политики
будут работать на основе машин, а не на основе пользователей. В политике на основе машин политики,
назначенные машине, имеют приоритет над политиками, назначенными пользователям, которые
подключаются к машине.
Чтобы привести в исполнение политики на основе машин, мы настоятельно рекомендуем вам поместить все
серверы в Виртуальную группу <server ("Типы виртуальных групп" на странице 42).
См. Информацию по версии Endpoint Security для списка поддерживаемых серверов.

Работа с правилами
Правило – это набор предопределенных действий, которые выполняет программный блейд, чтобы
обеспечить безопасность для указанных пользователей и компьютеров. Каждый программный блейд имеет
одно правило по умолчанию, которое применяется ко всем компьютерам конечных точек и пользователям,
которые не назначены к другому правилу. Вы можете изменить настройки правила по умолчанию, но вы не
можете его удалить.
Каждое правило содержит одно или более:
• Определений области применения, которые назначают правило указанным пользователям и
компьютерам.
• Определения действий ("Работа с действиями политики" на странице 59), которые определяют логику
работы программного блейда при обеспечении безопасности.

Наследование и приоритет правила


Правило по умолчанию, расположенное вверху каждого раздела блейда, применяется ко всем
пользователям и компьютерам, которые не защищены другим правилом. Определяемые пользователем
правила отображаются под правилом по умолчанию.
Endpoint Security назначает соответствующее первое правило (после правила по умолчанию) для каждого
блейда.
Применяется первое Other Rule (Другое правило), которому соответствует пользователь или
компьютер по каждому блейду. Если никакое Другое правило не соответствует, применяется правило
по умолчанию.
Например, пользователь Jane Collins работает в отделе кадров и использует ноутбук.
• В правилах для блейда Full Disk Encryption правило для All Laptops (Всех Ноутбуков) является первым
правилом, которому соответствует Jane. Применяются его настройки.
• В правилах для Firewall Rules правило для отдела кадров является первым правилом, которому
соответствует Jane. Применяются его настройки.
• В правилах для блейда Anti-Malware нет Других правил, соответствующих Jane. Применяется Правило
по умолчанию.
Убедитесь, чтобы правила для указанных пользователей или компьютеров располагались выше правил для
групп и контейнеров, участниками которых они являются. Например:
• Если вам требуется правило для генерального директора компании, поместите это правило выше правил
для групп, к которым принадлежит генеральный директор.
• Если вы создаете правила для серверов, убедитесь, чтобы правила находились выше всех других
правил, которые могут включать серверы в качестве члена группы или сети.

Руководство администратора Endpoint Security Management Server E80.40 | 58


Работа с политиками Endpoint Security

Создание новых правил политики


У каждого программного блейда есть правило по умолчанию в Базе правил политики. Правило по умолчанию
применяется ко Entire Organization (Всей организации), если нет Других правил, которые соответствуют
пользователю или компьютеру.
Если вы создаете дополнительные правила для блейда, применяется первое правило, которому
соответствует пользователь или компьютер в разделе Other Rules (Другие правила).
Чтобы создать новое правило политики:
1. Нажмите правой кнопкой мыши на правило политики, чтобы создать новое правило для этого же блейда.
Откроется Мастер Create Rule Wizard.
2. На странице Select Enforcement state (Выберите состояние приведения в исполнение) выберите
()
Add Rule for (Добавить правило для) и выберите состояние:
• When Connected (Когда подключен)
• When Disconnected (Когда отключен) (отображается, только когда состояние применимо для этого
блейда)
• When Restricted (Когда ограничен доступ) (отображается, только когда состояние применимо для
этого блейда)
3. На странице Select Entities (Выбрать элементы) выберите те организационные единицы, группы или
лица, к которым применяется это правило.
4. В Change Policy Actions (Изменить действия политики) нажмите правой кнопкой мыши на
соответствующие действия и настройте по необходимости.
5. На странице Finish (Готово) введите описательное Name (Имя) и необязательно Comments
(Комментарии).
6. Нажмите на Finish (Готово).
7. Нажмите на Install (Установить), чтобы установить политику на клиенты Endpoint Security.

Работа с действиями политики


Action (Действие) – это набор настроек, которые определяют указанную логику работы для программного
блейда.
Для каждого Действия вы можете:
• Нажать правой кнопкой мыши и выбрать одну из предопределенных опций.
• Нажать правой кнопкой мыши и выбрать Edit (Редактировать) или дважды нажать кнопкой мыши, чтобы
открыть Properties (Свойства) Действия. Вы можете просмотреть предопределенные настройки и
изменить их зависимости от необходимости.
• Нажать правой кнопкой мыши и выбрать Create Custom (Создать настраиваемое), чтобы
сконфигурировать все настройки для этого Действия.
• После того как вы создадите измененное или настраиваемое Действие, вы можете выбрать это
Действие, чтобы оно снова использовалось в других правилах.
• В поле Select action (Выберите действие) в Action Properties (Свойствах действия) выберите New
(Новое), чтобы переименовать Действие. Вы можете переименовать Действие, чтобы показать
сделанные изменения, и чтобы было проще использовать Действие снова в других правилах.
Если вы измените свойства предопределенного или нового Действия, эти свойства станут частью Действия.
Если вы выберете это Действие снова в другом правиле, оно будет содержать измененные свойства.
Например, в Properties (Свойства) Действия блейда Anti-Malware Perform periodic anti-malware scan every
month (Выполнять периодическое сканирование защиты от вредоносного ПО каждый месяц), вы
изменяете Day of month (День месяца), в который происходит сканирование, на 2:
• Для каждого правила, которое содержит Действие, сканирование будет происходить во 2-й день
месяца.
• Если вы измените значение для Day of month (День месяца) на 3 в одном правиле, в котором
используется Действие, оно изменится во всех правилах, которые содержат это Действие.
Каждое Действие, отличающееся от Действия в правиле по умолчанию, отображается в Базе правил
политики жирным шрифтом. Если для Действия отображается иконка Широкого действия , значит,
Действие то же самое во всех правилах.

Руководство администратора Endpoint Security Management Server E80.40 | 59


Работа с политиками Endpoint Security

Панель инструментов политики


В панели инструментов политики доступны следующие опции:
Опция Описание
Создать правило политики для выбранного блейда, которое применяется
к подгруппе или лицу. По умолчанию политика, которую вы создаете,
применяется, когда пользователи подключены к серверу Endpoint
Create Rule (Создать Security. Чтобы создать политику, которая применяется, когда
правило) пользователи находятся в другом состоянии, нажмите на стрелку
скачивания и выберите состояние из списка.
В качестве опций отображаются только состояния, которые применимы к
блейду.

Создать правило политики, которое применяется, когда пользователи


When Connected (Когда подключены к серверу Endpoint Security. Это правило также применяется,
подключен) если нет применимого правила для состояний Disconnected (Отключен) и
Restricted (Доступ ограничен).

When Disconnected (Когда Создать правило политики, которое применяется, когда пользователи НЕ
отключен) подключены к серверу Endpoint Security.

Создать правило политики, которое применяется, когда состояние


When Restricted (Когда соответствия компьютера Restricted (Доступ ограничен). Это происходит,
ограничен доступ) когда компьютер не находится в состоянии соответствия с требованиями
безопасности предприятия.
Delete Rule (Удалить
Удалить выбранное правило политики.
правило)

Save (Сохранить) Сохранить все изменения в Политике.

Refresh (Обновить) Обновить страницу, чтобы отобразить самую актуальную информацию.

Install (Установить) Установить политику на клиентах Endpoint Security.

Ввести текст, чтобы выполнить поиск слова или строки текста в Базе
Highlight text (Выделить
правил политики. Текст, соответствующий ему, подсвечивается в Базе
текст)
правил.
Фильтровать базу правил, чтобы отобразить только политики, которые
Show Policy for (Показать применяются к указанной группе, пользователю или компьютеру.
политику для) Используйте стрелку или кнопку..., чтобы выбрать узел.
Нажмите на Clear (Очистить фильтр), чтобы показать всю Базу правил.

Переключиться между двумя настройками, чтобы определить, какие


действия показываются в Базе правил:
Show or hide Actions that
• Скрыть Действия, которые включены в правило политики всей
are different than the default
rule (Показать или скрыть организации, чтобы показать только Действия, специфичные для
Действия, отличающиеся Других правил.
• Показать все Действия, включенные в политику. Действия, которые
от правила по умолчанию)
не входят в политику всей организации, показываются жирным
шрифтом.
Нажмите на стрелки, чтобы изменить последовательность выбранного
Move rules up or down правила политики в Других правилах для программного блейда.
(Переместить правила Последовательность определяет приоритет правил.
вверх или вниз) Вы можете также изменить последовательность правил, перетаскивая
правила в Базе правил.

Руководство администратора Endpoint Security Management Server E80.40 | 60


Работа с политиками Endpoint Security

Приведение правил в исполнение в зависимости от


состояния
Endpoint Security может приводить правила политики в исполнение для компьютеров и пользователей в
зависимости от их состояния подключения и соответствия. Когда вы создаете правило политики, вы можете
выбрать состояние или состояния, во время которых политика приводится в исполнение. По умолчанию,
политики применяются, когда клиент Connected (Подключен).
Состояния применимы не для всех блейдов. Например, правила блейда Full Disk Encryption применяются
всегда и не могут изменяться в зависимости от состояния. Опция создания правил в зависимости от
состояния показывается только для применимых блейдов. Если нет применимого правила для состояний
Disconnected (Отключен) или Restricted (Доступ ограничен), применяется политика для состояния
Connected (Подключен).
• Политика состояния Connected (Подключен) приводится в исполнение, когда компьютер конечной
точки, находящийся в состоянии соответствия, подключается к серверу управления Endpoint Security.
• Политика состояния Disconnected (Отключен) приводится в исполнение, когда компьютер конечной
точки не подключен к серверу управления Endpoint Security.
Например, вы можете привести в исполнение более ограничивающую политику, если пользователи
работают из дома и не защищены организационными ресурсами.
• Политика состояния Restricted (Доступ ограничен) приводится в исполнение, когда компьютер
конечной точки не находится в состоянии соответствия с требованиями безопасности предприятия.
Его состояние соответствия переходит в Restricted (Доступ ограничен).
В состоянии Restricted (Доступ ограничен) пользователям обычно запрещается иметь доступ к некоторым,
если не всем, ресурсам сети.
Вы можете настроить политики для состояния ограниченного доступа для следующих блейдов:
• Media Encryption & Port Protection (Шифрование данных на сменных носителях и Управление портами
ПК)
• Firewall Rules (Правила сетевого экрана)
• Access Zones (Зоны доступа)
• Application Control (Управление приложениями)

Установка изменений политики на клиентах


Когда вы сохраняете Политику, Endpoint Security не развертывает ее автоматически. Эта логика работы
позволяет вам сохранить изменения в Политике без того, чтобы это повлияло на пользователей. Она также
позволяет вам развернуть Политику в самое удобное время, например, ночью.
Чтобы установить Политику на клиентах Endpoint Security:
• Во вкладке Policy (Политика) нажмите на Install (Установить).
или
• В меню File (Файл) выберите Install Policies (Установить Политики).
Политика становится доступной для скачивания с конечных точек через один heartbeat-интервал или когда
пользователи войдут в систему в следующий раз.
Если вы вносите изменения в объект, который относится к виртуальным группам, изменения приводятся в
исполнение немедленно. Например, если вы перемещаете объект в виртуальную группу, правила для той
группы применяются к объекту немедленно. Однако если вы измените политику, которая назначена к
виртуальной группе, изменения политики приводятся в исполнение только после того, как вы установите
политики.

Heartbeat-интервал
Компьютеры конечных точек посылают heartbeat-сообщения на сервер Endpoint Security, чтобы обеспечить
активность всех подключений и актуальность всех политик. Время между heartbeat-сообщениями называется

Руководство администратора Endpoint Security Management Server E80.40 | 61


Работа с политиками Endpoint Security

heartbeat-интервалом (интервалом подтверждения соединения).

Внимание – Heartbeat-интервал по умолчанию составляет 60 секунд.


Слишком короткий heartbeat-интервал может привести к снижению производительности. Слишком
долгий heartbeat-интервал может привести к снижению безопасности и менее точной отчетности.

Состояние соответствия компьютера конечной точки обновляется через каждый heartbeat-интервал.


Heartbeat-интервал также контролирует время, на протяжении которого клиент конечной точки находится в
состоянии About to be restricted (Доступ вскоре будет ограничен), перед тем как доступ будет ограничен.
Чтобы настроить heartbeat-интервал:
1. Нажмите на Manage > General Properties (Управление > Общие свойства).
Откроется окно General Properties (Общие свойства).
2. В разделе Connection Settings (Настройка соединения) установите Interval between client heartbeats
(Интервал между пульсациями клиента).
3. Нажмите на OK.

Настройка состояния "About to be Restricted".


Состояние About to be restricted (Доступ вскоре будет ограничен) посылает пользователям одно
последнее предупреждение и дает возможность немедленно справить проблемы соответствия, прежде чем
доступ компьютера конечной точки будет ограничен. Вы можете настроить период времени, который есть у
пользователя на исправление проблем, после того как появится сообщение предупреждения.
Этот период времени определяется в пульсациях.
Чтобы настроить период времени, который есть у пользователей, прежде чем доступ компьютера
конечной точки будет ограничен:
1. В консоли Endpoint Security выберите Manage > General Properties > Connection Settings (Управление
> Общие свойства > Настройки подключения).
2. В разделе Out of Compliance (В состоянии несоответствия) введите количество пульсаций.
3. Нажмите на OK.
4. При настройке этого периода времени рекомендуется дать пользователям достаточное время, чтобы они
успели:
• Сохранить свои данные.
• Исправить проблемы соответствия.
• Удостовериться, что компьютер конечной точки находится в состоянии соответствия.
Формула для преобразования указанного времени в минуты:
<количество пульсаций > * <heartbeat интервал (в секундах)> * 60.

Руководство администратора Endpoint Security Management Server E80.40 | 62


Глава 8
Решение Management High
Availability
В этой главе
Общие сведения о High Availability для Endpoint Security 63
Планирование для Management High Availability 64
Аварийное переключение 64
Синхронизация Активного и Резервных серверов управления Endpoint Security 65

Общие сведения о High Availability для Endpoint Security


Решение Management High Availability (Модуль высокой доступности системы управления) для Endpoint
Security позволяет вам создавать один или более синхронизированных серверов управления для хранения
резервной базы данных. В этой версии сервер управления Endpoint Security полностью интегрирован с
сервером управления безопасностью сети на одном и том же компьютере. Это означает, что решение
Management High Availability для Endpoint Security обеспечивает резерв для баз данных сервера управления
Endpoint Security и сервера управления безопасностью сети.
Базы данных содержат такую информацию как политики безопасности, пользователи, компьютеры, пакеты
развертывания, объекты сети и информация о конфигурации системы. Чтобы получить больше информации
о процедурах первоначальной установки и конфигурации Management High Availability, см. Руководство по
установке и обновлению E80.40 (http://supportcontent.checkpoint.com/solutions?id=sk82100).

Потребность в Management High Availability


Сервер управления Endpoint Security содержит несколько баз данных как для Endpoint Security, так и для
Network Security. Эти базы данных содержат политики, правила, определения пользователей, компьютеры,
серверы, пакеты развертывания для конечных точек, объекты сети и настройки конфигурации системы.
Важно иметь резервную копию этих данных, чтобы критично важная информация не была потеряна
навсегда в случае поломки сервера.
Кроме того, если сервер управления Endpoint Security выходит из строя или находится в автономном
режиме для технических работ, его функции может принять на себя резервный сервер. В отсутствие
сервера управления Endpoint Security, конечные точки и шлюзы не могут выполнять важные операции.

Среда High Availability


Среда Management High Availability включает в себя один Активный сервер управления Endpoint Security
и один или более Резервный сервер управления Endpoint Security. Базы данных Активного сервера
управления безопасностью периодически синхронизируются с Резервными серверами управления Endpoint
Security для полного резервирования.
Только Активный сервер управляет клиентами конечных точек, шлюзами, объектами сети и конфигурацией
системы. Только один сервер управления Endpoint Security может быть Активным на момент времени. Если
Активный сервер выходит из строя, вы вручную меняете режим Резервного сервера на Активный.
Фактически, вы можете сменить режим Активного сервера на Резервный и Резервного на Активный в любое
время.
Когда вы устанавливаете ваш первый сервер управления Endpoint Security, вы определяете его как
Главный сервер управления безопасностью (Primary Security Management server). Обычно он
становится исходным Активным сервером управления Endpoint Security. Когда вы устанавливаете
дополнительные серверы управления Endpoint Security, вы должны определить их как Второстепенные
серверы управления безопасностью (Secondary Security Management servers).

Руководство администратора Endpoint Security Management Server E80.40 | 63


Решение Management High Availability

При готовности к использованию, Главный и Второстепенные серверы могут работать как Активный или
Резервные серверы управления Endpoint Security, в зависимости от необходимости.
Второстепенный сервер управления безопасностью готов к работе, когда выполнены следующие шаги:
• Он определен в SmartDashboard как объект сети.
• Установлены доверительные отношения SIC с Главным сервером управления Endpoint Security и с
сервером управления безопасностью.
• Он впервые синхронизирован с Главным сервером управления безопасностью. Вы должны сделать
это вручную.

Планирование для Management High Availability


Когда вы планируете развертывание High Availability, примите во внимание следующие аспекты:
• Установка резервного сервера управления: удаленная или локальная – Рекомендуется
устанавливать Резервный сервер управления Endpoint Security удаленно, а не в локальной сети. Если
возникнут проблемы с подключением в локальной сети, удаленный Резервный сервер управления
Endpoint Security не будет затронут.
• Разные физические места расположения – Рекомендуется иметь как минимум один Резервный
сервер управления Endpoint Security в месте расположения, отличающемся от расположения Активного
сервера управления Endpoint Security, чтобы сохранить высокую степень доступности в аварийной
ситуации.
• Перегрузка данными во время синхронизации – Данные, сохраненные во время синхронизации,
занимают очень много места. Синхронизация оптимизируется, если соединение между серверами
управления Endpoint Security будет быстрым и эффективным.

Аварийное переключение
Аварийное переключение сервера управления Endpoint Security – это процедура, проводимая вручную.
Если Активный сервер управления Endpoint Security выходит из строя или необходимо заменить режим
Активного сервера управления Endpoint Security на Резервный, вы должны выполнить следующие шаги,
чтобы предотвратить потерю данных:
Если Активный сервер управления Endpoint Security отвечает:
1. Вручную синхронизируйте Активный и Резервные серверы управления Endpoint Security.
2. Измените режим Активного сервера управления Endpoint Security ("Изменение режима сервера на
Активный или Резервный" на странице 65) на Standby (Резервный).

3. Измените режим Резервного сервера управления Endpoint Security ("Изменение режима сервера на
Активный или Резервный" на странице 65) на Active (Активный).

4. Убедитесь, что версии PAT на Активном и Резервных серверах управления Endpoint Security одинаковые
("Обновление версии PAT на сервере" на странице 69).
Если Активный сервер управления Endpoint Security вышел из строя, и вы не можете изменить его
режим:
1. Вручную измените режим Резервного сервера управления Endpoint Security на Active (Активный).
2. Отредактируйте версию PAT ("Обновление версии PAT на сервере" на странице 69) на новом
Активном сервере управления Endpoint Security.

Важно – Если у вас два сервера управления Endpoint Security, которые установлены как Active
(Активный) одновременно, они могут повести себя непредвиденным образом.

Изменение режима сервера на Активный или Резервный


Во всех возможных случаях изменяйте режим Активного сервера управления Endpoint Security на Резервный
до того, как вы измените режим Резервного сервера управления Endpoint Security на Активный.

Руководство администратора Endpoint Security Management Server E80.40 | 64


Решение Management High Availability

Важно – Когда вы добавляете сервер политики Endpoint Policy в развертывание High


Availability, вы должны установить базу данных в SmartDashboard на все серверы
управления Endpoint Security и на сервер политики Endpoint Policy. Для этого выберите
Policy > Install Database (Политика > Установить базу данных).

Чтобы изменить режим Активного сервера управления Endpoint Security на Резервный:


1. Подключитесь к Активному серверу управления Endpoint Security через SmartDashboard.
2. Перейдите в Policy > Management High Availability (Политика > Management High Availability).
3. Нажмите на Change to Standby (Изменить на Резервный).
4. Нажмите на Yes (Да), чтобы подтвердить изменение.

Чтобы изменить режим Резервного сервера управления Endpoint Security на Активный:


1. Подключитесь к Резервному серверу управления Endpoint Security через SmartDashboard.
2. Откроется окно Server Login (Вход в сервер).
3. Убедитесь, что ни один пиринг сервер не Активный.
4. Нажмите на Change to Active (Изменить на Активный).
5. Нажмите на Yes (Да), чтобы подтвердить изменение.

Синхронизация Активного и Резервных серверов


управления Endpoint Security
После того как вы установите Резервные серверы, вы должны выполнить первую синхронизацию вручную,
даже если вы конфигурируете систему на автоматическую синхронизацию. После первой синхронизации вы
сможете настроить частоту автоматических синхронизаций.

Какие данные синхронизируются?


При синхронизации резервируются и синхронизируются следующие данные:
• Базы данных Endpoint Security, включая:
• Политики и правила
• Компьютеры, пользователи и серверы (включая данные активного каталога)
• Правила развертывания клиентов
• Настроенные отчеты
• Базы данных сервера управления безопасностью сети, включая:
• Политики и настройки безопасности сети
• Объекты сети
• Службы и ресурсы
• Приложения OPSEC
• Настроенные запросы и отчеты
• Данные конфигурации и внутреннего источника сертификации, например:
• Базы данных (например, Объекты и Пользователи).
• Информация о сертификатах, например, данные источника сертификата и CRL (списки
аннулирования сертификатов), доступные для шлюзов безопасности Check Point Security.

Важно – Клиентские пакеты развертывания Endpoint (MSI файлы) и драйверы


SmartCard НЕ синхронизируются. Вы должны вручную скопировать эти элементы на
Резервные серверы.

Как работает синхронизация


В этом разделе описывается, как синхронизация работает с базами данных Endpoint Security. Важно
понимать эти процессы, потому что некоторые данные безопасности конечных точек обновляются
динамически, даже в процессе синхронизации.
Динамические обновления во время синхронизации могут привести к тому, что Активный и Резервные
серверы управления Endpoint Security могут быть уже не синхронизированы (в статусе Lagging
(Запаздывает)) практически сразу после того, как завершится синхронизация. Это нормально для
серверов управления Endpoint Security.
Серверы управления безопасностью сети (Network Security Management Servers) (без Endpoint Security)
синхронизируют только данные статической конфигурации. Эти Активный и Резервный серверы

Руководство администратора Endpoint Security Management Server E80.40 | 65


Решение Management High Availability

остаются синхронизированными, пока не будут изменены политики или другие объекты.


Динамические обновления необходимы, чтобы важное соединение между Активным сервером управления
Endpoint Security и клиентами было всегда доступным. Например, динамически обновляются во время
синхронизации данные восстановления для компонентов Full Disk Encryption и Media Encryption & Port
Protection, данные мониторинга конечных точек и данные пульсации конечных точек.
Процесс синхронизации
Синхронизация может происходить автоматически или вы можете запустить ее вручную. При синхронизации
система выполняет следующие шаги без вмешательства пользователя:
1. Блокирует базы данных политики и объекта на Активном сервере управления Endpoint Security.
В SmartEndpoint и SmartDashboard показывается сообщение database locked (база данных
заблокирована).
2. Делает моментальный снимок баз данных и сохраняет его на локальный диск.
3. Разблокирует базы данных политики и объекта.
4. Сжимает данные моментального снимка и копирует моментальный снимок из Активного сервера
управления Endpoint Security на все Резервные серверы управления Endpoint Security.
5. Резервные серверы управления Endpoint Security переписывают свои базы данных моментальным
снимком.
6. Резервные серверы управления Endpoint Security посылают уведомление статуса Restore
(Восстановить) на Активный сервер управления Endpoint Security.
7. Активный и Резервные серверы удаляют моментальные снимки.

Заблокированные базы данных


Пока Активный сервер управления Endpoint Security делает моментальный снимок (шаг 2 выше), базы
данных заблокированы, и вы не можете добавлять, изменять или удалять эти системные объекты:
• Политики и правила
• Пользователи, компьютеры конечных точек и серверы
• Правила и пакеты развертывания
• Отчеты и запросы
• Шлюзы безопасности, сервера управления безопасностью и другие объекты сети
• VPN сообщества
• Службы, ресурсы и приложения OPSEC
Это действие необходимо, чтобы предотвратить повреждения баз данных и другие ошибки.
Активный сервер управления Endpoint Security и клиенты продолжают динамически обновлять эти
объекты баз данных, даже когда Endpoint Security делает моментальный снимок:
• Данные восстановления Full Disk Encryption
• Данные восстановления Media Encryption & Port Protection
• Данные мониторинга конечных точек
• Данные пульсации конечных точек

Расшифровка статусов сервера


Перед тем как вы внесете изменения в среду High Availability, убедитесь, что вам известен статус каждого
сервера управления Endpoint Security. Крайне важно знать, какие серверы управления Endpoint Security
находятся в Активном режиме, а какие в Резервном.
Чтобы просмотреть статус серверов управления Endpoint Security в вашей среде High Availability:
1. В SmartDashboard сервера управления Endpoint Security выберите Policy > Management High
Availability (Политика > Management High Availability).
2. В открывшемся окне localhost посмотрите статус сервера управления Endpoint Security,в котором вы
находитесь, в My Status (Мой статус).
3. Посмотрите статус других серверов управления Endpoint Security в Peer Status (Статус пиров).
Поля:

Поле Значения Описание

Руководство администратора Endpoint Security Management Server E80.40 | 66


Решение Management High Availability

Server Name (Имя


Любое SmartDashboard имя сервера.
сервера)

Primary (Главный) или Secondary Это только порядок установки и не влияет на


Type (Тип)
(Второстепенный) среду.

Является ли сервер управления Endpoint


Active (Активный) или Standby
Mode (Режим) Security в настоящее время Активным или
(Резервный)
Резервным.

Reachable Это поле только в Peer Status (Статусе


Yes (Да) или No (Нет) пиров). Оно показывает, имеет ли локальный
(Доступен)
сервер соединение с этим пиром.
Never been synchronized
(Никогда не был
синхронизирован), Synchronized
Статус синхронизации между серверами
(Синхронизирован), Lagging
управления Endpoint Security. См. Статус
Status (Статус) (Запаздывает), Database has
синхронизации (на странице 67) для полного
been changed (База данных
описания.
изменена), Advanced
(Опережает) или Collision
(Конфликт)

Статус синхронизации
Статус синхронизации показывает статус пир-серверов управления Endpoint Security по отношению к
выбранным серверам управления Endpoint Security. Вы можете просмотреть этот статус, если вы
подключены к Активному серверу управления Endpoint Security или Резервному серверу управления
Endpoint Security. Статус синхронизации находится в SmartDashboard > окно Management High Availability
Servers (Серверы Management High Availability) в колонке status (статус) или в SmartView Monitor.
Возможные статусы синхронизации:
• Never been synchronized (Никогда не был синхронизирован) – Новый установленный
Второстепенный сервер управления Endpoint Security еще не был вручную синхронизирован с текущим
Активным сервером управления Endpoint Security.
• Synchronized (Синхронизирован) – Второстепенный сервер управления Endpoint Security полностью
синхронизирован с Активным сервером управления Endpoint Security. Базы данных идентичны.
• Lagging (Запаздывает) или Database has been changed (База данных изменена) – Были сделаны
изменения в Активном сервере управления Endpoint Security с момента последней синхронизации,
которые еще не были синхронизированы в Резервные серверы управления Endpoint Security. Это может
произойти, когда изменения вносятся в базу данных Активного сервера управления Endpoint Security во
время процесса синхронизации.
• Advanced (Опережает) – Данные на Резервном сервере управления Endpoint Security более актуальны,
чем на Активном сервере управления Endpoint Security. Это может произойти после аварийного
переключения на Резервный сервер и последующего переключения на исходный Активный.
• Collision (Конфликт) – Активный сервер управления Endpoint Security и Резервные серверы имеют
различные политики и базы данных, и не сразу очевидно, который сервер имеет наиболее актуальные
данные. Это может произойти, когда с Активного сервера происходит переключение на Резервный, а с
Резервного - переключение обратно на Активный сервер перед синхронизацией.
В этом случае примите решение, который сервер управления Endpoint Security содержит самые последние
обновления. Обычно это сервер управления Endpoint Security, на котором больше всего изменений. При
необходимости, измените режим этого сервера управления Endpoint Security на Активный, а все остальные -
на Резервный. Вручную синхронизируйте новый указанный Активный сервер управления Endpoint Security с
Резервными. Может также потребоваться обновить версию PAT на серверах управления Endpoint Security.
Вы можете следить за операциями управления и синхронизации с помощью SmartView Tracker.

Процедуры синхронизации
Руководство администратора Endpoint Security Management Server E80.40 | 67
Решение Management High Availability

Внимание – Во время того как происходит синхронизация, базы данных заблокированы. В


SmartEndpoint показывается сообщение. В SmartDashboard показывается сообщение Not
Responding (Не отвечает).

Чтобы настроить синхронизацию:


1. Перейдите в Policy > Global Properties > Management High Availability (Политика > Глобальные
свойства > Management High Availability).
2. Выберите из опций:
• Automatic Synchronization when policy is installed (Автоматическая синхронизация, когда
устанавливается политика) – Если вы выбираете автоматическую синхронизацию, Активный и
Резервные серверы управления Endpoint Security автоматически синхронизируются каждый раз,
когда Политика устанавливается в SmartEndpoint или SmartDashboard.
Вы можете выбрать более частую автоматическую синхронизацию. Если вы выберете одну
из этих опций, синхронизация также будет начинаться, когда устанавливается Политика
безопасности:
• On scheduled event (По расписанию) – Синхронизируется согласно задаваемому вами
расписанию, например, каждый день в 1:00 или каждые три часа.

Важно – Если вы настраиваете синхронизацию через регулярные временные


промежутки, не устанавливайте ее чаще, чем каждый час.

• Только синхронизация вручную – Если вы выберете эту опцию, вы должны запускать


синхронизацию вручную каждый раз, когда необходимо синхронизировать Активный и Резервные
серверы управления Endpoint Security.
3. Нажмите на OK.
Если режимом синхронизации выбрана автоматическая синхронизация, вы всегда можете при
необходимости синхронизировать вручную.
Чтобы синхронизировать серверы управления Endpoint Security вручную:
1. В SmartDashboard Активного сервера управления Endpoint Security выберите Policy > Management
High Availability (Политика > Management High Availability).
2. Нажмите на Synchronize (Синхронизировать).
3. Нажмите на OK.
4. Вручную скопируйте папку MSI в Резервные серверы.
5. На Активном сервере управления Endpoint Security скопируйте эти папки:
• На платформах Windows: %fwdir%\conf\SMCFiles\uepm\msi
• На SecurePlatform или Gaia: $FWDIR/conf/SMCFiles/uepm/msi
6. На Резервном сервере управления Endpoint Security замените эти папки папками, которые вы
скопировали с Активного сервера управления Endpoint Security:
• На платформах Windows: %fwdir%\conf\SMCFiles\uepm\msi
• На SecurePlatform или Gaia: $FWDIR/conf/SMCFiles/uepm/msi
7. Если применимо, вручную скопируйте драйверы SmartCard.
• На платформах Windows: %fwdir%\conf\SMCFiles\uepm\DRIVERS
• На SecurePlatform или Gaia: $FWDIR/conf/SMCFiles/uepm/DRIVERS
8. На Резервном сервере управления Endpoint Security замените эти папки папками, которые вы
скопировали с Активного сервера управления Endpoint Security:
• На платформах Windows: %fwdir%\conf\SMCFiles\uepm\DRIVERS
• На SecurePlatform или Gaia: $FWDIR/conf/SMCFiles/uepm/DRIVERS

Важно – При копировании файлов на платформы SecurePlatform или Gaia запустите


эти команды на целевом компьютере:
• chmod -R u+rwx,g+rwx,o-rwx msi/ -
• find msi/ -type d -exec chmod g+s {} \;

Руководство администратора Endpoint Security Management Server E80.40 | 68


Решение Management High Availability

Внимание – Папка MSI содержит много папок с уникальными именами. При


добавлении нового файла в папку на Активном сервере скопируйте этот файл в
соответствующую папку на Резервном сервере.

Обновление версии PAT на сервере


Когда вы меняете режим Резервного сервера управления Endpoint Security на Активный, новый Активный
сервер управления Endpoint Security может иметь более старую версию таблицы назначения политик (Policy
Assignment Table (PAT)), чем клиенты. Это может произойти, если вы не можете синхронизировать серверы
управления Endpoint Security, перед тем как изменить режим Резервного сервера управления Endpoint
Security на Активный. Если версия PAT на сервере ниже, чем версия PAT на клиенте, клиент не будет
скачивать обновления политик.
Чтобы это исправить, обновите номер PAT на Активном сервере.
Чтобы получить версию PAT:
Если Активный сервер управления Endpoint Security доступен, получите последнюю версию PAT из текущего
Активного сервера управления Endpoint Security.
1. Измените каталог на:
• Windows - %uepmdir%\bin
• SecurePlatform и Gaia - $UEPMDiR/bin
2. Запустите patver get
Если Активный сервер управления Endpoint Security недоступен, получите последнюю версию PAT с
клиента, который был подключен к серверу перед тем, как он вышел из строя.
1. Откройте реестр Windows.
2. Найдите HKEYLOCALMACHINE\SOFTWARE\CheckPoint\EndPoint Security\Device Agent
3. Дважды нажмите кнопкой мыши на значение PATVersion. Откроется
окно Edit String (Редактировать строку).
4. Скопируйте номер в поле Value data (Данные значения). Это номер версии PAT.
Чтобы изменить версию PAT на сервере:
1. Откройте приглашение командной строки.
2. Измените каталог на:
• Windows - %uepmdir%\bin>
• SecurePlatform и Gaia - $UEPMDiR/bin
3. Запустите утилиту Endpoint Security Management Security (uepm.exe) и установите новую версию PAT:
Windows: %uepmdir%\bin>uepm patver set <oldPATversionnumber> + 10
SecurePlatform и Gaia: $UEPMDIR/bin>uepm patver set <oldPATversionnumber> + 10
4. Убедитесь, что новая версия PAT установлена, запустив:
Windows: %uepmdir%\bin>uepm patver get
SecurePlatform и Gaia: $UEPMDIR/bin>uepm patver get

Устранение сбоев при синхронизации


Синхронизация может пройти неудачно в следующих ситуациях:
• Сбой по техническим причинам, например, Активный сервер управления Endpoint Security не
подключился к Резервному серверу управления Endpoint Security. Чтобы решить эту проблему, вы
можете выполнить одно из следующих действий, когда техническая проблема будет устранена:
• Вручную синхронизируйте Резервный сервер управления Endpoint Security.
• Если настроена автоматическая синхронизация, установите Политику снова на Активный сервер
управления Endpoint Security. Синхронизация произойдет автоматически.
• Между серверами управления Endpoint Security происходит конфликт. В этой ситуации системный
администратор выполняет синхронизацию вручную и выбирает, какая база данных является основной
базой данных.
CA всегда соединяются во избежание проблем безопасности.
Когда происходит конфликт, и один из серверов управления Endpoint Security переписывается, вы можете
использовать Журнал аудита (Audit Logs) в SmartView Tracker, чтобы лучше понять ситуацию.
Рекомендуется взглянуть на операции управления, выполненные в последнее время на переписанном
сервере управления Endpoint Security. Выполните эти операции снова, если необходимо, на основном
сервере управления Endpoint Security.

Руководство администратора Endpoint Security Management Server E80.40 | 69


Глава 9
Внешние серверы политики
Endpoint Policy
В этой главе
Общие сведения о серверах политики Endpoint Policy 70
Как работают серверы политики Endpoint Policy? 70
Конфигурация настроек сервера политики 71
Мониторинг активности сервера политики Endpoint Policy 73

Общие сведения о серверах политики Endpoint Policy


Если внешние серверы политики Endpoint Policy не настроены, сервер управления Endpoint Security, который
содержит сервер политики Endpoint Policy, управляет всеми запросами и сообщением клиентов.
Если вы установите дополнительные серверы политики Endpoint Policy, они будут управлять основной долей
сообщения с клиентами Endpoint Security. Благодаря этому сервер управления Endpoint Security более
доступен для других задач. Если вы настроите сервер управления Endpoint Security, чтобы он работал в
качестве сервера политики Endpoint Policy в дополнение к другим серверам политики Endpoint Policy, работа
по сообщению с клиентами распределяется на всех них.
Рекомендуется использовать распределенное развертывание, содержащее внешние серверы политики
Endpoint Policy на выделенных компьютерах.
• Установите как минимум один сервер политики Endpoint Policy для каждого удаленного сайта.
• Для более крупных сайтов, установите несколько серверов политики Endpoint Policy для улучшения
производительности.
Инструкции по установке и исходной конфигурации приведены в «Установке внешних серверов политики
Endpoint Policy».

Важно – Когда вы добавляете сервер политики Endpoint Policy к развертыванию High


Availability, вы должны установить базу данных в SmartDashboard на все серверы
управления Endpoint Security и сервер политики Endpoint Policy. Для этого выберите
Policy > Install Database (Политика > Установить базу данных).

Как работают серверы политики Endpoint Policy?


Внешние серверы политики Endpoint Policy снижают нагрузку сервера управления Endpoint Security и
уменьшают требуемую пропускную способность между сайтами. По умолчанию, сервер управления Endpoint
Security также действует в качестве сервера политики Endpoint Policy, в дополнение к другим серверам
политики Endpoint Policy. Работа по сообщению с клиентами Endpoint Security распределена между всеми
ними.
Серверы политики Endpoint Policy расположены между клиентами Endpoint Security и сервером управления
Endpoint Security. Для большинства задач клиенты Endpoint Security сообщаются с серверами политики
Endpoint Policy, а серверы политики Endpoint Policy сообщаются с сервером управления Endpoint Security.

Руководство администратора Endpoint Security Management Server E80.40 | 70


Внешние серверы политики Endpoint Policy

Если в среде есть несколько серверов политики Endpoint Policy, каждый клиент Endpoint Security
проводит анализ, чтобы найти, какой сервер политики Endpoint Policy "ближайший" (будет
быстрее для сообщения) и автоматически обращается к тому серверу.

Элемент Описание
1 Домены активного каталога
2 Сервер управления Endpoint Security

3 Внешний сервер политики Endpoint Policy

4 Рабочие станции предприятия с установленными клиентами Endpoint Security

Сервер политики Endpoint Policy управляет самыми частыми обращениями и обращениями,


требующими больше всего пропускной способности. Сервер политики Endpoint Policy управляет этими
запросами без перенаправления их на сервер управления Endpoint Security:
• Все heartbeat-запросы и запросы синхронизации.
• Скачивания политик
• Обновления компонента Anti-Malware
• Все журналы регистрации событий клиентов Endpoint Security (сервер политики Endpoint Policy настроен
как сервер регистрации по умолчанию).

Сервер политики Endpoint Policy посылает следующие данные на сервер управления Endpoint Security:
• Все сообщения, относящиеся к блейдам (которые требуют хранения информации в базе данных).
Например, данные восстановления блейда Full Disk Encryption.
• Данные мониторинга. Сюда относятся состояние подключения и другие данные мониторинга для
подключенных клиентов.
• Сообщения, созданные сервером политики.

Конфигурация настроек сервера политики


Главные аспекты работы с серверами политики Endpoint Policy, которые вы можете настроить, это:
• Интервал, после которого клиенты выполняют анализ, чтобы выбрать, к которому серверу политики
Endpoint Policy подключиться.
• Будет ли сервер управления Endpoint Security также работать в качестве сервера политики Endpoint
Policy или нет.

Руководство администратора Endpoint Security Management Server E80.40 | 71


Внешние серверы политики Endpoint Policy

Анализ близости сервера политики Endpoint Policy


В крупной сети клиенту конечной точки могут быть доступны множество серверов политики Endpoint Policy.
В такой среде клиент выполняет анализ списка серверов политики Endpoint Policy, чтобы найти наиболее
близкий к нему сервер. Клиент посылает указанный HTTP запрос на все серверы политики Endpoint Policy в
списке. Сервер, который отвечает быстрее всех, считается ближайшим.
Список серверов – это XML файл с именем epsNetwork.xml. Он расположен по адресу
%UEPMDiR%\engine\conf\ на сервере управления Endpoint Security. Он содержит:
• Топологию серверов политики Endpoint Policy в сети, к которым могут подключиться клиенты Endpoint
Security.
Протоколы, схемы аутентификации и порты для каждого сообщения, переданного между клиентом и
сервером.

Как работает анализ близости:


1. Сервер управления Endpoint Security создает список серверов политики Endpoint Policy исходя из
серверов, настроенных в SmartEndpoint.
2. Сервер управления Endpoint Security отдает список клиентам.
3. Агент устройств (Device Agent) на клиенте выполняет анализ близости после указанного интервала,
чтобы найти сервер политики Endpoint Policy, который является к нему 'ближайшим'. Некоторые
события в системе могут также вызвать проведение нового анализа близости.
Близость основана на времени ответа на указанный HTTP запрос, посылаемый всем серверам в
списке.
Внимание – Близость не основана на физическом расположении сервера. Клиент
в Нью-Йорке свяжется с сервером политики Endpoint Policy в Калифорнии, если
сервер политики Endpoint Policy в Калифорнии ответит до сервера политики
Endpoint Policy в Нью-Йорке.

4. Клиент пытается связаться с ближайшим сервером политики Endpoint Policy.


5. Если сервер недоступен, Агент устройств пробует следующий ближайший сервер в списке, пока не
будет выполнено соединение.
6. На основании данных в коллективном списке, клиент и сервер политики Endpoint Policy создают
URL-адреса подключения.
Клиенты продолжают подключаться к ближайшему серверу политики Endpoint Policy до следующего
анализа близости.

Внимание - Вы не можете определить, какие конкретные серверы политики Endpoint


Policy клиенту следует использовать, клиент выбирает только из списка серверов.

Настройка подключений сервера политики Endpoint Policy


Чтобы настроить подключения сервера политики Endpoint Policy:
1. В меню SmartEndpoint выберите Manage > General Properties > Connection Settings (Управление >
Общие свойства > Настройки подключения).
2. Введите или выберите значение Interval between client heartbeats (Интервал между пульсациями
клиента) ("Heartbeat-интервал" на странице 144) (по умолчанию 60 секунд).
3. Введите или выберите значение Client will re-evaluate the nearest Policy Server after (Клиент
заново выберет ближайший сервер политики спустя) (по умолчанию 120 минут).
Это значение является интервалом в минутах, после которого клиенты конечных точек выполняют
поиск ближайшего доступного сервера политики Endpoint Policy.
4. Дополнительно: Выберите Enable Endpoint Security Management server to be the Endpoint Policy
Server (Назначить сервер управления Endpoint Security сервером политики Endpoint Policy).
Эта опция включает серверы управления Endpoint Security в поиск ближайшего сервера политики
Endpoint Policy.

Руководство администратора Endpoint Security Management Server E80.40 | 72


Внешние серверы политики Endpoint Policy

5. Введите или выберите значение Client will restrict non-compliant endpoint after (Клиент ограничит
доступ к конечной точке, не находящейся в состоянии соответствия, спустя) ("Настройка
состояния "About to be Restricted"." на странице 144) (по умолчанию 5 пульсаций).
6. Нажмите на OK.
7. Установите политики на компьютеры конечных точек.

Назначение сервера управления сервером политики Endpoint


Policy
Настройте, будет ли сервер управления Endpoint Security работать в качестве сервера политики Endpoint
Policy наряду с остальными серверами политики Endpoint Policy.
По умолчанию, сервер управления Endpoint Security работает в качестве сервера политики Endpoint Policy.

Внимание – Если вы в явной форме не настроите сервер управления Endpoint Security на работу
в качестве сервера политики Endpoint Policy, он все еще будет находиться в списке анализа
близости. Если никакие другие серверы политики Endpoint Policy не смогут ответить клиенту,
ответит сервер управления Endpoint Security.
Чтобы настроить, чтобы сервер управления Endpoint Security работал в качестве сервера политики
Endpoint Policy, только если все серверы политики Endpoint Policy не отвечают:
1. В SmartEndpoint выберите Manage > General Properties > Connection Settings (Управление > Общие
свойства > Настройки соединения).
2. Снимите флажок с опции Enable Endpoint Management Server to be Endpoint Policy Server
(Назначить сервер управления Endpoint сервером политики Endpoint Policy).
3. Нажмите на OK.
4. Выберите File > Install Policies (Файл > Установить политики) или нажмите на иконку Install Policies
(Установить политики).

Сообщение между сервером политики и сервером


управления
Сообщение между сервером управления Endpoint Security и серверами политики Endpoint Policy включает
следующее:
• Серверы политики Endpoint Policy получают от сервера управления Endpoint Security:
• Политики и пакеты установок.
• Все файлы, которые ему нужны для синхронизации.
• Серверы политики Endpoint Policy посылают heartbeat-сообщение на сервер управления Endpoint Security
с интервалами в 60 секунд.
Вы можете изменить это в файле %uepmdir%\engine\conf\global.properties на сервере
управления Endpoint Security. Имя свойства connectionpoint.hb.interval.sees.
• Серверы политики Endpoint Policy посылают sync-сообщения на сервер управления Endpoint
Security, когда необходима синхронизация.
• Серверы политики Endpoint Policy посылают данные о событиях Отчетов на сервер управления
Endpoint Security с интервалами в 60 секунд или когда в очереди 1000 или более событий.
Вы можете изменить это в файле %uepmdir%\engine\conf\global.properties на сервере
управления Endpoint Security. Имена свойств:
• connectionpoint.emon.events.until.flush=10 00
• connectionpoint.emon.seconds.until.flush=60
• Серверы политики Endpoint Policy посылают все сообщения, относящиеся к базам данных,
напрямую на сервер управления Endpoint Security.

Руководство администратора Endpoint Security Management Server E80.40 | 73


Внешние серверы политики Endpoint Policy

Примечания по первой синхронизации


После того как вы создадите сервер политики Endpoint Policy и установите политику в SmartEndpoint,
происходит первая синхронизация между сервером политики Endpoint Policy и сервером управления
Endpoint Security. Во время первой синхронизации сервер политики Endpoint Policy не работает с запросами
конечных точек и показывается как Not Active (Неактивный) во вкладке Reporting (Отчеты).
Первая синхронизация может занять много времени, в зависимости от количества политик и пакетов
установки, которые сервер политики Endpoint Policy должен скачать с сервера управления Endpoint Security.
Когда первая синхронизация завершится, сервер политики Endpoint Policy будет показываться как Active
(Активный) во вкладке Reporting (Отчеты).

Мониторинг активности сервера политики Endpoint Policy


Вы можете просмотреть статус серверов политики Endpoint Policy во вкладке Reporting (Отчеты) в
SmartEndpoint.
Во вкладке Reporting (Отчеты) выберите Endpoint Policy Servers Status (Статус серверов политики
Endpoint Policy).

• В списке Status (Статус) выберите, какие серверы политики Endpoint Policy вы хотите просмотреть:
• All (Все).
• Только Active (Активные).
• Только Not Active (Неактивные).

• В таблице вы увидите:
• Name (Имя) – Имя сервера в SmartEndpoint.
• IP Address (IP адрес) - IP адрес для сервера.
• DN – Его полное DN имя, взятое в SmartDashboard.
• Active (Активный) – Показывает, сервер Active (Активный) или Not Active (Неактивный). Active
означает, что сервер недавно послал heartbeat-сообщение.
• Last Contact (Последний контакт) – Когда сервер управления Endpoint Security в последний раз
получил от него heartbeat-сообщение.
• Comments (Комментарии) – Комментарии по этому серверу в окне Properties (Свойства).

Более подробную информацию вы можете посмотреть в сообщениях журнала регистрации событий на


сервере политики Endpoint Policy. Они находятся в:
%uepmdir%\logs
Вы можете просмотреть, есть ли ошибки в журнале регистрации событий, и исправить их, если необходимо.

Руководство администратора Endpoint Security Management Server E80.40 | 74


Глава 10
Аутентификация активного
каталога Endpoint Security
В этой главе
Настройка аутентификации 76
Настройка активного каталога на аутентификацию 76
Настройка глобальной аутентификации 77
Устранение сбоев при аутентификации в журнале регистрации событий сервера 78
Устранение сбоев при аутентификации в журналах регистрации событий клиентов 79
Когда клиент Endpoint Security подключается к серверу управления Endpoint Security, в процессе
аутентификации происходит идентификация клиента конечной точки и пользователя, работающего в тот
момент на том компьютере.
Система может работать в разных режимах:
• Режим Unauthenticated (Неаутентифицированный) - Подключающиеся компьютеры и
работающие на них пользователи не аутентифицируются. Происходит доверенное соединение "по
имени". Этот режим работы рекомендуется только для целей оценки. При режиме Unauthenticated
(Неаутентифицированный), в SmartEndpoint в панели статуса (внизу окна консоли) будет
показываться Unauthenticated Mode (Неаутентифицированный режим).
• Режим Strong Authentication (Строгая аутентификация) – Каждый подключающийся компьютер и
работающий на нем пользователь аутентифицируются с сервером управления Endpoint Security,
используя защиты промышленного стандарта Kerberos через сервер активного каталога.
Эта опция доступна для конечных точек, входящих в активный каталог.

Процесс аутентификации:
1. Клиент Endpoint Security (2) запрашивает билет на аутентификацию (1) с сервера активного
каталога (3).
2. Сервер активного каталога посылает билет клиенту.
3. Клиент посылает билет на сервер управления Endpoint Security.
4. Сервер управления Endpoint Security возвращает подтверждение аутентификации.

Руководство администратора Endpoint Security Management Server E80.40 | 75


Аутентификация активного каталога Endpoint Security

Режимом по умолчанию, работающим после установки сервера управления безопасностью, является


Unauthenticated (Неаутентифицированный). Рекомендуется использовать этот режим, пока вы
оцениваете Endpoint Security, в лабораторных условиях; и вам следует изменить его на Strong
Authentication (Строгая аутентификация) непосредственно перед переводом в среду производства. Не
рекомендуется продолжать работать в Неаутентифицированном режиме после перехода в режим
производства.

Важно – После того как вы настроите ваш сервер управления Endpoint Security на работу
только с аутентифицированными клиентами, клиентские компьютеры, не входящие в
активный каталог, будут иметь следующее ограничение:
Компоненты Full Disk Encryption и Media Encryption не будут полностью функциональными,
потому что они не смогут посылать аутентифицированные сообщения.
Следовательно, рекомендуется не активировать эти блейды на клиентах, которые не входят в
активный каталог.

Настройка аутентификации
Когда вы будете готовы перейти к производству и установить режим Строгой аутентификации, следуйте
этому процессу. Не устанавливайте аутентификацию до того, как вы будете готовы к переходу к
производству, и не оставляйте вашу производственную среду без аутентификации.
Чтобы правильно перейти к Строгой аутентификации:
1. Сконфигурируйте активный каталог на аутентификацию.
2. Сконфигурируйте настройки аутентификации.
3. Установите политики.
Сервер сообщит клиентам, что они теперь работают в Аутентифицированном режиме.

Настройка активного каталога на аутентификацию


Строгая аутентификация Endpoint Security использует протокол аутентификации сети Kerberos. Чтобы
настроить его, запустите ktpass.exe.
• На Windows Server 2008 ktpass включен по умолчанию.
• На Windows Server 2003 ktpass включен в Пакет средств поддержки Microsoft Windows Server 2003.
Если у вас он не установлен, скачайте файл suptools.msi отсюда:
(http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=15326).

Важно – В ходе процедуры ниже вы создаете пользователя, который прикрепляется к службе


ktpass. После того как вы создадите этого пользователя, не вносите в него изменений,
например, не меняйте пароль. Если вы внесете изменения в пользователя, версия ключа
увеличится, и вам придется обновить Key version number (Номер версии ключа) в окне Active
Directory SSO Configuration (Настройка SSO активного каталога) в SmartEndpoint.

Чтобы подготовить сервер активного каталога к аутентификации:


1. Запустите ktpass.exe.

2. Перейдите к Start > All Programs > Administrative Tools > Active Directory Users and Computers
(Пуск > Все программы > Администрирование > Пользователи и компьютеры активного каталога).

3. Создайте пользователя домена и снимите флажок с опции User must change password at next logon
(Пользователь должен изменить пароль при следующем входе в систему).
4. Запустите эту команду, чтобы прикрепить службу к пользователю:
Синтаксис: ktpass princ ServiceName/realm@REALM mapuser
<userName>@REALM pass <userPass> out <name of outFile>

Руководство администратора Endpoint Security Management Server E80.40 | 76


Аутентификация активного каталога Endpoint Security

Пример:
ktpass princ tst/nac1.com@NAC1.COM mapuser auth-user@NAC1.COM pass
123456 out outfile.keytab
Where:
ServiceName= tst
realm (domain name)= NAC1.COM (in princ command: the first time in
lower case and the second in upper case)
userName = auth-user (user from item 4)
userPass = 123456 ( password for user from item 4)
name of outFile = outfile.keytab = encrypted keytab file
5. Сохраните вывод консоли в текстовый файл. Посмотрите номер версии (vno) и тип шифрования (etype).
Пример вывода:
Targeting domain controller: nac1-dc.nac1.com
Successfully mapped tst/nac1.com to auth-user.
WARNING: pType and account type do not match. This might cause problems.
Key created.
Output keytab to outfile.log: Keytab
version: 0x502
keysize 74 tst/nac1.com@NAC1.COM ptype 0 (KRB5_NT_UNKNOWN) vno 7 etype 0x17 (RC4-
HMAC) keylength 16 (0x32ed87bdb5fdc5e9cba88547376818d4)

Важно – Рекомендуется не использовать шифрование на основе DES для сервера


контроллера домена активного каталога, поскольку он не безопасен. Если вы решите
использовать DES-шифрование, и в вашей среде есть клиенты Windows 7, см. sk64300
(http://supportcontent.checkpoint.com/solutions?id=sk64300).

Настройка глобальной аутентификации


Вы можете сконфигурировать Authentication Settings (Настройки аутентификации) для пакетов
развертывания.
Важно – Используйте режим Unauthenticated (Неаутентифицированный) только для целей
оценки. Никогда не используйте этот режим для производственной среды. Сконфигурируйте
настройки аутентификации перед переходом в производство.

Чтобы сконфигурировать настройки аутентификации:


1. В SmartEndpoint откройте Manage > General Properties > Authentication Settings (Управление >
Общие свойства > Настройки аутентификации).
2. Нажмите на Add (Добавить).
Откроется окно Active Directory SSO Configuration (Настройка SSO активного каталога).
3. Введите данные настроенного активного каталога, взятые из вывода ktpass,служебной команды карты
активного каталога ("Настройка активного каталога на аутентификацию" на странице 77).
Поле Описание
Domain name
Доменное имя активного каталога
(Доменное имя)
Название службы аутентификации в формате: SERVICE/realm@REALM
Principle Name
(Название принципа) Это значение должно соответствовать тому, чтобы было сделано в Active
Directory > New Object (Активный каталог > Новый объект) .
Введите (и подтвердите) пароль пользователя-администратора домена
Password (Пароль)
активного каталога, которого вы создали для Endpoint Security.
Ticket encryption method
(Метод шифрования Выберите метод шифрования согласно выводу активного каталога.
билета)
Key version number
Введите номер версии согласно выводу активного каталога.
(Номер версии ключа)

Руководство администратора Endpoint Security Management Server E80.40 | 77


Аутентификация активного каталога Endpoint Security

4. Нажмите на OK.
5. Когда вы будете готовы работать в режиме аутентификации, выберите Work in authenticated mode
(Работать в режиме аутентификации) в секции Authentication Settings (Настройки
аутентификации).Когда вы настроите профили пакетов клиентов, вам нужно будет выбрать учетную
запись аутентификации. Данные настройки SSO будут включены в клиентский пакет, что позволит
серверу аутентифицировать клиента.

Важно – После включения Строгой аутентификации подождите одну минуту, перед


тем как начинать какие-либо клиентские операции.
Синхронизация клиентов и сервера управления Endpoint Security займет некоторое
время. В это время среда будет неаутентифицированной, и некоторые операции не
пройдут. Точное время зависит от интервала синхронизации ("Синхронизация
каталога" на странице 40).

Устранение сбоев при аутентификации в журнале


регистрации событий сервера
Чтобы устранить проблемы, связанные с аутентификацией активного каталога, используйте журнал
регистрации событий аутентификации на сервере в %uepmdir%\logs\Authentication.log.
Чтобы увидеть полную отладочную информацию в файле Authentication.log:
1. На сервере Endpoint Security нажмите правой кнопкой мыши на My Computer (Мой компьютер) и
выберите Properties (Свойства).
2. Во вкладке Advanced (Расширенные настройки) нажмите на Environment Variables (Переменные
среды).
3. Выберите переменную TDERROR_ALL_KERBEROS_SERVER и нажмите на Edit (Редактировать).
4. Измените значение переменной на 5.
5. Нажмите на OK.
6. Нажмите на OK.
7. Перезапустите сервер Apache.

Если в файле Authentication.log на сервере показывается:


ERROR: Config file contains no principals.
База данных была очищена или процесс, включающий аутентификацию в клиентском пакете, привел к
ошибке. Чтобы устранить:
1. Повторите процесс настройки аутентификации ("Настройка аутентификации" на странице 77).
2. Создайте новый клиентский пакет.
3. Перезапустите службу Apache на сервере управления Endpoint Security: apache -k restart.

Если в файле Authentication.log на сервере показывается:

Permission denied in replay cache code


Перезапустите службу Apache на сервере управления Endpoint Security: apache -k restart.

Если в файле Authentication.log на сервере показывается:


Clock skew too great
Убедитесь, что сервер управления Endpoint Security и все клиенты синхронизированы с сервером активного
каталога.
Убедитесь, что в окне Windows Date and Time Properties (Свойства даты и времени Windows) опция
Automatically adjust clock for daylight saving changes (Автоматически переводить часы на летнее
время) имеет одно то же значение (выбрано или очищено) для всех компьютеров в системе, включая
сервер активного каталога.

Руководство администратора Endpoint Security Management Server E80.40 | 78


Аутентификация активного каталога Endpoint Security

Следующий обходной прием не рекомендуется исходя из соображений безопасности, но предлагается,


если вы не можете исправить ошибку рассинхронизации часов изменениями в синхронизации.
Чтобы аутентификация происходила, несмотря на то, что часы клиента, сервера управления Endpoint
Security и сервера активного каталога не синхронизированы, задайте допустимый сдвиг. По умолчанию,
рассинхронизация часов аутентификации составляет 3600 секунд. Вы можете изменить настройки Endpoint
Security. В %UEPMDIR%\engine\conf\global.properties добавьте эту строку:
authentication.clockSkew.secs=<seconds>, где замените <seconds> сдвигом в секундах, который вы
хотите сделать допустимым.Если в файле Authentication.log на сервере показывается:
Key version number for principal in key table is incorrect
Обновите Key version number (Номер версии ключа) в окне Active Directory SSO Configuration
(Настройка SSO активного каталога). Возможно, вы внесли изменения в пользователя, прикрепленного к
службе ktpass ("Настройка активного каталога на аутентификацию" на странице 77).

Устранение сбоев при аутентификации в журналах


регистрации событий клиентов
Файл Authentication.log для каждого клиента Endpoint Security находится на клиентском компьютере в
%DADIR%/logs.
Обычный журнал выглядит так:
[KERBEROS_CLIENT(KerberosLogger_Events)] : Credentials
acquired for John@ACME-DOM.COM
[KERBEROS_MESSAGE(KerberosLogger_Events)] : Message is Empty.
[KERBEROS_CLIENT(KerberosLogger_Events)] : Security context is not
yet established.continue needed.
Если в файле Authentication.log на клиенте показывается:
No authority could be contacted for authentication.
Агент Endpoint не может найти контроллер домена, чтобы предоставить данные доступа. Чтобы исправить
это:
1. Убедитесь, что клиент в домене и имеет подключение к вашему контроллеру домена.
2. Чтобы аутентифицироваться с данными доступа пользователя, выйдите из системы и затем
войдите снова. Чтобы аутентифицироваться с данными доступа устройства, перезапустите
компьютер.

Если в файле Authentication.log на клиенте показывается:


The specified target is unknown or unreachable.
Проверьте название службы. Убедитесь, что отсутствуют опечатки, и что формат верен. Если была ошибка,
исправьте ее в Check Point Endpoint Security Management.

Руководство администратора Endpoint Security Management Server E80.40 | 79


Глава 11
Резервное копирование и
восстановление данных
В этой главе
Общие сведения о резервном копировании и восстановлении данных 80
Предварительные условия 80
Создание резервной копии и восстановление данных 80
Обновление версии PAT на сервере после восстановления данных 81

Общие сведения о резервном копировании и


восстановлении данных
Endpoint Security позволяет вам создавать резервную копию всех данных безопасности, например,
информации о пользователях и политике, в одном сжатом файле. С помощью утилиты миграции командной
строки скопированные данные можно восстановить на оффлайн сервер управления Endpoint Security.
Если у вас есть решение High Availability, обычно в этом нет необходимости.
Сжатый пакет содержит:
• Файлы конфигурации
• Пакеты клиентов
• Сертификаты для пакетов клиентов
• Базу данных Endpoint Management
• Базу данных сервера управления безопасностью
Утилита миграции:
• Экспортирует и импортирует только файлы, относящиеся к компонентам Check Point, установленным на
целевом сервере.
• Копирует файлы конфигурации по верному пути.

Предварительные условия
• Оба сервера Endpoint Security должны иметь одинаковую версию Endpoint Security.
• На обоих серверах Endpoint Security должны быть установлены одинаковые продукты Check Point.
• Оффлайн целевой сервер должен иметь тот же IP адрес, что и сервер-источник.
• Сервер-источник и целевой сервер являются главными серверами Endpoint Security. Операции импорта и
экспорта не поддерживаются на второстепенных серверах.

Руководство администратора Endpoint Security Management Server E80.40 | 80


Резервное копирование и восстановление данных

Создание резервной копии и восстановление данных


Чтобы создать резервную копию данных Endpoint Security:
1. Откройте приглашение командной строки на сервере-источнике.
2. Измените каталог на: %FWDIR%\bin\upgradetools
3. Запустите migrate.exe export с полным путем для файла вывода (.tgz).
Например: %FWDIR%\bin\upgradetools> migrate.exe export <outputfilename>
<outputfilename> может быть путем файла вывода. Если вы не включите путь файла вывода, утилита
создаст файл .tgz в каталоге %FWDiR%\bin\upgradetools.

Чтобы восстановить данные Endpoint Security:


1. Скопируйте файл .tgz с сервера-источника на целевой сервер.
2. Откройте приглашение командной строки.
3. Измените каталог на: %FWDIR%\bin\upgradetools
4. Запустите migrate.exe import с полным путем для файла ввода (.tgz).
Например: %FWDIR%\bin\upgradetools> migrate.exe import <inputfilename>
Утилита миграции:
• Распаковывает файлы конфигурации из .tgz.
• Копирует их в нужные места.
• Восстанавливает базы данных Endpoint Security management и сервера управления безопасностью.
5. Когда появится сообщение, перезапустите целевой сервер.

Обновление версии PAT на сервере после


восстановления данных
При восстановлении более раннего файла конфигурации (.tgz) на новый сервер управления Endpoint
Security также восстанавливается более ранняя таблица назначения политик (Policy Assignment Table
(PAT)). Если версия PAT на восстановленном сервере ниже, чем версия PAT на клиенте, клиент не будет
скачивать обновления политики.
Чтобы получить версию PAT с клиента, подключенного к серверу:
1. Откройте реестр Windows.
2. Найдите HKEYLOCALMACHINE\SOFTWARE\CheckPoint\EndPoint Security\Device Agent
3. Дважды нажмите кнопкой мыши на значение PATVersion. Откроется окно
Edit String (Редактировать строку).
4. Скопируйте номер в поле Value data (Данные значения). Это номер версии PAT.
Чтобы изменить версию PAT на сервере:
1. Откройте приглашение командной строки.
2. Измените каталог на:
• Windows - %uepmdir%\bin>
• SecurePlatform и Gaia - $UEPMDiR/bin
3. Запустите утилиту Endpoint Security Management Security (uepm.exe) и установите новую версию PAT:
Windows: %uepmdir%\bin>uepm patver set <oldPATversionnumber> + 10
SecurePlatform и Gaia: $UEPMDIR/bin>uepm patver set <oldPATversionnumber> + 10
4. Убедитесь, что новая версия PAT установлена, запустив:
Windows: %uepmdir%\bin>uepm patver get
SecurePlatform и Gaia: $UEPMDIR/bin>uepm patver get

Руководство администратора Endpoint Security Management Server E80.40 | 81


Глава 12
Политика Full Disk Encryption
В этой главе
Общие сведения о компоненте Full Disk Encryption 82
Действия правила компонента Full Disk Encryption 82
Установка и развертывание компонента Full Disk Encryption 87
Восстановление данных компонента Full Disk Encryption 89
Обновление компонента Full Disk Encryption 90
Устранение сбоев в компоненте Full Disk Encryption 91

Блейд Check Point Full Disk Encryption (Шифрование содержимого диска ПК) предлагает вам
наивысший уровень безопасности данных. Он совмещает в себе защиту при загрузке, Pre-boot
аутентификацию и криптостойкое шифрование, чтобы только авторизованные пользователи имели
доступ к информации, хранящейся на настольных компьютерах и ноутбуках.

Общие сведения о компоненте Full Disk Encryption


Full Disk Encryption включает в себя две основные составляющие:
• Шифрование содержимого диска – Все тома жесткого диска и скрытые тома автоматически и
полностью зашифровываются. Сюда включаются системные файлы, временные файлы и даже
удаленные файлы. Простой для пользователя отсутствует, потому что шифрование происходит в
фоновом режиме, без заметного снижения производительности. Зашифрованный диск недоступен для
всех неавторизованных лиц.
• Pre-boot Protection (Pre-boot защита) - Пользователи должны аутентифицироваться на своих
компьютерах в Pre-boot (предзагрузке), перед тем как загрузится компьютер. Это предотвращает
неавторизованный доступ к операционной системе с помощью инструментов обхода аутентификации на
уровне операционной системы или альтернативных средств загрузки для обхода защиты при загрузке.
Сконфигурируйте настройки для Full Disk Encryption в SmartEndpoint во вкладке Policy > Full Disk Encryption
Rules (Политика > Правила Full Disk Encryption).
Также настройте политику User Authentication (OneCheck) во вкладке Policy > User Authentication
(OneCheck) Rules (Политика > Правила User Authentication (OneCheck)). Здесь конфигурируются многие
из настроек, относящихся к Pre-boot.

Действия правила компонента Full Disk Encryption


Для каждого Действия в правиле выберите опцию, которая определяет логику работы Действия. Вы можете
выбрать предопределенную опцию Действия или выбрать New (Новый), чтобы задать настраиваемую
опцию Действия.
Нажмите правой кнопкой мыши на Action (Действие) и выберите Edit (Редактировать), чтобы изменить
логику работы Действия.
Изменения в правилах политики приводятся в исполнение только после того, как вы установите политику.

Руководство администратора Endpoint Security Management Server E80.40 | 82


Политика Full Disk Encryption

Шифрование содержимого диска


Следующие действия определяют, шифруются тома жесткого диска или нет.

Действие Описание
Encrypt all local hard-disks Все тома жесткого диска автоматически полностью зашифровываются.
(Зашифровать все Зашифрованный диск доступен только авторизованным пользователям.
локальные жесткие диски)
Do not encrypt local hard- Жесткий диск не шифруется, за исключением небольшого раздела,
disks (Не шифровать зарезервированного для Pre-boot аутентификации.
локальные жесткие диски)

Дважды нажмите кнопкой мыши на действие, чтобы отредактировать свойства.


• Алгоритм шифрования тома:
Full Disk Encryption может использовать следующие алгоритмы шифрования:
• AES (256-битный) – по умолчанию
• Blowfish (256-битный)
• Cast (128-битный)
• 3DES (168-битный)
• Что шифруется:
По умолчанию все диски, обнаруженные после установки, и все видимые тома дисков шифруются. IRRT
устройства не шифруются.

Чтобы изменить, какие тома и устройства будут шифроваться, вы можете выбрать следующие
опции:
• Чтобы шифровать IRRT устройства, выберите Allow protection/encryption on IRRT devices (Разрешить
защиту/шифрование на IRRT устройствах).
• Чтобы выбрать конкретные диски, которые будут шифроваться, выберите Custom Volume Encryption
(Выборочное шифрование томов) и нажмите на Configure Volumes (Настроить тома).
• Чтобы выбрать только минимальное шифрование для Pre-boot защиты, выберите Min (Минимум).

Аутентификация до операционной системы (Pre-boot)


Следующие действия определяют, должны ли пользователи аутентифицироваться в Pre-boot
(предзагрузке), перед тем как загрузится операционная система. Сконфигурируйте метод Pre-boot
аутентификации и другие настройки, относящиеся к аутентификации пользователей в правилах User
Authentication (OneCheck).

Действие Описание
Authenticate user before OS
loads (Pre-boot) Пользователи должны аутентифицироваться на своих
(Аутентифицировать
пользователя перед загрузкой компьютерах в Pre-boot перед загрузкой операционной системы.
ОС (Pre-boot))

Do not authenticate user before Пользователи аутентифицируются на свои компьютерах только на


OS loads (disable Pre-boot) (Не уровне операционной системы. Примечание: Это менее безопасно.
Для снижения вероятности проблем безопасности, сконфигурируйте
аутентифицировать настройки в Require Pre-boot if one or more of these conditions
пользователя перед загрузкой
ОС (Деактивировать Pre-boot)) are met (Требовать Pre-boot, если выполняются одно или
более условий).

Дважды нажмите кнопкой мыши на действие, чтобы отредактировать свойства.


Если вы выберете Authenticate user before OS loads (Аутентифицировать пользователя перед
загрузкой ОС), могут возникать сценарии, когда вы захотите временно обходить Pre-boot. См. Временный
обход Pre-boot (на странице 85).
Если вы выбираете Do not authenticate user before OS loads (disable Pre-boot) (Не
аутентифицировать пользователя перед загрузкой ОС (Деактивировать Pre-boot)), пользователю
становится проще, но это менее безопасно. В качестве альтернативы обходу Pre-boot, вы можете
использовать Систему единого входа (Single Sign-On (SSO)) совместно с Pre-boot аутентификацией.

Руководство администратора Endpoint Security Management Server E80.40 | 83


Политика Full Disk Encryption

Если вы выбираете Do not authenticate user before OS loads (disable Pre-boot) (Не аутентифицировать
пользователя перед загрузкой ОС (Деактивировать Pre-boot)), рекомендуется требовать Pre-boot
аутентификацию в некоторых сценариях. См. Временно требовать Pre-boot (на странице 86).

Временный обход Pre-boot


Временный обход Pre-boot позволяет администратору временно деактивировать Pre-boot защиту, например,
для технических работ. Раньше это называлось технологией дистанционного включения по сети (Wake on
LAN (WOL)).
Вы можете активировать и деактивировать временный обход Pre-boot для компьютера, группы или
организационной единицы с объекта компьютера или группы. Настройки Pre-boot в политике Full Disk
Encryption устанавливают логику работы временного обхода Pre-boot, когда вы активируете ее для
компьютера.
Временный обход Pre-boot снижает безопасность. Следовательно, используйте его только при
необходимости и в течение такого промежутка времени, который необходим. Настройки в политике Full Disk
Encryption устанавливают, когда временный обход Pre-boot автоматически выключается и Pre-boot защита
активируется снова.
Чтобы временно деактивировать Pre-boot на компьютере:
1. В окне Computer Details или Node Details (Информация о компьютере или Информация об узле)
выберите Security Blades > Full Disk Encryption (Блейды безопасности > Full Disk Encryption).
Или нажмите правой кнопкой мыши на узел и выберите Disable Pre-boot Protection
(Деактивировать Pre-boot защиту).
2. Нажмите на Temporarily Disable Pre-boot (Временно деактивировать Pre-boot).
3. Нажмите на Yes (Да).
Pre-boot снова активируется, когда вы нажмете на Revert to Policy Configuration (Вернуться к
настройкам политики) или когда будут выполняться критерии настроек временного обхода Pre-boot.
Чтобы сконфигурировать настройки временного обхода Pre-boot:
1. В правиле Full Disk Encryption в Policy (Политика) нажмите правой кнопкой мыши на Действие
Authenticate before OS loads Pre-boot (Аутентифицировать перед загрузкой ОС Pre-boot) и
выберите Edit Properties (Редактировать свойства).
2. Настройте следующие опции:
Опция Описание

The Endpoint will disable


Temporary Preboot Bypass after
(number of automatic logons) Введите количество раз, когда может использоваться временный
(Endpoint деактивирует обход Pre-boot. После того как это количество входов в систему
временный обход Pre-boot после истечет, временный обход Pre-boot будет деактивирован на
(количество автоматических клиенте, и покажется среда Pre-boot.
входов в систему))

The Endpoint will disable Введите количество дней, на которые активируется временный
Temporary Preboot Bypass after обход Pre-boot. После того как количество дней истечет,
(number of days) (Endpoint временный обход Pre-boot будет деактивирован на клиенте, и
деактивирует временный покажется среда Pre-boot. Выберите небольшое количество,
обход Pre-boot после чтобы не снижать безопасность, деактивируя Pre-boot на долгое
(количество дней) время.

Automatic logon starts after Введите время в минутах. После истечения этого времени
(number of minutes) временный обход Pre-boot пускает пользователя в среду
(Автоматический вход в систему Windows. В течение этого времени показывается окно Pre-boot
вступает в силу через Login (Вход в систему Pre-boot). Пользователь может вручную
(количество минут)) войти в среду windows.

Allow Windows Logon (Разрешить Разрешает пользователю входить в Windows после входа в
вход в систему Windows) систему при временном обходе Pre-boot.

Руководство администратора Endpoint Security Management Server E80.40 | 84


Политика Full Disk Encryption

Примечания -
• Временный обход Pre-boot можно активировать и деактивировать с командной строки
сервера управления Endpoint Security:
Device Details > User Authentication (OneCheck) Pre-boot
Settings > Windows Integrated Logon and Wake on LAN settings.
• Если в среде Pre-boot подвинуть мышью или нажать кнопку на клавиатуре,
временный обход Pre-boot будет деактивирован.

Временно требовать Pre-boot


Если вам не требуется Pre-boot, пользователи переходят прямо к экрану входа в Windows. Поскольку
это снижает защиту компьютера, рекомендуется требовать Pre-boot аутентификацию в некоторых
сценариях.
Чтобы временно требовать Pre-boot:
1. В правиле Full Disk Encryption в Policy (Политике) нажмите правой кнопкой мыши на Действие Do
not authenticate before OS loads Pre-boot (Не аутентифицировать перед загрузкой ОС Pre-boot)
и выберите Edit Properties (Редактировать свойства).
2. Настройте следующие опции, чтобы Require Pre-boot authentication if one or more of these
conditions are met (Требовать Pre-boot аутентификацию, если выполняются одно или более
условий):

Опция Описание

More than X failed logon Если количество неудачных попыток пользователя войти в систему
attempts were made (Было
превышает указанное количество попыток, требуется Pre-boot.
выполнено более Х
неудачных попыток Компьютер автоматически перезапускается, и пользователь должен
входа в систему) аутентифицироваться в Pre-boot.

Если выбрана эта опция, клиент генерирует аппаратный хэш из данных


The hard disk is not used идентификации, обнаруженных в BIOS и в ЦП. Если жесткий диск украден
by the original computer и вставлен в другой компьютер, хэш будет неправильным, и будет
(hardware Hash) (Жесткий требоваться Pre-boot. Компьютер автоматически перезапускается, и
диск не используется пользователь должен аутентифицироваться в Pre-boot.
изначальным Предупреждение: Снимите флажок с опции, перед тем как будете
компьютером обновлять аппаратно-программное обеспечение BIOS или заменять
(аппаратный хэш)) аппаратное обеспечение. После обновления аппаратный хэш
автоматически обновляется, чтобы соответствовать новой конфигурации.

The computer cannot Чтобы убедиться, что клиент подключен к правильной сети, компьютер
reach any of the пингует заданное количество IP адресов во время процесса загрузки.
configured locations Если ни один из IP адресов не отвечает своевременно, компьютер,
(Компьютер не может
достичь ни одного из возможно, удален из доверенной сети, и требуется Pre-boot. Компьютер
сконфигурированных автоматически перезапускается, и пользователь должен
местоположений) аутентифицироваться в Pre-boot.

Before Pre-boot
authentication is required, Введите сообщение, которое будет отображаться пользователю, если
show this message (Перед
тем как потребуется Pre- выполняется настроенное условие, и требуется Pre-boot. Например,
boot аутентификация, позвонить в Справочную службу, если откроется окно Pre-boot.
показать это сообщение)

Внимание – Если не выполняется динамическое событие, например, Network


Location Awareness Verification (Проверка сведений о подключенных сетях),
компьютер не сможет достичь сконфигурированных местоположений.

Руководство администратора Endpoint Security Management Server E80.40 | 85


Политика Full Disk Encryption

Расширенные настройки Pre-boot


Вы можете настроить следующие разрешения среды Pre-boot в свойствах действия Pre-boot защиты в
правиле политики Full Disk Encryption.

Внимание – Эти разрешения также находятся в меню настройки Pre-boot в на клиентских


компьютерах. Чтобы открыть меню настройки Pre-boot, нажмите обе кнопки shift на клиентском
компьютере, пока запускается Full Disk Encryption во время загрузки.

Разрешение Примечания
Выберите, чтобы использовать устройство, которое
подключается к USB порту. Если вы используете USB Smartcard,
Enable USB device in Pre-boot вы должны активировать это разрешение. Если вы не
environment (Активировать USB
устройство в среде Pre-boot) используете USB Smartcard, вам может потребоваться
активировать это разрешение, чтобы использовать мышь и
клавиатуру во время Pre-boot.
Enable PCMCIA (Активировать Активирует ридер PCMCIA Smartcard. Если вы используете
PCMCIA) Smartcard, которые требуют этого, активируйте это разрешение.
Enable mouse in Pre-boot
environment (Активировать Позволяет вам пользоваться мышью в среде Pre-boot.
мышь в среде Pre-boot)

Allow low graphics mode in Pre-


boot environment (Разрешить Выберите, чтобы отображать среду Pre-boot в режиме графики
режим графики низкого низкого разрешения.
разрешения в среде Pre-boot)

Maximum number of failed logons Если активировано, укажите максимальное разрешенное


allowed before reboot количество неудачных попыток входа в систему перед
(Максимальное количество перезагрузкой.
разрешенных неудачных Эта настройка не применяется к картам smart card. У карт
попыток входа в систему до Smartcard есть свои собственные пороги количества
перезагрузки) неудачных попыток входа в систему.
Verification text for a successful Выберите, чтобы уведомлять пользователя о том, что вход в
logon will be displayed for систему успешен, задерживая процесс загрузки компьютера на
(Проверочный текст для
успешного входа в систему количество секунд, которое вы укажете в поле Seconds
будет отображаться в течение) (Секунды).

Выберите, чтобы позволить клиенту переходить в спящий режим


и записывать дампы памяти. Это активирует защиту Full Disk
Allow hibernation and crash Encryption, когда компьютер находится в спящем режиме.
dumps (Разрешить спящий
режим и аварийные дампы Внимание: в Windows должен быть активирован спящий режим,
памяти) чтобы была применена эта опция. Все тома, выбранные для
шифрования, должны быть зашифрованы до того, как Full Disk
Encryption разрешит компьютеру перейти в спящий режим.

Выберите, чтобы позволить пользователям пользоваться


Enable Remote Help Удаленной помощью для получения доступа к своим
(Активировать удаленную
помощь) компьютерам, защищенным блейдом Full Disk Encryption, если
они заблокированы.

Авторизация пользователя до шифрования


Full Disk Encryption принимает пользователей, когда они входят в клиент клиентский компьютер Endpoint
Security. Когда Pre-boot запускается в первый раз, пользователи аутентифицируются со своими данными
доступа в Windows, которые собрал блейд Full Disk Encryption. Шифрование диска и Pre-boot не
запускаются, пока пользователи не будут приняты.
Full Disk Encryption может автоматически принимать пользователей и авторизовать их, или администраторы
должны вручную авторизовать пользователей, после того как их компьютеры будут зашифрованы.

Руководство администратора Endpoint Security Management Server E80.40 | 86


Политика Full Disk Encryption

Действие Описание
Automatically learn and authorize logged До шифрования жесткого диска автоматически
in users before encryption starts регистрировать пользователей, которые заходят в
(Автоматически узнавать и
авторизовать пользователей, свои локальные компьютеры, и авторизовать их,
вошедших в систему, до начала чтобы они могли войти в свои компьютеры после
шифрования) шифрования.

Manually authorize users to access


encrypted computers (Вручную Администраторы должны вручную авторизовать
авторизовать пользователей, чтобы они
могли войти в зашифрованные пользователей на их компьютерах после шифрования.
компьютеры)

Дважды нажмите кнопкой мыши на действие, чтобы отредактировать свойства.


Внимание – Всегда можно вручную авторизовать пользователей, чтобы они могли войти в свои
зашифрованные компьютеры.
Обычно у компьютера один пользователь, и должен быть принят только один пользователь. Если у
компьютера несколько пользователей, лучше всего, если они все войдут в компьютер, чтобы Full Disk
Encryption мог собрать их информацию.
Прежде чем вы активируете Automatically learn and authorize logged in users (Автоматически узнавать и
авторизовать пользователей, вошедших в систему), убедитесь, что клиенты могут получить политики
устройства и пользователей с сервера.
Чтобы сконфигурировать настройки для действия Automatically learn and authorize logged in users
(Автоматически узнавать и авторизовать пользователей, вошедших в систему):
Выберите, что должно произойти, прежде чем прием пользователей будет завершен:
• The acquisition process has acquired (x) user(s) (В процессе приема принято (х) пользователь(-ей)) -
Выберите количество пользователей, которые должны войти в компьютер во время процесса приема
пользователей.
Если вы введете 3, служба приема пользователей будет активна, пока 3 пользователя не войдут в
компьютер. Однако если вы также ограничите период приема конкретным количеством дней, прием
пользователей завершится, если как минимум один пользователь был принят и зарегистрирован в
течение указанного периода времени.
• At least one user has been acquired after x day(s) (Как минимум один пользователь был принят в
течение х дней) – Выберите, как долго необходимо ждать, чтобы получить выбранное количество
пользователей.
Настройка ограничивает количество дней, когда прием пользователей активен для клиента. Если период
истечет, и будет принят один пользователь, Full Disk Encryption может быть приведен в исполнение, и
процесс приема пользователей завершится. Если не будет принят ни один пользователь, прием
пользователей из активного каталога продолжится.
Внимание – Если вам нужно завершить процесс приема, например, клиент не смог принять
пользователей, несмотря на то, что установлен неограниченный промежуток времени, задайте
новую политику, где автоматический прием деактивирован.

OneCheck Logon
OneCheck Logon (Вход в систему OneCheck) – это решение системы единого входа (Single Sign-On),
которое позволяет пользователям входить в систему один раз, аутентифицируясь в:
• Full Disk Encryption (Шифрование всего содержимого диска ПК)
• Media Encryption & Port Protection (Шифрование данных на сменных носителях и Управление портами
ПК)
• Windows
• VPN
Когда активирован OneCheck Logon, открывается отдельное окно входа в систему, которые выглядит почти
так же, как обычное окно аутентификации Windows. Данные входа в систему безопасно хранятся внутри
системы.

Руководство администратора Endpoint Security Management Server E80.40 | 87


Политика Full Disk Encryption

Следующие действия определяют активацию OneCheck Logon:


Действие Описание

Enable lock screen authentication


(OneCheck) (Активировать
аутентификацию экрана блокировки Пользователи входят в систему один раз,
(OneCheck)) аутентифицируясь в операционной системе, Full Disk
Enable OneCheck Identity Single Sign Encryption и других блейдах Endpoint Security.
On for OS (Активировать систему
единого входа OneCheck для ОС)

Использовать родной механизм входа в ОС. Вы можете


Use native sign on for OS активировать систему единого входа (не OneCheck) в User
(Использовать родной механизм Authentication (OneCheck), чтобы установить единый вход в
входа в систему для ОС) систему, который будет применяться к ОС и Full Disk
Encryption.

Дважды нажмите кнопкой мыши на действие, чтобы редактировать Свойства.


Чтобы настроить свойства OneCheck Logon:
1. Выберите Enable OneCheck (Активировать OneCheck).
2. Дополнительно: Настройте заставку Check Point Endpoint Security.
• Заставка будет активна только после того, как на клиенте будет установлена политика Full Disk
Encryption.
• Выбрав опцию заставки Check Point Endpoint Security, введите:
• Текст, показывающийся, когда заставка активна.
• Количество минут, которое клиент остается в состоянии бездействия, до того как активируется
заставка.
3. Дополнительно: Выберите Require that only an authorized Pre-boot user is allowed to log into Windows
(Требовать, чтобы только пользователь, авторизовавшийся в Pre-boot, мог войти в Windows).
Если выбрана эта опция, только пользователи, которые имеют разрешение аутентифицироваться в Pre-
boot на этом компьютере, могут войти в операционную систему.

Установка и развертывание компонента Full Disk


Encryption
После того как пакет, включающий Full Disk Encryption, успешно установлен на клиенте, нужно выполнить
много требований, пока станет возможным привести в исполнение политику Full Disk Encryption. Пока эти
требования не будут выполнены, Pre-boot не откроется. Период времени между установкой и тем, когда
политика может быть приведена в исполнение, называется фаза развертывания Full Disk Encryption.
Чтобы перейти из фазы развертывания к приведению в исполнение политики Full Disk Encryption,
необходимо выполнить следующие требования:
• Между клиентом и сервером должна быть связь.
• Клиент должен получить политики Full Disk Encryption и политики пользователя с сервера.
• Пользователи должны быть приняты согласно настроенной политике.
• Должна быть настроена как минимум одна учетная запись пользователя.
• Клиент должен отослать файл восстановления на сервер.
• Должна быть создана необходимая системная область, должны быть обновлены записи загрузки
согласно конфигурации (включая активацию Pre-boot).
• Устройство должно отвечать требованиям к клиенту или Full Disk Encryption.

Если между клиентом и сервером имеется связь, и клиент отвечает требованиям к клиенту, все требования
выполняются автоматически. Однако если эти требования не выполняются, Full Disk Encryption не может
защитить компьютер, и Pre-boot открыться не может.

Руководство администратора Endpoint Security Management Server E80.40 | 88


Политика Full Disk Encryption

Требования к клиенту для развертывания Full Disk Encryption


Клиенты должны иметь:
• 32MB постоянного свободного места на системном томе клиента

Внимание – Во время развертывания блейда Full Disk Encryption на клиенте, служба Full Disk
Encryption автоматически дефрагментирует том, чтобы создать 32MB постоянного свободного
места, и приостанавливает свойство спящего режима Windows на время, пока диск
зашифровывается.

Клиенты НЕ должны иметь:


• RAID
• EFI (Расширяемый интерфейс встроенного ПО)
• Секторы, являющиеся частями наборов томов или томов, распределенных по дискам массива
• На Windows XP корневой каталог не должен быть сжат. Подкаталоги корневого каталога могут быть
сжаты.

Завершение развертывания Full Disk Encryption на клиенте


Пользователям потребуется перезагрузить свои компьютеры дважды во время развертывания Full Disk
Encryption. Первый раз, чтобы убедиться, что Pre-boot работает, до того как Full Disk Encryption зашифрует
жесткий диск, и второй раз, чтобы проверить данные аутентификации.

Этапы фазы развертывания


Вы будете видеть статус фазы развертывания в:
• Главной странице клиента Endpoint Security – В статусе Full Disk Encryption.
• SmartEndpoint – В Computer Details > General Details (Информация о компьютере > Общая
информация). Посмотрите на Blade Status (Статус блейда), чтобы увидеть статус Full Disk Encryption.
• Журнале отладки
Статусы, показываемые на главной странице клиента Endpoint Security:
• Waiting for Policy (Ожидание политики) – Ожидание, пока политика будет скачана с сервера.
• User Acquisition (Прием пользователей) - Пользователи принимаются, когда они входят в систему
Windows на компьютере, на котором установлен Full Disk Encryption. Количество пользователей, которые
должны быть приняты, зависит от настроек. Full Disk Encryption может быть активирован после того, как
будут приняты все пользователи.
• Verifying Setup (Проверка установки) – Клиент проверяет, чтобы все настройки были выполнены
должным образом, а также чтобы пользователи были приняты правильно, и политики паролей были
выполнены.
• Deliver Recovery File (Доставка файла восстановления) – Клиент посылает файл восстановления на
сервер. Он включает пользователей на компьютере, которые имеют разрешение использовать средства
восстановления.
• Waiting for Restart (Ожидание перезагрузки) – Пользователь должен перезагрузить клиент. После того
как он перезагружен, пользователи увидят Pre-boot. Пользователи увидят сообщение с просьбой войти
со своими данными доступа Windows. Затем Full Disk Encryption начнет процесс шифрования томов
согласно политике.
• Encryption in Progress (Шифрование в процессе) - Full Disk Encryption зашифровывает тома.

Руководство администратора Endpoint Security Management Server E80.40 | 89


Политика Full Disk Encryption

Главные составляющие Full Disk Encryption


Название Имя файла Описание
компонента

Full Disk Encryption Служба Full Disk Encryption содержит текущие данные
конфигурации и запускает фоновое шифрование или
service (Служба Full FDE srv.exe дешифровку. Обмениваясь записями загрузки тома, служба Full
Disk Encryption)
Disk Encryption идентифицирует тома, которые необходимо
зашифровать.
Crypto core
(Криптоядро) ccore32.bin Криптоядро содержит алгоритмы шифрования.

Драйвер Full Disk Encryption для шифрования. Таблица


размещения файлов (File Allocation Table (FAT)) предоставляет
драйверу информацию о расположении секторов, где хранятся
Filter driver (Драйвер данные. Full Disk Encryption зашифровывает каждый байт
фильтра) Prot 2k.sys выбранного диска. Фоновое шифрование начинается с первого
сектора выбранного тома и продвигается последовательно к
последнему сектору. Шифруется операционная система
полностью.

Восстановление данных компонента Full Disk Encryption


Если по причине отказа системы Windows не может запуститься на клиентском компьютере, вы можете
использовать Full Disk Encryption Recovery Media (Средство восстановления данных Full Disk
Encryption), чтобы дешифровать компьютер и восстановить данные. Клиентские компьютеры посылают
файлы восстановления на сервер управления Endpoint Security единожды во время исходного
развертывания, поэтому вы можете создать средство восстановления, если необходимо. После
восстановления файлы возвращаются дешифрованными, какими они были до установки Full Disk
Encryption, и Windows может запускаться без Pre-boot.
После восстановления данных вы должны установить Full Disk Encryption на компьютер.
Средство восстановления:
• Является моментальным снимком поднабора базы данных Full Disk Encryption на клиенте.
• Содержит только данные, необходимые для выполнения восстановления.
• Обновляется, если зашифровываются или дешифруются дополнительные тома.
• Удаляет только шифрование с диска и защиту при загрузке.
• Не удаляет компоненты Windows.
• Восстанавливает исходные записи загрузки.
Пользователи должны аутентифицироваться в средстве восстановления с помощью имени пользователя и
пароля. Есть возможность выбора, какие данные доступа использовать:
• Пользователи, которые назначены к компьютеру и имеют разрешение Allow use of recovery media
(Разрешить использование средств восстановления) (в User Authentication (OneCheck) rule >
Advanced > Default logon settings (Правило User Authentication (OneCheck) > Расширенные
настройки > Настройки входа в систему по умолчанию)) могут аутентифицироваться с помощью
своих обычных имени пользователя и пароля.

• Когда вы создаете средство восстановления, вы можете создать временного пользователя, который


может аутентифицироваться в нем. Пользователь, имеющий данные доступа, может
аутентифицироваться в этом средстве восстановления. Пользователям не требуется разрешение Allow
use of recovery media (Разрешить использование средств восстановления), чтобы пользоваться
средством восстановления. Пользователи Smartcard должны использовать эту опцию для
восстановления.

Создание средства восстановления данных


Вы можете создать средство восстановления данных Full Disk Encryption, которое может запускаться на
отказавшем компьютере для его дешифровки. Средство может быть на CD/DVD, USB устройстве или в
файле REC.

Руководство администратора Endpoint Security Management Server E80.40 | 90


Политика Full Disk Encryption

Пользователи, которые могут аутентифицироваться в Pre-boot только с помощью карт Smartcard, должны
использовать процедуру, показанную ниже, чтобы создать временного пользователя, который может
воспользоваться средством восстановления.
Внимание – Создание средства восстановления на USB флэш-диске форматирует устройство и удаляе
все предыдущее содержимое.

Чтобы создать средство восстановления:


1. В SmartEndpoint выберите Tools > Encryption Recovery Media (Инструменты > Средства
восстановления).
Откроется окно Full Disk Encryption Recovery Media Tool (Инструмент средств восстановления Full
Disk Encryption).
2. Дважды нажмите кнопкой мыши на папку в дереве навигации, чтобы просмотреть пользователей и
компьютеры, которые в нее входят.
3. Нажмите правой кнопкой мыши на компьютер, который будет восстанавливаться, и выберите
Encryption Recovery Media (Средство восстановления шифрования).
Адресат возвращает последние известные данные восстановления, которые были загружены на сервер
клиентом.
4. Пользователи, у которых есть разрешение использовать средство восстановления для компьютера,
показываются в области Users Allowed to Recover (Пользователи, которым разрешено
восстанавливать).
• Если пользователь, который будет выполнять восстановление, находится в списке, перейдите к
следующему шагу.
• Если пользователь, который будет выполнять восстановление, не находится в списке:
(i) Нажмите на Add (Добавить), чтобы создать временного пользователя, который может
использовать средство восстановления.
(ii) В открывшемся окне добавьте имя пользователя и пароль, которые будет использовать
пользователь для доступа к файлу.
5. Выберите пункт назначения для Средства восстановления:
• Для самозагружаемого CD/DVD, введите путь к каталогу для файла ISO
• Для файла REC, введите путь к каталогу для файла.
• Для USB устройства выберите целевой диск из списка.
6. Нажмите на Write Media (Записать средство).
7. Передайте файл или устройство Средства восстановления пользователю, который будет выполнять
восстановление.
8. Убедитесь, что пользователь знает:
• Какие имя пользователя и пароль использовать.
• Как загрузить компьютер: с помощью CD или USB устройства.

Использование средства восстановления


Используйте новое созданное средство восстановления данных Full Disk Encryption для дешифровки
отказавшего компьютера.
Чтобы восстановить зашифрованный компьютер:
1. На отказавшем компьютере запустите средство восстановления с CD/DVD или самозагружаемого USB
устройства.
2. Когда появится окно Recovery Console Login (Вход в консоль восстановления), введите имя и пароль
пользователя на средстве восстановления.
Диск дешифруется с помощью ключей разделов, содержащихся в Средстве восстановления.
Внимание – Во время процесса дешифровки клиент не может запускать другие программы.

Руководство администратора Endpoint Security Management Server E80.40 | 91


Политика Full Disk Encryption

Обновление компонента Full Disk Encryption


Если вы обновляете Endpoint Security с более ранней версии R80, R80.x или E80.x, никаких специальных
действий для Full Disk Encryption не требуется. Выполните процедуру, описанную в разделе об Обновлении
клиентов ("Обновление клиентов Endpoint Security" на странице 53).
Как обновление затрагивает пользователей?
Обновление не оказывает значительного влияния на пользователей.

Обновление более ранней версии Full Disk Encryption


См. Информацию по версии Endpoint Security (http://supportcontent.checkpoint.com/solutions?id=sk82100 ) для
данной версии, чтобы найти информацию о поддерживаемых путях обновления. Перед тем как вы будете
обновляться, убедитесь, что процессы шифрования и дешифровки не запущены.
Обновление выполняется стандартными пакетами MSI Endpoint Security, которые можно запустить вручную
или через развертывание программного обеспечения Endpoint Security.
Во время обновления:
• Клиент остается зашифрованным.
• Все существующие настройки пользователей и политик сбрасываются. Сохраняются только ключи
разделов.
• Full Disk Encryption проходит фазу развертывания
Чтобы обновить пакет клиента с Full Disk Encryption EW:
• Если вы знаете проверочный пароль (Validation Password), выполните процедуру, описанную в
разделе Обновление клиентов ("Обновление клиентов Endpoint Security" на странице 53).
• Если вы не знаете проверочного пароля (Validation Password), выполните процедуру, описанную ниже.
Чтобы обновить пакет клиента с Full Disk Encryption MI или с EW без пароля:
1. В существующей среде MI или EW создайте пользователя или группу пользователей с этим именем:
Allowupgrade
Этот пользователь или группа не требует разрешений.
2. Обновите все клиенты Full Disk Encryption MI или EW с помощью нового пользователя или группы.
a) В консоли управления Full Disk Encryption MI или EW перейдите в контейнер, в котором содержатся
все клиенты.
b) Нажмите правой кнопкой мыши на объект и выберите Properties (Свойства).
c) Во вкладке Properties > Software (Свойства > Программное обеспечение) выберите Full Disk
Encryption и нажмите на Properties (Свойства).
d) Разверните User Group (Группа пользователей), нажмите правой кнопкой мыши на Users
(Пользователи) и выберите Add Users (Добавить пользователей).
e) Перейдите к пользователю _allow_uPgrade_ и выберите Add to Selected Users (Добавить к
выбранным пользователям).
f) Нажмите на OK.
3. Убедитесь, что все клиенты подключены к серверу и получат обновление через следующий heartbeat-
интервал.
4. Установите новый Исходный клиент на компьютеры с более ранними клиентами.
Как обновление затрагивает пользователей?
• Пользователей просят использовать свой пароль Windows для первого Pre-boot, после того как
завершится обновление и развертывание.
• Страница Pre-boot выглядит немного иначе.

Устранение сбоев в компоненте Full Disk Encryption


В этом разделе рассматривается устранение основных сбоев.

Использование CPinfo
CPinfo используется для сбора данных о компонентах в среде Full Disk Encryption на клиенте.
Рекомендуется посылать собранные данные в Check Point для анализа.
Если вы не введете папку вывода, CPinfo собирает данные о компонентах в среде Pre-boot компонента Full
Disk Encryption на клиенте.

Руководство администратора Endpoint Security Management Server E80.40 | 92


Политика Full Disk Encryption

Запустите CPinfo в случае если:


• Шифрование или дешифровка на Windows проходит неудачно.
• Выбранный диск или том не зашифровывается или не дешифруется.
• Возникают проблемы, связанные с Full Disk Encryption.
• Возникают системные сбои.
CPinfo собирает:
• Все файлы в каталоге данных.
• Журнал установки.
• Данные версий исполняемых файлов.
• Значения реестра для Full Disk Encryption.
• GinaDll, UpperFilters и ProviderOrder.
• Структуру SMBios.
• Списки установленных приложений.
• Список разделов Microsoft Windows.
Чтобы запустить CPinfo:
1. В области уведомлений нажмите правой кнопкой мыши на иконку клиента.
2. Выберите Display Overview (Отобразить общие сведения).
3. В правой секции нажмите на Advanced (Расширенные настройки).
4. Нажмите на Collect information for technical support (Сбор информации для технической
поддержки).
CPinfo откроет приглашение командной строки.
5. Нажмите ENTER (ПУСК), чтобы начать.
Информация собирается. Откроется окно, в котором будет показано расположение файла cab.
6. Нажмите кнопку, чтобы выйти из CPinfo.
Чтобы запустить CPinfo вручную:
1. Откройте приглашение командной строки.
2. Перейдите в местоположение пути инструмента CPinfo: cd \path\
3. Запустите CPinfo с именем файла и папкой вывода:
C:\path\>CPinfo.exe <output cab filename> <output folder name>
Например: С :\path\>CPinfo.exe SR1234 temp.
Приложение CPinfo сохраняет вывод в указанной папке.
• Если имя вывода не указано, файл вывода будет иметь то же имя, что и папка вывода.
• Если папка вывода не указана, cpinf oPreboot сохраняет файл вывода в каталог, где располагается
инструмент CPinfo.

Использование CPinfoPreboot
Запустите CPinfoPre-boot, если вы не можете:
• Вызвать окно Pre-boot Logon (Вход в систему в Pre-boot).
• Войти в систему через окно Pre-boot Logon (Вход в систему в Pre-boot).
• Начать шифрование или дешифровку.
• У вас был сбой в системе, включая сбой Windows или Full Disk Encryption.
• Сбой Windows привел к голубому или черному экрану.
• Сбой Full Disk Encryption привел к зеленому или красному экрану.
CPinfoPreboot собирает:
• Читаемые журналы регистрации событий всех дисков и томов (scan.log).
• Главную запись загрузки для каждого диска.
• Запись загрузки раздела для каждого тома.
• Первые 100 секторов с каждого физического диска.
• Первые 100 секторов с каждого тома.
• Данные системных областей.
Используйте внешне USB устройство для сбора данных Pre-boot. Устройство должно иметь как минимум
128 MB свободного пространства и достаточное место для хранения файла вывода cab. CPinfoPreboot
не может запускаться на средствах загрузки, подготовленных с помощью драйвера фильтра Full Disk
Encryption.
Чтобы собрать данные Pre-boot:
1. Скопируйте CPinfoPreboot. exe на внешнее USB устройство.

Руководство администратора Endpoint Security Management Server E80.40 | 93


Политика Full Disk Encryption

2. Загрузите клиент с USB устройства.

Внимание - Microsoft Windows автоматически не определяет USB устройства после загрузки. USB
устройство должно быть подключено во время загрузки компьютера.
3. Откройте приглашение командной строки и наберите: <path to CPinfoPreboot> <CPinfoPreboot
.exe
<output cap filename> <output folder name>.
Например: C:\path\>CPinf oPreboot.exe SR1234 temp.
4. CPinfoPreboot сохраняет файл вывода в назначенную папку.
• Если имя файла вывода не указано, файл вывода имеет такое же имя, что и папка вывода.
• Если папка вывода не указана, CPinfoPreboot сохраняет файл вывода в рабочий каталог на
внешнем устройстве. Папка вывода требуется, если рабочий каталог находится на устройстве
только для чтения.
Журнал отладки
Вы можете использовать журнал отладки, чтобы изучить фазы развертывания или возникающие проблемы.
Информация в нем включена в CPinfopreboot. Пошлите полные результаты CPinfopreboot в
Техническую поддержку для анализа.
Журнал отладки клиента называется dlog1. txt и находится в следующих местах на пользователе:

Операционная
Путь к файлу журнала
система
C:\Documents and Settings\All Users\Application Data\CheckPoint\Endpoint
Windows XP
Security\Full Disk Encryption

Windows Vista C:\ProgramData\CheckPoint\Endpoint Security\Full Disk Encryption

Windows 7 C:\ProgramData\CheckPoint\Endpoint Security\Full Disk Encryption

Проблемы Pre-boot
Проблемы с мышью или клавиатурой
Если у пользователей возникли проблемы с мышью или клавиатурой во время Pre-boot, вам может
потребоваться изменить настройку Enable USB device in Pre-boot environment (Активировать USB
устройство в среде Pre-boot). Эта настройка находится в Full Disk Encryption Policy > Pre-boot Settings
(Политика Full Disk Encryption > Настройки Pre-boot). Вы можете также изменить эту настройку из меню
настройки Pre-boot (Pre-boot Customization Menu), нажав обе кнопки shift во время загрузки Full Disk
Encryption при запуске компьютера.
Проблема с паролем при первом Pre-boot
Когда окно Pre-boot откроется на компьютере в первый раз, пользователи видят сообщение с просьбой
войти с помощью их пароля Windows. Если пароль Windows не отвечает требованиям, настроенным для
Pre-boot, аутентификация не проходит.
Чтобы это исправить, измените требования к паролю в User Authentication (OneCheck), чтобы они
соответствовали требованиям Windows. Затем установите новую политику User Authentication (OneCheck)
на клиент.
Проблема с картами Smartcards
Если возникают проблемы совместимости Smartcard, попробуйте переключить настройку Legacy USB
Support (Поддержка более ранних USB) в BIOS, чтобы активировать ее или деактивировать, в
зависимости от текущей настройки.

Журнал регистрации событий Full Disk Encryption


Full Disk Encryption использует модуль регистрации событий клиента для ведения контрольных журналов.
Журналы создаются в средах Pre-boot и Windows. Журналы, созданные в Pre-boot, кэшируются в системной
области Full Disk Encryption до передачи в модуль регистрации событий клиента. Full Disk Encryption

Руководство администратора Endpoint Security Management Server E80.40 | 94


Политика Full Disk Encryption

записывает следующие операции:


• Прием пользователей
• Установка и обновление
• Изменения политики
• Динамическое шифрование
• События аутентификации / блокировки пользователя

Проблемы при обновлении


• Файл FDEinsrtallDLL.dll создает журнал обновления: %ALLUSERSPROFiLE%\Application
Data\Check Point\Full Disk Encryption\FDEdlog.txt. Всегда проверяйте файл журнала на
наличие возможных ошибок установки.
• Файл журнала иногда содержит коды ошибок Win32 с предлагаемыми путями решения. Чтобы
отобразить текст кода ошибки Win32, запустите команду HELPMSG: С:\>net helpmsg <errorcode>

Фаза развертывания Full Disk Encryption


Ниже представлены несколько проблем, которые могут возникнуть в фазе развертывания, и возможные
причины и пути решения.
Проблема: Развертывание застряло на шаге приема пользователей.
Причины и пути решения:
1. В политике приема пользователей может быть предусмотрено, что в компьютер должны войти
несколько пользователей. Вы можете:
• Изменить политику приема пользователей.
• Попросить пользователей войти в компьютер, чтобы Full Disk Encryption мог их принять
Если прием пользователей не активирован, устройству должен быть назначен как минимум один
пользователь с паролем.
2. Требования к Pre-boot паролю не должны быть строже, чем требования к паролю входа в Windows. Если
требования к паролю Windows и Pre-boot не совпадают, измените настройки пароля для пароля Pre-boot.
3. Убедитесь, что необходимые подключения работают, и что все процессы запущены. Убедитесь, что:
• FDE Credential Manager (PssoCM32) активен на Windows XP:
HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order.
• FDE Credential Provider (PCP) активен на Windows Vista или Windows 7:
HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\services\PCP\NetworkProvider.
• Сетевое подключение стабильно.
• Агент драйвера запущен и имеет подключение к серверу.
• Device Auxiliary Framework запущен.
Проблема: Развертывание застряло на шифровании.
Причины и пути решения:
Если шифрование остановилось на 50%, убедитесь, что службы системы запущены. Убедитесь, что служба
fdesrv.exe запущена. Если она не запущена, запустите ее вручную (нажмите правой кнопкой мыши на
службу и выберите start (запустить) в диспетчере задач Windows).
Проблема: Развертывание идет медленно или зависает.
Причины и пути решения:
• Убедитесь, что компьютер отвечает всем требованиям к клиенту.
• Проблемы Full Disk Encryption может вызвать фрагментация диска или поврежденный жесткий диск.
Запустите ПО дефрагментации диска на томе, чтобы исправить фрагментацию и поврежденные секторы.
• Убедитесь, что сетевое подключение стабильно.
Утилита Dynamic Mount Utility
Чтобы обратиться к данным на жестком диске компьютера, защищенного Full Disk Encryption без выполнения
восстановления, используйте Dynamic Mount Utility компонента Full Disk Encryption. См. Руководство
администратора по Dynamic Mount utility
(http://supportcontent.checkpoint.com/documentation_download?ID=11801).

Руководство администратора Endpoint Security Management Server E80.40 | 95


Глава 13
Политика User Authentication
(OneCheck)
В этой главе
Общие сведения о User Authentication (OneCheck) 96
Действия политики User Authentication (OneCheck) 96
Перед настройкой Smart Card аутентификации 101
Изменение пароля пользователя 103
User Authentication (OneCheck) (Аутентификация пользователей (OneCheck)) определяет настройки
аутентификации пользователей на клиентских компьютерах Endpoint Security.

Общие сведения о User Authentication (OneCheck)


User Authentication (OneCheck) включает в себя:
• То, как пользователи аутентифицируются в Endpoint Security.
• Имеют ли пользователи доступ к Windows после того, как они аутентифицировались в Endpoint Security,
или они должны также войти в Windows.
• Что происходит, когда пользователь вводит неверные данные аутентификации.
• Ограничение количества попыток доступа пользователя в компьютер.
• Разрешена ли Удаленная помощь. Это позволяет пользователям получить помощь от администратора,
например, если их компьютер был заблокирован после слишком большого количества неудачных
попыток аутентификации.
Вы можете сконфигурировать настройку User Authentication (OneCheck) во вкладке Policy > User
Authentication (OneCheck) rules (Политика > Правила User Authentication (OneCheck)).
Многие из этих настроек относятся к Pre-boot аутентификации, являющейся частью Full Disk Encryption.
Сконфигурируйте настройки политики Full Disk Encryption также во вкладке Policy > Full Disk Encryption
Rules (Политика > Правила Full Disk Encryption).

Действия политики User Authentication (OneCheck)


Для каждого Действия в правиле выберите опцию, которая определяет логику работы Действия. Вы можете
выбрать предопределенную опцию Действия или выбрать New (Новый), чтобы задать настраиваемую
опцию Действия.
Нажмите правой кнопкой мыши на Action (Действие) и выберите Edit (Редактировать), чтобы изменить
логику работы Действия.
Изменения в правилах политики приводятся в исполнение только после того, как вы установите политику.

Методы Pre-boot аутентификации


Если на компьютере как часть Full Disk Encryption требуется Pre-boot , пользователи должны
аутентифицироваться на своих компьютерах в Pre-boot, прежде чем компьютер загрузится. В версиях
E80.30 и выше пользователи могут аутентифицироваться в Pre-boot следующими двумя методами:
• Password (Пароль) – Имя пользователя и пароль. Это метод по умолчанию.
Пароль может быть тем же, что и пароль Windows, или может быть создан пользователем или
администратором.
• Smartcard – Физическая карта, которую вы ассоциируете с сертификатом.
Пользователи должны иметь физическую карту, ассоциированный сертификат и установленные
драйверы Smartcard.
Клиенты Endpoint Security с версией ниже, чем E80.30, должны обновиться до E80.40, чтобы использовать
метод аутентификации Smartcard.
Сконфигурируйте глобальные настройки для метода Pre-boot аутентификации в User Authentication
(OneCheck) Actions (Действия User Authentication (OneCheck)).
Сконфигурируйте настройки для отдельных пользователей в User Details > Security Blades > User
Authentication (OneCheck) > Modify (Информация о пользователе > Блейды безопасности >
User Authentication (OneCheck) > Изменить).

Руководство администратора Endpoint Security Management Server E80.40 | 96


Политика User Authentication (OneCheck)

Глобальные настройки Pre-boot аутентификации


Сконфигурируйте глобальные настройки для метода Pre-boot аутентификации в правиле политики User
Authentication (OneCheck). Здесь конфигурируются настройки для всех пользователей. Однако вы можете
переписать глобальные настройки для отдельных пользователей в User Details > Security Blades > User
Authentication (OneCheck)> Modify (Информация о пользователе > Блейды безопасности > User
Authentication (OneCheck) > Изменить).
Выберите Действие, определяющее метод Pre-boot аутентификации по умолчанию:
Действие Описание
Authenticate users with Password
(Аутентифицировать пользователей с Пользователи могут аутентифицироваться только с
помощью пароля) помощью имени пользователи и пароля.

Authenticate users using Smartcard or Password Пользователи могут аутентифицироваться с


(Аутентифицировать пользователей с помощью имени пользователи и пароля или
помощью Smartcard или пароля) Smartcard.
Настройки пароля берутся из правил User Authentication (OneCheck), которые назначены
пользователю.
Нажмите правой кнопкой мыши на Действие и выберите Edit (Редактировать), чтобы
сконфигурировать дополнительные настройки, если вы выберете использовать
аутентификацию с помощью Smartcard.
Важно – Перед тем как вы настроите в качестве метода по умолчанию только Smartcard
аутентификацию, убедитесь, что вы понимаете требования. См. Перед настройкой Smart Card
аутентификации (на странице 104). Все требования должны быть установлены правильно,
чтобы пользователи могли успешно аутентифицироваться с картами Smartcard.
Чтобы настроить в качестве метода по умолчанию только карты Smartcard или карты Smartcard или
пароль:
1. Выберите одну из Smartcard опций в качестве Default Pre-boot authentication method (Метод Pre-boot
аутентификации по умолчанию).
2. Если вы выберете Smartcard, рекомендуется выбрать
Change authentication method only after user successfully authenticates with a Smart Card
(Изменить метод аутентификации только после того, как пользователь успешно
аутентифицируется с картой Smart Card).
Это позволяет пользователям аутентифицироваться с паролем, пока все требования к Smartcard
аутентификации не будут установлены правильно. После того как пользователи один раз успешно
аутентифицируются с помощью Smartcard, они должны использовать свою карту Smartcard для
аутентификации. Если вы настроите пользователя только на Smartcard аутентификацию и не выберете
эту опцию, этот пользователь не сможет аутентифицироваться в Full Disk Encryption с паролем.
3. В области Smartcard driver (Драйвер Smartcard) выберите протокол Smartcard, который использует
ваша организация:
• Not Common Access Card (CAC) (Не карта общего доступа) – все другие форматы
• Common Access Card (CAC) (Карта общего доступа) – формат CAC
4. В области Select Smartcard driver to be deployed (Выберите драйвер Smartcard для развертывания)
выберите драйверы для вашей Smartcard и ридера.
Все выбранные драйверы будут установлены на компьютерах конечных точек, когда они получат
обновления политики.
Если вы не видите драйвера, необходимого для вашей Smartcard, вы можете:
• Ввести строку текста в поле Search (Поиск).
• Нажмите на Import (Импортировать), чтобы импортировать драйвер с вашего компьютера. Если
необходимо, вы можете скачать драйверы для импортирования с Центра технической поддержки
Check Point (http://supportcenter.checkpoint.com).
5. В области сканера каталога выберите Scan user certificates from Active Directory (Сканировать
сертификаты пользователей из активного каталога), если вы хотите, чтобы сканер каталога
сканировал сертификаты пользователей.
6. Если вы выбрали сканирование сертификатов пользователей, выберите, которые сертификаты будет
сканировать сканер каталога:
• Scan all user certificates (Сканировать все сертификаты пользователей)
• Scan only user certificates containing the Smartcard Logon OID (Сканировать
только сертификаты пользователей, содержащие Smartcard Logon OID) – OID:
1.3.6.1.4.1.311.20.2.2.
Руководство администратора Endpoint Security Management Server E80.40 | 97
Политика User Authentication (OneCheck)

7. Нажмите на OK.
Если необходимо, используйте отчеты из Отчетов Pre-boot, чтобы устранить сбои, связанные с драйверами
или сертификатами пользователей.

Настройки Pre-boot аутентификации пользователей


Для пользователей применяется метод Pre-boot аутентификации из глобальных настроек Pre-boot
аутентификации. Вы можете перекрыть настройки для отдельных пользователей на странице User Details
> Security Blades > User Authentication (OneCheck) (Информация о пользователе > Блейды
безопасности > User Authentication (OneCheck) > Изменить). Вы можете также назначить пароль
пользователя и вручную добавить сертификаты пользователя на этой странице.
Чтобы изменить метод Pre-boot аутентификации пользователя:
1. Нажмите правой кнопкой мыши на пользователя и выберите Edit (Редактировать).
2. Нажмите на User Authentication (OneCheck) на странице General Details (Общая информация) или
выберите Security Blades > User Authentication (OneCheck) (Блейды безопасности > User
Authentication (OneCheck)).
3. Посмотрите на настроенный метод аутентификации пользователя, например, "Eva Guerra's Pre-boot
authentication is Password" («Метод Pre-boot аутентификации для Eva Guerra - пароль») и нажмите на
Modify (Изменить).
4. В открывшемся окне выберите опцию:
• Use global settings to determine the authentication method for this user (Использовать
глобальные настройки метода аутентификации для этого пользователя) – Возвращение к
глобальным настройкам.
• Use specific authentication settings for this user (Использовать отдельные настройки
аутентификации для этого пользователя) – Настройка другого метода для этого пользователя.
5. Если вы выберете Use specific authentication settings for this user (Использовать отдельные
настройки аутентификации для этого пользователя), выберите метод аутентификации:
• Password (Пароль) – Этот пользователь может аутентифицироваться только с помощью имени
пользователя и пароля.
• Smartcard (requires certificate) (Smartcard (Требуется сертификат)) – Этот пользователь может
аутентифицироваться только с помощью карты Smartcard.
• Either Smartcard or Password (Smartcard или пароль) - Этот пользователь может
аутентифицироваться либо с помощью имени пользователя и пароля, либо с помощью карты
Smartcard.
6. Если вы выберете Smartcard, рекомендуется выбрать
Change authentication method only after user successfully authenticates with a Smart Card (Изменить
метод аутентификации только после того, как пользователь успешно аутентифицируется с
картой Smart Card).
Это позволяет пользователям аутентифицироваться с паролем, пока все требования к Smartcard
аутентификации не будут установлены правильно. После того как пользователи один раз успешно
аутентифицируются с помощью Smartcard, они должны использовать свою карту Smartcard для
аутентификации. Если вы настроите пользователя только на Smartcard аутентификацию и не выберете
эту опцию, этот пользователь не сможет аутентифицироваться в Full Disk Encryption с паролем.
7. Нажмите на OK.
8. На странице User Authentication (OneCheck):
• Для аутентификации с паролем - Вы можете ввести User Password (Пароль пользователя) или
Change Password (Изменить пароль).
• Для Smartcard аутентификации – В области User Certificates (Сертификаты пользователей)
убедитесь, что у пользователя есть действительный сертификат для использования с картой
Smartcard. Если сертификат не показывается, вы можете нажать на Add (Добавить), чтобы
импортировать сертификат.
9. Нажмите на OK.
Сложность и безопасность пароля
Эти Действия определяют требования к паролям пользователей:
Действие Описание
Применяются стандартные требования к паролю Windows:
Use Windows password complexity Пароль должен:
(Использовать сложность пароля • состоять как минимум из шести знаков
Windows) • содержать знаки как минимум из 3 из этих категорий: верхний
регистр, нижний регистр, цифры, символы.

Руководство администратора Endpoint Security Management Server E80.40 | 98


Политика User Authentication (OneCheck)

Use custom password complexity Если вы выберете эту опцию, выберите требования, какой тип
(Использовать настраиваемую знаков пароль должен или не должен содержать.
сложность пароля)
Дважды нажмите кнопкой мыши на действие, чтобы отредактировать свойства:

Опция Описание
Если вы выберете эту опцию, выберите требования, какой
тип знаков пароль должен или не должен содержать:
• Последовательность одинаковых знаков, например, aa или 33
Use custom requirements • Требовать специальные символы.
(Использовать настраиваемые Например: ! " # $ % & ' ( ) * + , - . / : < = >
требования) • Требовать цифры, например, 8 или 4.
• Требовать знаки нижнего регистра, например, g или t.
• Требовать знаки верхнего регистра, например, F или G
• Пароль не должен содержать имя пользователя или полное имя.

Minimum length of password Введите минимальное количество знаков для действительного


(Минимальная длина пароля) пароля.

Password can be changed only after Введите минимальное количество дней, в течение которых
(Пароль может быть изменен пароль должен действовать, прежде чем пользователь может
только через) его изменить.

Введите максимальное количество дней, в течение которых


Password expires after (Пароль
пароль может действовать, прежде чем пользователь должен
истекает через)
его изменить.
Введите минимальное количество изменений пароля,
Number of passwords (Количество
прежде чем ранее использованный пароль может быть
паролей)
использован снова.

Синхронизация паролей
Pre-boot (Предзагрузка) – это программа, не дающая операционной системе загрузиться, пока пользователь
не аутентифицируется. Вы можете синхронизировать пароли Pre-boot и операционной системы.
Если вы планируете использовать OneCheck Logon, рекомендуется синхронизировать пароли
операционной системы и Pre-boot. Благодаря этому оба пароля остаются одинаковыми, и
пользователи могут использовать каждый из них, если необходимо.
Если вы используете синхронизацию паролей, рекомендуется, чтобы пароли пользователя для Windows и
Pre-boot имели одинаковые требования. Это предотвратит проблемы с первым входом в Pre-boot,
OneCheck Logon и системой единого входа Single Sign-On.
Выберите Действие, которое будет определять, будут ли синхронизироваться пароли и как:

Действие Описание
Update Pre-boot password Upon Windows Когда пароль операционной системы на
Password Change (Обновить пароль Pre-boot компьютере изменяется, пароль Pre-boot
при изменении пароля Windows) изменяется автоматически.

Update Windows Password Upon Pre-boot Когда пароль Pre-boot на компьютере изменяется,
Password Change (Обновить пароль пароль операционной системы изменяется
Windows при изменении пароля Pre-boot) автоматически.
Bi-directional Update for Pre-boot and Windows
Password Upon Change (Двухстороннее Если пароль Pre-boot или операционной системы
обновление паролей Pre-boot и Windows при на компьютере изменяется, пароль изменяется
изменении) автоматически.

Do Not Synchronize Pre-boot and Windows Пароли Pre-boot и операционной системы на


passwords (Не синхронизировать пароли компьютере не синхронизируются Endpoint
Pre-boot и Windows) Security.

Руководство администратора Endpoint Security Management Server E80.40 | 99


Политика User Authentication (OneCheck)

Блокировка учетной записи


Вы можете настроить, чтобы Full Disk Encryption блокировал учетные записи пользователей после
указанного количества неудачных попыток войти в систему в Pre-boot:
• Temporarily (Временно) – Если учетная запись блокируется временно, пользователи могут продолжить
пытаться войти в систему снова спустя указанное время.
• Permanently (Постоянно) – Если учетная запись пользователя блокируется на постоянной основе, она
остается заблокированной, пока администратор не разблокирует ее.
Выберите одно из следующих Действий, чтобы определить, будут ли учетные записи пользователей
блокироваться и когда:
Действие Описание
Do not lock out users upon failed Учетные записи пользователей не
authentication (Не блокировать блокируются, если они пытаются войти в
пользователей при неудавшейся систему неудачно. Эта настройка не
аутентификации). рекомендуется.

Temporarily lock user account upon failed После указанного числа неудавшихся попыток
authentication attempts (Временно входа в систему (по умолчанию 5) учетная запись
блокировать учетную запись после
неудавшихся попыток аутентификации). пользователя временно блокируется.

Permanently lock user account upon failed После указанного числа неудавшихся попыток
authentication attempts (Заблокировать
учетную запись пользователя на постоянной входа в систему (по умолчанию 10) учетная запись
основе после неудавшихся попыток пользователя временно блокируется на
постоянной основе.
аутентификации).
Нажмите правой кнопкой мыши на Действие, чтобы отредактировать существующие свойства. Вы можете
также создать настраиваемые действия блокировки учетной записи.
Чтобы настроить Действие блокировки учетной записи:
1. Нажмите правой кнопкой мыши на существующее Действие и выберите Edit Properties
(Редактировать свойства) или выберите Create Custom (Создать настраиваемое), чтобы задать
новое Действие.
2. Сконфигурируйте настройки в зависимости от необходимости:
Опция Описание

Number of failed logons before the account Максимальное разрешенное количество неудавшихся
is locked (Количество неудавшихся попыток входа в систему, прежде чем учетная запись будет
заблокирована на постоянной основе. Учетная запись
входов в систему перед блокировкой
учетной записи) будет заблокирована, пока администратор не
разблокирует ее.
Number of failed attempts before a Максимальное разрешенное количество неудавшихся
temporary lockout (Количество попыток входа в систему, прежде чем учетная запись
неудавшихся входов в систему перед
временной блокировкой учетной записи) будет временно заблокирована.
Duration of a temporary lockout Длительность временной блокировки учетной записи, в
(Длительность временной блокировки) минутах.
Максимальное разрешенное количество успешных входов
Maximum number of successful logons в систему, прежде чем учетная запись будет
allowed before the account is locked заблокирована. Вы можете использовать эту опцию, чтобы
(Максимальное разрешенное позволить временному пользователю входить в систему
количество успешных входов в указанное количество раз.
систему, прежде чем учетная запись Чтобы разблокировать учетную запись, вы должны
будет заблокирована) увеличить значение или снять флажок с опции. Удаленная
помощь для блокировки этого типа учетной записи
недоступна.

Настройки входа в систему


Logon Settings (Настройки входа в систему) компонента User Authentication (OneCheck) определяют
дополнительные настройки для того, как пользователи могут входить в свои компьютеры. Разверните
Advanced section (Раздел расширенных настроек) в правиле User Authentication (OneCheck), чтобы
выполнить настройку.

Руководство администратора Endpoint Security Management Server E80.40 | 100


Политика User Authentication (OneCheck)

Опция Описание
Allow logon to system hibernated by Позволяет пользователю, отличному от пользователя,
another user (Разрешить вход в
систему, введенную в спящий вошедшего в систему, аутентифицироваться в Pre-boot в
систему в спящем режиме.
режим другим пользователем)
Позволяет пользователю аутентифицироваться, чтобы
использовать средство восстановления, чтобы восстановить и
Allow user of recovery media дешифровать данные из зашифрованной системы.
(Разрешить доступ
пользователю средства Внимание: В E80.20 и выше, если эта опция не выбрана,
пользователи все равно могут обратиться к средству
восстановления) восстановления, созданному с временным пользователем и
паролем.

Allow user to change his


credentials from the endpoint client Позволяет пользователям изменять пароль на клиенте
(Разрешить пользователю конечной точки во время Pre-boot.
изменить свои данные доступа с
клиента конечной точки)
Позволяет пользователям использовать систему единого
входа, чтобы войти в Pre-boot и Windows, когда
Allow Single Sign-On use (Разрешить деактивирован OneCheck Logon. Система единого входа
использование системы единого применяется только к Pre-boot и Windows, но не к различным
входа) блейдам, как например, VPN или Media Encryption.
Пользователям всегда разрешается использовать систему
единого входа, когда запущен OneCheck Logon.

Разрешения Удаленной помощи


Удаленная помощь позволяет пользователям получить доступ к их компьютерам, защищенным компонентом
Full Disk Encryption, если они заблокированы. Пользователь звонит определенному администратору Endpoint
Security и выполняет процедуру Удаленной помощи. Разверните Advanced section (Раздел расширенных
настроек) в правиле User Authentication (OneCheck), чтобы выполнить эту настройку.
Есть два типа Удаленной помощи для Full Disk Encryption:
• One Time Login (Одноразовый вход) – Одноразовый вход разрешает доступ под
разрешенным пользователем на одну сессию, без сброса пароля.
Если пользователи потеряют свою карту Smartcards, они должны воспользоваться этой опцией.
• Remote password change (Удаленная смена пароля) – Эта опция – для пользователей, которые
используют постоянные пароли и забыли их.
Для устройств, защищенных политиками Media Encryption & Port Protection, доступна только
удаленная смена пароля.
Чтобы пользователи могли воспользоваться Удаленной помощью:
1. Убедитесь, что Allow remote help (Разрешить удаленную помощь) выбран в правиле User
Authentication (OneCheck) > Advanced > Allow remote help (User Authentication (OneCheck) >
Расширенные настройки > Разрешить удаленную помощь).
2. Дополнительно: Отредактируйте свойства, чтобы разрешить только один тип Удаленной помощи.
Опция Описание
Allow account to receive remote
password change help (Разрешить Позволяет пользователям воспользоваться помощью
учетной записи воспользоваться администратора, чтобы сбросить пароль учетной записи
помощью по удаленной смене (например, если пользователь забудет пароль).
пароля)

Allow account to receive One-Time Позволяет пользователям воспользоваться помощью


Logon help (Разрешить учетной администратора, чтобы войти в систему, один раз. Одноразовый
записи воспользоваться вход – для пользователей, которые потеряли свой динамический
помощью по одноразовому токен, USB токен или карту Check Point Smart Card. Также может
входу) быть полезным, если пользователь выполнил слишком много
неудавшихся попыток , но не хочет менять пароль.

Перед настройкой Smart Card аутентификации


Убедитесь, что среда установлена правильно для использования Smartcard аутентификации, прежде чем
вы ее настроите.

Руководство администратора Endpoint Security Management Server E80.40 | 101


Политика User Authentication (OneCheck)

Чтобы использовать Smartcard аутентификацию, вы должны иметь следующие компоненты и


соответствовать следующим требованиям:
• Smartcard аутентификация поддерживается только на клиентах Endpoint Security версии E80.30 или
выше. Убедитесь, что у всех пользователей поддерживаемая версия.
Вы можете просмотреть, какие версии установлены у пользователей, в Endpoint Security Management
Console > Monitoring > Versions in Use (Консоль управления Endpoint Security > Мониторинг >
Используемые версии).
• У пользователей должна быть физическая карта Smartcard.
• На компьютерах пользователей должен быть драйвер ридера Smartcard и драйвер токена,
установленный для их конкретной карты Smartcard. Установите эти драйверы в рамках глобальных
Pre-boot Authentication Settings (Настроек Pre-boot аутентификации).
• У каждого пользователя должен быть сертификат, активный для карты Smartcard.
• Сканер каталога может сканировать сертификаты пользователей из активного каталога. Это можно
настроить в глобальных Pre-boot Authentication Settings (Настройках Pre-boot аутентификации).
• Вы можете вручную импортировать сертификат для пользователя в User Details > Security Blades >
User Authentication (OneCheck) (Информация о пользователе > Блейды безопасности > User
Authentication (OneCheck)).
• В правиле политики Full Disk Encryption откройте действие Authenticate user before OS loads
(Аутентифицировать пользователя перед загрузкой ОС). Нажмите на Advanced Pre-boot Settings
(Расширенные настройки Pre-boot) и убедитесь, что опция Enable USB devices in pre-boot
environment (Активировать USB устройства в среде Pre-boot) выбрана.

Сценарии Smartcard
Ниже представлены сценарии того, как можно внедрить Smartcard аутентификацию в организациях с
различными потребностями.

Сценарий 1: Переход с пароля на Smartcard


Сценарий
В вашей организации используется Check Point Endpoint Security с аутентификацией по имени пользователя
и паролю для Pre-boot компонента Full Disk Encryption. Вы хотите перевести всех пользователей на
Smartcard аутентификацию для еще большей безопасности. В вашей организации используется активный
каталог.
Что делать:
1. Распланируйте вашу Smartcard среду:
• Выдайте всем пользователям карты Smartcard.
• Получите Smartcard сертификат для каждого пользователя и поместите их в активный каталог.
• Узнайте, какой Smartcard драйвер и драйвер ридера необходим для вашей Smartcard.
2. Обновите все конечные точки до этой версии. Используйте отчеты Reporting (Отчеты), чтобы
убедиться, что все пользователи успешно обновились.
3. Откройте вкладку Policy (Политика).
4. В правиле User Authentication (OneCheck) нажмите правой кнопкой мыши на действие Authenticate
users (Аутентифицировать пользователей) и выберите Edit (Редактировать):
• Выберите Smartcard (requires certificates) (Smartcard (требуется сертификат)).
• Выберите Change authentication method only after user successfully authenticates with a Smart
Card (Изменить метод аутентификации только после того, как пользователь успешно
аутентифицируется с картой Smart Card).
• Выберите драйверы, необходимые для вашей Smartcard.
5. В области Directory Scanner (Сканер каталога) нажмите на Configure (Настроить).
Откроется окно Certificate Scanning Configuration (Настройка сканирования сертификата).
6. Выберите Scan user certificates from Active Directory (Сканировать сертификаты пользователей из
активного каталога).
7. Наблюдайте за развертыванием Smartcard в отчетах Pre-boot Reporting (Отчеты Pre-boot).
8. Если необходимо, вы можете снять флажок с опции Change authentication method only after user
successfully authenticates with a Smart Card (Изменить метод аутентификации только после того,
как пользователь успешно аутентифицируется с картой Smart Card) после того как все
пользователи войдут в систему со своими картами Smartcard. Если определенный пользователь должен
временно использовать аутентификацию паролем, вы можете изменить настройки Pre-boot
аутентификации для пользователя на Password (Пароль).

Руководство администратора Endpoint Security Management Server E80.40 | 102


Политика User Authentication (OneCheck)

Сценарий 2: Смешанная аутентификация с паролем и Smartcard


Сценарий
Ваша организация готовится установить Check Point Endpoint Security в первый раз. Большинство
пользователей будут использовать Pre-boot аутентификацию с именем пользователя и паролем.
Администраторы с высокими административными привилегиями будут использовать Smartcard
аутентификацию. В вашей организации не используется активный каталог.
Что делать:
1. Распланируйте вашу Smartcard среду.
• Выдайте физические карты Smartcard всем пользователям, которые будут использовать Smartcard.
• Получите Smartcard сертификат для каждого пользователя, который будет использовать Smartcard.
• Узнайте, какой Smartcard драйвер и драйвер ридера необходим для вашей Smartcard.
2. Разверните клиент Endpoint Security, включая Full Disk Encryption на всех конечных точках, как это
описано в главе Установка и развертывание клиентов Endpoint Security. Используйте отчеты Reporting
(Отчеты), чтобы убедиться, что Full Disk Encryption завершит фазу развертывания, и Full Disk
Encryption Status (Статус Full Disk Encryption) каждого компьютера будет Encrypted (Зашифрован).
3. Откройте вкладку Policy (Политика).
4. В правиле User Authentication (OneCheck) выберите одно из действий Authenticate users
(Аутентифицировать пользователей):
a) Выберите Authenticate users with Password (Аутентифицировать пользователей с помощью
пароля) и вручную настройте, чтобы Smartcard пользователи использовали Smartcard
аутентификацию.
b) Выберите Authenticate users using Smartcard or Password (Аутентифицировать пользователей
с помощью Smartcard или пароля). Для дополнительной безопасности вы можете вручную
настроить, чтобы каждый Smartcard пользователь использовал только Smartcard аутентификацию.
5. Нажмите правой кнопкой мыши на действие Authenticate users (Аутентифицировать пользователей)
и выберите Edit (Редактировать).
6. Выберите драйверы, необходимые для вашей Smartcard, и протокол Smartcard. Все пользователи
получат эти настройки, включая тех, для которых настроено использование аутентификации с помощью
пароля.
7. На странице User Authentication (OneCheck) для каждого Smartcard пользователя, в области User
Certificates (Сертификаты пользователей) нажмите на Add (Добавить), чтобы импортировать
сертификат.
8. Наблюдайте за развертыванием Smartcard в отчетах Pre-boot Reporting (Отчеты Pre-boot).
Внимание - Вы можете поместить всех Smartcard пользователей в виртуальную
группу, чтобы было легче наблюдать за ними и изменять их политики, если
необходимо.

Примечания по использованию карт Smartcard


• Check Point не предоставляет свойства Smartcard для использования с Windows. Вы можете
использовать стороннее ПО, предоставленное Windows или поставщиком Smartcard.
• Чтобы использовать средство восстановления пользователем, использующим только Smartcard, когда вы
создаете средство восстановления, создайте временного пользователя, который сможет
аутентифицироваться в нем.

Изменение пароля пользователя


Пользователи могут менять свои собственные пароли из Pre-boot. Вы можете управлять Pre-boot паролями
пользователей в окне User Details (Информация о пользователе).
Чтобы изменить Pre-boot пароль пользователя из SmartEndpoint:
1. В User Details > Security Blades > User Authentication (OneCheck) (Информация о пользователе >
Блейды безопасности > User Authentication (OneCheck)) в области метода Pre-boot аутентификации
нажмите на Change Password (Изменить пароль).
2. В окне Change User Password (Изменить пароль пользователя) введите и подтвердите новый
пароль.
3. Нажмите на OK.
4. Нажмите на OK.
5. Выберите File > Save (Файл > Сохранить).

Руководство администратора Endpoint Security Management Server E80.40 | 103


Глава 14
Политика Media Encryption & Port
Protection
В этой главе
Терминология Media Encryption & Port Protection 104
Общие сведения о Media Encryption & Port Protection 104
Работа с действиями правила 105
Преобразование способа шифрования устройств File Encryption в Media Encryption 120

Терминология Media Encryption & Port Protection


• Endpoint Computer (Компьютер конечной точки) - Компьютер с установленным клиентом Endpoint
Security и с активным блейдом Media Encryption & Port Protection.
• Storage Device (Устройство хранения данных) или Removable Device (Съемное устройство) –
Съемные устройства хранения данных, на которых пользователи могут сохранять файлы данных.
Например: USB-устройства, SD карты, CD/DVD носители и внешние диски.
• Peripheral Devices (Периферийные устройства) – Устройства, на которых пользователи не могут
сохранять данные и которые не могут быть зашифрованы. Например: клавиатуры, Bluetooth устройства и
SmartCard ридеры.
• Device Category (Категория устройства) или Device Class (Класс устройства) – Тип устройства
промышленного стандарта, который определяет базовую функциональность устройства хранения
данных или периферийного устройства. Категории устройств позволяют вам настраивать правила
безопасности для различных типов устройств.
• Media Owner (Владелец носителя) – По умолчанию это пользователь, который шифрует устройство.
Если это дозволено политикой, владельцем носителя может быть назначен другой пользователь. Этот
термин применяется только к пользователям в средах активного каталога.
• Business Related data (Коммерческие данные) – Типы файлов с конфиденциальными данными,
которые должны быть зашифрованы на съемных носителях. Например: файлы процессора текстов,
файлы электронных таблиц, презентации и чертежи.
• Business Related drive (Диск с коммерческими данными) – Зашифрованная часть диска (до 100%
устройства). Все данные, хранимые на диске с коммерческими данными, шифруются.
• Non-Business Related data (Некоммерческие данные) или Plain (Простые) – Типы файлов, которые не
являются конфиденциальными и не требуют шифрования на устройствах хранения.
• Non-Business Related drive (Диск с некоммерческими данными) – Незашифрованная часть диска
(если зашифровано менее 100%). Данные, хранимые на диске с некоммерческими данными, не
шифруются.
• UserCheck - UserCheck для блейда Media Encryption & Port Protection предупреждает пользователей,
когда есть потенциальный риск потери данных. Это помогает пользователям предотвратить инциденты
информационной безопасности и узнать о политике безопасности организации.
• Explorer Utility (Утилита обозревателя) – Программа, позволяющая пользователям читать
зашифрованные данные на защищенных компьютерах, на которых блейд Media Encryption не активен
или не подключен к серверу управления Endpoint Security.

Руководство администратора Endpoint Security Management Server E80.40 | 104


Политика Media Encryption & Port Protection

Общие сведения Media Encryption & Port Protection


Блейд Media Encryption & Port Protection (Шифрование данных на сменных носителях и Управление
портами ПК) защищает конфиденциальную информацию путем шифрования данных и требования
авторизации для доступа к устройствам хранения данных, съемным носителям и другим устройствам
ввода/вывода. Администраторы используют SmartEndpoint для создания правил шифрования данных,
авторизации и доступа к устройствам. Эти правила являются частью политики безопасности Endpoint
Security, установленной на компьютерах конечных точек.
Правила Media Encryption & Port Protection включают следующие настройки:
• Действия по умолчанию для чтения и записи на различные типы устройств.
• Права на чтение и запись на устройства хранения данных.
• Возможность доступа к устройствам с компьютеров конечных точек.
• Типы файлов, которые должны быть зашифрованы (Коммерческие данные) на устройствах хранения.
• Оффлайн доступ к зашифрованным устройствам на компьютерах, которые не подключены к
серверу управления Endpoint Security или на незащищенных компьютерах.
• Возможность для пользователей временно перекрыть правила с помощью UserCheck.

Работа с действиями правила


Каждое правило Media Encryption & Port Protection включает следующие основные типы действий:
• Read Action (Действие чтения) ("Настройка действия чтения" на странице 108) – Управляет тем, как
пользователи могут читать устройства, защищенные политикой.
• Write Action (Действие записи) ("Настройка действия записи" на странице 109) - Управляет тем, как и
когда пользователи могут записывать на устройства, защищенные политикой.
• Peripheral Device Access (Доступ к периферийным устройствам) ("Настройка доступа периферийных
устройств" на странице 112) – Управляет доступом к различным типам периферийных устройств.
Правила Media Encryption & Port Protection также содержат следующие расширенные типы действий:
• Offline Device Access (Оффлайн доступ к устройству) ("Действия оффлайн доступа" на странице 116)
- Управляет доступом к устройствам, которые подключены к незащищенному компьютеру.
• Device Scanning and Authorization (Сканирование устройств и авторизация) ("Действия
сканирования устройств и авторизации" на странице 118) – Настраивает сканирование устройств
хранения данных на наличие вредоносного ПО и неразрешенных типов файлов.
• Log Actions (Действия записи в журнал регистрации событий) – Управляет тем, когда Media
Encryption & Port Protection создает записи в журнал регистрации событий, когда устройство
хранения подключено к компьютеру конечной точки.
• UserCheck ("Действия UserCheck" на странице 120) – Управляет тем, когда и как сообщать
пользователям о нарушениях политики, и дополнительно позволяет им перекрыть политику.
• Site Actions (Действия сайта) ("Действия сайта Media Encryption" на странице 121) – Управляет тем,
когда разрешать или запрещать доступ к дискам , зашифрованным различными серверами управления
Endpoint Security.
• Global Automatic Access (Глобальный автоматический доступ) ("Действие глобального
автоматического доступа" на странице 124) – Определяет автоматическое действие по умолчанию,
которое применяется ко всем правилам, кроме случаев, когда оно перекрывается другим правилом
или действием.

Настройка действия чтения


Действие чтения определяет настройки по умолчанию для доступа для чтения к файлам на устройствах
хранения данных. Для каждого действия вы можете задать различные настройки для указанных типов
устройств.
Предопределенные действия по умолчанию:

Действие Описание

Allow reading any data from storage Позволяет пользователям читать


devices (Разрешить чтение любых зашифрованные и незашифрованные
данных с устройств хранения данных) данные с устройств хранения данных.

Руководство администратора Endpoint Security Management Server E80.40 | 105


Политика Media Encryption & Port Protection

Allow reading only encrypted data from Позволяет пользователям читать только
devices (Разрешить чтение только зашифрованные данные с устройств
зашифрованных данных с устройств хранения данных. Пользователи не могут
хранения данных) читать незашифрованные (некоммерческие)
данные.

Do not allow reading from any storage


device (Не разрешать чтение данных с Блокирует чтение со всех устройств
устройств хранения данных) хранения данных.

Вы можете также создать свои собственные настроенные действия. Ваши новые настроенные действия
всегда доступны в дополнение к действиям по умолчанию.
Чтобы настроить действие чтения:
1. Нажмите правой кнопкой мыши на действие Read Access (Доступ для чтения) в правиле и выберите
Edit Properties (Редактировать свойства).
2. Дополнительно: В окне Removable Media Read Access (Доступ для чтения к съемным устройствам)
выберите другое действие или нажмите на New (Новый). Если вы нажмете на New (Новый), введите
название и описание для нового действия.
3. При необходимости активируйте следующие опции:
• Allow reading plain data from storage devices (Разрешить чтение простых данных с устройств
хранения данных) - Пользователи могут читать незашифрованные (обычно некоммерческие)
данные.
• Allow reading encrypted data from storage devices (Разрешить чтение зашифрованных данных с
устройств хранения данных) - Пользователи могут читать зашифрованные (обычно, но не всегда,
коммерческие) данные.
4. Добавьте или измените настройки для указанных устройств ("Работа с определениями устройств в
правилах" на странице 113).

Настройка действия записи


Вы можете задать настройки по умолчанию для доступа для записи к устройствам хранения данных в окне
Removable Media Write Access (Доступ для записи к съемным устройствам). Это действие может
позволить пользователям:
• Создавать новые файлы
• Копировать или перемещать файлы на устройства
• Удалять файлы с устройств
• Изменять содержимое файлов на устройствах
• Изменять имена файлов на устройствах
Предопределенные действия записи по умолчанию:

Действие Описание
Allow writing any data to storage devices Пользователи могут записывать все типы файлов на
(Разрешить запись любых данных на
устройства хранения данных) устройства хранения данных.

Все файлы, определенные как коммерческие


Encrypt business related data written to данные, должны быть записаны в зашифрованное
storage devices (Шифровать коммерческие хранилище. Некоммерческие данные могут быть
данные, записанные на устройства сохранены на устройство без шифрования. См.
хранения данных) Настройка типов файлов коммерческих данных (на
странице 113).

Encrypt all data written to storage devices Все файлы, записанные на устройство хранения
(Шифровать все данные, записанные на данных, должны быть зашифрованы. Сюда
устройства хранения данных) относятся как коммерческие, так и
некоммерческие данные.

Руководство администратора Endpoint Security Management Server E80.40 | 106


Политика Media Encryption & Port Protection

Do not allow writing any data to storage


devices (Не разрешать запись каких- Пользователи не могут записывать какие-либо типы
либо данных на устройства хранения файлов на устройства хранения данных.
данных)

Do not allow writing any data to storage По умолчанию пользователи не могут записывать
какие-либо типы файлов на устройства хранения
devices, allow user override (Не разрешать данных. Но UserCheck позволяет пользователям
запись каких-либо данных на устройства
хранения данных, разрешить перекрывать политику и записывать на устройство
хранения данных после введения подтверждения
перекрывание пользователем) действия.

При необходимости вы можете задавать настраиваемые действия записи. Ваши новые настраиваемые
действия всегда доступны в дополнение к действиям по умолчанию.
Чтобы настроить действие записи на устройство хранения данных:
1. Нажмите правой кнопкой мыши на действие Write Access (Доступ для записи) и выберите Edit
Properties (Редактировать свойства).
Откроется окно Removable Media Access (Доступ к съемным устройствам).
2. Дополнительно: Выберите другое действие из списка.
Нажмите на New (Новый) для создания настраиваемого действия.
3. Выберите одну из следующих опций Storage device write access (Доступ для записи на устройство
хранения данных):
• Allow any data (Разрешать любые данные) - Пользователи могут записывать все типы файлов
данных на устройства хранения данных.
• Encrypt business related data (Шифровать коммерческие данные) - Пользователи могут
записывать все типы данных на устройства хранения данных. Должны быть зашифрованы
только коммерческие данные.
• Encrypt all data (Шифровать все данные) - Пользователи могут записывать все типы данных на
устройства хранения данных. Все данные должны быть зашифрованы, включая некоммерческие
данные.
• Block any data (Блокировать любые данные) - Пользователи не могут записывать на устройства
хранения данных.
4. Выберите одну или более из следующих опций:
• Log device events (Записывать события устройства в журнал регистрации событий) -
Выберите эту опцию, чтобы создать запись в журнале, когда устройство хранения данных
подключается (только События с IDs 11 и 20).
Внимание: Если вы выберете опцию Do not log events (Не записывать события устройства в
журнал регистрации событий) в правиле Media Encryption & Port Protection, записи в журнале не
создаются, даже если в этом окне выбрана опция Audit device events (Контролировать события
устройства).
• Allow encryption (Разрешить шифрование) - Выберите эту опцию, чтобы позволить пользователям
шифровать устройства хранения данных. Если снять флажок с этой опции, устройства хранения
данных шифроваться не могут.
Нажмите на Additional Encryption Options (Дополнительные опции шифрования), чтобы
сконфигурировать дополнительные настройки шифрования ("Действия оффлайн доступа" на
странице 112), в зависимости от необходимости.
• Enable deletion (Активировать удаление) - Выберите эту опцию, чтобы позволить пользователям
удалять файлы с устройств с правами только на чтение.
5. Сконфигурируйте эти настройки для User Overrides (UserCheck) (Перекрывание пользователями
(UserCheck))
• Allow user to override company policy (Разрешить пользователю перекрывать политику
компании) – Позволяет пользователям перекрывать назначенную политику, отсылая письменное
подтверждение администратору. Нажмите на Configure Message (Настроить сообщение)
("Создание настраиваемого сообщения пользователя" на странице 112), чтобы создать свое
собственное сообщение пользователя.
Внимание - Опция Allow user to override company policy (Разрешить пользователю перекрывать
политику компании) не поддерживается для устройств CD/DVD ROM.
6. Если необходимо, нажмите на Configure file types (Настройка типов файлов) ("Настройка типов файлов с
Руководство администратора Endpoint Security Management Server E80.40 | 107
Политика Media Encryption & Port Protection

коммерческими данными" на странице 111), чтобы задать настраиваемые типы файлов с коммерческими
данными.

Настройка типов файлов с коммерческими данными


Если вы активируете опцию Encrypt business-related data written to storage devices (Шифровать
коммерческие данные, записанные на устройства хранения данных), пользователи должны будут
шифровать все типы файлов, которые определены как коммерческие. Пользователи могут сохранять
некоммерческие типы файлов без шифрования.
Если вы активируете опцию Force encryption of all outgoing data (Принудительно шифровать все
исходящие данные), все данные, включая некоммерческие данные, должны быть зашифрованы.
• Business Related data (Коммерческие данные) - Типы файлов с конфиденциальными данными,
которые должны быть зашифрованы на съемных носителях. Например: файлы процессора текстов,
файлы электронных таблиц, презентации и чертежи.
• Business Related drive (Диск с коммерческими данными) - Зашифрованная часть диска (до 100%
устройства). Все данные, хранимые на диске с коммерческими данными, шифруются.
• Non-Business Related data (Некоммерческие данные) или Plain (Простые) - Типы файлов, которые не
являются конфиденциальными и не требуют шифрования на устройствах хранения.
• Non-Business Related drive (Диск с некоммерческими данными) - Незашифрованная часть диска
(если зашифровано менее 100%). Данные, хранимые на диске с некоммерческими данными, не
шифруются.
Есть предопределенные категории похожих типов файлов. Вы не можете изменять типы файлов,
включенные в эти группы, но вы можете создавать свои собственные настраиваемые группы. В этот список
включены некоторые предопределенные группы типов файлов:
Следующие группы определены как коммерческие по умолчанию:
• Word – Файлы процессора текстов, например, Microsoft Word.
• Spreadsheet (Электронные таблицы) – файлы электронных таблиц, например, Microsoft Excel
• Presentation (Презентации) – Файлы презентаций, например, Microsoft Power Point
• Database (База данных) – Файлы баз данных, например, файлы Microsoft Access или SQL.
• Drawing (Чертеж) – файлы чертежей или приложений иллюстративной графики, например, AutoCAD
или Visio
• Graphic (Графика) – Файлы графических программ, например, Photoshop или Adobe Illustrator
• Viewer (Просмотрщик) – Платформо-независимые читаемые файлы, например, PDF или Postscript
• Archive (Архив) – Сжатые файлы архивов, например, ZIP или SIT.
• Markup (Разметка) – Исходные файлы языка разметки, например, HTML или XML
• Email (Электронная почта) – Файлы электронной почты и баз данных, например, файлы Microsoft
Outlook и MSG.
Группы, определенные как некоммерческие по умолчанию
• Multimedia (Мультимедиа) – Файлы музыки и видео, например, MP3 или MOV
• Image (Изображения) – Файлы векторных изображений, например, JPG или PNG
• Executable (Исполняемые) – Исполняемые файлы программ, например, EXE или COM.
• Text (Текст) – Простые текстовые файлы

Чтобы классифицировать группы как коммерческие или некоммерческие:


1. Нажмите на действие записи и выберите Edit Properties (Редактировать свойства).
2. В окне Removable Media Write Access (Доступ для записи на съемные устройства) выберите Encrypt
business related data written to storage devices (Шифровать коммерческие данные, записанные на
устройства хранения данных).
3. Нажмите на ссылку Configure Business Related file types (Настроить типы файлов коммерческих
данных).
4. На странице Business Related File Types (Типы файлов коммерческих данных) выберите Business-
related (Коммерческие) или Non business-related (Некоммерческие).
5. Нажмите Add (Добавить), чтобы добавить группу в список.
6. Нажмите на Remove (Удалить), чтобы удалить группу из списка.

Создание настраиваемого сообщения пользователя


Руководство администратора Endpoint Security Management Server E80.40 | 108
Политика Media Encryption & Port Protection

Вы можете настроить текст, который показывается во всех разделах окна сообщения пользователя, включая
баннер и кнопки опций. Вы не можете изменять логотипы Check Point. Это свойство полезно при переводе
сообщений пользователей на разные языки.
Чтобы создать настраиваемое сообщение пользователя:
1. В списке Select User Message (Выберите сообщение пользователя) выберите New (Новое).
2. Введите название и описание в соответствующих полях в окне Policy Action Single Page Form (Форма
страницы действия политики).
3. Дополнительно: Выберите язык из списка Language (Язык).
Вы можете нажать на Add (Добавить), чтобы добавить другой язык в список.
4. Выберите один или более текстовых элементов и введите ваш настраиваемый текст.
5. Нажмите на Preview (Просмотр), чтобы просмотреть, как выглядит настраиваемое сообщение на
экране.

Настройка доступа периферийных устройств


Периферийные устройства не могут быть зашифрованы и не содержат места для хранения. Следующие
предопределенные действия определяют, какие периферийные устройства могут использоваться на
компьютере конечной точки.

Действие Описание
Allow connecting essential devices (keyboard, Разрешается доступ для периферийных устройств,
mouse, and network adapters) (Разрешить необходимых для основного функционала
подключение необходимых устройств компьютера. Другие периферийные устройства
(клавиатур, мыши и сетевых адаптеров)) блокируются.

Block all transmitting devices (Modem,


Bluetooth, IrDA, Wi-Fi) (Блокировать Блокируется доступ для передающих
все передающие устройства (модем, периферийных устройств. Другие периферийные
устройства разрешены.
Bluetooth, IrDA, Wi-Fi))
Allow connecting all peripheral devices Разрешается доступ для всех устройств, которые не
(Разрешить подключение всех могут быть зашифрованы и не содержат места
периферийных устройств) хранения.

Вы можете также создать ("Создание настраиваемого действия" на странице 113) и изменить ("Изменение
существующего действия" на странице 113) ваши собственные настраиваемые действия.

Создание настраиваемого действия


Чтобы создать новое настраиваемое действие:
1. В правиле необходимых нажмите правой кнопкой мыши на действие периферийных устройств и
выберите Create Custom (Создать настраиваемое).
2. В окне Peripheral Device Access (Доступ периферийных устройств) введите уникальное имя
действия и, дополнительно, текстовый комментарий.
3. Для каждого устройства в списке измените Access Type (Тип доступа) в зависимости от
необходимости (Allow (Разрешить) или Block (Блокировать)).
4. Для каждого устройства в списке измените настройки Log (Журнал регистрации событий) в
зависимости от необходимости:
• Log (Журнал регистрации событий) – Создать записи в журнал, когда периферийное устройство
подключается к компьютеру конечной точки (Действия с IDs 11 и 20)
• None (Нет) – Не создавать записей в журнале
5. Дополнительно: Добавьте новые устройства в зависимости от необходимости.

Изменение существующего действия


Чтобы изменить определение существующего действия:
1. В правиле необходимых нажмите правой кнопкой мыши на действие и выберите Edit Properties
(Редактировать свойства).
2. В окне Peripheral Device Access (Доступ периферийного устройства) нажмите на Edit Name &
Description (Редактировать имя и описание) и измените настройки в зависимости от необходимости.
3. Для каждого устройства в списке измените Access Type (Тип доступа) в зависимости от
необходимости (Allow (Разрешить) или Block (Блокировать)).
4. Для каждого устройства в списке измените настройки Log (Журнал регистрации событий) в
зависимости от необходимости:
• Log (Журнал регистрации событий) – Создать записи в журнал, когда периферийное устройство
Руководство администратора Endpoint Security Management Server E80.40 | 109
Политика Media Encryption & Port Protection

подключается к компьютеру конечной точки (Действия с IDs 11 и 20)


• None (Нет) – Не создавать записей в журнале
5. Дополнительно: Добавьте новые устройства в зависимости от необходимости.

Работа с определениями устройств в правилах


Вы можете сконфигурировать индивидуальные настройки для указанных устройств или типов устройств.
Следующие настройки устройств используются обычно в качестве исключений из настроек, заданных в
правилах Media Encryption & Port Protection.
Вы можете задать исключения для конкретных устройств для:
• Одного устройства, на основании его серийного номера.
Вы должны ввести серийный номер устройства.
• Модели устройства, на основании ID устройства.
Вы должны ввести ID устройства.
• Типы устройства, например, устройства iPhone или Android.
• Группа устройств, определенная пользователем (только устройства хранения данных).

Использование автоматического обнаружения устройств


Вы можете использовать Device Discovering Wizard (Мастер обнаружения устройств), чтобы создать
новые устройства, которые были подключены к компьютерам конечных точек.
Чтобы создать устройство с помощью Мастера обнаружения устройство:
1. Нажмите правой кнопкой мыши на одно из трех действий в правиле Media Encryption & Port Protection.
2. Выберите Edit Properties (Редактировать свойства).
3. В разделе Specific device settings (Специальные настройки устройства) в окне Edit Properties
(Редактировать свойства) нажмите на стрелку с правой стороны от кнопки Add (Добавить).
4. Выберите New > Discovered device (Новое > Обнаруженное устройство) из меню опций.
5. На приветственной странице Device Discovering Wizard (Мастер обнаружения устройств) нажмите на
Next (Далее).
6. Выберите устройство из списка.
7. Нажмите на Next (Далее).
8. На странице Edit Device (Редактировать устройство) измените настройки, которые показываются
автоматически или добавьте недостающую информацию в зависимости от необходимости.
• Device Name (Имя устройства) - Введите уникальное отображаемое имя устройства, которое не
может содержать пробелов или специальных символов (за исключением нижнего подчеркивания и
дефиса).
• Device Connection (Подключение устройства) - Выберите тип подключения Internal
(Внутреннее), External (Внешнее) или Unknown (Неизвестное) (обязательное поле).
• Device Category (Категория устройства) - Выберите категорию устройства из списка.
• Device Serial Number (Серийный номер устройства) - Введите серийный номер устройства.
Вы можете использовать безразличные символы ("Использование безразличных символов" на
странице 115) в серийном номере, чтобы применить определение этого устройства для более чем
одного физического устройства.
• Extra Information (Дополнительная информация) – Настройте, будет ли устройство показываться
как устройство с жестким диском (Hard Drive with Master Boot Record (Жесткий диск с главной
записью загрузки)), съемное устройство (Media without Master Boot Record (Устройство без
главной записи загрузки)) или None (Нет).
• Icon (Иконка) - Выберите иконку, отображаемую в GUI-интерфейсе.
• Device ID Filter (Фильтр ID устройств) - Введите строку фильтра, идентифицирующую категорию
(класс) устройства. Устройства включаются в категорию, когда первые символы в Device ID (ID
устройства) соответствуют строке фильтра.
Например, если строка фильтра - MyusBstick,следующие устройства войдут в категорию устройств:
MyUSBStick2MB
MyUSBStick4MB
• Allow encryption (Разрешить шифрование) - Выберите эту опцию, если устройство может быть
зашифровано (только устройства хранения данных).
• Can generate device arrival audit event (Может генерировать контрольное событие подключения
устройства) - Выберите эту опцию, чтобы создать запись в журнале, когда это устройство будет
подключено к компьютеру конечной точки (только события с ID 11 или 20).
9. Нажмите на Next (Далее).
Руководство администратора Endpoint Security Management Server E80.40 | 110
Политика Media Encryption & Port Protection

10. Дополнительно: Добавьте это устройство в одну или более групп устройств (только устройства
хранения данных).
11. Нажмите на Next (Далее), а затем нажмите на Finish (Готово).

Определение типа устройства вручную


Информацию об устройстве можно изменять в Device Properties (Свойства устройства) и в Device
Discovering Wizard (Мастере обнаружения устройств). Информация об устройстве включается в оба места.
Информация об устройстве, которую вы включаете, определяет настройки, применяемые к нему:
Чтобы вручную создать новое устройство:
1. Нажмите на Add (Добавить).
2. Выберите Add New (Добавить новое).
3. Выберите Manual Device (Устройство вручную).
В окне Storage Device Properties (Свойства устройства хранения данных) сконфигурируйте
следующие настройки:
• Device Name (Имя устройства) - Введите уникальное отображаемое имя устройства, которое не
может содержать пробелов или специальных символов (за исключением нижнего подчеркивания и
дефиса).
• Device Connection (Подключение устройства) - Выберите тип подключения Internal
(Внутреннее), External (Внешнее) или Unknown (Неизвестное) (обязательное поле).
• Device Category (Категория устройства) - Выберите категорию устройства из списка.
• Device Serial Number (Серийный номер устройства) - Введите серийный номер устройства.
Вы можете использовать безразличные символы ("Использование безразличных символов" на
странице 115) в серийном номере, чтобы применить определение этого устройства к более чем
одному физическому устройству.
• Extra Information (Дополнительная информация) – Настройте, будет ли устройство показываться
как устройство с жестким диском (Hard Drive with Master Boot Record (Жесткий диск с главной
записью загрузки)), съемное устройство (Media without Master Boot Record (Устройство без
главной записи загрузки)) или None (Нет).
• Icon (Иконка) - Выберите иконку, отображаемую в GUI-интерфейсе.
Device ID Filter (Фильтр ID устройств) - Введите строку фильтра, идентифицирующую категорию
(класс) устройства. Устройства включаются в категорию, когда первые символы в Device ID (ID
устройства) соответствуют строке фильтра.
Например, если строка фильтра - MyusBstick,следующие устройства войдут в категорию
устройств:
MyUSBStick2MB
MyUSBStick4MB
• Allow encryption (Разрешить шифрование) - Выберите эту опцию, если устройство может быть
зашифровано (только устройства хранения данных).
• Can generate device arrival audit event (Может генерировать контрольное событие
подключения устройства) - Выберите эту опцию, чтобы создать запись в журнале, когда это
устройство будет подключено к компьютеру конечной точки (только события с ID 11 или 20).

Использование безразличных символов


Вы можете использовать безразличные символы в поле Device Serial Number (Серийный номер
устройства), чтобы применить определение этого устройства к более чем одному физическому устройству.
Это возможно, когда серийные номера устройства начинаются с одинаковых символов.
Например: Если имеются три физических устройства с серийными номерами 1234ABC, 1234BCD и
1234EFG, введите 1234* в качестве серийного номера. Определение устройства применяется ко всем трем
физическим устройствам. Если вы затем подключите новое физическое устройство с серийным номером
1234XYZ, определение этого устройства автоматически будет применяться к новому устройству.
Действительными безразличными символами являются:
Символ '*' представляет строку, содержащую один или более символов.
Символ '?' представляет один символ.
Примеры:
Серийный номер с Соответствует Не соответствует
безразличным символом

1234* 1234AB, 1234BCD, 12345 1233

1234??? 1234ABC, 1234XYZ, 1234567 1234AB, 1234x, 12345678

Руководство администратора Endpoint Security Management Server E80.40 | 111


Политика Media Encryption & Port Protection

Поскольку определения с использованием безразличных символов применяются к большему количеству


конечных точек, чем определения без безразличных символов, правила приводятся в исполнение в
следующем порядке очередности:
1. Правила с серийными номерами, содержащими *, приводятся в исполнение в первую очередь.
2. Правила с серийными номерами, содержащими ?, приводятся в исполнение следующими.
3. Правила, не содержащие безразличных символов, приводятся в исполнение в последнюю очередь.
Например, правила, содержащие показанные здесь серийные номера, приводятся в исполнение в
следующем порядке:
1. 12345*
2. 123456*
3. 123????
4. 123456?
5. 1234567

Изменение настроек доступа устройства


Чтобы изменить настройки доступа для существующих устройств в правиле:
1. Нажмите правой кнопкой мыши на действие и выберите Edit Properties (Редактировать свойства).
2. Выберите устройство из списка Specific device settings (Специальные настройки устройства) и
нажмите на Edit (Редактировать).
3. Выберите или снимите флажок со следующих опций в зависимости от ситуации. Показываемые опции
зависят от действия, с которым вы работаете. Они могут включать:
• Allow reading plain data from storage devices (Разрешить чтение простых данных с устройств
хранения данных) - Пользователи могут читать фалы с незашифрованного устройства хранения
данных или раздела устройства. Если вы нажмете на Edit (Редактировать), эта опция будет Allow
read plain (Разрешать чтение простых).
• Allow writing to plain devices (Разрешить запись на простые устройства) - Пользователи могут
записывать на незашифрованное устройство хранения данных или раздел устройства.
• Allow read encrypted (Разрешить чтение зашифрованных) - Пользователи могут читать данные с
зашифрованного раздела диска с коммерческими данными.
• Allow writing to encrypted devices (Разрешить запись на зашифрованные устройства) -
Пользователи могут записывать на зашифрованное устройство хранения данных или раздел
устройства.
• Allow encrypting removable media devices (Разрешить шифрование съемных устройств) -
Пользователи могут шифровать устройство хранения данных.
• Audit device events (Контролировать события устройства) – Создавать записи в журнале,
когда подключено устройство хранения или периферийное устройство.
Выбранные вами настройки показываются в Specific device settings table (Таблица
специальных настроек устройства).
4. Чтобы к указанному устройству или модели устройства применилось исключение, разверните раздел
Main Details (Основная информация) и выполните процедуру Editing Device Details (Редактирование
информации об устройстве) ("Использование автоматического обнаружения устройств " на странице
113).
5. Нажмите на OK.
6. Нажмите на OK.
Чтобы изменить настройки доступа для новых устройств из Базы правил политики:
1. Нажмите правой кнопкой мыши на действие и выберите Edit Properties (Редактировать свойства).
2. Нажмите на Add > Add New (Добавить > Добавить новое).
• Если устройство было подключено к клиентскому компьютеру в течение последних 14 дней,
выберите Discovered Device (Обнаруженное устройство).
Откроется Device Discovering Wizard (Мастер обнаружения устройств). См. Редактирование
информации об устройстве ("Использование автоматического обнаружения устройств" на
странице 113).
• Если устройство не было подключено к клиентскому компьютеру в течение последних 14 дней,
выберите Manual Device (Устройство вручную).
• Чтобы создать новую группу устройств, выберите Group (Группа).
3. Нажмите на OK.
Чтобы изменить настройки доступа для устройств из вкладки Reporting (Отчеты):
Во вкладке Reporting (Отчеты) > Media Encryption & Port Protection, нажмите правой кнопкой мыши на
Руководство администратора Endpoint Security Management Server E80.40 | 112
Политика Media Encryption & Port Protection

устройство и выберите Add device as exception (Добавить устройство в качестве исключения).


Откроется Device Discovering Wizard (Мастер обнаружения устройств). См. Редактирование информации
об устройстве ("Использование автоматического обнаружения устройств" на странице 113).
Расширенные действия
Действия оффлайн доступа
Вы можете выбрать одно из предопределенных действий, чтобы задать логику шифрования для устройств
хранения данных:
• Allow offline access to encrypted media (Разрешить оффлайн доступ к зашифрованным носителям)
Пользователи могут ввести пароль для доступа к устройству хранения данных на защищенных
компьютерах, не подключенных к серверу управления Endpoint Security (Оффлайн). Пользователи могут
также использовать свои пароли для доступа к устройствам хранения данных на незащищенном
компьютере.
• Do not allow offline access to encrypted media (Не разрешать оффлайн доступ к зашифрованным
носителям) - Пользователи не имеют доступа к устройствам хранения данных на защищенных
компьютерах, не подключенных к серверу управления Endpoint Security или на незащищённых
компьютерах.
Вы можете изменить настройки этих предопределенных действий и создать новое настраиваемое
действие Offline Access to Media (Оффлайн доступа к носителям).
Настраиваемые настройки оффлайн доступа
Вы можете задавать настраиваемые действия оффлайн-доступа, включающие следующие настройки:

Настройка Описание
Позволяет пользователям вручную задавать владельца
устройства до шифрования. Это позволяет пользователям
Allow user to choose owner during создавать устройства хранения данных для других
encryption (Разрешить пользователю пользователей. По умолчанию владельцем устройства
выбирать владельца во время
является пользователь, вошедший в компьютер конечной
шифрования) точки. Владелец устройства должен быть пользователем
активного каталога.
Allow user to change size of encrypted Позволяет пользователям изменять процент шифруемой
части устройства хранения данных, но он должен быть не
media (Разрешить пользователю
меньше, чем Minimum percentage of media used for
изменять размер зашифрованного encrypted storage (Минимальный процент носителя,
носителя)
используемый для зашифрованного хранения).
Allow users to remove encryption from
Позволяет пользователям дешифровать устройства
media (Разрешить пользователям хранения данных.
удалять шифрование с носителя)
Allow user to upgrade from legacy drives Позволяет пользователям обновлять устройства хранения
(Разрешить пользователю данных, зашифрованные File Encryption версии R73.
обновляться со старых дисков)
Выберите одно из следующих действий для
существующих данных на устройстве хранения данных
при шифровании:
• Copied to encrypted section (Скопированы в
зашифрованный раздел) – Некоммерческие данные
шифруются и перемещаются в устройство хранения
When encrypting, Non-Business Related данных для коммерческих данных (зашифрованное).
Data will be (При шифровании Рекомендуется создать резервную копию
некоммерческие данные будут): некоммерческих данных перед шифрованием, чтобы
предотвратить потерю данных, если шифрование не
удастся. Например, это может произойти, если на
устройстве недостаточно места.
• Deleted (Удалены) – Некоммерческие данные
удаляются.
• Untouched (Не затронуты) – Некоммерческие данные
не шифруются и не перемещаются.
Secure format media before encryption
(Выполнить безопасное Выполняет безопасное форматирование перед
форматирование носителя до шифрованием устройства хранения данных. Выберите
шифрования) количество форматирований до запуска шифрования.
Позволяет пользователям назначать пароль для доступа к
Password protect media for access in устройству хранения данных с компьютера, не
offline mode (Защитить носитель подключенного к серверу управления Endpoint Security.
паролем для доступа в оффлайн- Пользователи могут также получить доступ к устройству
режиме) хранения данных с помощью пароля с незащищенного
компьютера.
Руководство администратора Endpoint Security Management Server E80.40 | 113
Политика Media Encryption & Port Protection

Настройка Описание
Allow user to recover their password
using remote help (Разрешить Позволяет пользователю восстанавливать пароли с
пользователю восстановить пароль с помощью удаленной помощи.
помощью удаленной помощи)

Copy utility to media to enable media Копирует утилиту обозревателя (Explorer utility) на
access in non-protected environments устройство хранения данных. Эта утилита позволяет
(Копировать утилиту на носитель для пользователям получать доступ к устройству с
возможности доступа к носителю в компьютеров, не подключенных к серверу управления
незащищенных средах) Endpoint Security.

Protect media with password for read-


only access in offline mode (Защитить Позволяет пользователям назначать другой пароль,
дающий доступ только для чтения к устройству хранения
носитель паролем для доступа только данных.
для чтения в оффлайн-режиме)

Allow user to change read-only Позволяет пользователям изменять ранее заданный


password (Разрешить пользователю пароль только для чтения.
изменять пароль только для чтения)

Действия сканирования устройств и авторизации


Вы можете настроить, чтобы правило Media Encryption & Port Protection требовало сканирование на наличие
вредоносного ПО и неавторизированных типов файлов, когда подключается устройство хранения данных.
Вы можете также потребовать, чтобы пользователь или администратор авторизовали устройство. Эта
защита обеспечивает, чтобы все устройства хранения данных были защищены от вредоносного ПО и
одобрены для использования на конечных точках. Это свойство работает, только когда установлен блейд
Anti-Malware.
В настоящее время разрешены все типы файлов. Если необходимо добавить или удалить определенные
типы файлов из сканирования, свяжитесь с Центром технической поддержки
(https://supportcenter.checkpoint.com).
Вы можете выбрать одну из следующих предопределенных опций для правила Media Encryption & Port
Protection:

Действие Описание
Сканировать устройство при его подключении. Если
Require media to be scanned and authorized. выбрана эта опция, пользователи могут сканировать
Allow self authorization (Требовать устройство хранения данных вручную или
сканирование и авторизирование автоматически. Если эта настройка очищена,
устройства. Разрешить самоавторизацию) пользователи могут вставлять только
авторизованное устройство.
Require media to be scanned and authorized.
Do not allow self authorization (Требовать Сканировать устройство при его подключении.
сканирование и авторизирование Указанные администраторы должны авторизовать
устройства. Не разрешать устройство после успешного сканирования.
самоавторизацию)
Устройства хранения данных не сканируются при
Do not scan removable media (Не подключении, авторизация не является
сканировать съемные устройства)
необходимой.

Создать настраиваемое действие с другими


Create custom (Создать настраиваемое) требованиями авторизации и сканирования
устройства.

Методы аутентификации
Пользователи могут аутентифицировать устройство хранения данных одной из следующих опций:
• Automatic Access (Автоматический доступ)
Пользователи аутентифицируются автоматически при подключении к серверу управления Endpoint
Security. Автоматический доступ доступен только для клиентов конечных точек, которые подключены к
серверу управления Endpoint Security.
• Password Access (Доступ по паролю)
Руководство администратора Endpoint Security Management Server E80.40 | 114
Политика Media Encryption & Port Protection

Пользователи аутентифицируются, введя пароль. Аутентификация по паролю обычно доступна, когда


клиент конечной точки не подключен к серверу управления Endpoint Security. Вы можете требовать
отдельные пароли для полного доступа и доступа только для чтения.
Настраиваемые действия сканирования и авторизации
Вы можете создать настраиваемые действия с другими требованиями к авторизации и сканированию
носителей. Вы можете позволить пользователям подключать устройства хранения данных без
сканирования или удалять неавторизованные типы файлов с устройства хранения данных.
Чтобы задать настраиваемые действия:
1. Нажмите правой кнопкой мыши на действие в соответствующем правиле и выберите Custom
(Настраиваемое).
2. В окне Edit Properties (Редактировать свойства) настройте следующие параметры в зависимости от
необходимости:

Параметр Описание

Name (Название) Уникальное название действия.

Color (Цвет) Выберите цвет для иконки настраиваемого действия.

Comments (Комментарии) Опциональные текстовые комментарии.

Scan removable media devices and


authorize them for access Выберите, чтобы сканировать устройство при подключении.
(Сканировать устройства и Снимите флажок с опции, чтобы пропустить сканирование.
авторизовать их для доступа )

Если выбрана эта опция, пользователи могут сканировать


Enable self authorization устройство хранения данных вручную или автоматически.
(Активировать самоавторизацию) Если эта опция очищена, пользователи могут вставлять
только авторизованное устройство.
Automatic media authorization
(Автоматическая авторизация Устройство авторизуется автоматически.
устройств)

Allow user to delete unauthorized Пользователь может удалять неавторизованные файлы,


files (Разрешить пользователю обнаруженные при сканировании. Это позволяет пользователю
удалять неавторизованные типы или администратору авторизовать устройство после удаления
файлов) неавторизованных файлов.

Пользователи или администратор должны вручную


Авторизация устройств вручную
авторизовать устройство.
Allow user to skip media scan
(Разрешить пользователю Пользователь может пропустить сканирование, когда
пропускать сканирование устройство подключается к клиенту.
устройства)

Действия записи в журнал регистрации событий


Эта настройка определяет, когда Media Encryption & Port Protection создает записи в журнале регистрации
событий, когда устройство хранения данных подключается к компьютеру конечной точки. Вы можете
выбрать одно из следующих предопределенных действий журнала регистрации событий:

Действие Описание
Do not log security events (Не
записывать в журнал события Деактивировать все записи в журнал.
безопасности)
Log only critical events (Записывать в Создавать записи в журнал только для событий, которые
журнал только критичные события) классифицируются как критические.

Руководство администратора Endpoint Security Management Server E80.40 | 115


Политика Media Encryption & Port Protection

Log critical and security events Создавать записи в журнал только для событий,
(Записывать в журнал критичные которые классифицируются как критические или
события и события безопасности) события безопасности.

Log all events (Записывать в журнал Создавать записи в журнал для всех событий.
все события)

Вы не можете задавать настраиваемые действия журнала регистрации событий.


В следующей таблице показаны возможные события Media Encryption & Port Protection и их классификация
по серьезности.

ID события Описание Классификация

3 Обновление политики завершено успешно Low (Низкая)

7 Авторизация устройства прошла успешна Low (Низкая)

8 Авторизация устройства прошла неудачно Critical


(Критичная)

11 Доступ к устройству заблокирован при подключении к компьютеру Critical


конечной точки (Критичная)

15 Зашифрованное хранилище создано успешно Low (Низкая)

Critical
16 Зашифрованное устройство хранения данных удалено
(Критичная)
Устройство подключено к компьютеру конечной точки, и доступ Security
20 разрешен (Безопасность)
Пользователь выполняет процедуру Ask User (Спросить Critical
21
пользователя), чтобы перекрыть правило (Критичная)

22 Пользователь не выполняет процедуру Ask User (Спросить Critical


пользователя), чтобы перекрыть правило (Критичная)
Critical
23 Операция файла устройства хранения данных заблокирована
(Критичная)
Security
24 Операция файла устройства хранения данных разрешена
(Безопасность)

Вы можете задать другие настройки журнала регистрации событий для определенных устройств ("Работа
с определениями устройств в правилах" на странице 113).
Записи журнала регистрации событий изначально хранятся на клиентских компьютерах и затем
загружаются на сервер через предопределенные интервалы.

Действия UserCheck
UserCheck для компонента Media Encryption & Port Protection сообщает пользователям о нарушениях
политики и показывает им, как предотвратить непреднамеренную утечку данных. Когда пользователь
пытается выполнить действие, которое не разрешено политикой, показывается сообщение, объясняющее
политику.
Вы можете дополнительно позволить пользователям записывать на устройство хранения данных, даже
если политика не разрешает им этого делать. В этом случае пользователей просят дать подтверждение
для исключения из политики. Это подтверждение отсылается администратору безопасности, который
может наблюдать за действиями.
Вы можете использовать сообщения UserCheck по умолчанию или задать свои собственные
настраиваемые сообщения.
Чтобы изменить существующее UserCheck сообщение:
1. Нажмите правой кнопкой мыши на действие UserCheck и выберите Edit (Редактировать).
2. Для каждого типа сообщений UserCheck выберите опцию показа сообщения.
Снимите флажок с опции, чтобы сообщение не показывалось.
3. Дополнительно: Нажмите на Configure (Настроить), чтобы задать настраиваемое UserCheck
сообщение.
Руководство администратора Endpoint Security Management Server E80.40 | 116
Политика Media Encryption & Port Protection

4. Дополнительно: Нажмите на Configure (Настроить), чтобы задать настраиваемое Ask User


(Спросить пользователя) сообщение.

Чтобы задать настраиваемое UserCheck сообщение:


1. Нажмите правой кнопкой мыши на действие UserCheck и выберите Custom (Настраиваемое).
2. Введите уникальное название для нового действия.
Вы можете дополнительно добавить текстовый комментарий и выбрать цвет отображения.
3. Выполните шаги 2 - 5 вышеприведенной процедуры в зависимости от необходимости.

Действия сайта Media Encryption


Действия сайта контролируют, когда разрешать или запрещать доступ к зашифрованным устройствам,
которые были зашифрованы другими серверами управления Endpoint Security. Каждый сервер управления
Endpoint Security (известный как Сайт) имеет Универсально уникальный идентификатор (Universally Unique
Identifier -UUID). Когда вы шифруете устройство хранения данных на клиенте Endpoint Security, UUID
сервера управления Endpoint Security записывается на устройство. Действие сайта может блокировать
доступ к устройствам, зашифрованным на другом сервере управления Endpoint Security или сервере другой
организации. Действие сайта активировано по умолчанию.
Когда пользователь подключает устройство хранения данных, Media Encryption & Port Protection проверяет,
чтобы UUID устройства совпало с UUID сервера управления Endpoint Security или другого доверенного
сервера управления Endpoint Security. Если UUID соответствуют, пользователь может ввести пароль для
доступа к устройству. Если UUID не соответствуют, доступ к устройству блокируется.
В следующей таблице показано, что происходит, когда вы подключаете зашифрованное устройство в
клиент, подключенный к серверу управления Endpoint Security, политика разрешает доступ для чтения.
Сервер управления Endpoint Security, которым устройство было зашифровано, называется "шифрующий
сервер управления Endpoint Security".

Клиент подключен к client: Действие

Шифрующему серверу управления Endpoint Пользователю дается доступ автоматически или он


Security вводит пароль для доступа.

Другому доверенному серверу


управления Endpoint Security Пользователь может ввести пароль для доступа.

Недоверенному серверу управления Endpoint


Пользователь не имеет доступа к устройству.
Security

Настройка действий сайта Media Encryption


Действия сайта Media Encryption входят в политику Media Encryption & Port Protection. Следующее
предопределенное действие активировано по умолчанию. Вы можете изменить это действие или создать
свои собственные настраиваемые действия.

Действие Описание

Allow access to media Активирована проверка сайта Media Encryption (UUID). Клиенты
encrypted at current site only Endpoint Security могут получить доступ только к
(Разрешить доступ только к зашифрованным устройствам, которые были зашифрованы тем
устройству, зашифрованному же или другим доверенным сервером управления Endpoint
на текущем сайте) Security.

Чтобы разрешить доступ к устройствам, зашифрованным на других доверенных


серверах управления Endpoint Security:
1. Нажмите правой кнопкой мыши на действие сайта шифрования носителей и выберите Edit
(Редактировать).
2. Выберите Endpoint client will allow access only to encrypted media that was encrypted by an
Endpoint client connected to one of the following management servers (Клиент Endpoint
разрешит доступ только к зашифрованному носителю, зашифрованному на клиенте
Endpoint, подключенном к одному из следующих серверов управления).
3. Нажмите на Add > New (Добавить > Новое).
Руководство администратора Endpoint Security Management Server E80.40 | 117
Политика Media Encryption & Port Protection

4. В окне New Management Server (Новый сервер управления) введите:


• Name (Имя) – Описательное имя для доверенного сервера.
• Comments (Комментарии) – Опционально добавьте текстовые комментарии.
• Server UUID (UUID сервера) - Универсально уникальный идентификатор доверенного сервера
управления Endpoint Security.
5. Нажмите на OK.
Чтобы разрешить доступ к устройствам, зашифрованным на этом сервере управления Endpoint
Security с других серверов управления Endpoint Security:
1. Нажмите правой кнопкой мыши на действие сайта Media Encryption и выберите Edit (Редактировать).
2. Откроется окно Edit Properties (Редактировать свойства).
3. Выберите Endpoint client will allow access to encrypted media that was encrypted by an endpoint client
connected to any management server (Клиент Endpoint разрешит доступ к зашифрованному
носителю, зашифрованному на клиенте конечной точки, подключенном к любому серверу
управления).
4. Нажмите на Copy to Clipboard (Копировать в буфер обмена) и сохраните UUID текущего сервера
управления Endpoint Security в текстовый файл.
5. Добавьте текущий сервер управления Endpoint Security, используя сохраненный UUID, к действию Media
Encryption для каждого доверенного сервера управления Endpoint Security.
Чтобы деактивировать сайты Media Encryption:
1. Нажмите правой кнопкой мыши на действие Allow access to media encrypted at current site only
(Разрешить доступ только к носителю, зашифрованному на текущем сайте).
2. Выберите Edit (Редактировать).
3. В поле Select Action (Выберите действие) выберите New (Новое).
Создастся новое действие сайта.
4. В окне Policy Action Single Page Form (Форма страницы действия политики) дайте политике другое
имя и описание.
5. Нажмите на OK.
6. Выберите Endpoint Client will allow access to encrypted media which was encrypted by an endpoint
client connected to any management server (Клиент Endpoint разрешит доступ к зашифрованному
носителю, зашифрованному на клиенте конечной точки, подключенном к любому серверу
управления).
7. Нажмите на OK.
Когда сайты Media Encryption деактивированы, клиенты Endpoint Security могут иметь доступ к
устройствам хранения данных, которые были зашифрованы любыми серверами управления Endpoint
Security.

Обновление ключей и устройств Media Encryption R73.x


В эту версию включен Мастер, который позволяет вам экспортировать устройства Media Encryption из базы
данных R73.x и импортировать их на сервер управления Endpoint Security E80.40. при обновлении с Media
Encryption R73 до текущей версии:
• Рекомендуется добавить UUID сервера R73 в список доверенных.
• Вы можете иметь доступ к устройствам, которые были зашифрованы на сервере R73 Media Encryption
автоматически, если вы экспортируете устройства и ключи из базы данных R73 и импортируете их на
сервер управления Endpoint Security.
Важно – Ключи шифрования, ассоциированные с пользователями активного каталога,
которые не были добавлены на сервер Media Encryption (Protector) вручную или путем
синхронизации групп, не будут мигрированы.

Устройства и ключи шифрования Media Encryption (Protector) хранятся в базе данных MS-SQL. Сервер
Protector подключается к MS-SQL через названные магистрали. Для мигрирования устройств и ключей Media
Encryption, вы должны сконфигурировать MS-SQL на принятие запросов через TCP соединения. Вы должны
создать профиль входа в систему, который имеет права, необходимые для доступа к базе данных Disknet.
• Если сервер Protector установлен с настройками по умолчанию, используйте инструкции, приведенные
здесь.
Руководство администратора Endpoint Security Management Server E80.40 | 118
Политика Media Encryption & Port Protection

• Если MS-SQL установлена на внешней машине или установлены инструменты управления MS-SQL,
проконсультируйтесь с вашим администратором базы данных и перейдите к разделу Запуск
инструментов миграции.
Чтобы настроить MS-SQL сервер на прием запросов через TCP соединения:
1. В инструменте regedit найдите ключ "SuperSocketNetLib".
Путь к этому ключу может отличаться в зависимости от платформы и установленных инструментов.
2. Нажмите правой кнопкой мыши на запись "SuperSocketNetLib" и экспортируйте его для резервной копии.
3. Создайте файл reg, чтобы настроить сервер:
Если путь к записи SuperSocketNetLib такой же на сервере Media Encryption (Protector) и в этом
пункте:
a) Скопируйте этот фрагмент реестра в отдельный файл.
b) Сохраните его с расширением "reg" и запустите его.
Если путь отличается, отредактируйте новый reg файл, чтобы он соответствовал пут на машине.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\MSSQLServer]
"LoginMode"=dword:00000002
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\MSSQLServer\SuperSocketNet Lib]
"ProtocolList"=hex(7):74,00,63,00,70,00,00,00,6e,00,70,00,00,00,00,00
"TcpPort"="1433"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\MSSQLServer\SuperSocketNet
Lib\Tcp]
"TcpHideFlag"=dword:00000000
"TcpDynamicPorts"=""
"TcpPort"="1433"
"Enabled"=dword:00000001
4. Когда редактирование реестра завершено, откройте утилиту regedit.
5. Убедитесь, что скрипт "reg" запустился успешно, и что значения в реестре были изменены
согласно скрипту.
6. Перезапустите процесс "MSSQLSERVER".
Чтобы добавить новый профиль входа в систему на сервер MS-SQL:
1. Запустите инструмент osql с командной строки: osql -E
2. Запустите эти команды в командной строке osql:
EXEC sp_addlogin 'ep','ep'
GO
EXEC sp_grantdbaccess 'ep', 'Disknet'
GO
EXEC sp_addsrvrolemember 'ep', 'sysadmin'
GO

Чтобы запустить Мастер миграции:


1. Убедитесь, что Media Encryption & Port Protection и сервер Endpoint Security в рабочем состоянии.
2. Убедитесь, что сканер каталога завершил полное сканирование активного каталога.
Важно! Это необходимо для того, чтобы совершить миграцию ключей успешно.
3. Откройте консоль SmartEndpoint.
4. Нажмите на меню Tools > Devices and Keys Migration Tool (Инструменты > Инструмент миграции
устройств и ключей).
5. Введите данные базы данных Media Encryption R73: IP адрес или имя сервера, имя
пользователя базы данных, пароль базы данных, имя базы данных.
6. Нажмите на Next (Далее).
7. Выберите Import Devices (Импортировать устройства) или Import Keys (Импортировать ключи) или
и то, и другое.
8. Нажмите на Next (Далее).
Посмотрите на результаты импорта. Когда импортирование завершится, пользователи получают доступ
к устройствам с компьютеров с установленным клиентом Endpoint Security.
Важно! Пользователи должны как минимум один раз обратиться к устройству, чтобы активировать
восстановление ключей через удаленную помощь.

Руководство администратора Endpoint Security Management Server E80.40 | 119


Политика Media Encryption & Port Protection

Больше информации можно найти в файле deviceMigrtor.log, который располагается в той же папке, что
и исполняемый файл SmartEndpoint.exe. Перейдите к этой папке, нажмите правой кнопкой мыши на
иконку SmartEndpoint и выберите Properties > Open File Location (Свойства > Открыть папку с
файлом).

Действие глобального автоматического доступа


Вы можете выбрать глобальное действие, задающее автоматический доступ к зашифрованным устройствам.
Это действие по умолчанию оказывает влияние на все правила Media Encryption & Port Protection, кроме
случаев, когда оно перекрыто другим правилом или действием.

Чтобы активировать автоматический доступ:


• Убедитесь, что действия Removable Media Read Access (Доступ для чтения к съемным
устройствам) разрешают доступ для конкретных пользователей или компьютеров.

Внимание - Пользователи не могут получить доступ к зашифрованным устройствам, введя


пароль, если для этого пользователя не активирован доступ для чтения.

• Выберите или задайте действие, разрешающее Automatic Access (Автоматический доступ) для
пользователя, вошедшего в систему.
Media Encryption & Port Protectionвключает следующие предопределенные действия:

Действие Описание
Encrypted storage devices are fully accessible by all users
(Зашифрованные устройства хранения данных Все пользователи могут читать и изменять
полностью доступны для всех пользователей) все зашифрованное содержимое.

All users in the organization can read encrypted data, Все пользователи могут читать
зашифрованные файлы на устройствах
only owners can modify (Все пользователи в хранения данных. Только владелец
организации могут читать зашифрованные данные,
только владельцы могут их изменять) устройства может изменять
зашифрованное содержимое.

Only owners can access encrypted data (Только Только владельцы устройств могут
владельцы имеют доступ к зашифрованным данным) читать и/или изменять зашифрованное
содержимое.
Access to encrypted data requires password authentication Пользователи должны ввести пароль,
(Доступ к зашифрованным данным требует чтобы получить доступ к устройству.
аутентификации по паролю) Автоматический доступ не разрешен.

Настраиваемые правила действий автоматического доступа


Чтобы создать настраиваемые правила действий:
1. Нажмите правой кнопкой мыши на действие Global Automatic Access (Глобальный автоматический
доступ) и выберите Edit (Редактировать).
Откроется окно Custom Encrypted Media Access Rules (Настраиваемые правила доступа к
зашифрованным устройствам). В этом окне есть два предопределенных правила действий. Вы не
можете удалить эти правила или изменить владельца устройства или пользователя устройства. Но вы
можете изменить права доступа.
Эти два предопределенных действия являются действиями по умолчанию, которые применяются,
когда они не перекрываются никакими другими настраиваемыми правилами действий. Правило
действия Any/Media Owner (Любой / Владелец устройства) по умолчанию первое, а правило действия
Any/Any (Любой / Любой) по умолчанию последнее. Рекомендуется не менять положение этих правил.
2. Нажмите на Add (Добавить).
3. В поле Encrypted Media Owner (Владелец зашифрованного устройства) нажмите на стрелку и
выберите одну из следующих опций:
• Any (Любой) – Это действие применяется к любому владельцу устройства
• Choose User/Group/OU from your organization (Выберите пользователя / группу /
организационную единицу из вашей организации) - Выберите соответствующего пользователя,
группу или организационную единицу, к которой применяется это действие
4. В поле Encrypted Media User (Пользователь зашифрованного устройства) нажмите на стрелку и
выберите одну из следующих опций:
• Any (Любой) – Этой действие применяется к любому пользователю

Руководство администратора Endpoint Security Management Server E80.40 | 120


Политика Media Encryption & Port Protection

• Media owner – Владелец устройства также определяется как пользователь


• Choose User/Group/OU from your organization (Выберите пользователя / группу /
организационную единицу из вашей организации) - Выберите соответствующего пользователя,
группу или организационную единицу, к которой применяется это действие
5. В поле Access Allowed (Доступ разрешен) выберите одно из следующих разрешений:
• Full Access (Полный доступ)
• Read Only (Только чтение)
• No Automatic Access (Нет автоматического доступа)
Чтобы удалить настраиваемое правило действий, выберите действие и нажмите на Remove (Удалить).
Чтобы отредактировать действие, просто выберите поле в соответствующем действии и измените
параметр.

Преобразование способа шифрования устройств


File Encryption в Media Encryption
Вы можете легко преобразовывать устройства хранения данных, которые были зашифрованы с помощью
Pointsec File Encryption R73 в Media Encryption E80.40. Когда вы вставляете устройство, зашифрованное с
помощью Pointsec File Encryption, в компьютер конечной точки, где установлен E80.40, вам предлагается
обновить устройство.

Чтобы преобразовать устройство File Encryption в Media Encryption:


1. Вставьте устройство в компьютер, на котором есть клиент Endpoint Security с активным блейдом Media
Encryption & Port Protection.
2. Появится сообщение:
To access the device, you need to convert it to Media Encryption format (Чтобы получить доступ к
устройству, вам необходимо преобразовать его в формат Media Encryption).
3. Нажмите на OK.
4. Если необходимо, введите File Encryption credentials of the device (Данные File Encryption
устройства) в открывшемся окне. Это должны быть данные, с которыми изначально зашифровывалось
это устройство хранения данных. Это могут быть:
• Корпоративное имя пользователя и пароль, назначенные администратором
• Персональное имя пользователя и пароль, заданные для этого устройства хранения данных
Если устройство было изначально зашифровано с корпоративным паролем, и Media Encryption & Port
Protection может найти пароль на компьютере, это окно не открывается.
5. Введите и подтвердите новый пароль для устройства.
6. Нажмите на Continue (Продолжить).
7. Опционально можете отредактировать настройки Media Encryption.
8. Нажмите на Encrypt (Зашифровать).
9. Когда шифрование завершится, нажмите на Finish (Готово).

Руководство администратора Endpoint Security Management Server E80.40 | 121


Глава 15
Политика Anti-Malware
В этой главе
Предварительные условия 122
Действия политики Anti-Malware 123
Отправка данных об обнаружении вредоносного ПО и об ошибочных обнаружениях 126

Check Point Anti-Malware (компонент защиты от вредоносного ПО) защищает вашу сеть от всех видов угроз
вредоносного ПО, от червей и троянов до рекламного ПО и регистраторов работы клавиатуры. Используйте
Anti-Malware, чтобы централизованно управлять обнаружением и лечением вредоносного ПО на ваших
компьютерах конечных точек.
Сервер управления Endpoint Security регулярно обновляет определения Anti-Malware с сервера обновления
Check Point.

Предварительные условия
Перед настройкой Anti-Malware вы должны:
• Настроить прокси-сервер.
• Настроить шлюз сетевого экрана на прием трафика обновлений Anti-Malware.
• Настроить доступ к портам.

Настройка прокси-сервера
В рамках планирования вашей среды для Anti-Malware вы должны настроить прокси-сервер. В этой главе
описывается, как настроить прокси-сервера в среде Windows.
Чтобы настроить прокси-сервер в Windows:
1. На сервере управления Endpoint Security запустите: cpstop.
2. Откройте %uepmdir%\engine\conf и отредактируйте файл local.properties.

Внимание – Удалите символ # в начале каждого ряда, который вы редактируете.

3. Добавьте следующие свойства:


a) IP адрес прокси сервера, как показано в примере ниже:
http.proxy.host=123.456.78.90
b) Порт прослушивания прокси сервера, как показано в примере ниже:
http.proxy.port=8080
c) Имя пользователя, если на прокси сервере активирована базовая аутентификация.
Оставьте пустым, если аутентификация не требуется.
http.proxy.user=<username>
d) Пароль, если на прокси сервере активирована базовая аутентификация.
http.proxy.password=<password>
4. Сохраните файл %uepmdir%\engine\conf\local.properties.
5. На сервере управления Endpoint Security запустите: cpstart.

Руководство администратора Endpoint Security Management Server E80.40 | 122


Политика Anti-Malware

Разрешение трафика обновления Anti-Malware


После настройки прокси-сервера настройте шлюз сетевого экрана на прием трафика обновления на
серверы обновлений.
Чтобы активировать трафик обновления через прокси-сервер:
1. В шлюзе сетевого экрана разрешите исходящие Интернет-подключения.
2. В шлюзе сетевого экрана разрешите исходящие подключения на сервера обновления Anti-Malware.
Доступ к портам
• Сервер Endpoint Security должен иметь доступ к портам 80 и 443, чтобы получать последние
определения вредоносного ПО. Убедитесь, что ваш шлюз сетевого экрана разрешает этот трафик.
• Если вы планируете использовать Anti-Malware в среде, включающей прокси-сервер для Интернет-
доступа, настройте сервер Endpoint Security, чтобы он работал с прокси-сервером.

Действия политики Anti-Malware


Для каждого Действия в правиле выберите опцию, которая определяет логику Действия. Вы можете выбрать
предопределенную опцию Действия или выбрать New (Новый), чтобы задать настраиваемую опцию
Действия.
Нажмите правой кнопкой мыши на Действие и выберите Edit (Редактировать), чтобы изменить логику
Действия.
Изменения в правилах политики приводятся в исполнение только после установки политики.

Сканировать все файлы при доступе


По умолчанию все файлы сканируются при их открытии или использовании.
Вы можете настроить в качестве исключений Trusted Processes (Доверенные процессы). Когда
доверенный процесс обращается к файлу, файл не сканируется. Исключайте процесс только в том случае,
если вы полностью доверяете ему и уверены, что это не вредоносное ПО.
Чтобы настроить доверенные процессы:
1. В Properties (Свойства) действия Scan all files on Access (Сканировать все файлы при доступе)
нажмите на Add (Добавить).
2. В окне Trusted Processes (Доверенные процессы) введите полный путь или переменную среды
для доверенного исполняемого файла. Например:
• C:\Program Files\MyTrustedDirectory\MyTrustedProgram.exe
• %programdata%\MyTrustedProgram.exe
3. Нажмите на OK.
Доверенная программ покажется в списке Trusted Processes (Доверенные процессы).

Обновления сигнатур вредоносного ПО


Anti-Malware получает обновления сигнатур вредоносного ПО через регулярные интервалы, чтобы иметь
возможность сканировать на наличие новейших угроз.
Следующие Действия определяют частоту обновлений сигнатур и источник.

Действие Описание
Check for malware signature updates every Обновления сигнатур происходят каждые 4 часа с
4 hours (Проверять обновления сигнатур сервера политики Endpoint Policy и сервера Check
вредоносного ПО каждые 4 часа) Point.

Check for malware signature updates every Обновления сигнатур происходят каждые 2 часа с
2 hours (Проверять обновления сигнатур сервера политики Endpoint Policy и сервера Check
вредоносного ПО каждые 2 часа) Point.

Руководство администратора Endpoint Security Management Server E80.40 | 123


Политика Anti-Malware

Дважды нажмите кнопкой мыши на Действие, чтобы отредактировать Properties (Свойства).


Вы можете изменить следующие настройки:
• Updater Interval (Интервал обновлений) – Частота, в часах, между запросами клиента сигнатур
вредоносного ПО и сканирования на наличие обновлений системы.
• Updater Timeout (Таймаут обновления) – Таймаут соединения, после которого источник обновления
считается недоступным.
• Signature Update Server (Сервер обновления сигнатур) – Сервер или сервера, с которого(-ых) клиент
получает обновления.
• Update from the Endpoint policy server (Обновление с сервера политики Endpoint Policy) –
Получение обновлений с сервера управления Endpoint Security или настроенного сервера политики
Endpoint Policy.
• Update signatures from Check Point server (Обновление сигнатур с сервера Check Point) –
Получение обновлений с внешнего сервера Check Point через Интернет: URL по умолчанию:
http://kav8.zonealarm.com.
• Update signatures from external source (Обновление сигнатур с внешнего источника) –
Получение обновлений с внешнего источника через Интернет. Введите URL.
Если вы выберете все опции, клиент сначала пытается получить обновления с сервера политики Endpoint
Policy. Если сервер недоступен, клиент скачивает обновления с внешнего сервера Check Point. Если клиент
не может подключиться к внешнему серверу Check Point, он пробует воспользоваться вручную настроенным
URL.

Внимание - Если выбрана только первая опция, клиенты, отключенные от сервера Endpoint Security, не
могут получить обновления.

Расписание сканирования на наличие вредоносного ПО


Anti-Malware сканирует компьютеры на наличие вредоносного ПО через регулярные интервалы, чтобы
проследить за тем, чтобы подозрительные файлы были излечены, помещены в карантин или удалены.
Следующие Действия определяют частоту сканирований.

Действие Описание

Perform periodic anti-malware scan every


day (Выполнять периодическое Сканирование по расписанию происходит каждый
сканирование на вредоносное ПО каждый день во время, указанное в Свойствах.
день)

Perform periodic anti-malware scan every


week (Выполнять периодическое Сканирование по расписанию происходит каждую
сканирование на вредоносное ПО каждую неделю в день и время, указанные в Свойствах.
неделю)

Perform periodic anti-malware scan every


month (Выполнять периодическое Сканирование по расписанию происходит каждый
сканирование на вредоносное ПО каждый месяц в день и время, указанные в Свойствах.
месяц)

Дважды нажмите кнопкой мыши на Действие, чтобы отредактировать Properties (Свойства).


Вы можете выбрать конкретный день и время, когда будет происходить сканирование.
Объекты сканирования задаются в Действии Scheduled Scan Targets (Объекты сканирования по
расписанию).

Руководство администратора Endpoint Security Management Server E80.40 | 124


Политика Anti-Malware

Объекты сканирования по расписанию


Следующие Действия определят, какие компоненты компьютеров сканируются во время сканирования на
наличие вредоносного ПО по расписанию.
Действие Описание
Periodically scan system critical При сканировании по расписанию сканируются критические области
areas only (Периодически системы, например: операционная система, процессы и память.
сканировать только Эти объекты являются целями большинства вредоносных
критические области системы) программ.
Periodically scan local hard- При сканировании по расписанию сканируются критические области
drives (Периодически системы и локальные диски.
сканировать локальные
жесткие диски)
Periodically scan local and При сканировании по расписанию сканируются критические
removable drives области системы и локальные и съемные диски.
(Периодически сканировать
локальные и съемные диски)

Дважды нажмите кнопкой мыши на Действие, чтобы отредактировать Properties (Свойства).


Вы можете изменить:
• Конкретные объекты сканирования.
• Файлы или папки, исключенные из сканирования.

Исключения из сканирования
Вы можете исключить содержимое доверенных каталогов или файлов и указанных доверенных исполняемых
программ из Anti-Malware сканирования по расписанию. Вы можете также исключить все файлы с указанным
расширением файла.
Например, вы можете исключить следующие типы каталогов или программ из сканирования:
• Каталог или программа расположена в Доверенной зоне.
• Каталог или программа является целью низкого риска для вирусов.
• Сканирование оказывает негативное воздействие на производительность компьютера.
При исключении папки сканер вредоносного ПО не изучает содержимого папки. При исключении процесса
указанный доверенный исполняемый файл запускается без отслеживания компонентом Anti-Malware.
Исключайте процесс, только если вы полностью доверяете ему и уверены, что он не является
вредоносным ПО.
Исключенные элементы не сканируются во время полного сканирования компьютера, сканирования по
расписанию и сканирования при доступе. Они не исключаются из сканирования, запущенного
пользователями нажатием правой кнопкой мыши > Scan with Check Point Anti-Malware (Сканировать с
помощью Check Point Anti-Malware).
Примечания –
• Все пути каталогов должны оканчиваться обратным слешем, например:
driveletter: \folder\. Названия файлов не заканчиваются обратным слешем.
• Вы не можете использовать переменные среды для исключения папок и путей файлов.

Чтобы настроить список путей к файлам, исключенным из сканирования:


1. Нажмите правой кнопкой мыши на действие Periodically scan (Периодически сканировать) и
выберите Edit Properties (Редактировать свойства).
2. В окне Properties (Свойства) нажмите на ссылку Configure file exclusions (Настроить исключения
файлов).
3. В окне New File Path Exclusion Properties (Свойства нового исключения пути к файлу) нажмите на
Add (Добавить) и введите:
• Полный путь к файлу, тип файла или каталог (включая его подкаталоги), исключаемые из
сканирования на вредоносное ПО.

Руководство администратора Endpoint Security Management Server E80.40 | 125


Политика Anti-Malware

• Полный путь к доверенному исполняемому файлу, исключаемому из мониторинга вредоносного


ПО.
4. В окне Path Exclusions (Исключения путей) нажмите на Browse (Обзор) и перейдите к доверенному
каталогу. Как вариант, вы можете:
• Ввести путь каталога.
Пример: C\Program Files\MyTrustedDirectory\
• Ввести конкретный файл
Пример: C:\Program Files\excludeMe.txt
• Ввести тип файла
Пример: *.txt
5. Нажмите на OK.
Доверенный каталог покажется в списке Scan exclusions (Исключения сканирования).

Оптимизация сканирования
Опции оптимизации сканирования позволяют вам выполнить сканирование на наличие вредоносного ПО
быстро и с оказанием меньшего влияния на производительность и ресурсы системы. Опции следующие:
Do not optimize malware scan (Не оптимизировать сканирование на вредоносное ПО) – Оптимизация
сканирования деактивирована.
Optimize malware scan (Оптимизировать сканирование на вредоносное ПО) – Активируется только
свойство Perform scan optimizations (Выполнять оптимизацию сканирования) (см. ниже).
Вы можете задать настраиваемые действия оптимизации сканирования, активировав следующие опции:
• Perform scan optimizations (Выполнять оптимизацию сканирования) – Оптимизировать
сканирование, сохраняя контрольные суммы файлов и данные файловой системы NTFS во время
первого сканирования. Размер кластеров NTFS, названия файлов и структура папок кэшируются. Во
время последующих сканирований сканируются только новые файлы или файлы, чьи контрольные
суммы, размеры файла, названия или структура были изменены.
• Scan Priority is lower than other running process (Приоритет сканирования ниже, чем другие
запущенные процессы) – Сканирование имеет более низкий приоритет для ресурсов ЦП, диска и
других устройств ввода/вывода, чтобы минимизировать влияние на производительность для критичных
процессов.

Обработка вредоносного ПО
Вы можете указать следующие действия, когда в системе обнаруживается вредоносное ПО:
• Quarantine detected malware (Поместить обнаруженное вредоносное ПО в карантин) - Если Endpoint
Security не может излечить файл, он удаляется и помещается в безопасное место, откуда его можно при
необходимости восстановить.
• Delete detected malware (Удалить обнаруженное вредоносное ПО) - Если Endpoint Security не может
излечить файл, он удаляется.

Отправка данных об обнаружении вредоносного ПО


и об ошибочных обнаружениях
Отправка данных о подозрениях на вредоносное ПО и ошибках обнаружения в Check Point помогает
улучшить безопасность и защиту всех Интернет-пользователей.
Если вы думаете, что в вашей организации есть вредоносное ПО, которое не было обнаружено
компонентом Anti-Malware, свяжитесь с Технической поддержкой Check Point. Если Anti-Malware ошибочно
определит файл как вредоносное ПО, свяжитесь с Технической поддержкой Check Point.

Руководство администратора Endpoint Security Management Server E80.40 | 126


Глава 16
Политика Firewall Rules
В этой главе
Планирование политики Firewall 127
Правила входящего трафика 127
Правила исходящего трафика 128
Создание правил Firewall 128
Настройки беспроводного соединения 130
Настройки беспроводных точек доступа 130
Трафик IPv6 130
Правила Firewall Rules разрешают или блокируют сетевой трафик на компьютеры конечных точек в
зависимости от информации о соединении, как например, IP адреса, порты и протоколы. Есть два типа
правил Firewall:
• Inbound rules (Правила входящего трафика) – Правила, которые разрешают или блокируют входящий
сетевой трафик на компьютер конечной точки.
• Outbound rules (Правила исходящего трафика) - Правила, которые разрешают или блокируют
исходящий сетевой трафик с компьютера конечной точки.

Планирование политики Firewall


При планировании политики Firewall подумайте о безопасности вашей сети и удобстве для ваших
пользователей. Политика должна разрешать пользователям работать как можно более свободно, но при
этом уменьшать угрозу атаки со стороны злоумышленников.
С помощью заданных Действий в правилах Firewall можно легко создать выбранную вами политику Firewall.
Выберите Действие для входящего трафика и Действие для исходящего трафика. Требуемые правила
автоматически добавляются в Базы правил входящего и исходящего трафика сетевого экрана.
Вы можете добавить дополнительные правила к каждой Базе правил и редактировать правила в
зависимости от необходимости.
Изменения приводятся в исполнение после установки политики.

Правила входящего трафика


Правила входящего трафика определяют, какой сетевой трафик может достигать компьютеров
конечных точек (известных как localhost).
Выберите Действие:

Действие Описание
Allow inbound traffic (Разрешить Разрешает весь входящий трафик на компьютер конечной
входящий трафик) точки.

Allow inbound traffic from trusted zones Разрешает весь входящий трафик из доверенных зон и IP,
and connectivity services (Разрешить
входящий трафик из доверенных зон получая трафик из Интернета. Весь остальной трафик
и служб подключения) заблокирован.

Руководство администратора Endpoint Security Management Server E80.40 | 127


Политика Firewall Rules

Правила, необходимые для выбранного Действия, автоматически добавляются в Базу правил Inbound
firewall rules (Правила сетевого экрана для входящего трафика).
Нажмите правой кнопкой мыши на Действие, чтобы просмотреть Базу правил Inbound firewall rules
(Правила сетевого экрана для входящего трафика). Вы можете добавлять, удалять и изменять правила в
зависимости от необходимости.
Внимание – В Базе правил входящего трафика нет колонки Destination (Пункт назначения),
потому что пунктом назначения для всего трафика является компьютер конечной точки.

Правила исходящего трафика


Правила исходящего трафика определяют, какой сетевой трафик разрешен с компьютеров
конечных точек.
Выберите Действие:

Действие Описание
Allow any outbound traffic (Разрешить Разрешает весь исходящий трафик с компьютера
любой исходящий трафик) конечной точки.

Allow outbound traffic to trusted zones and


common internet protocols (Разрешить Разрешает весь трафик в доверенные зоны и трафик
исходящий трафик в доверенные зоны и общих интернет-протоколов в Интернет.
общие интернет-протоколы)

Правила, необходимые для выбранного Действия, автоматически добавляются в Базу правил Outbound
firewall rules (Правила сетевого экрана для исходящего трафика).
Нажмите правой кнопкой мыши на Действие, чтобы просмотреть Базу правил Outbound firewall rules
(Правила сетевого экрана для исходящего трафика). Вы можете добавлять, удалять и изменять правила
в зависимости от необходимости.

Внимание - В Базе правил исходящего трафика нет колонки Source (Источник),


потому что источником всего трафика является компьютер конечной точки.

Создание правил Firewall


Вы можете создавать правила Firewall, относящиеся к входящему трафику, в Базе правил входящего
трафика и правила, относящиеся к исходящему трафику, в Базе правил исходящего трафика.
Чтобы создать правило Firewall:
1. В правиле Firewall Rules (Правила Firewall) во вкладке Policy (Политика) нажмите правой кнопкой
мыши на Действие входящего или исходящего трафика и выберите Edit Properties (Редактировать
свойства).
2. Нажмите на одну из иконок Add Rule (Добавить правило) вверху Базы правил.
3. Заполните колонки правила. Нажмите правой кнопкой мыши на колонку, чтобы выбрать опцию.

Колонка Описание

Номер приоритета правила. Приоритет правила важен, потому что клиент проверяет
правила Firewall в зависимости от его последовательности в Базе правил. Правила
NO (НЕТ) приводятся в исполнение сверху вниз. Последнее правило – это обычно Cleanup Rule
(Правило очистки), которое указывает сбросить трафик, не соответствующий ни
одному из предыдущих правил.
Name
(Название) Название правила Firewall.

Руководство администратора Endpoint Security Management Server E80.40 | 128


Политика Firewall Rules

Колонка Описание

• Source (Источник) – Место источника сетевого трафика. Для правила


Source or исходящего трафика источником всегда является локальный компьютер.
Destination • Destination (Пункт назначения) – Место пункта назначения сетевого трафика.
(Источник или Для правила входящего трафика пунктом назначения всегда является локальный
пункт компьютер.
назначения) • Источником и пунктом назначения может быть любой из объектов сети,
определенных в политике зон доступа или доверенной/интернет зоны.

Service
(Служба) Сетевой протокол или служба, используемая трафиком.

Action Что делается с трафиком, соответствующим правилу: Accept (Принять) или Drop
(Действие) (Сбросить).

Когда правило приводится в исполнение:


• Log (Журнал регистрации событий) – Внести запись о приведении правила в
исполнение в просмотрщике журнала клиента конечной точки (Endpoint Client Log
Viewer).
• Alert (Оповещение) – Показать сообщение на компьютере конечной точки и
внести запись о приведении правила в исполнение в просмотрщике журнала
Track клиента конечной точки (Endpoint Client Log Viewer).
(Отслеживать) • None (Нет) – Запись в журнале и сообщение оповещения не создаются.
Примечания:
• Если у вас есть правило, которое сбрасывает или принимает весь трафик, не
активируйте внесение записей в журнал.
• Чтобы использовать журналы и оповещения, в правиле Common Client Settings
(Общие настройки клиента) должна быть разрешена Log upload to servers
(Загрузка журнала регистрации событий на серверы).

Правила Firewall и контроллеры доменов


Важно – При создании правил Firewall для клиентов конечных точек создайте четкие
правила, разрешающие всем конечным точкам подключаться ко всем контроллерам
доменов в сети.

Службы и объекты сети


Одни и те же объекты сети и службы используются во всей SmartEndpoint и в SmartDashboard. Когда вы
создаете новый объект, он также становится доступен в SmartDashboard. Если вы изменяете объект в
SmartEndpoint или в SmartDashboard, он изменяется везде, где объект используется.
Чтобы создать объект сети:
1. В Базе правил Firewall для входящего или исходящего трафика откройте вкладку Network Objects
(Объекты сети).
2. Нажмите на New (Новый).
3. Выберите тип объекта из списка New Object Type (Тип нового объекта).
4. Нажмите на OK.
5. В окне Properties (Свойства) введите необходимую информацию.
6. Нажмите на OK.

Чтобы создать службу:


1. В Базе правил Firewall для входящего или исходящего трафика откройте вкладку Services (Службы).
2. Нажмите на New (Новая).
3. Выберите тип службы из списка New Object Type (Тип нового объекта).
4. Нажмите на OK.
5. В окне Properties (Свойства) введите необходимую информацию.
6. Дополнительно: Если вы создаете Group (Группу), в окне Group Properties (Свойства группы)

Руководство администратора Endpoint Security Management Server E80.40 | 129


Политика Firewall Rules

добавьте к группе Available Services (Доступные службы).


7. Нажмите на OK.

Деактивация и удаление правил


Когда вы удаляете правило, оно удаляется из Базы правил и не приводится в исполнение в политике.
Когда вы деактивируете правило, правило не приводится в исполнение в политике. Правило остается в
Базе правил со значком X, который указывает, что оно деактивировано. Выберите Disable rule
(Деактивировать правило) еще раз, чтобы активировать правило.
Чтобы удалить или деактивировать правило:
1. Нажмите правой кнопкой мыши в колонке правила NO (НЕТ).
2. Выберите Delete Rule (Удалить правило) или Disable Rule (Деактивировать правило).
3. Установите политику.
Правило физически не удаляется и не деактивируется, пока вы не установите политику.

Настройки беспроводного соединения


Следующие действия определяют, могут ли пользователи подключаться к беспроводным сетям,
находясь в локальной сети вашей организации. Это защищает вашу сеть от угроз, которые могут
исходить из беспроводных сетей.

Действие Описание
Allow connecting wireless to LAN
(Разрешить беспроводное Пользователи могут подключаться к беспроводным сетям,
будучи подключенными к локальной сети
подключение к локальной сети)

Do not allow connecting wireless to


Пользователи не могут подключаться к беспроводным сетям,
LAN (Не разрешать беспроводное будучи подключенными к локальной сети
подключение к локальной сети)

Настройки беспроводных точек доступа


Следующие действия определяют, могут ли пользователи подключаться к вашей сети с беспроводных
точек доступа в общественных местах, например, в гостиницах или аэропортах.

Действие Описание

Allow hotspot registration Обходить сетевой экран, чтобы позволить пользователям


(Разрешить регистрацию в
беспроводных точках доступа) подключаться к вашей сети с беспроводной точки доступа.

Do not allow hotspot registration (Не


разрешать регистрацию в Не позволять пользователям подключаться к вашей сети с
беспроводной точки доступа.
беспроводных точках доступа)

Трафик IPv6
Вы можете выбрать одно из следующих действий, чтобы разрешить или заблокировать трафик IPv6 на
компьютеры конечных точек.
• Разрешить сетевой трафик IPv6
• Блокировать сетевой трафик IPv6

Руководство администратора Endpoint Security Management Server E80.40 | 130


Глава 17
Политика Compliance Rules
В этой главе
Общие сведения о Compliance Rules 131
Планирование для Compliance Rules 131
Действия политики Compliance Rules 132
Отслеживание состояний соответствия 137
Heartbeat-интервал 138

Блейд Compliance (Соответствие) следит за тем, чтобы компьютеры конечных точек соответствовали
правилам безопасности, которые вы задаете для вашей организации. Компьютеры, которые не
соответствуют им, отображаются как не соответствующие, и вы можете применить к ним политику
ограничений.

Общие сведения о Compliance Rules


Compliance Rules следят за тем, чтобы:
• Все назначенные программные блейды были установлены и запущены на компьютере конечной точки.
• Anti-Malware был запущена, и чтобы система и базы сигнатур были в актуальном состоянии.
• Требуемые пакеты обновления и обновления операционной системы были установлены на компьютере
конечной точки.
• Только авторизованные программы были установлены и запущены на компьютере конечной точки.
• Присутствовали необходимые ключи и значения реестра.
Если объект (например, организационная единица или пользователь) в организационном дереве нарушает
назначенную политику, его состояние соответствия изменяется, и это влияет на логику работы компьютера
конечной точки:
• Состояние соответствия изменяется на «не соответствует».
• Об этом событии вносится запись в журнал регистрации событий, и вы можете наблюдать за статусом
компьютера и его пользователей.
• Пользователи получают предупреждения или сообщения с объяснениями проблемы и предложением
решения.
• Применяются правила политики для компьютеров с ограниченным доступом ("Приведение правил в
исполнение в зависимости состояния").

Планирование для Compliance Rules


Перед тем как вы зададите и назначите правила Compliance Rules, выполните следующие шаги по
планированию:
1. Определите, какие приложения, файлы, ключи реестра и названия процессов необходимы и какие не
разрешены на компьютерах конечных точек.
2. Соберите всю информацию и файлы исправления, необходимые для возвращение в состояние
соответствия. Используйте эту информацию, когда будете создавать объекты исправления для
использования в правилах Compliance Rules.

Руководство администратора Endpoint Security Management Server E80.40 | 131


Политика Compliance Rules

Правила Compliance Rules могут запретить пользователям доступ к необходимым ресурсам


сети, когда они не соответствуют правилам. Подумайте о том, как сделать, чтобы
пользователям было легко вернуться в состояние соответствия.
3. Убедитесь, что блейд Firewall Rules дает доступ к ресурсам исправления. Например, к сайтам, с которых
можно скачать пакеты обновлений или обновления антивируса.
Внимание – В Windows 7 убедитесь, что запущена служба Interactive Service Detection
(Обнаружение интерактивных служб). Это необходимо для файлов исправления
(запущенных с данными системы), которым нужно общаться с пользователем.
4. Задайте оповещения для правил и политики входа в систему, которые приведут правила в исполнение
после развертывания.

Действия политики Compliance Rules


Для каждого Действия в правиле выберите опцию, которая определяет логику работы Действия. Вы можете
выбрать предопределенную опцию Действия или выбрать New (Новый), чтобы задать настраиваемую
опцию Действия.
Нажмите правой кнопкой мыши на Действие и выберите Edit (Редактировать), чтобы изменить логику
работы Действия.
Изменения в правила политики приводятся в исполнение только после установки политики.

Действие работы блейдов


Это действие обеспечивает, чтобы все установленные программные блейды были запущены, и
определяет, что происходит, если они не запущены. Опции действия следующие:

Действие Описание
Inform if assigned Software Blades are not running Послать предупреждающее сообщение, если
(Сообщать, если назначенные программные один или более назначенных блейдов не
блейды не запущены) запущены.
Restrict if assigned Software Blades are not running
(Ограничивать доступ, если назначенные Ограничить доступ к сети, если один или
более назначенных блейдов не запущены.
программные блейды не запущены)
Monitor if assigned Software Blades are not running Создать записи в журнале, если один или
(Следить, если назначенные программные блейды более назначенных блейдов не запущены.
не запущены) Сообщения не посылаются.
Do not check if assigned Software Blades are not Блейд Compliance Rules не следит за тем,
running (Не проверять, запущены ли назначенные чтобы назначенные программные блейды
программные блейды) были запущены.

Действие верификации VPN клиента


Действие верификации VPN клиента выбирает процедуру, которая используется для приведения в
исполнение опции Upon verification failure (При безуспешной верификации), согласно определенному в
SmartDashboard. Процедуры следующие:
• VPN Client verification process will use Endpoint Security Compliance (Процесс верификации
VPN клиента будет использовать политику Endpoint Security Compliance) – Использует
политику Endpoint Security для управления доступом к ресурсам организации.
• VPN Client verification process will use VPN SCV Compliance (Процесс верификации VPN клиента
будет использовать политику VPN SCV Compliance) – Использует настройки SCV (Security
Configuration verification – верификация конфигурации безопасности) шлюза безопасности для
управления доступом к ресурсам организации. Проверки SCV, заданные в политике Local.scv, всегда
запущены на клиенте. Эта опция описана в Руководстве администратора по клиентам удаленного
доступа E75.20 (http://supportcontent.checkpoint.com/solutions?id=sk65209).

Руководство администратора Endpoint Security Management Server E80.40 | 132


Политика Compliance Rules

Аналитический отчет Endpoint Security


Если выбрано действие Generate Endpoint Security Analysis Report (Генерировать аналитический отчет
Endpoint Security), сервер управления Endpoint Security генерирует аналитический отчет по всем клиентам
Endpoint Security в среде. Каждый клиент посылает информацию на сервер один раз каждый день, и
информация суммируется сервером ежечасно.
Отчет можно посмотреть во вкладке Reporting > Endpoint Security Analysis Report (Отчеты >
Аналитический отчет Endpoint Security).
Отчет включает в себя:
• Общий риск потери данных и компьютеры с наибольшим риском потери данных.
• Общий риск неавторизованного доступа и компьютеры с наибольшим риском неавторизованного
доступа.
• Общий риск угроз и компьютеры с наибольшим риском угроз.
Это действие одинаково во всех правилах политики Compliance Rules.

Настраиваемые действия
Вы можете задать следующие типы настраиваемых действий Compliance:
• Add required applications and files (Добавить требуемые приложения и файлы) – Следит за тем,
чтобы требуемые файлы, ключи реестра и процессы были установлены и запущены.
• Add restricted applications and files (Добавить запрещенные приложения и файлы) – Следит за тем,
чтобы файлы, ключи реестра и процессы, которых не должно быть на компьютере, на самом деле
отсутствовали и не были запущены.
• Add anti-malware checks (Добавить проверки на наличие вредоносного ПО) – Следит за тем, чтобы
на компьютерах была установлена и обновлена программа защиты от вредоносного ПО.
• Add service pack checks (Добавить проверку пакетов обновлений) – Следит за тем, чтобы на
компьютерах были установлены самые последние пакеты обновлений и обновления операционной
системы.
В правиле политики может быть одно действие для каждого типа действия. Каждое настраиваемое действие
включает одно или более Action Rules (Правил действия), которое содержит следующие компоненты:
• Check Objects (Checks) (Объекты проверки (Проверки)) - Объекты проверки определяют
действительный файл, процесс, значение или состояние, которое ищет блейд Compliance.
• Один или более Remediation objects (Объекты исправления) – Объект исправления запускает
указанное приложение или скрипт, чтобы привести компьютер конечной точки в соответствие. Он также
может посылать сообщения-оповещения пользователям.
• Одно из следующих опций Action (Действия) – Что происходит, когда компьютер нарушает правило
Действия:

Действие Определение

Вносит записи о деятельности конечной точки в журнал регистрации событий без


дальнейших действий. Пользователи не знают, что они не находятся в состоянии
Observe
(Наблюдение) соответствия. Конечные точки, не находящиеся в состоянии соответствия, во
вкладке Reporting (Отчеты) показываются с состоянием Observe
(Наблюдение).

Warn Оповещает пользователя о несоответствии и автоматически выполняет


(Предупрежде соответствующие шаги по исправлению.
ние) Администратору посылается запись в журнал регистрации событий.
Оповещает пользователя о несоответствии и автоматически выполняет
соответствующие шаги по исправлению.
Restrict Администратору посылается запись в журнал регистрации событий.
Изменяет соответствующие политики на ограничение доступа спустя
(Ограничение предопределенное количество heartbeat-интервалов (по умолчанию 5). Перед тем
доступа) как это случится, пользователь находится в состоянии about to be restricted
(доступ вскоре будет ограничен). На вкладке мониторинга пользователь
показывается с состоянием pre-restricted (перед ограничением доступа).

Руководство администратора Endpoint Security Management Server E80.40 | 133


Политика Compliance Rules

Блейд Compliance запускает правила. Если он находит нарушения, он выполняет шаги по устранению
нарушения и выполняет Действие правила.
Базовый рабочий процесс для определения дополнительных правил соответствия:
1. Во вкладке Policy (Политика) нажмите правой кнопкой мыши на действие в колонке Actions
(Действия).
2. Выберите один из настраиваемых типов Действия, а затем нажмите на Create Custom (Создать
настраиваемое).
3. В окне Action Properties (Свойства действия) введите название правила и опционально введите
описание или комментарии.
4. Нажмите на одну из иконок Add Rule (Добавить правило), чтобы создать новые Action Rules
(Правила действия) в зависимости от необходимости:
a) В поле Name (Название) введите название правила Действия.
b) Нажмите на Check (Проверка), чтобы добавить объекты проверки в правило Действия.
c) Выберите Action (Действие) из списка.
d) Нажмите на вкладку Remediation (Исправление), чтобы добавить объекты исправления в правило.
Если выбранное действие – Observe (Наблюдение), то правило не требует объекта исправления.
e) Дополнительно: в поле Comment (Комментарий) введите комментарий к правилу действия.
Выполните эти шаги еще раз, чтобы создать дополнительные правила Действия в зависимости от
необходимости.

Объекты проверки требуемых/запрещенных приложений


Объекты проверки требуемых приложений проверяют наличие указанных файлов, значений реестра и
процессов, которые должны быть запущены или присутствовать на компьютерах конечных точек. Объекты
проверки запрещенных приложений проверяют наличие указанных файлов, значений реестра и
процессов, которые не должны быть запущены или присутствовать на компьютерах конечных точек.

Для правил действия Required Application (Требуемых приложений), несколько объектов проверки в
правиле взаимно исключаются. Если не соответствует один или более объектов проверки, запускается
заданное действие и исправление.

Для правил действия Restricted Application (Запрещенных приложений), все объекты проверки должны не
соответствовать, чтобы запустить действие и исправление. Если соответствует только один объект
проверки, действие и исправление не запускаются.

Чтобы создать новый или изменить существующий объект проверки:


1. В окне Custom Actions Properties (Свойства настраиваемого действия) выберите вкладку Check
(Проверка).
2. Нажмите на New (Новый), чтобы создать новый объект проверки, или Edit (Редактировать), чтобы
изменить существующий.
3. Только для Required applications and files (Требуемые приложения и файлы): Когда вы создаете
новый объект проверки, выберите Object Type (Тип объекта):
• Required Entity Check (Проверка требуемых элементов) – Добавить один указанный объект
проверки.
• Required Entity Group (Группа требуемых элементов) – Добавить группу объектов проверки.
Выберите опцию, если проверка всех объектов проверки в группе должна быть успешной или
проверка как минимум одного объекта должна быть успешной.
4. В окне Compliance Check Properties (Свойства проверки соответствия) введите соответствующие
данные в следующие поля.

Опция Описание
Name (Имя) Уникальное имя для этого объекта проверки.
Comment Дополнительно: описание произвольным текстом.
(Комментарий)
Operating System Выберите операционную систему, на которое приводится в исполнение объект
(Операционная проверки.
система)

Руководство администратора Endpoint Security Management Server E80.40 | 134


Политика Compliance Rules

Выберите одну из следующих опций, чтобы активировать проверку реестра,


или снимите флажок с опции, чтобы деактивировать.
• Registry key and value exist (Ключ реестра и значение существуют) –
Найти ключ реестра и значение.
Если ключ реестра существует, компьютер конечной точки находится в
Check Registry соответствии в отношении требуемого файла.
(Реестр проверки)
• Registry key and value do not exist (Ключ реестра и значение не
существуют) – Следит за тем, чтобы ключ реестра и значение не
существовали.
Если ключ не существует, компьютер конечной точки не находится в
соответствии в отношении запрещенного приложения.
Registry Key (Ключ Введите ключ реестра.
реестра)
Registry Value Введите соответствующее значение реестра.
(Значение реестра)

Выберите одну из следующих опций, чтобы проверить, запущено ли


приложение, и существует ли файл:
• File is running at all times (Файл запущен постоянно) - Например,
убедиться, что клиент Endpoint Security всегда запущен.
Check File (Файл • File exists (Файл существует) - Например, убедиться, что история
проверки) браузера пользователя всегда сохраняется.
• File is not running (Файл не запущен) - Например, убедиться, что DivX не
используется.
• File does not exist (Файл не существует) - Например, убедиться, что
поврежденный файл DLL удален.

Введите имя искомого файла или исполняемого файла. Чтобы просмотреть,


File Name (Имя файла) запущен этот файл или нет, вы должны ввести полное имя исполняемого
файла, включая расширение (.exe или .bat).
• Введите путь без названия файла.
• Выберите опцию Use environment Variables of logged in user
File Path (Путь файла) (Использовать переменные среды вошедшего в систему
пользователя), чтобы включить пути, заданные в системе, и
переменные пользователя.
• Не добавляйте символ "\" в конце пути.
Check File Properties Дополнительные опции для проверки существующего или несуществующего
(Проверка свойств файла.
файла)
Match File Version
(Соответствие версии Убедитесь, что конкретная версия или диапазон версий файла или
файла) приложения соответствует проверке файла.

Match MD5 Checksum Найдите файл по контрольной сумме MD5. Нажмите на Calculate
(Соответствие (Рассчитать), чтобы сравнить контрольную сумму на конечной точке с
контрольной суммы) контрольной суммой на сервере.

Выберите эту опцию и введите максимальный возраст, в днях, целевого


File is not older than файла. Если возраст старше максимального возраста, считается, что
(Файл не старше) компьютер находится в состоянии соответствия. Этот параметр может
помочь определить недавно установленные, вредоносные файлы, которые
выдают себя за обычные.

5. Дополнительно: Вы можете выбрать или задать действие исправления для этого объекта проверки.
Действие исправления применяется только к этому объекту проверки и перекрывает действие
исправления, указанное в правиле. Чтобы задать действие исправления для объекта проверки,
выберите действие исправления из списка или нажмите на Manage > New (Управление > Новое), чтобы
задать новое ("Работа с объектами исправления" на странице 142).

Объекты проверки Anti-Malware


Объект проверки Anti-Malware следит за тем, чтобы программное обеспечение защиты от вредоносного ПО
было установлено и запущено на компьютерах конечных точек. Вы можете также настроить этот объект

Руководство администратора Endpoint Security Management Server E80.40 | 135


Политика Compliance Rules

проверки, чтобы убедиться, что версия этого программного обеспечения самая новая и включает самые
последние обновления баз. Рекомендуется обновлять эту информацию в объекте проверки, когда
выпускаются версии защиты от вредоносного ПО и обновления баз данных.

Для правил действия Anti-Malware несколько объектов проверки в правиле взаимно исключаются. Если
не соответствует один или более объектов проверки, запускается заданное действие и исправление.
Чтобы создать новый или изменить существующий объект проверки:
1. В окне Custom Actions Properties (Свойства настраиваемого действия) выберите вкладку Check
(Проверка).
2. Нажмите на New (Новый), чтобы создать новый объект проверки, или Edit (Редактировать), чтобы
изменить существующий.
3. В окне Compliance Check Properties (Свойства проверки соответствия) введите соответствующие
данные в следующие поля.

Опция Описание
Name (Имя) Уникальное имя для этого объекта проверки.
Comment (Комментарий) Дополнительно: описание произвольным текстом.
Anti-Virus Provider Выберите антивирусное программное обеспечение, которое должно
(Поставщик антивируса) быть установлено.

Operating system Выберите операционную систему из списка.


(Операционная система)

Minimum engine version Выберите и введите минимальную версию движка, чтобы защита от
(Минимальная версия вредоносного ПО была последней версии. Снимите флажок с опции,
движка) чтобы деактивировать ее.

Anti-Virus must always be Выберите эту опцию, если компьютеры находятся в состоянии
running (Антивирус всегда соответствия, только если на них запущена защита от вредоносного ПО
должен быть запущен) все время.

Выберите одну из этих опций и введите соответствующие данные:


Database Updates • Minimum DAT file version (Минимальная версия файла DAT) –
Enforcement (DAT) Минимальная версия файла базы данных.
(Обязательность • Oldest DAT file time stamp (Наиболее старая отметка времени файла
обновления баз DAT) – Наиболее ранняя допустимая дата и время файла базы данных.
данных) • Maximum DAT file age (Максимальный возраст файла DAT) –
Максимальный возраст в днях файла базы данных.

4. Дополнительно: Вы можете выбрать или задать действие исправления для этого объекта проверки.
Действие исправления применяется только к этому объекту проверки и перекрывает действие исправления,
указанное в правиле. Чтобы задать действие исправления для объекта проверки, выберите действие
исправления из списка или нажмите на Manage > New (Управление > Новое), чтобы задать новое ("Работа
с объектами исправления" на странице 142).

Объекты проверки пакетов обновлений


Объект проверки пакетов обновлений следит за тем, чтобы на компьютерах конечных точек были
установлены самые последние пакеты обновлений и обновления операционной системы. Рекомендуется
обновлять эту информацию в объекте проверки, когда выпускаются новые пакеты обновлений и
обновления операционной системы.
Для правил действия Service Pack (Пакетов обновлений) несколько объектов проверки в правиле взаимно
исключаются. Если не соответствует один или более объектов проверки, запускается заданное действие и
исправление.
Чтобы создать новый или изменить существующий объект проверки:
1. В окне Custom Actions Properties (Свойства настраиваемого действия) выберите вкладку Check
(Проверка).

Руководство администратора Endpoint Security Management Server E80.40 | 136


Политика Compliance Rules

2. Нажмите на New (Новый), чтобы создать новый объект проверки, или Edit (Редактировать), чтобы
изменить существующий.
3. В окне Compliance Check Properties (Свойства проверки соответствия) введите соответствующие
данные в следующие поля.
Опция Описание
Name (Имя) Уникальное имя для этого объекта проверки.
Comment (Комментарий) Дополнительно: описание произвольным текстом.

Operating system Выберите операционную систему из списка.


(Операционная система)

Registry Key (Ключ реестра) Введите ключ реестра для пакета обновлений.
Registry Value (Значение Введите значение реестра для пакета обновлений.
реестра)
4. Дополнительно: Вы можете выбрать или задать действие исправления для этого объекта проверки.
Действие исправления применяется только к этому объекту проверки и перекрывает действие исправления,
указанное в правиле. Чтобы задать действие исправления для объекта проверки, выберите действие
исправления из списка или нажмите на Manage > New (Управление > Новое), чтобы задать новое ("Работа
с объектами исправления" на странице 142).

Работа с объектами исправления


Объект исправления запускает указанное приложение или скрипт, чтобы привести компьютер конечной
точки в соответствие. Он также может посылать сообщения-оповещения пользователя.
Вы можете создать Remediation objects (Объекты исправления) в окне Check (Проверка) Object Details
(Информация об объекте) или во вкладке Remediation (Исправление) в окне Action Properties (Свойства
действия). После того как будет создан Remediation object (Объект исправления), вы можете
использовать один и тот же объект в нескольких правилах действия.
Чтобы создать новый или изменить существующий объект исправления:
1. В окне Custom Actions Properties (Свойства настраиваемого действия) выберите вкладку
Remediation (Исправление).
2. Нажмите на New (Новый), чтобы создать новый объект исправления, или Edit (Редактировать), чтобы
изменить существующий.
3. В окне Remediation Properties (Свойства исправления) введите соответствующие данные в
следующие поля.

Опция Описание
Операции
Run Custom File (Запустить Запустите указанную программу или скрипт, когда компьютер конечной точки не
настроенный файл) находится в состоянии соответствия.

• Введите временный каталог на локальном компьютере, куда будет скачиваться


программа или скрипт. Этот путь должен представлять собой полный путь,
включающий в себя сам файл и расширение (*.bat или *.exe).
• Этот параметр обязателен.
Download Path (Путь • Клиент конечной точки сначала пытается получить доступ к файлу с указанного
скачивания) пути. Если клиенту не удается, он скачивает файл с URL во временный каталог и
запускает его оттуда.
• Для запуска нескольких файлов, используйте одну из известных программ сжатия,
например, WinRAR , для создания самораспаковывающегося исполняемого файла,
содержащего несколько файлов .exe или .bat.
• Введите URL HTTP или файлообменного сервера, где находится файл.
• Введите полный путь, включающий в себя сам файл с одним из
URL поддерживаемых расширений (*.bat или *.exe).
• Это поле можно оставить пустым.
• Убедитесь, что обмен файлами не защищен именем пользователя или паролем.

Руководство администратора Endpoint Security Management Server E80.40 | 137


Политика Compliance Rules

Если исполняемый файл, указанный в URL, запускает процесс установки,


убедитесь, что исполняемый файл содержит параметр, указывающий каталог, куда
Parameters (Параметры)
должна быть установлена программа. Если исполняемый файл не содержит такого
параметра, его здесь.
Нажмите на Calculate (Рассчитать), чтобы генерировать контрольную сумму MD5,
MD5 Checksum
цифровой отпечаток пальца для установленного приложения или файлов
(Контрольная сумма MD5)
исправления.
Для запуска исполняемого файла применяются права системы. Не все процессы
Run as System (Запуск от
могут запускаться с правами пользователя. Права системы могут потребоваться
имени системы)
для устранения проблем реестра и деинсталляции определенных программ.

Run as User (Запуск от Для запуска исполняемого файла применяются права пользователя и переменные
имени пользователя) локальной среды.

Сообщения
Automatically execute
operation without user
Запуск исполняемого файла без отображения сообщения на компьютере конечной
notification (Автоматически
точки.
выполнять операцию без
уведомления пользователя)

Execute operation only after


Запуск исполняемого файла только после того как откроется сообщение
user notification (Выполнять
пользователю, и пользователь подтвердит действие исправления. Это происходит,
операцию только после
когда при проверке соответствия выбирается действие Warn (Предупреждение) или
уведомления
Restrict (Ограничение доступа).
пользователя)

Выберите, чтобы один и тот же текст использовался для обоих сообщений.


Use same message for both
Сообщение о несоответствии информирует пользователя, что компьютер не
Non-Compliant and
соответствует политике безопасности, и показывает, как вернуться к состоянию
Restricted messages
соответствия.
(Использовать одно и то же
Сообщение об ограничении доступа информирует пользователя, что компьютер не
сообщение для сообщения
соответствует политике безопасности, показывает, как вернуться к состоянию
о несоответствии и об
соответствия, и ограничивает использование компьютера до возвращения в
ограничении доступа)
состояние соответствия.

Отображаются выбранные сообщения о несоответствии и об ограничении доступа.


Папка с сообщениями доступна только при выборе настройки Execute only after user
notification (Выполнять только после уведомления пользователя). Нажмите на Add
Message Box (Папка
(Добавить), Remove (Удалить) или Edit (Редактировать), чтобы добавить
сообщений)
сообщение и удалить или редактировать выбранное сообщение.
Внимание: Пользователь не может отменить запуск приложения или файла
исправления.

Отслеживание состояний соответствия


Вы можете отслеживать состояние соответствия компьютеров в вашей среде в:
• SmartView Tracker
• Security Overview (Общие сведения о безопасности)
• Reporting > Compliance (Отчеты > Соответствие)

В отчетах Security Overview (Общие сведения о безопасности) и Compliance (Соответствие) используются


следующие состояния соответствия:
• Compliant (Соответствует) - Компьютер отвечает всем требованиям соответствия.
• About to be restricted (Доступ вскоре будет ограничен) - Компьютер не соответствует требованиям
безопасности и доступ будет ограничен, если не будут предприняты шаги для возвращение в состояние
соответствия. См. Настройку состояния "Доступ вскоре будет ограничен" ("Настройка состояния "About to
be Restricted"." на странице 144).
• Observe (Наблюдение) – Одно или более правил соответствия, установленных как Observe
(Наблюдение), не соблюдаются. Пользователи не знают об этом статусе и не имеют ограничений.
• Restricted (Доступ ограничен) - Компьютер не соответствует требованиям безопасности и имеет
ограниченный доступ к ресурсам сети.

Руководство администратора Endpoint Security Management Server E80.40 | 138


Политика Compliance Rules

• Warn (Предупреждение) - Компьютер не соответствует требованиям безопасности, но пользователь


может продолжить обращаться к ресурсам сети. Необходимо выполнить требуемые шаги, чтобы вернуть
компьютер в состояние соответствия.

Heartbeat-интервал
Компьютеры конечных точек посылают "heartbeat"-сообщения на сервер управления Endpoint Security, чтобы
обеспечить активность всех соединений и актуальность всех политик. Время между heartbeat-сообщениями
называется heartbeat-интервал.

Внимание – Heartbeat-интервал по умолчанию составляет 60 секунд.


Слишком короткий heartbeat-интервал может привести к снижению производительности. Слишком
длинный heartbeat-интервал может привести к снижению безопасности и менее точным отчетам.

Состояние соответствия компьютера конечной точки обновляется при каждой пульсации. Heartbeat-
интервал также контролирует время, которое клиент конечной точки находится в состоянии About to be
restricted (Доступ вскоре будет ограничен) перед ограничением доступа.
Чтобы настроить heartbeat-интервал:
1. Нажмите на Manage > General Properties (Управление > Общие свойства).
Откроется окно General Properties (Общие свойства).
2. В разделе Connection Settings (Настройки подключения) установите Interval between client
heartbeats (Интервал между пульсациями клиента).
3. Нажмите на OK.

Настройка состояния "About to be restricted".


Состояние About to be restricted (Доступ вскоре будет ограничен) посылает пользователям одно
последнее предупреждение и дает возможность немедленно исправить проблемы соответствия до того,
как доступ компьютера конечной точки будет ограничен. Вы можете настроить период времени, который
есть у пользователя для исправления проблем после того, как будет показано сообщение с
предупреждением.
Этот период времени задается в пульсациях.
Чтобы настроить период времени, который есть у пользователей до ограничения доступа
компьютера конечной точки:
1. В консоли Endpoint Security выберите Manage > General Properties > Connection Settings (Управление
> Общие свойства > Настройки подключения).
2. В разделе Out of Compliance (Не в состоянии соответствия) введите количество пульсаций.
3. Нажмите на OK.
При настройке этого периода времени рекомендуется давать пользователям достаточно возможности,
чтобы:
• Сохранить свои данные.
• Исправить проблемы соответствия.
• Убедиться, что компьютер конечной точки находится в состоянии соответствия.
Формула преобразования указанного периода времени в минуты:
<количество пульсаций > * <heartbeat-интервал (в секундах)> * 60.

Руководство администратора Endpoint Security Management Server E80.40 | 139


Глава 18
WebCheck
В этой главе
Действия WebCheck 140
Временная деактивация WebCheck 142

WebCheck защищает компьютер конечной точки от новых обнаруженных уязвимостей браузеров и


фишинг-сайтов, которые злонамеренно выдают себя за другие сайты. WebCheck создает виртуальный
браузер со своей собственной виртуальной файловой системой. Он открывает любой сайт, не
определенный как trusted (доверенный) в виртуальном браузере. Любые изменения, сделанные не
доверенным сайтом, например, введение вредоносного ПО, ограничиваются файловой системой
виртуального браузера.
Для информации о поддерживаемых браузерах см. Информацию по версии Endpoint Security
(http://supportcontent.checkpoint.com/solutions?id=sk82100).

Действия WebCheck
Для каждого Действия в правиле выберите опцию, которая определяет логику работы Действия. Вы можете
выбрать предопределенную опцию Действия или выбрать New (Новый), чтобы задать настраиваемую
опцию Действия.
Нажмите правой кнопкой мыши на Действие и выберите Edit (Редактировать), чтобы изменить логику
работы Действия.
Изменения в правилах политики приводятся в исполнение только после установки политики.

Защита просмотра веб-страниц


Выберите Действие, которое определяет, активирован WebCheck или нет.

Действие Описание

Enable web browsing protection (WebCheck)


(Активировать защиту просмотра веб-страниц WebCheck
файловой
открывает не доверенные сайты в
системе виртуального браузера.
(WebCheck))

Disable web browsing protection (WebCheck)


(Деактивировать защиту просмотра веб- WebCheck деактивирован.
страниц (WebCheck))

Если вы активируете WebCheck, нажмите правой кнопкой мыши на Действие и выберите Edit Properties
(Редактировать свойства), чтобы настроить Trusted Sites (Доверенные сайты).
Доверенный сайт – это сайт, для которого защита WebCheck не является необходимой. Например, сайт
внутри корпоративной сети считается доверенным.
WebCheck создает различные среды просмотра страниц:
• Доверенные сайты ("Настройка доверенных сайтов" на странице 145) открываются прямо в браузере.
• Не доверенные сайты открываются в виртуальном браузере WebCheck. Окно виртуального браузера
обрамляется светящейся рамкой ("Виртуальный браузер WebCheck" на странице 145).

Руководство администратора Endpoint Security Management Server E80.40 | 140


WebCheck

Когда WebCheck активирован, как для доверенных, так и для не доверенных сайтов в поддерживаемых
браузерах отображается иконка замка Endpoint Security в строке заголовка.
Когда пользователи переходят между доверенными и не доверенными зонами, открывается сообщение
Redirection (Перенаправления). Например, если у пользователя открыт корпоративный сайт, и он
переходит к сайту новостей, открывается сообщение перенаправления: Since this is not a trusted site,
it will be redirected to a separate WebCheck browser (Поскольку это не доверенный сайт, он будет
перенаправлен в отдельный браузер WebCheck).

Настройка доверенных сайтов


Все сайты, которые не настроены как доверенные, открываются в виртуальном браузере WebCheck.

Чтобы создать доверенный сайт или группу сайтов:


1. Во вкладке Policy (Политика), правило WebCheck, дважды нажмите кнопкой мыши на Enable web
browsing protection (WebCheck) (Активировать защиту просмотра веб-страниц (WebCheck)).
2. В области Trusted Sites (Доверенные сайты) нажмите на Add (Добавить).
• Чтобы добавить существующий сайт: выберите сайт из списка Available Objects (Доступные
объекты) и нажмите на Add (Добавить), чтобы переместить его в список Selected Objects
(Выбранные объекты).
3. Чтобы добавить новый сайт, нажмите на New (Новый).
4. Выберите Site Pattern (Шаблон сайта).
5. В окне Site Pattern Properties (Свойства шаблона сайта) введите:
a) Описательное имя в поле Name (Имя).
b) Host Name (Имя хоста) в соответствии с одним из разрешенных форматов:

Разрешенный формат Описание

company.com
www.company.com Доменное имя для одного хоста

www.*.company.com Домен с безразличным символом для поддомена


192.168.1.2 IP адрес для одного хоста

Внимание - Вы не можете вводить URL’ы.


6. Нажмите на OK.
Сайт добавится в список Selected Objects (Выбранные объекты).
7. Дополнительно: Нажмите на New > Site Pattern Group (Новый > Группа шаблонов сайта), чтобы
собрать отдельные сайты в легко управляемую группу.

Виртуальный браузер WebCheck


Сайты, не являющиеся доверенными, открываются в виртуальном браузере WebCheck. У виртуального
браузера есть своя собственная виртуальная файловая система, хранящаяся на компьютере
пользователя. Все изменения, которые виртуальный браузер вносит в файлы и реестр, вносятся только в
файловую систему виртуального браузера, но не в операционную систему пользователя. Это защищает
операционную систему от злонамеренных действий со стороны сайтов.
Удаление данных виртуального браузера
Пользователи могут удалить данные виртуального браузера и изменения виртуальной файловой системы.
Вы можете попросить пользователей делать это для устранения сбоев в работе, особенно если имеются
изменения в браузере или обновления.
Чтобы удалить данные виртуального браузера и изменения виртуальной файловой системы:
1. В клиенте Endpoint Security выберите блейд WebCheck.
2. Нажмите на Advanced (Расширенные настройки).
3. Нажмите на Clear WebCheck Cache (Очистить кэш WebCheck).

Руководство администратора Endpoint Security Management Server E80.40 | 141


WebCheck

Анти-фишинг
Вы можете задать анти-фишинг для правила WebCheck.
Действие Описание

Enable anti-phishing Проверяет сайты на фишинг-характеристики и отслеживает недавно


(Активировать анти- открытые фишинг-сайты и сайты со шпионским ПО. WebCheck
фишинг) отображает предупреждение, когда пользователи переходят к
подозрительному сайту.
Disable anti-phishing
(Деактивировать анти- Анти-фишинг деактивирован.
фишинг)

Статус сайта и запись в журнал регистрации событий


Действия Site Status and Logging (Статус сайта и запись в журнал регистрации событий) определяют:
• Будет ли WebCheck проверять сайты, чтобы выяснить, разрешен или запрещен доступ
• Записывается ли попытка доступа к сайту в журнал регистрации событий
Доступны следующие действия:
Название действия Описание
Enable sites status check and
visit logs (Активировать Проверка статуса безопасности сайта и разрешение или
блокирование доступа в зависимости от результата.
проверку статуса сайта и
запись посещений в журнал) Запись о посещении в журнал регистрации событий.

Enable site visit logs only Запись всех посещений сайта и запись о посещении в журнал
(Активировать только запись
регистрации событий.
посещений сайта в журнал)
Проверка статуса безопасности сайта и разрешение или
Enable site status check only
блокирование доступа в зависимости от результата.
(Активировать только проверку
статуса сайта) Запись о посещении в журнал регистрации событий не
вносится.
Disable site status check and
visit logs (Деактивировать Статус безопасности сайта не проверяется, запись о
проверку статуса сайта и посещении в журнал не вносится.
запись посещений в журнал)

Временная деактивация WebCheck


В редких случаях WebCheck может мешать привычному просмотру страниц. Для решения этой проблемы
Check Point предлагает утилиту (NOISW.exe), которая позволяет пользователям временно деактивировать
защиту WebCheck. Эта утилита не включена в Руководство пользователя Endpoint Security.
Рекомендуется не рассказывать пользователям о NOISW.exe, кроме случаев, когда нет других альтернатив
решения проблемы.
Когда пользователь запускает NOISW.exe, WebCheck деактивируется на заданный пользователем период
времени. В секции WebCheck Status (Статус WebCheck) во вкладке Monitoring (Мониторинг) появляется
оповещение.
Чтобы позволить пользователю временно деактивировать WebCheck, дайте ему следующие
инструкции:
1. Закройте все веб-браузеры.
2. Запустите NOISW.exe, расположенный в папке Program Files\CheckPoint\Endpoint Security\WebCheck.
3. Введите количество минут, на которое деактивируется WebCheck. Время по умолчанию составляет 15
минут.
4. В окне WebCheck нажмите на Suspend (Приостановить).
5. Нажмите на OK для подтверждения.

Руководство администратора Endpoint Security Management Server E80.40 | 142


Глава 19
Политика Application Control
В этой главе
Работа с политикой Application Control 143
Служба репутации 144

Блейд Application Control (Управление приложениями) ограничивает доступ к сети для указанных
приложений. Администратор Endpoint Security задает политики и правила, разрешающие, блокирующие
или останавливающие приложения и процессы. Только те приложения, которые пытаются получить доступ
к сети, могут быть заблокированы или остановлены. Если это указано в правиле Application Control,
показывается оповещение о том, которое приложение было заблокировано или остановлено.
Вы можете также активировать Reputation Service (Службу репутации) (которая ранее называлась
Program Advisor (Советник по программам), которая будет рекомендовать, разрешать или
блокировать приложения.

Работа с политикой Application Control


Вы можете настроить, какие приложения будут разрешены, заблокированы или остановлены, и что будет
происходить, когда приложения не идентифицируются.
Чтобы настроить разрешенные приложения:
1. Во вкладке Policy (Политика) > правило Application Control нажмите правой кнопкой мыши на действие
Allowed Apps (Разрешенные приложения) и выберите Manage Allowed Apps List (Управление
списком разрешенных приложений).
2. Чтобы добавить приложения, нажмите на Add (Добавить) и выберите приложения в окне Search
Applications (Поиск приложений).
3. Нажмите на OK.

Чтобы настроить блокируемые приложения:


1. Во вкладке Policy (Политика) > правило Application Control нажмите правой кнопкой мыши на
действие Block Apps (Блокируемые приложения) и выберите Manage Blocked Apps List
(Управление списком блокируемых приложений).
2. Чтобы добавить приложения, нажмите на Add (Добавить) и выберите приложения в окне Search
Applications (Поиск приложений).
3. Нажмите на OK.

Чтобы настроить останавливаемые приложения:


1. Во вкладке Policy (Политика) > правило Application Control нажмите правой кнопкой мыши на
действие Terminated Apps (Останавливаемые приложения) и выберите Manage Terminated Apps
List (Управление списком останавливаемых приложений).
2. Чтобы добавить приложения, нажмите на Add (Добавить) и выберите приложения в окне Search
Applications (Поиск приложений).
3. Нажмите на OK.
Если вы блокируете неидентифицированные приложения, пользователи могут иметь доступ только к
приложениям, включенным в Allowed Apps List (Список разрешенных приложений). Если вы разрешаете
неидентифицированные приложения, пользователи могут иметь доступ ко всем приложениям, которые не
входят в список блокируемых или останавливаемых. Если вы разрешаете неидентифицированный трафик,
убедитесь, что вы заполнили списки блокируемых и останавливаемых приложений.

Руководство администратора Endpoint Security Management Server E80.40 | 143


Политика Application Control

Чтобы настроить, что происходит с неидентифицированными приложениями:


Во вкладке Policy (Политика) > правило Application Control выберите Block Unidentified Applications
(Блокировать неидентифицированные приложения) или нажмите правой кнопкой мыши и выберите Allow
Unidentified applications (Разрешить неидентифицированные приложения).
Останавливаемые приложения не могут проходить через сетевой экран.

Служба репутации
Служба репутации Check Point (Check Point Reputation Service) является онлайн-службой, которая
автоматически создает рекомендуемые правила, которые блокируют или разрешают общие приложения.
Эти правила основаны на рекомендациях экспертов безопасности Check Point. Этот компонент уменьшает
вашу рабочую нагрузку, в то же время повышая уровень безопасности и удобства использования.

Внимание – На вашем сервере управления Endpoint Security должен быть доступ в


Интернет (на портах 80 и 443) для подключения к серверу Службы репутации Check
Point. Убедитесь, что ваш сетевой экран разрешает этот трафик. Рекомендуется
добавить сервер Службы репутации в вашу доверенную зону.

Чтобы просмотреть рекомендации Службы репутации по безопасным приложениям:


1. В правиле Application Control нажмите правой кнопкой мыши на действие Allow Whitelisted Apps
(Разрешать приложения из белого списка) и выберите Manage Allowed Apps List (Управление
списком разрешенных приложений).
2. В Allow Applications List (Список разрешенных приложений) выберите Good Reputation (Хорошая
репутация) в меню опций.
Откроется список приложений с хорошей репутацией, сгенерированный Службой репутации. Вы можете
переместить приложения в список Block (Блокировать) или Terminate (Останавливать).
Чтобы просмотреть рекомендации Службы репутации по вредоносным приложениям:
1. В правиле Application Control нажмите правой кнопкой мыши на действие Terminated Apps
(Останавливаемые приложения) и выберите Manage Terminated Apps List (Управление
списком останавливаемых приложений).
2. В Terminate Application List (Список останавливаемых приложений) выберите Known Malware
Apps (Известные вредоносные приложения) в меню опций.
Откроется список вредоносных приложений, сгенерированный Службой репутации. Вы можете переместить
приложения в список Block (Блокировать) или Allow (Разрешить).

Использование Службы репутации с прокси-сервером<