Академический Документы
Профессиональный Документы
Культура Документы
Management Server
E80.40
Руководство администратора
27 февраля 2013
© 2012 Check Point Software Technologies Ltd.
Все права защищены. Данный продукт и соответствующие документы защищены авторским
правом, и распространяются по лицензированию, ограничивающему их использование,
копирование, распространение и декомпиляцию. Никакая часть настоящего продукта или
соответствующей документации не может воспроизводиться ни в какой форме, никакими
средствами без предварительного письменного разрешения со стороны Check Point. Несмотря на
все меры предосторожности, принятые при подготовке данной книги, Check Point не берет на себя
ответственность за ошибки или упущения. Данное издание и описанные в нем функциональные
возможности могут быть изменены без предупреждения.
ИНФОРМАЦИЯ ОБ ОГРАНИЧЕНИИ ПРАВ:
На использование, копирование и предоставление информации правительством действуют
ограничения, установленные в подпункте (c)(1)(ii) пункта о Правах в Положении о технических
данных и программном обеспечении в DFARS 252.227-7013 и FAR 52.227-19.
ТОВАРНЫЕ ЗНАКИ:
Список товарных знаков представлен на странице об авторском праве
(http://www.checkpoint.com/copyright.html).
Список соответствующих авторских прав и лицензий третьих сторон представлен в уведомлениях
об авторском праве третьих сторон (http://www.checkpoint.com/3rd_party_copyright.html).
История изменений
Дата Описание
Добавлено «Как работает синхронизация» (на странице 66) для High
Availability
27 февраля 2013 г.
Добавлено пояснение к «Аутентификация активного каталога
Endpoint Security» (на странице 76)
Отзывы
Check Point непрерывно работает над улучшением своей документации.
Endpoint Security является программным блейдом на сервере управления безопасностью Check Point
(Check Point Security Management server). SmartEndpoint является консолью управления клиентами на
конечных точках, а также их компонентами.
Программные блейды
На сервере управления Endpoint Security имеются правила политики для этих свойств безопасности.
Управляет:
Full Disk
• тем, как пользователь Full Disk Encryption входит в систему на
User Authentication компьютере
Encryption
(OneCheck) • тем, как обрабатываются неудавшиеся попытки входа
(Шифрование
(Аутентификация
всего
пользователей
• безопасностью паролей
содержимого • обращением к удаленной помощи.
(OneCheck))
диска)
Full Disk
Encryption Full Disk Encryption
Сочетает Pre-boot защиту (необходимость ввода данных
(Шифрование (Шифрование
пользователя до загрузки системы), аутентификацию при
всего всего содержимого
загрузке и криптостойкое шифрование, чтобы только
содержимого диска)
авторизованные пользователи имели доступ к информации,
диска)
хранящейся на настольных компьютерах и ноутбуках.
Anti-Malware
(Защита от
Anti-Malware Защищает клиентов от известных и неизвестных вирусов,
вредоносного
(Защита от червей, троянов, рекламных ПО и регистраторов работы
вредоносного ПО) клавиатуры.
ПО)
Firewall Rules
Firewall (Сетевой Блокирует или разрешает сетевой трафик на основании
(Правила сетевого
экран)
экрана)
атрибутов сетевых подключений.
Firewall (Сетевой
Application Control Управляет доступом к сети для каждого приложения,
экран)
(Управление позволяя вам ограничивать доступ приложений согласно
приложениями) зонам и направлениям.
Обеспечивает соответствие защищенных компьютеров
требованиям вашей организации и позволяет вам назначать
Compliance
Compliance Rules различные уровни безопасности в соответствии с состоянием
(Соответствие)
(Правила соответствия компьютера конечной точки. Например,
соответствия) несоответствие компьютера политике безопасности может
привести к выводу сообщения об устранении нарушения,
предупреждения или ограничению доступа к сети.
Защищенная внутренняя
SIC TCP/18190
связь Check Point
Перед установкой сервера управления Endpoint Security убедитесь, что следующие порты не
заблокированы:
TCP порт Зарезервирован для:
8080 Связи между сервером управления безопасностью и сканером каталогов с Tomcat
Организационно-центрическая модель
Вы можете импортировать пользователей и компьютеры на сервер управления Endpoint Security,
который использует существующую иерархию вашей организации для создания графического дерева
компьютеров конечных точек. Затем вы задаете политики развертывания программного обеспечения и
политики безопасности централизованно для всех узлов и элементов, выполняя глобальные или конкретные
назначения в зависимости от ваших нужд.
Политико-центрическая модель
Вы можете предопределить политики безопасности перед установкой организации. Интерфейс сервера
управления Endpoint Security предлагает детальный обзор всех политик Endpoint Security,
сгруппированных по блейду, для которого производится настройка.
Вы создаете и назначаете политики корневому узлу организационного дерева как свойство каждого блейда
Endpoint Security. Политики могут быть развернуты одна за другой или все вместе. Ввиду того, что
различные группы, сети, организационные единицы, компьютеры и пользователи имеют различные
потребности в плане безопасности, вы можете настроить различные блейды соответственно их
потребностям.
Централизованное развертывание
Развертывание программного обеспечения на сервере управления Endpoint Security позволяет вам
контролировать конкретные блейды и версии Endpoint Security, установленные на защищенных рабочих
станциях конечных пользователей.
Централизованный мониторинг
Сервер управления Endpoint Security может выполнять отчеты по всей системе, равно как и по отдельным
пользователям и компьютерам. Вы можете отслеживать статус подключения клиента Endpoint Security,
статус соответствия политике безопасности, информацию о событиях безопасности и многое другое.
• General status reports (Общие отчеты о статусах) можно просмотреть на сервере управления
Endpoint Security.
• Historical data for clients and servers (Данные истории для клиентов и серверов) можно
просмотреть в приложении SmartView Tracker.
Лицензия на
Одна лицензия на каждого клиента конечной точки (рабочее место). Эта
контейнер
лицензия прикрепляется к агенту конечной точки (Endpoint Agent).
(Container license)
• Вы можете удалить лицензию клиента путем переустановки клиента или удаления клиента, используя
SmartEndpoint. Эти лицензии возвращаются в пул лицензий.
• Каждый клиент получает свою лицензию на контейнер и блейд из пула доступных лицензий.
• Вы можете совмещать лицензии для получения общего требуемого количества клиентов.
• Валидация лицензии происходит, когда клиент посылает SYNC или heartbeat-сообщения на сервер.
• Когда лицензия на контейнер отсутствует, регистрация программного блейда блокируется.
Получение лицензий
Эта процедура предполагает, что у вас уже есть учетная запись пользователя в Check Point User Center
(Пользовательском центре Check Point), и что вы приобрели необходимые лицензии и контракты.
Для получения лицензии для вашего сервера управления Endpoint Security:
1. Войдите в Пользовательский центр Check Point (http://usercenter.checkpoint.com).
2. Нажмите на Products (Продукты).
На странице будут показаны приобретенные лицензии.
У лицензий Endpoint Security имеются следующие части в SKU:
• CPEP – контейнеры Check Point Endpoint Security.
• CPSB – Программный блейд Check Point. Если макрострока включает суффикс -SUBSCR, вы должны
получить и применить контракт для этого свойства ("Получение и применение контрактов"
на странице 14).
3. Для каждой лицензии выберите License (Лицензия) в выпадающем меню с правой стороны от ряда.
4. Заполните открывшуюся форму.
• Убедитесь, что значение Version (Версия) R80 или выше.
• Убедитесь, что IP Address (IP адрес) – это IP адрес сервера управления Endpoint Security.
5. Нажмите на License (Лицензия).
Откроется окно, где будут отображены данные о лицензии.
6. Сохраните файл лицензии.
7. Добавьте свои лицензии, используя один из следующих методов:
• SmartUpdate
• Gaia или SecurePlatform WebUI.
• Команда cplic CLI
• Команда cpconfig для платформ Windows
Статус лицензии
Вы можете посмотреть статус лицензий на контейнеры и блейды на сервере управления Endpoint Security на
вкладке Reporting > Licenses Report (Отчеты > Отчет о лицензиях). На этой панели показывается общее
количество рабочих мест и количество используемых рабочих мест. Если количество рабочих мест
превышает количество лицензий, вы должны добавить количество лицензий, показанное как Insufficient
Seats (Недостаточно рабочих мест).
В нижнем разделе отчета показывается информация о каждой лицензии, включая:
• Название и статус лицензии
• Программные блейды
• Количество используемых рабочих мест
• Общее количество рабочих мест
• Процент общего количества используемых рабочих мест
• Срок истечения
• IP адрес хоста лицензии
Внимание -
Вы можете использовать клиенты E80.40 SmartConsole для управления
шлюзами безопасности R75.40 и другими объектами.
Alerts (Оповещения)
В секции окна Alerts (Оповещения) показывается, какие компьютеры конечных точек нарушают критические
правила безопасности. Оповещения могут вызывать следующие типы нарушений:
• Компьютеры с проблемами Anti-Malware
• Компьютеры с ошибками обновления Anti-Malware
• Проблемы соответствия
• Компьютеры, на которых некоторые программные блейды не работают или их статус неизвестен
• Компьютеры со сбоями развертывания
• Компьютеры с проблемами шифрования
• Компьютеры, на которых не проводилось сканирование компонентом Anti-Malware
• Компьютеры с предупреждениями проверки безопасности
Свойство Security Picture (Картина безопасности) автоматически отсылает оповещения по электронной
почте администраторам, когда количество конечных точек с нарушениями безопасности превышает
предопределенные пороги. В верхнем разделе секции показывается статус каждого типа нарушения,
включая количество и процент компьютеров конечных точек, на которых имеется нарушение. Также
показываются пороговые условия для отсылки и прекращения оповещений.
Нижний раздел секции содержит две вкладки:
• Trend (Тренд) – Показывает линейную диаграмму тренда нарушений безопасности с течением времени
• Endpoints (Конечные точки) – Показывает стандартный список компьютеров конечных точек
Compliance (Соответствие)
• Compliance Status (Статус соответствия) – Показывает политики соответствия конечной точки,
которые обеспечивают, чтобы:
• Была установлена правильная версия Endpoint Security.
• Операционная система включала все необходимые обновления и пакеты обновлений.
• Были установлены только утвержденные программные приложения.
Если у пользователя или компьютера имеется нарушение правила, в колонке Compliance Violations
(Нарушения соответствия) показывается название правила. Также показываются названия правил,
созданных пользователем.
• Top Violations (Основные нарушения) - Показывает основные нарушения соответствия.
В отчетах используются следующие статусы соответствия:
• Compliant (Соответствует) – Компьютер отвечает всем требованиям соответствия.
• About to be restricted (Доступ вскоре будет ограничен) – Компьютер не соответствует
требованиям безопасности, и доступ будет ограничен, если не будут предприняты меры по достижению
соответствия. См. настройку состояния "About to be Restricted" ("Настройка состояния "About to be
Restricted" на странице 62).
• Observe (Наблюдение) – Не соблюдается одно или более правил соответствия, установленных как
Observe (Наблюдение). Пользователи не знают об этом статусе и не имеют ограничений.
• Restricted (Ограничен) – Компьютер не соответствует требованиям безопасности и имеет
ограниченный доступ к ресурсам сети.
WebCheck
Статус WebCheck - Показывает текущий статус мониторинга WebCheck для клиентов конечных точек.
Категории статусов:
• Enabled (Активирован)
• Disabled (Деактивирован)
• The user disabled this feature (Пользователь отключил это свойство)
• Unknown (Неизвестен)
• Not installed (Не установлено)
Внимание - Блейд VPN загружает журнал регистрации событий SCV на шлюз VPN.
Клиент Check Point Endpoint Security обеспечивает безопасность конечных точек, на которых установлена
система Mac OS X. Клиент защищает конечную точку с помощью следующих программных блейдов:
• Firewall (Сетевой экран) для безопасности настольного компьютера
• Compliance Rules (Правила соответствия)
• Full Disk Encryption (Шифрование всего содержимого диска)
• VPN для прозрачного удаленного доступа к корпоративным ресурсам.
Эта редакция является обновлением для:
• Endpoint Security VPN для Mac E75 (и выше)
• Full Disk Encryption 3.3.5 (и выше) для Mac
Блейды Firewall, Compliance Rules и Full Disk Encryption централизованно управляются с сервера управления
E80.40 Endpoint Security. Блейд VPN управляется политикой, созданной в SmartDashboard и установленной
на шлюзе.
VPN
Блейд VPN основан на Endpoint Security E75.01 VPN. У блейда имеются следующие возможности
подключения, безопасности, установки и администрирования:
• Полный IPSec VPN
• Обнаружение «мертвых» шлюзов
• Точка множественного доступа
• Режим гостя
• NAT-T
• Режим хаба
• VPN туннелирование
• Внесение сертификата в списки и обновление
• И другие
Предварительные условия:
1. Скачайте EPS_E80.40.zip с Центра загрузок (Download Center).
В zip файле содержится:
• EPSE80.40.pkg
Базовый клиентский пакет со всеми компонентами клиента Endpoint Security
• Компоновщик пакета дистрибутива (Distribution Package Builder)
Утилита для настройки пакета для распределения и установки.
В этом файле содержатся данные конфигурации ядра сервера, которые нужны клиенту для успешного
соединения с сервером.
Файл Путь
Синтаксис
path> <output-distribution-path>
Комментарии
• В этом примере создается пакет дистрибутива со всеми блейдами, и используются как опции
конфигурации ядра, так и VPN.
• Запрошенные файлы конфигурации должны находиться в том же каталоге, что и утилита.
Установка
Если вы включили блейд VPN в пакет развертывания, убедитесь, что соблюдаются следующие требования:
Требования сети
• У вас есть шлюзы, поддерживающие удаленный доступ VPN, и, если необходимо, на них установлен
требуемый Hotfix.
• Если режим гостя настроен на порту 443 шлюза VPN, и WebUI шлюза активирован, убедитесь, что WebUI
прослушивает соединения на порту, отличном от 443. В противном случае клиент не подключится.
Установка клиента
1. Скачайте с EPS_E80.40_Full.dmg образ диска на Mac.
(Это пакет, созданный с помощью утилиты компоновки пакета).
2. Если у вас есть образы диска с предыдущих установок клиента, убедитесь, что образы не монтированы.
3. Дважды нажмите кнопкой мыши на образ диска.
После того как образ диска будет монтирован в файловую систему, откроется окно Finder (Поиск) с
содержимым пакета.
4. Дважды нажмите кнопкой мыши на файл E80.40.pkg, чтобы запустить установку.
5. Следуйте инструкциям на экране.
Деинсталляция клиента
Чтобы деинсталлировать клиент на Mac, если это необходимо:
1. Откройте окно терминала.
2. Запустите:
sudo "/Library/Application Support/Checkpoint/Endpoint Security/uninstall.sh"
В окне Object Details (Информация об объекте) есть три секции, доступные из дерева с правой стороны
от окна.
General Details (Общая информация) - Показывает основную информацию о выбранном объекте и статус
каждого программного блейда. Вы можете нажать на программный блейд, чтобы перейти к секции
подробной информации об этом блейде.
• Details (Подробности) (только пользователи и компьютеры) - Показывает информацию LDAP
(Облегченного протокола доступа к сетевому каталогу) и группы, в которые входит пользователь или
компьютер.
• Content (Содержание) (только организационные единицы и группы) - Показывает участников
выбранной организационной единицы или группы.
• Программные блейды - Показывает подробную информацию о правилах и статусах для каждого блейда.
Для организационных единиц и групп показывается подробные отчеты о статусе ("Вкладка Reporting
(Отчеты)" на странице 18).
Управление пользователями
Во вкладке Users and Computers (Пользователи и компьютеры) показывается статус и назначенные правила
для каждого блейда. Вы можете также редактировать правила и создавать ваши собственные правила в
случае необходимости.
Чтобы посмотреть информацию о пользователе:
1. Выберите вкладку Users and Computers (Пользователи и компьютеры).
2. Нажмите правой кнопкой мыши на пользователя в дереве Users and Computers (Пользователи и
компьютеры) и выберите Edit (Редактировать).
Откроется окно User Details (Информация о пользователе) ("Использование окна информации об объекте"
на странице 32). Вы можете посмотреть подробную информацию, а также информацию о правилах и статусе
для каждого программного блейда. Вы не можете изменять правила и настройки действий в этом окне.
Чтобы изменить правила:
1. Выберите пользователя в дереве Users and Computers (Пользователи и компьютеры).
2. Выберите блейд в секции Blades (Блейды).
3. Нажмите Edit Rule (Редактировать правило).
4. Выполните шаги, перечисленные в Мастере Edit Specific Rule (Редактировать конкретное правило).
Подробная информация о настройке приведена в темах о соответствующих программных блейдах.
Управление компьютерами
Вы можете управлять отдельными компьютерами в окне Users and Computers (Пользователи и
компьютеры). В этом окне показывается информация о компьютере, а также о политиках и назначенном им
пользователе. Вы можете настроить, какие пользователи могут входить в этот компьютер.
Чтобы посмотреть информацию о компьютере:
1. Выберите компьютер в дереве Users and Computers (Пользователи и компьютеры).
2. Нажмите правой кнопкой мыши на компьютер в дереве Users and Computers (Пользователи и
компьютеры) и выберите Edit (Редактировать).
Откроется окно Computer Details (Информация о компьютере). Вы можете просмотреть подробную
информацию, а также информацию о правилах и статусе для каждого программного блейда. Вы не
можете изменять правила и настройки действий в этом окне.
Чтобы изменить правила:
1. Выберите компьютер в дереве Users and Computers (Пользователи и компьютеры).
Поле Описание
Scanner Name
Уникальное имя для этой копии сканера.
(Имя сканера)
Scan Interval
(Интервал Интервал в минутах между сканированиями для поддержания актуальности каталога.
сканирования)
SSL Enabled (SSL Выберите эту опцию для использования SSL соединения. Снимите флажок с этой
активирован) опции, чтобы использовать незашифрованное соединение (по умолчанию).
Синхронизация каталога
Через указанные интервалы копии сканера, сканер каталога синхронизирует узлы Endpoint Security в дереве
Users and Computers (Пользователи и компьютеры) с узлами в активном каталоге. Когда происходит
синхронизация:
• Новые объекты активного каталога добавляются в Endpoint Security и наследуют политику в
соответствии с расчетом назначения политик Endpoint Security.
• Удаленные пользователи удаляются из дерева Users and Computers (Пользователи и компьютеры),
но только если у них не было зашифрованных съемных устройств хранения данных. Удаленные
пользователи с зашифрованными съемными устройствами хранения данных перемещаются в папку
Deleted Users/Computers (Удаленные пользователи / компьютеры). Несмотря на то, что
пользователь уже не существует в активном каталоге, сервер хранит ключи шифрования на случай
возможного восстановления.
Вы можете удалить этих пользователей вручную с помощью SmartEndpoint.
• Компьютеры, удаленные из активного каталога, на которых не установлен Endpoint Security, удаляются
из Users and Computers (Пользователи и компьютеры).
• Компьютеры, удаленные из активного каталога, на которых установлен Endpoint Security,
перемещаются в папку Deleted Users/Computers (Удаленные пользователи / компьютеры),
потому что может потребоваться их восстановление. Вы можете удалить эти компьютеры вручную
в консоли управления.
• Объекты, обновленные в активном каталоге, также обновляются и на сервере.
• Неизмененные записи остаются без изменений.
Например, правила политики Media Encryption & Port Protection обычно применяются к пользователям вне
зависимости от того, какой компьютер конечной точки они используют. Однако если правило Media
Encryption & Port Protection применяется к группе компьютеров, правило может работать до правила,
применимого к пользователю. Это имеет место, если правило группы компьютеров выше правила
пользователя в Базе правил политик.
3. В окне Platform Selection (Выбор платформы) выберите версию Windows, 32-битную или 64-битную.
Процедура создания пакета программных блейдов почти такая же, как и при задании правила
развертывания программного обеспечения. Вы выбираете в пакет различные наборы программных блейдов
для настольных компьютеров и для ноутбуков. Программа установки пакета автоматически определяет тип
компьютера и устанавливает соответствующие программные блейды.
Чтобы создать или изменить пакет:
1. Во вкладке Deployment (Развертывание) выберите Packages for Export (Пакеты для экспорта).
2. Для добавления нового пакета нажмите на Add (Добавить).
Новые пакеты покажутся внизу списка.
3. Дважды нажмите кнопкой мыши на клетку Name (Название) в соответствующем пакете и введите
название пакета.
4. Дополнительно: Дважды нажмите кнопкой мыши на клетку Version (Версия) и выберите другую версию
клиента Endpoint из списка. Вы можете выбрать Upload (Загрузить), чтобы добавить больше версий
пакетов в репозиторий.
5. Нажмите на клетки Desktop Blades (Блейды для настольных компьютеров) и Laptop Blades
(Блейды для ноутбуков) и затем выберите программные блейды, которые будут включены в пакет.
6. В колонке Settings (Настройки):
• Выберите Virtual Group (Виртуальная группа) или Computer Group (Группа компьютеров), чтобы
получить политику.
• Задайте новые виртуальные группы или группы компьютеров.
• Добавьте пароли для обновления более ранних компонентов Secure Access и Full Disk Encryption.
• Удалите выбранную группу
Если вы задали блейд удаленного доступа VPN, нажмите правой кнопкой мыши на настройки VPN и
выполните одно из следующих действий:
• Выберите предопределенный VPN сайт из списка.
• Используйте локальный файл настроек VPN
• Добавьте новый VPN сайт
7. Если вы обновляете более раннюю версию Endpoint Security:
a) Дважды нажмите кнопкой мыши на Legacy Secure Access upgrade support (Помощь по
обновлению более ранней версии компонента безопасного доступа) и/или Legacy Full Disk
Encryption EW upgrade support (Помощь по обновлению более ранней версии компонента Full
Disk Encryption EW).
b) Введите и подтвердите соответствующие пароли.
8. В окне Software Deployment Rules (Правила развертывания программного обеспечения)
нажмите на Save (Сохранить).
Чтобы удалить существующее название пакета, выберите Name (Название) пакета и нажмите на
Remove (Удалить).
Экспортирование пакетов
1. В окне Packages for Export (Пакеты для экспорта) выберите пакет.
2. Нажмите на Export Package (Экспортировать пакет).
3. В окне Export Package (Экспортировать пакет):
a) Выберите версии платформы (32/64 бит), чтобы экспортировать пакеты для ноутбуков и настольных
компьютеров.
b) Введите или перейдите к целевой папке.
4. Нажмите на OK.
Файлы пакета EPS.msi и/или PreUpgrade.exe скачиваются по указанному пути. Для каждой опции,
выбранной на шаге 3a, автоматически создается отдельная папка.
5. Пошлите файлы EPS.msi и PreUpgrade.exe пользователям конечных точек. Пользователи конечных
точек вручную устанавливают пакеты. Для этого у них должны быть права администратора.
Вы можете также использовать стороннее программное обеспечение развертывания, путь совместно
используемых сетей, электронную почту или другой метод.
9. В окне Name and Comment (Название и комментарии) введите уникальное название для этого
правила и необязательный комментарий.
10. Нажмите на Finish (Готово), чтобы добавить правило в Software Deployment Rules (Правила
развертывания программного обеспечения).
11. Нажмите на Save (Сохранить).
12. Установите политику.
Sites (Развертывание > Расширенные настройки пакета > Настройки VPN клиента > страница VPN
Сайты).
2. Нажмите на New (Новый).
3. В окне Endpoint Secure Configuration (Безопасная настройка конечной точки) введите:
• Display Name (Отображаемое имя) – Уникальное имя данного VPN сайта
• Site address (Адрес сайта) - IP адрес сайта иди DNS имя
• Authentication Method (Метод аутентификации) - Выберите метод аутентификации из списка
4. Нажмите на OK.
Репозиторий пакетов
Воспользуйтесь Репозиторием пакетов (Package Repository), чтобы загрузить новые версии клиентов на
сервер управления Endpoint Security.
Чтобы загрузить пакет клиента в репозиторий:
Откройте вкладку Deployment (Развертывание) > Advanced Package Settings (Расширенные настройки
пакета) > Packages Repository (Репозиторий пакетов).
1. Нажмите на одну из следующих опций:
• Upload new version MSI (Загрузить MSI новой версии)
Выберите один файл MSI для загрузки.
• Upload new version folder (Загрузить папку новой версии)
Выберите папку, содержащую несколько пакетов MIS для загрузки.
Чтобы удалить версию пакета из репозитория:
Выберите an Endpoint Version (Версия конечной точки), а затем нажмите на Delete Version (Удалить
версию).
Key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Installer
Reg_SZ Logging
Value Voicewarmupx
Постепенное обновление
Чтобы обновиться постепенно, вы можете создать новый профиль развертывания и распределить его
только указанным компьютерам.
Когда вы будете готовы обновить все клиенты, обновите все профили развертывания.
@=hex(2) : 22, 00, 25, 00, 53, 00, 79, 00, 73, 00, 74, 00, 65, 00, 6d, 00, 52
,00,6f,00,6f,00,74,\
00, 25, 00, 5c, 00, 53, 00, 79, 00, 73, 00, 74, 00, 65, 00, 6d, 00, 33, 00, 32
, 00,5c,00,6d,00,\
73, 00, 69, 00, 65, 00, 78, 00, 65, 00, 63, 00, 2e, 00, 65, 00, 78, 00, 65, 00
,22,00,20,00,2f,\
00, 69, 00,20, 00, 22, 00,25, 00, 31, 00, 22, 00,20, 00,25, 00, 2a, 00, 00
,00
• Чтобы установить или деинсталлировать с помощью командной строки, пользователь должен
иметь привилегии администратора (“Запуск от имени администратора”).
• См. также шифрование по алгоритму стандарта DES на клиентах Windows 7 ("Настройка активного
каталога на аутентификацию" на странице 77).
Application Control Управляет доступом к сети для каждого приложения, что позволяет
(Управление приложениями) вам
ограничивать сетевой доступ между конкретным приложением и
заданными Зонами доступа.
Настройки для некоторых программных блейдов задаются для компьютеров, в то время как другие
задаются для пользователей. Например:
• Политика Firewall Rules применяется к пользователям и приводится в исполнение для пользователей на
всех компьютерах компании, в которые они входят.
• Политика Full Disk Encryption применяется к компьютеру. Для всех пользователей, которые входят в
компьютер, политика шифрования диска остается той же самой.
Работа с правилами
Правило – это набор предопределенных действий, которые выполняет программный блейд, чтобы
обеспечить безопасность для указанных пользователей и компьютеров. Каждый программный блейд имеет
одно правило по умолчанию, которое применяется ко всем компьютерам конечных точек и пользователям,
которые не назначены к другому правилу. Вы можете изменить настройки правила по умолчанию, но вы не
можете его удалить.
Каждое правило содержит одно или более:
• Определений области применения, которые назначают правило указанным пользователям и
компьютерам.
• Определения действий ("Работа с действиями политики" на странице 59), которые определяют логику
работы программного блейда при обеспечении безопасности.
When Disconnected (Когда Создать правило политики, которое применяется, когда пользователи НЕ
отключен) подключены к серверу Endpoint Security.
Ввести текст, чтобы выполнить поиск слова или строки текста в Базе
Highlight text (Выделить
правил политики. Текст, соответствующий ему, подсвечивается в Базе
текст)
правил.
Фильтровать базу правил, чтобы отобразить только политики, которые
Show Policy for (Показать применяются к указанной группе, пользователю или компьютеру.
политику для) Используйте стрелку или кнопку..., чтобы выбрать узел.
Нажмите на Clear (Очистить фильтр), чтобы показать всю Базу правил.
Heartbeat-интервал
Компьютеры конечных точек посылают heartbeat-сообщения на сервер Endpoint Security, чтобы обеспечить
активность всех подключений и актуальность всех политик. Время между heartbeat-сообщениями называется
При готовности к использованию, Главный и Второстепенные серверы могут работать как Активный или
Резервные серверы управления Endpoint Security, в зависимости от необходимости.
Второстепенный сервер управления безопасностью готов к работе, когда выполнены следующие шаги:
• Он определен в SmartDashboard как объект сети.
• Установлены доверительные отношения SIC с Главным сервером управления Endpoint Security и с
сервером управления безопасностью.
• Он впервые синхронизирован с Главным сервером управления безопасностью. Вы должны сделать
это вручную.
Аварийное переключение
Аварийное переключение сервера управления Endpoint Security – это процедура, проводимая вручную.
Если Активный сервер управления Endpoint Security выходит из строя или необходимо заменить режим
Активного сервера управления Endpoint Security на Резервный, вы должны выполнить следующие шаги,
чтобы предотвратить потерю данных:
Если Активный сервер управления Endpoint Security отвечает:
1. Вручную синхронизируйте Активный и Резервные серверы управления Endpoint Security.
2. Измените режим Активного сервера управления Endpoint Security ("Изменение режима сервера на
Активный или Резервный" на странице 65) на Standby (Резервный).
3. Измените режим Резервного сервера управления Endpoint Security ("Изменение режима сервера на
Активный или Резервный" на странице 65) на Active (Активный).
4. Убедитесь, что версии PAT на Активном и Резервных серверах управления Endpoint Security одинаковые
("Обновление версии PAT на сервере" на странице 69).
Если Активный сервер управления Endpoint Security вышел из строя, и вы не можете изменить его
режим:
1. Вручную измените режим Резервного сервера управления Endpoint Security на Active (Активный).
2. Отредактируйте версию PAT ("Обновление версии PAT на сервере" на странице 69) на новом
Активном сервере управления Endpoint Security.
Важно – Если у вас два сервера управления Endpoint Security, которые установлены как Active
(Активный) одновременно, они могут повести себя непредвиденным образом.
Статус синхронизации
Статус синхронизации показывает статус пир-серверов управления Endpoint Security по отношению к
выбранным серверам управления Endpoint Security. Вы можете просмотреть этот статус, если вы
подключены к Активному серверу управления Endpoint Security или Резервному серверу управления
Endpoint Security. Статус синхронизации находится в SmartDashboard > окно Management High Availability
Servers (Серверы Management High Availability) в колонке status (статус) или в SmartView Monitor.
Возможные статусы синхронизации:
• Never been synchronized (Никогда не был синхронизирован) – Новый установленный
Второстепенный сервер управления Endpoint Security еще не был вручную синхронизирован с текущим
Активным сервером управления Endpoint Security.
• Synchronized (Синхронизирован) – Второстепенный сервер управления Endpoint Security полностью
синхронизирован с Активным сервером управления Endpoint Security. Базы данных идентичны.
• Lagging (Запаздывает) или Database has been changed (База данных изменена) – Были сделаны
изменения в Активном сервере управления Endpoint Security с момента последней синхронизации,
которые еще не были синхронизированы в Резервные серверы управления Endpoint Security. Это может
произойти, когда изменения вносятся в базу данных Активного сервера управления Endpoint Security во
время процесса синхронизации.
• Advanced (Опережает) – Данные на Резервном сервере управления Endpoint Security более актуальны,
чем на Активном сервере управления Endpoint Security. Это может произойти после аварийного
переключения на Резервный сервер и последующего переключения на исходный Активный.
• Collision (Конфликт) – Активный сервер управления Endpoint Security и Резервные серверы имеют
различные политики и базы данных, и не сразу очевидно, который сервер имеет наиболее актуальные
данные. Это может произойти, когда с Активного сервера происходит переключение на Резервный, а с
Резервного - переключение обратно на Активный сервер перед синхронизацией.
В этом случае примите решение, который сервер управления Endpoint Security содержит самые последние
обновления. Обычно это сервер управления Endpoint Security, на котором больше всего изменений. При
необходимости, измените режим этого сервера управления Endpoint Security на Активный, а все остальные -
на Резервный. Вручную синхронизируйте новый указанный Активный сервер управления Endpoint Security с
Резервными. Может также потребоваться обновить версию PAT на серверах управления Endpoint Security.
Вы можете следить за операциями управления и синхронизации с помощью SmartView Tracker.
Процедуры синхронизации
Руководство администратора Endpoint Security Management Server E80.40 | 67
Решение Management High Availability
Если в среде есть несколько серверов политики Endpoint Policy, каждый клиент Endpoint Security
проводит анализ, чтобы найти, какой сервер политики Endpoint Policy "ближайший" (будет
быстрее для сообщения) и автоматически обращается к тому серверу.
Элемент Описание
1 Домены активного каталога
2 Сервер управления Endpoint Security
Сервер политики Endpoint Policy посылает следующие данные на сервер управления Endpoint Security:
• Все сообщения, относящиеся к блейдам (которые требуют хранения информации в базе данных).
Например, данные восстановления блейда Full Disk Encryption.
• Данные мониторинга. Сюда относятся состояние подключения и другие данные мониторинга для
подключенных клиентов.
• Сообщения, созданные сервером политики.
5. Введите или выберите значение Client will restrict non-compliant endpoint after (Клиент ограничит
доступ к конечной точке, не находящейся в состоянии соответствия, спустя) ("Настройка
состояния "About to be Restricted"." на странице 144) (по умолчанию 5 пульсаций).
6. Нажмите на OK.
7. Установите политики на компьютеры конечных точек.
Внимание – Если вы в явной форме не настроите сервер управления Endpoint Security на работу
в качестве сервера политики Endpoint Policy, он все еще будет находиться в списке анализа
близости. Если никакие другие серверы политики Endpoint Policy не смогут ответить клиенту,
ответит сервер управления Endpoint Security.
Чтобы настроить, чтобы сервер управления Endpoint Security работал в качестве сервера политики
Endpoint Policy, только если все серверы политики Endpoint Policy не отвечают:
1. В SmartEndpoint выберите Manage > General Properties > Connection Settings (Управление > Общие
свойства > Настройки соединения).
2. Снимите флажок с опции Enable Endpoint Management Server to be Endpoint Policy Server
(Назначить сервер управления Endpoint сервером политики Endpoint Policy).
3. Нажмите на OK.
4. Выберите File > Install Policies (Файл > Установить политики) или нажмите на иконку Install Policies
(Установить политики).
• В списке Status (Статус) выберите, какие серверы политики Endpoint Policy вы хотите просмотреть:
• All (Все).
• Только Active (Активные).
• Только Not Active (Неактивные).
• В таблице вы увидите:
• Name (Имя) – Имя сервера в SmartEndpoint.
• IP Address (IP адрес) - IP адрес для сервера.
• DN – Его полное DN имя, взятое в SmartDashboard.
• Active (Активный) – Показывает, сервер Active (Активный) или Not Active (Неактивный). Active
означает, что сервер недавно послал heartbeat-сообщение.
• Last Contact (Последний контакт) – Когда сервер управления Endpoint Security в последний раз
получил от него heartbeat-сообщение.
• Comments (Комментарии) – Комментарии по этому серверу в окне Properties (Свойства).
Процесс аутентификации:
1. Клиент Endpoint Security (2) запрашивает билет на аутентификацию (1) с сервера активного
каталога (3).
2. Сервер активного каталога посылает билет клиенту.
3. Клиент посылает билет на сервер управления Endpoint Security.
4. Сервер управления Endpoint Security возвращает подтверждение аутентификации.
Важно – После того как вы настроите ваш сервер управления Endpoint Security на работу
только с аутентифицированными клиентами, клиентские компьютеры, не входящие в
активный каталог, будут иметь следующее ограничение:
Компоненты Full Disk Encryption и Media Encryption не будут полностью функциональными,
потому что они не смогут посылать аутентифицированные сообщения.
Следовательно, рекомендуется не активировать эти блейды на клиентах, которые не входят в
активный каталог.
Настройка аутентификации
Когда вы будете готовы перейти к производству и установить режим Строгой аутентификации, следуйте
этому процессу. Не устанавливайте аутентификацию до того, как вы будете готовы к переходу к
производству, и не оставляйте вашу производственную среду без аутентификации.
Чтобы правильно перейти к Строгой аутентификации:
1. Сконфигурируйте активный каталог на аутентификацию.
2. Сконфигурируйте настройки аутентификации.
3. Установите политики.
Сервер сообщит клиентам, что они теперь работают в Аутентифицированном режиме.
2. Перейдите к Start > All Programs > Administrative Tools > Active Directory Users and Computers
(Пуск > Все программы > Администрирование > Пользователи и компьютеры активного каталога).
3. Создайте пользователя домена и снимите флажок с опции User must change password at next logon
(Пользователь должен изменить пароль при следующем входе в систему).
4. Запустите эту команду, чтобы прикрепить службу к пользователю:
Синтаксис: ktpass princ ServiceName/realm@REALM mapuser
<userName>@REALM pass <userPass> out <name of outFile>
Пример:
ktpass princ tst/nac1.com@NAC1.COM mapuser auth-user@NAC1.COM pass
123456 out outfile.keytab
Where:
ServiceName= tst
realm (domain name)= NAC1.COM (in princ command: the first time in
lower case and the second in upper case)
userName = auth-user (user from item 4)
userPass = 123456 ( password for user from item 4)
name of outFile = outfile.keytab = encrypted keytab file
5. Сохраните вывод консоли в текстовый файл. Посмотрите номер версии (vno) и тип шифрования (etype).
Пример вывода:
Targeting domain controller: nac1-dc.nac1.com
Successfully mapped tst/nac1.com to auth-user.
WARNING: pType and account type do not match. This might cause problems.
Key created.
Output keytab to outfile.log: Keytab
version: 0x502
keysize 74 tst/nac1.com@NAC1.COM ptype 0 (KRB5_NT_UNKNOWN) vno 7 etype 0x17 (RC4-
HMAC) keylength 16 (0x32ed87bdb5fdc5e9cba88547376818d4)
4. Нажмите на OK.
5. Когда вы будете готовы работать в режиме аутентификации, выберите Work in authenticated mode
(Работать в режиме аутентификации) в секции Authentication Settings (Настройки
аутентификации).Когда вы настроите профили пакетов клиентов, вам нужно будет выбрать учетную
запись аутентификации. Данные настройки SSO будут включены в клиентский пакет, что позволит
серверу аутентифицировать клиента.
Предварительные условия
• Оба сервера Endpoint Security должны иметь одинаковую версию Endpoint Security.
• На обоих серверах Endpoint Security должны быть установлены одинаковые продукты Check Point.
• Оффлайн целевой сервер должен иметь тот же IP адрес, что и сервер-источник.
• Сервер-источник и целевой сервер являются главными серверами Endpoint Security. Операции импорта и
экспорта не поддерживаются на второстепенных серверах.
Блейд Check Point Full Disk Encryption (Шифрование содержимого диска ПК) предлагает вам
наивысший уровень безопасности данных. Он совмещает в себе защиту при загрузке, Pre-boot
аутентификацию и криптостойкое шифрование, чтобы только авторизованные пользователи имели
доступ к информации, хранящейся на настольных компьютерах и ноутбуках.
Действие Описание
Encrypt all local hard-disks Все тома жесткого диска автоматически полностью зашифровываются.
(Зашифровать все Зашифрованный диск доступен только авторизованным пользователям.
локальные жесткие диски)
Do not encrypt local hard- Жесткий диск не шифруется, за исключением небольшого раздела,
disks (Не шифровать зарезервированного для Pre-boot аутентификации.
локальные жесткие диски)
Чтобы изменить, какие тома и устройства будут шифроваться, вы можете выбрать следующие
опции:
• Чтобы шифровать IRRT устройства, выберите Allow protection/encryption on IRRT devices (Разрешить
защиту/шифрование на IRRT устройствах).
• Чтобы выбрать конкретные диски, которые будут шифроваться, выберите Custom Volume Encryption
(Выборочное шифрование томов) и нажмите на Configure Volumes (Настроить тома).
• Чтобы выбрать только минимальное шифрование для Pre-boot защиты, выберите Min (Минимум).
Действие Описание
Authenticate user before OS
loads (Pre-boot) Пользователи должны аутентифицироваться на своих
(Аутентифицировать
пользователя перед загрузкой компьютерах в Pre-boot перед загрузкой операционной системы.
ОС (Pre-boot))
Если вы выбираете Do not authenticate user before OS loads (disable Pre-boot) (Не аутентифицировать
пользователя перед загрузкой ОС (Деактивировать Pre-boot)), рекомендуется требовать Pre-boot
аутентификацию в некоторых сценариях. См. Временно требовать Pre-boot (на странице 86).
The Endpoint will disable Введите количество дней, на которые активируется временный
Temporary Preboot Bypass after обход Pre-boot. После того как количество дней истечет,
(number of days) (Endpoint временный обход Pre-boot будет деактивирован на клиенте, и
деактивирует временный покажется среда Pre-boot. Выберите небольшое количество,
обход Pre-boot после чтобы не снижать безопасность, деактивируя Pre-boot на долгое
(количество дней) время.
Automatic logon starts after Введите время в минутах. После истечения этого времени
(number of minutes) временный обход Pre-boot пускает пользователя в среду
(Автоматический вход в систему Windows. В течение этого времени показывается окно Pre-boot
вступает в силу через Login (Вход в систему Pre-boot). Пользователь может вручную
(количество минут)) войти в среду windows.
Allow Windows Logon (Разрешить Разрешает пользователю входить в Windows после входа в
вход в систему Windows) систему при временном обходе Pre-boot.
Примечания -
• Временный обход Pre-boot можно активировать и деактивировать с командной строки
сервера управления Endpoint Security:
Device Details > User Authentication (OneCheck) Pre-boot
Settings > Windows Integrated Logon and Wake on LAN settings.
• Если в среде Pre-boot подвинуть мышью или нажать кнопку на клавиатуре,
временный обход Pre-boot будет деактивирован.
Опция Описание
More than X failed logon Если количество неудачных попыток пользователя войти в систему
attempts were made (Было
превышает указанное количество попыток, требуется Pre-boot.
выполнено более Х
неудачных попыток Компьютер автоматически перезапускается, и пользователь должен
входа в систему) аутентифицироваться в Pre-boot.
The computer cannot Чтобы убедиться, что клиент подключен к правильной сети, компьютер
reach any of the пингует заданное количество IP адресов во время процесса загрузки.
configured locations Если ни один из IP адресов не отвечает своевременно, компьютер,
(Компьютер не может
достичь ни одного из возможно, удален из доверенной сети, и требуется Pre-boot. Компьютер
сконфигурированных автоматически перезапускается, и пользователь должен
местоположений) аутентифицироваться в Pre-boot.
Before Pre-boot
authentication is required, Введите сообщение, которое будет отображаться пользователю, если
show this message (Перед
тем как потребуется Pre- выполняется настроенное условие, и требуется Pre-boot. Например,
boot аутентификация, позвонить в Справочную службу, если откроется окно Pre-boot.
показать это сообщение)
Разрешение Примечания
Выберите, чтобы использовать устройство, которое
подключается к USB порту. Если вы используете USB Smartcard,
Enable USB device in Pre-boot вы должны активировать это разрешение. Если вы не
environment (Активировать USB
устройство в среде Pre-boot) используете USB Smartcard, вам может потребоваться
активировать это разрешение, чтобы использовать мышь и
клавиатуру во время Pre-boot.
Enable PCMCIA (Активировать Активирует ридер PCMCIA Smartcard. Если вы используете
PCMCIA) Smartcard, которые требуют этого, активируйте это разрешение.
Enable mouse in Pre-boot
environment (Активировать Позволяет вам пользоваться мышью в среде Pre-boot.
мышь в среде Pre-boot)
Действие Описание
Automatically learn and authorize logged До шифрования жесткого диска автоматически
in users before encryption starts регистрировать пользователей, которые заходят в
(Автоматически узнавать и
авторизовать пользователей, свои локальные компьютеры, и авторизовать их,
вошедших в систему, до начала чтобы они могли войти в свои компьютеры после
шифрования) шифрования.
OneCheck Logon
OneCheck Logon (Вход в систему OneCheck) – это решение системы единого входа (Single Sign-On),
которое позволяет пользователям входить в систему один раз, аутентифицируясь в:
• Full Disk Encryption (Шифрование всего содержимого диска ПК)
• Media Encryption & Port Protection (Шифрование данных на сменных носителях и Управление портами
ПК)
• Windows
• VPN
Когда активирован OneCheck Logon, открывается отдельное окно входа в систему, которые выглядит почти
так же, как обычное окно аутентификации Windows. Данные входа в систему безопасно хранятся внутри
системы.
Если между клиентом и сервером имеется связь, и клиент отвечает требованиям к клиенту, все требования
выполняются автоматически. Однако если эти требования не выполняются, Full Disk Encryption не может
защитить компьютер, и Pre-boot открыться не может.
Внимание – Во время развертывания блейда Full Disk Encryption на клиенте, служба Full Disk
Encryption автоматически дефрагментирует том, чтобы создать 32MB постоянного свободного
места, и приостанавливает свойство спящего режима Windows на время, пока диск
зашифровывается.
Full Disk Encryption Служба Full Disk Encryption содержит текущие данные
конфигурации и запускает фоновое шифрование или
service (Служба Full FDE srv.exe дешифровку. Обмениваясь записями загрузки тома, служба Full
Disk Encryption)
Disk Encryption идентифицирует тома, которые необходимо
зашифровать.
Crypto core
(Криптоядро) ccore32.bin Криптоядро содержит алгоритмы шифрования.
Пользователи, которые могут аутентифицироваться в Pre-boot только с помощью карт Smartcard, должны
использовать процедуру, показанную ниже, чтобы создать временного пользователя, который может
воспользоваться средством восстановления.
Внимание – Создание средства восстановления на USB флэш-диске форматирует устройство и удаляе
все предыдущее содержимое.
Использование CPinfo
CPinfo используется для сбора данных о компонентах в среде Full Disk Encryption на клиенте.
Рекомендуется посылать собранные данные в Check Point для анализа.
Если вы не введете папку вывода, CPinfo собирает данные о компонентах в среде Pre-boot компонента Full
Disk Encryption на клиенте.
Использование CPinfoPreboot
Запустите CPinfoPre-boot, если вы не можете:
• Вызвать окно Pre-boot Logon (Вход в систему в Pre-boot).
• Войти в систему через окно Pre-boot Logon (Вход в систему в Pre-boot).
• Начать шифрование или дешифровку.
• У вас был сбой в системе, включая сбой Windows или Full Disk Encryption.
• Сбой Windows привел к голубому или черному экрану.
• Сбой Full Disk Encryption привел к зеленому или красному экрану.
CPinfoPreboot собирает:
• Читаемые журналы регистрации событий всех дисков и томов (scan.log).
• Главную запись загрузки для каждого диска.
• Запись загрузки раздела для каждого тома.
• Первые 100 секторов с каждого физического диска.
• Первые 100 секторов с каждого тома.
• Данные системных областей.
Используйте внешне USB устройство для сбора данных Pre-boot. Устройство должно иметь как минимум
128 MB свободного пространства и достаточное место для хранения файла вывода cab. CPinfoPreboot
не может запускаться на средствах загрузки, подготовленных с помощью драйвера фильтра Full Disk
Encryption.
Чтобы собрать данные Pre-boot:
1. Скопируйте CPinfoPreboot. exe на внешнее USB устройство.
Внимание - Microsoft Windows автоматически не определяет USB устройства после загрузки. USB
устройство должно быть подключено во время загрузки компьютера.
3. Откройте приглашение командной строки и наберите: <path to CPinfoPreboot> <CPinfoPreboot
.exe
<output cap filename> <output folder name>.
Например: C:\path\>CPinf oPreboot.exe SR1234 temp.
4. CPinfoPreboot сохраняет файл вывода в назначенную папку.
• Если имя файла вывода не указано, файл вывода имеет такое же имя, что и папка вывода.
• Если папка вывода не указана, CPinfoPreboot сохраняет файл вывода в рабочий каталог на
внешнем устройстве. Папка вывода требуется, если рабочий каталог находится на устройстве
только для чтения.
Журнал отладки
Вы можете использовать журнал отладки, чтобы изучить фазы развертывания или возникающие проблемы.
Информация в нем включена в CPinfopreboot. Пошлите полные результаты CPinfopreboot в
Техническую поддержку для анализа.
Журнал отладки клиента называется dlog1. txt и находится в следующих местах на пользователе:
Операционная
Путь к файлу журнала
система
C:\Documents and Settings\All Users\Application Data\CheckPoint\Endpoint
Windows XP
Security\Full Disk Encryption
Проблемы Pre-boot
Проблемы с мышью или клавиатурой
Если у пользователей возникли проблемы с мышью или клавиатурой во время Pre-boot, вам может
потребоваться изменить настройку Enable USB device in Pre-boot environment (Активировать USB
устройство в среде Pre-boot). Эта настройка находится в Full Disk Encryption Policy > Pre-boot Settings
(Политика Full Disk Encryption > Настройки Pre-boot). Вы можете также изменить эту настройку из меню
настройки Pre-boot (Pre-boot Customization Menu), нажав обе кнопки shift во время загрузки Full Disk
Encryption при запуске компьютера.
Проблема с паролем при первом Pre-boot
Когда окно Pre-boot откроется на компьютере в первый раз, пользователи видят сообщение с просьбой
войти с помощью их пароля Windows. Если пароль Windows не отвечает требованиям, настроенным для
Pre-boot, аутентификация не проходит.
Чтобы это исправить, измените требования к паролю в User Authentication (OneCheck), чтобы они
соответствовали требованиям Windows. Затем установите новую политику User Authentication (OneCheck)
на клиент.
Проблема с картами Smartcards
Если возникают проблемы совместимости Smartcard, попробуйте переключить настройку Legacy USB
Support (Поддержка более ранних USB) в BIOS, чтобы активировать ее или деактивировать, в
зависимости от текущей настройки.
7. Нажмите на OK.
Если необходимо, используйте отчеты из Отчетов Pre-boot, чтобы устранить сбои, связанные с драйверами
или сертификатами пользователей.
Use custom password complexity Если вы выберете эту опцию, выберите требования, какой тип
(Использовать настраиваемую знаков пароль должен или не должен содержать.
сложность пароля)
Дважды нажмите кнопкой мыши на действие, чтобы отредактировать свойства:
Опция Описание
Если вы выберете эту опцию, выберите требования, какой
тип знаков пароль должен или не должен содержать:
• Последовательность одинаковых знаков, например, aa или 33
Use custom requirements • Требовать специальные символы.
(Использовать настраиваемые Например: ! " # $ % & ' ( ) * + , - . / : < = >
требования) • Требовать цифры, например, 8 или 4.
• Требовать знаки нижнего регистра, например, g или t.
• Требовать знаки верхнего регистра, например, F или G
• Пароль не должен содержать имя пользователя или полное имя.
Password can be changed only after Введите минимальное количество дней, в течение которых
(Пароль может быть изменен пароль должен действовать, прежде чем пользователь может
только через) его изменить.
Синхронизация паролей
Pre-boot (Предзагрузка) – это программа, не дающая операционной системе загрузиться, пока пользователь
не аутентифицируется. Вы можете синхронизировать пароли Pre-boot и операционной системы.
Если вы планируете использовать OneCheck Logon, рекомендуется синхронизировать пароли
операционной системы и Pre-boot. Благодаря этому оба пароля остаются одинаковыми, и
пользователи могут использовать каждый из них, если необходимо.
Если вы используете синхронизацию паролей, рекомендуется, чтобы пароли пользователя для Windows и
Pre-boot имели одинаковые требования. Это предотвратит проблемы с первым входом в Pre-boot,
OneCheck Logon и системой единого входа Single Sign-On.
Выберите Действие, которое будет определять, будут ли синхронизироваться пароли и как:
Действие Описание
Update Pre-boot password Upon Windows Когда пароль операционной системы на
Password Change (Обновить пароль Pre-boot компьютере изменяется, пароль Pre-boot
при изменении пароля Windows) изменяется автоматически.
Update Windows Password Upon Pre-boot Когда пароль Pre-boot на компьютере изменяется,
Password Change (Обновить пароль пароль операционной системы изменяется
Windows при изменении пароля Pre-boot) автоматически.
Bi-directional Update for Pre-boot and Windows
Password Upon Change (Двухстороннее Если пароль Pre-boot или операционной системы
обновление паролей Pre-boot и Windows при на компьютере изменяется, пароль изменяется
изменении) автоматически.
Temporarily lock user account upon failed После указанного числа неудавшихся попыток
authentication attempts (Временно входа в систему (по умолчанию 5) учетная запись
блокировать учетную запись после
неудавшихся попыток аутентификации). пользователя временно блокируется.
Permanently lock user account upon failed После указанного числа неудавшихся попыток
authentication attempts (Заблокировать
учетную запись пользователя на постоянной входа в систему (по умолчанию 10) учетная запись
основе после неудавшихся попыток пользователя временно блокируется на
постоянной основе.
аутентификации).
Нажмите правой кнопкой мыши на Действие, чтобы отредактировать существующие свойства. Вы можете
также создать настраиваемые действия блокировки учетной записи.
Чтобы настроить Действие блокировки учетной записи:
1. Нажмите правой кнопкой мыши на существующее Действие и выберите Edit Properties
(Редактировать свойства) или выберите Create Custom (Создать настраиваемое), чтобы задать
новое Действие.
2. Сконфигурируйте настройки в зависимости от необходимости:
Опция Описание
Number of failed logons before the account Максимальное разрешенное количество неудавшихся
is locked (Количество неудавшихся попыток входа в систему, прежде чем учетная запись будет
заблокирована на постоянной основе. Учетная запись
входов в систему перед блокировкой
учетной записи) будет заблокирована, пока администратор не
разблокирует ее.
Number of failed attempts before a Максимальное разрешенное количество неудавшихся
temporary lockout (Количество попыток входа в систему, прежде чем учетная запись
неудавшихся входов в систему перед
временной блокировкой учетной записи) будет временно заблокирована.
Duration of a temporary lockout Длительность временной блокировки учетной записи, в
(Длительность временной блокировки) минутах.
Максимальное разрешенное количество успешных входов
Maximum number of successful logons в систему, прежде чем учетная запись будет
allowed before the account is locked заблокирована. Вы можете использовать эту опцию, чтобы
(Максимальное разрешенное позволить временному пользователю входить в систему
количество успешных входов в указанное количество раз.
систему, прежде чем учетная запись Чтобы разблокировать учетную запись, вы должны
будет заблокирована) увеличить значение или снять флажок с опции. Удаленная
помощь для блокировки этого типа учетной записи
недоступна.
Опция Описание
Allow logon to system hibernated by Позволяет пользователю, отличному от пользователя,
another user (Разрешить вход в
систему, введенную в спящий вошедшего в систему, аутентифицироваться в Pre-boot в
систему в спящем режиме.
режим другим пользователем)
Позволяет пользователю аутентифицироваться, чтобы
использовать средство восстановления, чтобы восстановить и
Allow user of recovery media дешифровать данные из зашифрованной системы.
(Разрешить доступ
пользователю средства Внимание: В E80.20 и выше, если эта опция не выбрана,
пользователи все равно могут обратиться к средству
восстановления) восстановления, созданному с временным пользователем и
паролем.
Сценарии Smartcard
Ниже представлены сценарии того, как можно внедрить Smartcard аутентификацию в организациях с
различными потребностями.
Действие Описание
Allow reading only encrypted data from Позволяет пользователям читать только
devices (Разрешить чтение только зашифрованные данные с устройств
зашифрованных данных с устройств хранения данных. Пользователи не могут
хранения данных) читать незашифрованные (некоммерческие)
данные.
Вы можете также создать свои собственные настроенные действия. Ваши новые настроенные действия
всегда доступны в дополнение к действиям по умолчанию.
Чтобы настроить действие чтения:
1. Нажмите правой кнопкой мыши на действие Read Access (Доступ для чтения) в правиле и выберите
Edit Properties (Редактировать свойства).
2. Дополнительно: В окне Removable Media Read Access (Доступ для чтения к съемным устройствам)
выберите другое действие или нажмите на New (Новый). Если вы нажмете на New (Новый), введите
название и описание для нового действия.
3. При необходимости активируйте следующие опции:
• Allow reading plain data from storage devices (Разрешить чтение простых данных с устройств
хранения данных) - Пользователи могут читать незашифрованные (обычно некоммерческие)
данные.
• Allow reading encrypted data from storage devices (Разрешить чтение зашифрованных данных с
устройств хранения данных) - Пользователи могут читать зашифрованные (обычно, но не всегда,
коммерческие) данные.
4. Добавьте или измените настройки для указанных устройств ("Работа с определениями устройств в
правилах" на странице 113).
Действие Описание
Allow writing any data to storage devices Пользователи могут записывать все типы файлов на
(Разрешить запись любых данных на
устройства хранения данных) устройства хранения данных.
Encrypt all data written to storage devices Все файлы, записанные на устройство хранения
(Шифровать все данные, записанные на данных, должны быть зашифрованы. Сюда
устройства хранения данных) относятся как коммерческие, так и
некоммерческие данные.
Do not allow writing any data to storage По умолчанию пользователи не могут записывать
какие-либо типы файлов на устройства хранения
devices, allow user override (Не разрешать данных. Но UserCheck позволяет пользователям
запись каких-либо данных на устройства
хранения данных, разрешить перекрывать политику и записывать на устройство
хранения данных после введения подтверждения
перекрывание пользователем) действия.
При необходимости вы можете задавать настраиваемые действия записи. Ваши новые настраиваемые
действия всегда доступны в дополнение к действиям по умолчанию.
Чтобы настроить действие записи на устройство хранения данных:
1. Нажмите правой кнопкой мыши на действие Write Access (Доступ для записи) и выберите Edit
Properties (Редактировать свойства).
Откроется окно Removable Media Access (Доступ к съемным устройствам).
2. Дополнительно: Выберите другое действие из списка.
Нажмите на New (Новый) для создания настраиваемого действия.
3. Выберите одну из следующих опций Storage device write access (Доступ для записи на устройство
хранения данных):
• Allow any data (Разрешать любые данные) - Пользователи могут записывать все типы файлов
данных на устройства хранения данных.
• Encrypt business related data (Шифровать коммерческие данные) - Пользователи могут
записывать все типы данных на устройства хранения данных. Должны быть зашифрованы
только коммерческие данные.
• Encrypt all data (Шифровать все данные) - Пользователи могут записывать все типы данных на
устройства хранения данных. Все данные должны быть зашифрованы, включая некоммерческие
данные.
• Block any data (Блокировать любые данные) - Пользователи не могут записывать на устройства
хранения данных.
4. Выберите одну или более из следующих опций:
• Log device events (Записывать события устройства в журнал регистрации событий) -
Выберите эту опцию, чтобы создать запись в журнале, когда устройство хранения данных
подключается (только События с IDs 11 и 20).
Внимание: Если вы выберете опцию Do not log events (Не записывать события устройства в
журнал регистрации событий) в правиле Media Encryption & Port Protection, записи в журнале не
создаются, даже если в этом окне выбрана опция Audit device events (Контролировать события
устройства).
• Allow encryption (Разрешить шифрование) - Выберите эту опцию, чтобы позволить пользователям
шифровать устройства хранения данных. Если снять флажок с этой опции, устройства хранения
данных шифроваться не могут.
Нажмите на Additional Encryption Options (Дополнительные опции шифрования), чтобы
сконфигурировать дополнительные настройки шифрования ("Действия оффлайн доступа" на
странице 112), в зависимости от необходимости.
• Enable deletion (Активировать удаление) - Выберите эту опцию, чтобы позволить пользователям
удалять файлы с устройств с правами только на чтение.
5. Сконфигурируйте эти настройки для User Overrides (UserCheck) (Перекрывание пользователями
(UserCheck))
• Allow user to override company policy (Разрешить пользователю перекрывать политику
компании) – Позволяет пользователям перекрывать назначенную политику, отсылая письменное
подтверждение администратору. Нажмите на Configure Message (Настроить сообщение)
("Создание настраиваемого сообщения пользователя" на странице 112), чтобы создать свое
собственное сообщение пользователя.
Внимание - Опция Allow user to override company policy (Разрешить пользователю перекрывать
политику компании) не поддерживается для устройств CD/DVD ROM.
6. Если необходимо, нажмите на Configure file types (Настройка типов файлов) ("Настройка типов файлов с
Руководство администратора Endpoint Security Management Server E80.40 | 107
Политика Media Encryption & Port Protection
коммерческими данными" на странице 111), чтобы задать настраиваемые типы файлов с коммерческими
данными.
Вы можете настроить текст, который показывается во всех разделах окна сообщения пользователя, включая
баннер и кнопки опций. Вы не можете изменять логотипы Check Point. Это свойство полезно при переводе
сообщений пользователей на разные языки.
Чтобы создать настраиваемое сообщение пользователя:
1. В списке Select User Message (Выберите сообщение пользователя) выберите New (Новое).
2. Введите название и описание в соответствующих полях в окне Policy Action Single Page Form (Форма
страницы действия политики).
3. Дополнительно: Выберите язык из списка Language (Язык).
Вы можете нажать на Add (Добавить), чтобы добавить другой язык в список.
4. Выберите один или более текстовых элементов и введите ваш настраиваемый текст.
5. Нажмите на Preview (Просмотр), чтобы просмотреть, как выглядит настраиваемое сообщение на
экране.
Действие Описание
Allow connecting essential devices (keyboard, Разрешается доступ для периферийных устройств,
mouse, and network adapters) (Разрешить необходимых для основного функционала
подключение необходимых устройств компьютера. Другие периферийные устройства
(клавиатур, мыши и сетевых адаптеров)) блокируются.
Вы можете также создать ("Создание настраиваемого действия" на странице 113) и изменить ("Изменение
существующего действия" на странице 113) ваши собственные настраиваемые действия.
10. Дополнительно: Добавьте это устройство в одну или более групп устройств (только устройства
хранения данных).
11. Нажмите на Next (Далее), а затем нажмите на Finish (Готово).
Настройка Описание
Позволяет пользователям вручную задавать владельца
устройства до шифрования. Это позволяет пользователям
Allow user to choose owner during создавать устройства хранения данных для других
encryption (Разрешить пользователю пользователей. По умолчанию владельцем устройства
выбирать владельца во время
является пользователь, вошедший в компьютер конечной
шифрования) точки. Владелец устройства должен быть пользователем
активного каталога.
Allow user to change size of encrypted Позволяет пользователям изменять процент шифруемой
части устройства хранения данных, но он должен быть не
media (Разрешить пользователю
меньше, чем Minimum percentage of media used for
изменять размер зашифрованного encrypted storage (Минимальный процент носителя,
носителя)
используемый для зашифрованного хранения).
Allow users to remove encryption from
Позволяет пользователям дешифровать устройства
media (Разрешить пользователям хранения данных.
удалять шифрование с носителя)
Allow user to upgrade from legacy drives Позволяет пользователям обновлять устройства хранения
(Разрешить пользователю данных, зашифрованные File Encryption версии R73.
обновляться со старых дисков)
Выберите одно из следующих действий для
существующих данных на устройстве хранения данных
при шифровании:
• Copied to encrypted section (Скопированы в
зашифрованный раздел) – Некоммерческие данные
шифруются и перемещаются в устройство хранения
When encrypting, Non-Business Related данных для коммерческих данных (зашифрованное).
Data will be (При шифровании Рекомендуется создать резервную копию
некоммерческие данные будут): некоммерческих данных перед шифрованием, чтобы
предотвратить потерю данных, если шифрование не
удастся. Например, это может произойти, если на
устройстве недостаточно места.
• Deleted (Удалены) – Некоммерческие данные
удаляются.
• Untouched (Не затронуты) – Некоммерческие данные
не шифруются и не перемещаются.
Secure format media before encryption
(Выполнить безопасное Выполняет безопасное форматирование перед
форматирование носителя до шифрованием устройства хранения данных. Выберите
шифрования) количество форматирований до запуска шифрования.
Позволяет пользователям назначать пароль для доступа к
Password protect media for access in устройству хранения данных с компьютера, не
offline mode (Защитить носитель подключенного к серверу управления Endpoint Security.
паролем для доступа в оффлайн- Пользователи могут также получить доступ к устройству
режиме) хранения данных с помощью пароля с незащищенного
компьютера.
Руководство администратора Endpoint Security Management Server E80.40 | 113
Политика Media Encryption & Port Protection
Настройка Описание
Allow user to recover their password
using remote help (Разрешить Позволяет пользователю восстанавливать пароли с
пользователю восстановить пароль с помощью удаленной помощи.
помощью удаленной помощи)
Copy utility to media to enable media Копирует утилиту обозревателя (Explorer utility) на
access in non-protected environments устройство хранения данных. Эта утилита позволяет
(Копировать утилиту на носитель для пользователям получать доступ к устройству с
возможности доступа к носителю в компьютеров, не подключенных к серверу управления
незащищенных средах) Endpoint Security.
Действие Описание
Сканировать устройство при его подключении. Если
Require media to be scanned and authorized. выбрана эта опция, пользователи могут сканировать
Allow self authorization (Требовать устройство хранения данных вручную или
сканирование и авторизирование автоматически. Если эта настройка очищена,
устройства. Разрешить самоавторизацию) пользователи могут вставлять только
авторизованное устройство.
Require media to be scanned and authorized.
Do not allow self authorization (Требовать Сканировать устройство при его подключении.
сканирование и авторизирование Указанные администраторы должны авторизовать
устройства. Не разрешать устройство после успешного сканирования.
самоавторизацию)
Устройства хранения данных не сканируются при
Do not scan removable media (Не подключении, авторизация не является
сканировать съемные устройства)
необходимой.
Методы аутентификации
Пользователи могут аутентифицировать устройство хранения данных одной из следующих опций:
• Automatic Access (Автоматический доступ)
Пользователи аутентифицируются автоматически при подключении к серверу управления Endpoint
Security. Автоматический доступ доступен только для клиентов конечных точек, которые подключены к
серверу управления Endpoint Security.
• Password Access (Доступ по паролю)
Руководство администратора Endpoint Security Management Server E80.40 | 114
Политика Media Encryption & Port Protection
Параметр Описание
Действие Описание
Do not log security events (Не
записывать в журнал события Деактивировать все записи в журнал.
безопасности)
Log only critical events (Записывать в Создавать записи в журнал только для событий, которые
журнал только критичные события) классифицируются как критические.
Log critical and security events Создавать записи в журнал только для событий,
(Записывать в журнал критичные которые классифицируются как критические или
события и события безопасности) события безопасности.
Log all events (Записывать в журнал Создавать записи в журнал для всех событий.
все события)
Critical
16 Зашифрованное устройство хранения данных удалено
(Критичная)
Устройство подключено к компьютеру конечной точки, и доступ Security
20 разрешен (Безопасность)
Пользователь выполняет процедуру Ask User (Спросить Critical
21
пользователя), чтобы перекрыть правило (Критичная)
Вы можете задать другие настройки журнала регистрации событий для определенных устройств ("Работа
с определениями устройств в правилах" на странице 113).
Записи журнала регистрации событий изначально хранятся на клиентских компьютерах и затем
загружаются на сервер через предопределенные интервалы.
Действия UserCheck
UserCheck для компонента Media Encryption & Port Protection сообщает пользователям о нарушениях
политики и показывает им, как предотвратить непреднамеренную утечку данных. Когда пользователь
пытается выполнить действие, которое не разрешено политикой, показывается сообщение, объясняющее
политику.
Вы можете дополнительно позволить пользователям записывать на устройство хранения данных, даже
если политика не разрешает им этого делать. В этом случае пользователей просят дать подтверждение
для исключения из политики. Это подтверждение отсылается администратору безопасности, который
может наблюдать за действиями.
Вы можете использовать сообщения UserCheck по умолчанию или задать свои собственные
настраиваемые сообщения.
Чтобы изменить существующее UserCheck сообщение:
1. Нажмите правой кнопкой мыши на действие UserCheck и выберите Edit (Редактировать).
2. Для каждого типа сообщений UserCheck выберите опцию показа сообщения.
Снимите флажок с опции, чтобы сообщение не показывалось.
3. Дополнительно: Нажмите на Configure (Настроить), чтобы задать настраиваемое UserCheck
сообщение.
Руководство администратора Endpoint Security Management Server E80.40 | 116
Политика Media Encryption & Port Protection
Действие Описание
Allow access to media Активирована проверка сайта Media Encryption (UUID). Клиенты
encrypted at current site only Endpoint Security могут получить доступ только к
(Разрешить доступ только к зашифрованным устройствам, которые были зашифрованы тем
устройству, зашифрованному же или другим доверенным сервером управления Endpoint
на текущем сайте) Security.
Устройства и ключи шифрования Media Encryption (Protector) хранятся в базе данных MS-SQL. Сервер
Protector подключается к MS-SQL через названные магистрали. Для мигрирования устройств и ключей Media
Encryption, вы должны сконфигурировать MS-SQL на принятие запросов через TCP соединения. Вы должны
создать профиль входа в систему, который имеет права, необходимые для доступа к базе данных Disknet.
• Если сервер Protector установлен с настройками по умолчанию, используйте инструкции, приведенные
здесь.
Руководство администратора Endpoint Security Management Server E80.40 | 118
Политика Media Encryption & Port Protection
• Если MS-SQL установлена на внешней машине или установлены инструменты управления MS-SQL,
проконсультируйтесь с вашим администратором базы данных и перейдите к разделу Запуск
инструментов миграции.
Чтобы настроить MS-SQL сервер на прием запросов через TCP соединения:
1. В инструменте regedit найдите ключ "SuperSocketNetLib".
Путь к этому ключу может отличаться в зависимости от платформы и установленных инструментов.
2. Нажмите правой кнопкой мыши на запись "SuperSocketNetLib" и экспортируйте его для резервной копии.
3. Создайте файл reg, чтобы настроить сервер:
Если путь к записи SuperSocketNetLib такой же на сервере Media Encryption (Protector) и в этом
пункте:
a) Скопируйте этот фрагмент реестра в отдельный файл.
b) Сохраните его с расширением "reg" и запустите его.
Если путь отличается, отредактируйте новый reg файл, чтобы он соответствовал пут на машине.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\MSSQLServer]
"LoginMode"=dword:00000002
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\MSSQLServer\SuperSocketNet Lib]
"ProtocolList"=hex(7):74,00,63,00,70,00,00,00,6e,00,70,00,00,00,00,00
"TcpPort"="1433"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\MSSQLServer\SuperSocketNet
Lib\Tcp]
"TcpHideFlag"=dword:00000000
"TcpDynamicPorts"=""
"TcpPort"="1433"
"Enabled"=dword:00000001
4. Когда редактирование реестра завершено, откройте утилиту regedit.
5. Убедитесь, что скрипт "reg" запустился успешно, и что значения в реестре были изменены
согласно скрипту.
6. Перезапустите процесс "MSSQLSERVER".
Чтобы добавить новый профиль входа в систему на сервер MS-SQL:
1. Запустите инструмент osql с командной строки: osql -E
2. Запустите эти команды в командной строке osql:
EXEC sp_addlogin 'ep','ep'
GO
EXEC sp_grantdbaccess 'ep', 'Disknet'
GO
EXEC sp_addsrvrolemember 'ep', 'sysadmin'
GO
Больше информации можно найти в файле deviceMigrtor.log, который располагается в той же папке, что
и исполняемый файл SmartEndpoint.exe. Перейдите к этой папке, нажмите правой кнопкой мыши на
иконку SmartEndpoint и выберите Properties > Open File Location (Свойства > Открыть папку с
файлом).
• Выберите или задайте действие, разрешающее Automatic Access (Автоматический доступ) для
пользователя, вошедшего в систему.
Media Encryption & Port Protectionвключает следующие предопределенные действия:
Действие Описание
Encrypted storage devices are fully accessible by all users
(Зашифрованные устройства хранения данных Все пользователи могут читать и изменять
полностью доступны для всех пользователей) все зашифрованное содержимое.
All users in the organization can read encrypted data, Все пользователи могут читать
зашифрованные файлы на устройствах
only owners can modify (Все пользователи в хранения данных. Только владелец
организации могут читать зашифрованные данные,
только владельцы могут их изменять) устройства может изменять
зашифрованное содержимое.
Only owners can access encrypted data (Только Только владельцы устройств могут
владельцы имеют доступ к зашифрованным данным) читать и/или изменять зашифрованное
содержимое.
Access to encrypted data requires password authentication Пользователи должны ввести пароль,
(Доступ к зашифрованным данным требует чтобы получить доступ к устройству.
аутентификации по паролю) Автоматический доступ не разрешен.
Check Point Anti-Malware (компонент защиты от вредоносного ПО) защищает вашу сеть от всех видов угроз
вредоносного ПО, от червей и троянов до рекламного ПО и регистраторов работы клавиатуры. Используйте
Anti-Malware, чтобы централизованно управлять обнаружением и лечением вредоносного ПО на ваших
компьютерах конечных точек.
Сервер управления Endpoint Security регулярно обновляет определения Anti-Malware с сервера обновления
Check Point.
Предварительные условия
Перед настройкой Anti-Malware вы должны:
• Настроить прокси-сервер.
• Настроить шлюз сетевого экрана на прием трафика обновлений Anti-Malware.
• Настроить доступ к портам.
Настройка прокси-сервера
В рамках планирования вашей среды для Anti-Malware вы должны настроить прокси-сервер. В этой главе
описывается, как настроить прокси-сервера в среде Windows.
Чтобы настроить прокси-сервер в Windows:
1. На сервере управления Endpoint Security запустите: cpstop.
2. Откройте %uepmdir%\engine\conf и отредактируйте файл local.properties.
Действие Описание
Check for malware signature updates every Обновления сигнатур происходят каждые 4 часа с
4 hours (Проверять обновления сигнатур сервера политики Endpoint Policy и сервера Check
вредоносного ПО каждые 4 часа) Point.
Check for malware signature updates every Обновления сигнатур происходят каждые 2 часа с
2 hours (Проверять обновления сигнатур сервера политики Endpoint Policy и сервера Check
вредоносного ПО каждые 2 часа) Point.
Внимание - Если выбрана только первая опция, клиенты, отключенные от сервера Endpoint Security, не
могут получить обновления.
Действие Описание
Исключения из сканирования
Вы можете исключить содержимое доверенных каталогов или файлов и указанных доверенных исполняемых
программ из Anti-Malware сканирования по расписанию. Вы можете также исключить все файлы с указанным
расширением файла.
Например, вы можете исключить следующие типы каталогов или программ из сканирования:
• Каталог или программа расположена в Доверенной зоне.
• Каталог или программа является целью низкого риска для вирусов.
• Сканирование оказывает негативное воздействие на производительность компьютера.
При исключении папки сканер вредоносного ПО не изучает содержимого папки. При исключении процесса
указанный доверенный исполняемый файл запускается без отслеживания компонентом Anti-Malware.
Исключайте процесс, только если вы полностью доверяете ему и уверены, что он не является
вредоносным ПО.
Исключенные элементы не сканируются во время полного сканирования компьютера, сканирования по
расписанию и сканирования при доступе. Они не исключаются из сканирования, запущенного
пользователями нажатием правой кнопкой мыши > Scan with Check Point Anti-Malware (Сканировать с
помощью Check Point Anti-Malware).
Примечания –
• Все пути каталогов должны оканчиваться обратным слешем, например:
driveletter: \folder\. Названия файлов не заканчиваются обратным слешем.
• Вы не можете использовать переменные среды для исключения папок и путей файлов.
Оптимизация сканирования
Опции оптимизации сканирования позволяют вам выполнить сканирование на наличие вредоносного ПО
быстро и с оказанием меньшего влияния на производительность и ресурсы системы. Опции следующие:
Do not optimize malware scan (Не оптимизировать сканирование на вредоносное ПО) – Оптимизация
сканирования деактивирована.
Optimize malware scan (Оптимизировать сканирование на вредоносное ПО) – Активируется только
свойство Perform scan optimizations (Выполнять оптимизацию сканирования) (см. ниже).
Вы можете задать настраиваемые действия оптимизации сканирования, активировав следующие опции:
• Perform scan optimizations (Выполнять оптимизацию сканирования) – Оптимизировать
сканирование, сохраняя контрольные суммы файлов и данные файловой системы NTFS во время
первого сканирования. Размер кластеров NTFS, названия файлов и структура папок кэшируются. Во
время последующих сканирований сканируются только новые файлы или файлы, чьи контрольные
суммы, размеры файла, названия или структура были изменены.
• Scan Priority is lower than other running process (Приоритет сканирования ниже, чем другие
запущенные процессы) – Сканирование имеет более низкий приоритет для ресурсов ЦП, диска и
других устройств ввода/вывода, чтобы минимизировать влияние на производительность для критичных
процессов.
Обработка вредоносного ПО
Вы можете указать следующие действия, когда в системе обнаруживается вредоносное ПО:
• Quarantine detected malware (Поместить обнаруженное вредоносное ПО в карантин) - Если Endpoint
Security не может излечить файл, он удаляется и помещается в безопасное место, откуда его можно при
необходимости восстановить.
• Delete detected malware (Удалить обнаруженное вредоносное ПО) - Если Endpoint Security не может
излечить файл, он удаляется.
Действие Описание
Allow inbound traffic (Разрешить Разрешает весь входящий трафик на компьютер конечной
входящий трафик) точки.
Allow inbound traffic from trusted zones Разрешает весь входящий трафик из доверенных зон и IP,
and connectivity services (Разрешить
входящий трафик из доверенных зон получая трафик из Интернета. Весь остальной трафик
и служб подключения) заблокирован.
Правила, необходимые для выбранного Действия, автоматически добавляются в Базу правил Inbound
firewall rules (Правила сетевого экрана для входящего трафика).
Нажмите правой кнопкой мыши на Действие, чтобы просмотреть Базу правил Inbound firewall rules
(Правила сетевого экрана для входящего трафика). Вы можете добавлять, удалять и изменять правила в
зависимости от необходимости.
Внимание – В Базе правил входящего трафика нет колонки Destination (Пункт назначения),
потому что пунктом назначения для всего трафика является компьютер конечной точки.
Действие Описание
Allow any outbound traffic (Разрешить Разрешает весь исходящий трафик с компьютера
любой исходящий трафик) конечной точки.
Правила, необходимые для выбранного Действия, автоматически добавляются в Базу правил Outbound
firewall rules (Правила сетевого экрана для исходящего трафика).
Нажмите правой кнопкой мыши на Действие, чтобы просмотреть Базу правил Outbound firewall rules
(Правила сетевого экрана для исходящего трафика). Вы можете добавлять, удалять и изменять правила
в зависимости от необходимости.
Колонка Описание
Номер приоритета правила. Приоритет правила важен, потому что клиент проверяет
правила Firewall в зависимости от его последовательности в Базе правил. Правила
NO (НЕТ) приводятся в исполнение сверху вниз. Последнее правило – это обычно Cleanup Rule
(Правило очистки), которое указывает сбросить трафик, не соответствующий ни
одному из предыдущих правил.
Name
(Название) Название правила Firewall.
Колонка Описание
Service
(Служба) Сетевой протокол или служба, используемая трафиком.
Action Что делается с трафиком, соответствующим правилу: Accept (Принять) или Drop
(Действие) (Сбросить).
Действие Описание
Allow connecting wireless to LAN
(Разрешить беспроводное Пользователи могут подключаться к беспроводным сетям,
будучи подключенными к локальной сети
подключение к локальной сети)
Действие Описание
Трафик IPv6
Вы можете выбрать одно из следующих действий, чтобы разрешить или заблокировать трафик IPv6 на
компьютеры конечных точек.
• Разрешить сетевой трафик IPv6
• Блокировать сетевой трафик IPv6
Блейд Compliance (Соответствие) следит за тем, чтобы компьютеры конечных точек соответствовали
правилам безопасности, которые вы задаете для вашей организации. Компьютеры, которые не
соответствуют им, отображаются как не соответствующие, и вы можете применить к ним политику
ограничений.
Действие Описание
Inform if assigned Software Blades are not running Послать предупреждающее сообщение, если
(Сообщать, если назначенные программные один или более назначенных блейдов не
блейды не запущены) запущены.
Restrict if assigned Software Blades are not running
(Ограничивать доступ, если назначенные Ограничить доступ к сети, если один или
более назначенных блейдов не запущены.
программные блейды не запущены)
Monitor if assigned Software Blades are not running Создать записи в журнале, если один или
(Следить, если назначенные программные блейды более назначенных блейдов не запущены.
не запущены) Сообщения не посылаются.
Do not check if assigned Software Blades are not Блейд Compliance Rules не следит за тем,
running (Не проверять, запущены ли назначенные чтобы назначенные программные блейды
программные блейды) были запущены.
Настраиваемые действия
Вы можете задать следующие типы настраиваемых действий Compliance:
• Add required applications and files (Добавить требуемые приложения и файлы) – Следит за тем,
чтобы требуемые файлы, ключи реестра и процессы были установлены и запущены.
• Add restricted applications and files (Добавить запрещенные приложения и файлы) – Следит за тем,
чтобы файлы, ключи реестра и процессы, которых не должно быть на компьютере, на самом деле
отсутствовали и не были запущены.
• Add anti-malware checks (Добавить проверки на наличие вредоносного ПО) – Следит за тем, чтобы
на компьютерах была установлена и обновлена программа защиты от вредоносного ПО.
• Add service pack checks (Добавить проверку пакетов обновлений) – Следит за тем, чтобы на
компьютерах были установлены самые последние пакеты обновлений и обновления операционной
системы.
В правиле политики может быть одно действие для каждого типа действия. Каждое настраиваемое действие
включает одно или более Action Rules (Правил действия), которое содержит следующие компоненты:
• Check Objects (Checks) (Объекты проверки (Проверки)) - Объекты проверки определяют
действительный файл, процесс, значение или состояние, которое ищет блейд Compliance.
• Один или более Remediation objects (Объекты исправления) – Объект исправления запускает
указанное приложение или скрипт, чтобы привести компьютер конечной точки в соответствие. Он также
может посылать сообщения-оповещения пользователям.
• Одно из следующих опций Action (Действия) – Что происходит, когда компьютер нарушает правило
Действия:
Действие Определение
Блейд Compliance запускает правила. Если он находит нарушения, он выполняет шаги по устранению
нарушения и выполняет Действие правила.
Базовый рабочий процесс для определения дополнительных правил соответствия:
1. Во вкладке Policy (Политика) нажмите правой кнопкой мыши на действие в колонке Actions
(Действия).
2. Выберите один из настраиваемых типов Действия, а затем нажмите на Create Custom (Создать
настраиваемое).
3. В окне Action Properties (Свойства действия) введите название правила и опционально введите
описание или комментарии.
4. Нажмите на одну из иконок Add Rule (Добавить правило), чтобы создать новые Action Rules
(Правила действия) в зависимости от необходимости:
a) В поле Name (Название) введите название правила Действия.
b) Нажмите на Check (Проверка), чтобы добавить объекты проверки в правило Действия.
c) Выберите Action (Действие) из списка.
d) Нажмите на вкладку Remediation (Исправление), чтобы добавить объекты исправления в правило.
Если выбранное действие – Observe (Наблюдение), то правило не требует объекта исправления.
e) Дополнительно: в поле Comment (Комментарий) введите комментарий к правилу действия.
Выполните эти шаги еще раз, чтобы создать дополнительные правила Действия в зависимости от
необходимости.
Для правил действия Required Application (Требуемых приложений), несколько объектов проверки в
правиле взаимно исключаются. Если не соответствует один или более объектов проверки, запускается
заданное действие и исправление.
Для правил действия Restricted Application (Запрещенных приложений), все объекты проверки должны не
соответствовать, чтобы запустить действие и исправление. Если соответствует только один объект
проверки, действие и исправление не запускаются.
Опция Описание
Name (Имя) Уникальное имя для этого объекта проверки.
Comment Дополнительно: описание произвольным текстом.
(Комментарий)
Operating System Выберите операционную систему, на которое приводится в исполнение объект
(Операционная проверки.
система)
Match MD5 Checksum Найдите файл по контрольной сумме MD5. Нажмите на Calculate
(Соответствие (Рассчитать), чтобы сравнить контрольную сумму на конечной точке с
контрольной суммы) контрольной суммой на сервере.
5. Дополнительно: Вы можете выбрать или задать действие исправления для этого объекта проверки.
Действие исправления применяется только к этому объекту проверки и перекрывает действие
исправления, указанное в правиле. Чтобы задать действие исправления для объекта проверки,
выберите действие исправления из списка или нажмите на Manage > New (Управление > Новое), чтобы
задать новое ("Работа с объектами исправления" на странице 142).
проверки, чтобы убедиться, что версия этого программного обеспечения самая новая и включает самые
последние обновления баз. Рекомендуется обновлять эту информацию в объекте проверки, когда
выпускаются версии защиты от вредоносного ПО и обновления баз данных.
Для правил действия Anti-Malware несколько объектов проверки в правиле взаимно исключаются. Если
не соответствует один или более объектов проверки, запускается заданное действие и исправление.
Чтобы создать новый или изменить существующий объект проверки:
1. В окне Custom Actions Properties (Свойства настраиваемого действия) выберите вкладку Check
(Проверка).
2. Нажмите на New (Новый), чтобы создать новый объект проверки, или Edit (Редактировать), чтобы
изменить существующий.
3. В окне Compliance Check Properties (Свойства проверки соответствия) введите соответствующие
данные в следующие поля.
Опция Описание
Name (Имя) Уникальное имя для этого объекта проверки.
Comment (Комментарий) Дополнительно: описание произвольным текстом.
Anti-Virus Provider Выберите антивирусное программное обеспечение, которое должно
(Поставщик антивируса) быть установлено.
Minimum engine version Выберите и введите минимальную версию движка, чтобы защита от
(Минимальная версия вредоносного ПО была последней версии. Снимите флажок с опции,
движка) чтобы деактивировать ее.
Anti-Virus must always be Выберите эту опцию, если компьютеры находятся в состоянии
running (Антивирус всегда соответствия, только если на них запущена защита от вредоносного ПО
должен быть запущен) все время.
4. Дополнительно: Вы можете выбрать или задать действие исправления для этого объекта проверки.
Действие исправления применяется только к этому объекту проверки и перекрывает действие исправления,
указанное в правиле. Чтобы задать действие исправления для объекта проверки, выберите действие
исправления из списка или нажмите на Manage > New (Управление > Новое), чтобы задать новое ("Работа
с объектами исправления" на странице 142).
2. Нажмите на New (Новый), чтобы создать новый объект проверки, или Edit (Редактировать), чтобы
изменить существующий.
3. В окне Compliance Check Properties (Свойства проверки соответствия) введите соответствующие
данные в следующие поля.
Опция Описание
Name (Имя) Уникальное имя для этого объекта проверки.
Comment (Комментарий) Дополнительно: описание произвольным текстом.
Registry Key (Ключ реестра) Введите ключ реестра для пакета обновлений.
Registry Value (Значение Введите значение реестра для пакета обновлений.
реестра)
4. Дополнительно: Вы можете выбрать или задать действие исправления для этого объекта проверки.
Действие исправления применяется только к этому объекту проверки и перекрывает действие исправления,
указанное в правиле. Чтобы задать действие исправления для объекта проверки, выберите действие
исправления из списка или нажмите на Manage > New (Управление > Новое), чтобы задать новое ("Работа
с объектами исправления" на странице 142).
Опция Описание
Операции
Run Custom File (Запустить Запустите указанную программу или скрипт, когда компьютер конечной точки не
настроенный файл) находится в состоянии соответствия.
Run as User (Запуск от Для запуска исполняемого файла применяются права пользователя и переменные
имени пользователя) локальной среды.
Сообщения
Automatically execute
operation without user
Запуск исполняемого файла без отображения сообщения на компьютере конечной
notification (Автоматически
точки.
выполнять операцию без
уведомления пользователя)
Heartbeat-интервал
Компьютеры конечных точек посылают "heartbeat"-сообщения на сервер управления Endpoint Security, чтобы
обеспечить активность всех соединений и актуальность всех политик. Время между heartbeat-сообщениями
называется heartbeat-интервал.
Состояние соответствия компьютера конечной точки обновляется при каждой пульсации. Heartbeat-
интервал также контролирует время, которое клиент конечной точки находится в состоянии About to be
restricted (Доступ вскоре будет ограничен) перед ограничением доступа.
Чтобы настроить heartbeat-интервал:
1. Нажмите на Manage > General Properties (Управление > Общие свойства).
Откроется окно General Properties (Общие свойства).
2. В разделе Connection Settings (Настройки подключения) установите Interval between client
heartbeats (Интервал между пульсациями клиента).
3. Нажмите на OK.
Действия WebCheck
Для каждого Действия в правиле выберите опцию, которая определяет логику работы Действия. Вы можете
выбрать предопределенную опцию Действия или выбрать New (Новый), чтобы задать настраиваемую
опцию Действия.
Нажмите правой кнопкой мыши на Действие и выберите Edit (Редактировать), чтобы изменить логику
работы Действия.
Изменения в правилах политики приводятся в исполнение только после установки политики.
Действие Описание
Если вы активируете WebCheck, нажмите правой кнопкой мыши на Действие и выберите Edit Properties
(Редактировать свойства), чтобы настроить Trusted Sites (Доверенные сайты).
Доверенный сайт – это сайт, для которого защита WebCheck не является необходимой. Например, сайт
внутри корпоративной сети считается доверенным.
WebCheck создает различные среды просмотра страниц:
• Доверенные сайты ("Настройка доверенных сайтов" на странице 145) открываются прямо в браузере.
• Не доверенные сайты открываются в виртуальном браузере WebCheck. Окно виртуального браузера
обрамляется светящейся рамкой ("Виртуальный браузер WebCheck" на странице 145).
Когда WebCheck активирован, как для доверенных, так и для не доверенных сайтов в поддерживаемых
браузерах отображается иконка замка Endpoint Security в строке заголовка.
Когда пользователи переходят между доверенными и не доверенными зонами, открывается сообщение
Redirection (Перенаправления). Например, если у пользователя открыт корпоративный сайт, и он
переходит к сайту новостей, открывается сообщение перенаправления: Since this is not a trusted site,
it will be redirected to a separate WebCheck browser (Поскольку это не доверенный сайт, он будет
перенаправлен в отдельный браузер WebCheck).
company.com
www.company.com Доменное имя для одного хоста
Анти-фишинг
Вы можете задать анти-фишинг для правила WebCheck.
Действие Описание
Enable site visit logs only Запись всех посещений сайта и запись о посещении в журнал
(Активировать только запись
регистрации событий.
посещений сайта в журнал)
Проверка статуса безопасности сайта и разрешение или
Enable site status check only
блокирование доступа в зависимости от результата.
(Активировать только проверку
статуса сайта) Запись о посещении в журнал регистрации событий не
вносится.
Disable site status check and
visit logs (Деактивировать Статус безопасности сайта не проверяется, запись о
проверку статуса сайта и посещении в журнал не вносится.
запись посещений в журнал)
Блейд Application Control (Управление приложениями) ограничивает доступ к сети для указанных
приложений. Администратор Endpoint Security задает политики и правила, разрешающие, блокирующие
или останавливающие приложения и процессы. Только те приложения, которые пытаются получить доступ
к сети, могут быть заблокированы или остановлены. Если это указано в правиле Application Control,
показывается оповещение о том, которое приложение было заблокировано или остановлено.
Вы можете также активировать Reputation Service (Службу репутации) (которая ранее называлась
Program Advisor (Советник по программам), которая будет рекомендовать, разрешать или
блокировать приложения.
Служба репутации
Служба репутации Check Point (Check Point Reputation Service) является онлайн-службой, которая
автоматически создает рекомендуемые правила, которые блокируют или разрешают общие приложения.
Эти правила основаны на рекомендациях экспертов безопасности Check Point. Этот компонент уменьшает
вашу рабочую нагрузку, в то же время повышая уровень безопасности и удобства использования.
2. С приглашения командной строки целевого компьютера перейдите в корневой каталог или в другой
соответствующий каталог для сканирования (например, \program files).
3. Запустите appscan с соответствующими параметрами.
Когда сканирование завершится, в указанном каталоге будет создан файл вывода (по умолчанию
scanfile.xml).
Синтаксис
Appscan [/o <filename> /s <target directory> /x <extension strung /e /a /p
/verbose /warnings /?]
Параметры
Параметр Описание
file name Имя и путь файла вывода.
Посылает вывод на указанное имя файла. Если имя файла не указано,
/о Appscan использует имя файла по умолчанию (scanfile.xml)в
текущей папке.
Примеры
• appscan /o scanl.xml
В это сканирование по умолчанию включаются.exe файлы в текущем каталоге, и оно сохраняется как
scanl.xml.
• appscan /o scan2.xml /x ".exe;.dll" /s "C:\"
В это сканирование включаются все .exe и .dll файлы на диске C, и оно сохраняется как scan2.xml.
• appscan /o scan3.xml /x ".dll" /s c:\program files
В это сканирование включаются все .dll файлы в c:\program files и всех его подкаталогах. Оно
сохраняется как scan3.xml.
Изображение баннера на
Pre-boot Banner Image маленьком окне входа с 447 x 98 пикселей
(Изображение баннера Pre-boot) систему
OneCheck Logon Background Image Изображение на фоне окна входа 256 KB или
(Фоновое изображение OneCheck в систему Windows, если меньше
Logon) активирован OneCheck Logon
Элемент Описание
Default reminder interval (Интервал Установите время, в минутах, после которого
напоминания по умолчанию) пользователям напоминается об установке клиента.
Доверенная зона
Доверенная зона содержит объекты сети, являющиеся доверенными. Вы можете настроить Доверенную
зону таким образом, чтобы она включала только те объекты сети, с которыми должны взаимодействовать
ваши программы.
Внимание – Объекты, не помещенные в Доверенную зону (Trusted Zone),
автоматически помещаются в Интернет зону (Internet Zone).
• All_Internet
Этот объект представляет все правомочные IP адреса. В исходной политике все IP адреса в Интернет
являются доверенными. Однако политика Access Zones является не политикой, которая
самостоятельно приводится в исполнение, а лишь компонентом политики Firewall Rules.
• LocalMachine_Loopback
Адрес закольцовывания компьютера конечной точки: 127.0.0.1. Конечная точка всегда должна иметь
доступ к своему собственному адресу закольцовывания.
• Контроллеры доменов
• Файловые серверы
• Серверы печати
• Диапазон адресов VPN шлюзов
• Шлюзы Интернет
• Локальные подсети
• Серверы безопасности (например, серверы RADIUS, ACE или TACACS)
• Другие IP адреса или IP диапазоны, к которым разрешен или запрещен доступ.
Объекты сети
Зоны доступа состоят из объектов сети. Вы задаете объекты сети, указывая один или более из следующих
элементов:
• Хост
• Диапазон IP адресов
• Сеть
• Сайт
Создайте объекты сети для областей, к которым должны иметь доступ программы, или областей, к которым
программы не должны иметь доступа.
Задайте объекты для каждой политики или задайте объекты перед созданием политики. После того как вы
зададите объект, объект может использоваться повторно в других политиках.
Одни и те же объекты сети и службы используются повсюду в SmartEndpoint и SmartDashboard. Когда вы
создаете новый объект, он также доступен в SmartDashboard. Если вы изменяете объект в SmartEndpoint
или в SmartDashboard, он изменяется везде, где этот объект используется.
Внимание – Доверенная зона и Интернет зона могут также использоваться как
объекты в политике Firewall. Эти объекты выбираются клиентом динамически в
зависимости от назначения политики Access Zones клиенту.
Color (Цвет) Выберите цвет, который будет использоваться для иконки этого
объекта сети.
Comment (Комментарий) Описание объекта сети.
Color (Цвет) Выберите цвет, который будет использоваться для иконки этого объекта
сети.
Except (За исключением) Выберите исключение (где объект сети не должен находиться) из
выпадающего списка.
Color (Цвет) Выберите цвет, который будет использоваться для иконки этого объекта
сети.
Comment (Комментарий) Введите описание объекта сети.
2. Выберите объект из колонки Available Objects (Доступные объекты) или создайте новый объект типа:
• Сайт
• Группа сайтов
Администраторы могут предоставить удаленную помощь через SmartEndpoint или через онлайн веб портал.
• Чтобы использовать SmartEndpoint - выберите Tools > Remote Help (Инструменты > Удаленная
помощь)
• Чтобы использовать веб портал – перейдите в Ошибка! Недопустимый объект гиперссылки. сервера
управления Endpoint Security>/webrh
Есть два типа удаленной помощи компонента Full Disk Encryption:
• One Time Login (Одноразовый вход) - Одноразовый вход разрешает доступ под разрешенным
пользователем на одну сессию, без сброса пароля. Пользователи, потерявшие свою карту Smartcard,
должны воспользоваться этой опцией.
• Remote password change (Удаленная смена пароля) – Эта опция применима для пользователей с
постоянными паролями, которые были заблокированы.
Для USB устройств хранения данных, защищенных политиками Media Encryption & Port Protection, доступна
только удаленная смена пароля.
b) Remote password change (Удаленная смена пароля) – Эта опция для пользователей, которые
забыли свой постоянный пароль.
3. В поле User Name (Имя пользователя) нажмите на Browse (Обзор) и выберите пользователя в окне
Select a Node (Выберите узел).
4. Выберите заблокированный компьютер в списке Device Name (Имя устройства).
5. Нажмите на Generate Response (Генерировать ответ).
6. Скажите пользователю ввести текстовую строку Response One (to user) (Ответ первый
(пользователю)) в окне удаленной помощи на заблокированном компьютере.
На компьютере конечной точки покажется код вызова.
7. В поле Challenge (from user) (Вызов (от пользователя)) введите код вызова, который даст вам
пользователь.
8. Нажмите на Generate Response (Генерировать ответ).
Удаленная помощь аутентифицирует код вызова и генерирует код ответа.
9. Скажите пользователю ввести текстовую строку Response Two (to user) (Ответ второй
(пользователю)) в окне удаленной помощи на заблокированном компьютере.
10. Убедитесь, что пользователь сменит пароль или у него будет одноразовый вход в компьютер, перед
завершением сессии удаленной помощи.
Чтобы предоставить удаленную помощь по компоненту Full Disk Encryption из веб портала:
1. Перейдите в Ошибка! Недопустимый объект гиперссылки. сервера управления Endpoint
Security>/webrh.
2. Введите ваш User Name (Имя пользователя) и Password (Пароль), чтобы войти на портал. У
администраторов должно быть разрешение на предоставление удаленной помощи.
3. Выберите FDE.
4. Выберите тип помощи, нужный конечному пользователю:
a) One Time Login (Одноразовый вход) – Дает доступ под разрешенным пользователем на одну
сессию, без сброса пароля.
b) Remote password change (Удаленная смена пароля) – Эта опция для пользователей, которые
забыли свой постоянный пароль.
5. В поле User Name (Имя пользователя) введите имя пользователя.
6. Выберите заблокированный компьютер в списке Device Name (Имя устройства).
7. Нажмите на Get Response One (Получить ответ первый).
8. Скажите пользователю ввести текстовую строку Response One (to user) (Ответ первый
(пользователю)) в окне удаленной помощи на заблокированном компьютере.
На компьютере конечной точки покажется код вызова.
9. В поле Challenge (from user) (Вызов (от пользователя)) введите код вызова, который даст вам
пользователь.
10. Нажмите на Get Response Two (Получить ответ второй).
Удаленная помощь аутентифицирует код вызова и генерирует код ответа.
11. Скажите пользователю ввести текстовую строку Response Two (to user) (Ответ второй
(пользователю)) в окне удаленной помощи на заблокированном компьютере.
12. Убедитесь, что пользователь сменит пароль или у него будет одноразовый вход в компьютер, перед
завершением сессии удаленной помощи.
Чтобы восстановить пароль Media Encryption & Port Protection через удаленную помощь из
SmartEndpoint:
1. Выберите Tools > Remote Help > Media Encryption Remote Help (Инструменты > Удаленная помощь
> Удаленная помощь по Media Encryption).
Откроется окно Media Encryption & Port Protection Remote Help (Удаленная помощь по Media
Encryption & Port Protection).
Чтобы восстановить пароль Media Encryption & Port Protection через удаленную помощь из
веб портала:
1. Перейдите в Ошибка! Недопустимый объект гиперссылки. сервера управления Endpoint
Security>/webrh.
2. Введите ваш User Name (Имя пользователя) и Password (Пароль), чтобы войти на портал. У
администраторов должно быть разрешение на предоставление удаленной помощи.
3. Выберите ME.
4. В поле User Name (Имя пользователя) введите имя пользователя.
5. В поле Challenge (Вызов) введите код вызова, который даст вам пользователь. Пользователи получают
Challenge (Вызов) в клиенте Endpoint Security.
6. Нажмите на Generate Response (Генерировать ответ).
Компонент Media Encryption & Port Protectionаутентифицирует код вызова и генерирует код ответа.
7. Передайте код ответа пользователю.
8. Убедитесь, что пользователь может войти в устройство хранения данных.
Алфавитный указатель
A
Политика Access Zones • 157 Настройка сообщений оповещений • 19
Блокировка учетной записи • 102 Настройка диапазона адресов как объекта сети •
Сканер активного каталога • 38 159
Activity Reports (Отчеты об операциях) • 21 Настройка аутентификации • 77
Добавление объектов с помощью установочного пакета • 44 Настройка типов файлов с коммерческими
Расширенные действия • 116 данными • 111
Расширенные настройки пакетов • 51 Настройка подключений сервера политики
Расширенные настройки Pre-boot • 87 Endpoint Policy • 73
Alerts (Оповещения) • 17 Настройка глобальной аутентификации • 78
Anti-Malware (Защита от вредоносного ПО) • 24 Настройка пересылки журнала регистрации
Объекты проверки Anti-Malware • 141 событий • 55
Политика Anti-Malware • 127 Настройка действий сайта Media Encryption • 122
Действия политики Anti-Malware • 128 Настройка доступа периферийных устройств • 112
Анти-фишинг • 148 Конфигурация настроек сервера политики • 72
Политика Application Control • 149 Настройка сигнатур программного обеспечения •
Синтаксис команды Appscan • 152 52
Аутентификация до операционной системы (Pre-boot) • 84 Первичная настройка сканера каталога • 38
Методы аутентификации • 119 Настройка сервера электронной почты • 20
B Настройка действия чтения • 108
Резервное копирование и восстановление данных • 81 Настройка доверенных сайтов • 145
Основы управления виртуальными группами • 43 Преобразование способа шифрования устройств
Перед настройкой Smart Card аутентификации • 104 File Encryption в Media Encryption • 126
Действие работы блейдов • 137 Создание настраиваемого действия • 113
Защита просмотра веб-страниц • 146 Создание настраиваемого сообщения
Компоновка пакета дистрибутива • 28 пользователя • 112
C Создание XML файла Appscan • 153
Централизованное развертывание • 11 Создание средства восстановления данных • 92
Централизованный мониторинг • 11 Создание правил Firewall • 133
Централизованная организация пользователей и компьютеров • 11 Создание новых правил развертывания • 50
Изменение режима сервера на Активный или Резервный • 65 Создание новых правил политики • 59
Изменение пароля пользователя • 106 Настраиваемые действия • 138
Изменение существующего действия • 113 Настраиваемые правила действий
Изменение настроек аутентификации • 33 автоматического доступа • 125
Изменение настроек доступа устройства • 116 Настраиваемые настройки оффлайн доступа •
Изменение существующих правил развертывания • 51 117
Изменение политики Access Zones • 158 Custom Report (Настраиваемый отчет) • 24
Ведение журнала регистрации событий клиента • 25 Настраиваемые действия сканирования и
Требования к клиенту для развертывания Full Disk Encryption • 90 авторизации • 119
Настройки интерфейса пользователя клиента • 154 D
Политика Common Client Settings • 154 Определение VPN сайта • 52
Действия политики Common Client Settings • 154 Определение VPN сайта по умолчанию • 49
Завершение развертывания Full Disk Encryption на клиенте • 90 Демо и временные лицензии • 13
Compliance (Соответствие) • 20 Развертывание клиентов Endpoint Security • 45
Compliance Rules (Правила соответствия) • 28 Развертывание Исходного клиента • 46
Политика Compliance Rules • 136 Развертывание Исходного клиента на
Действия политики Compliance Rules • 137 компьютерах конечных точек • 47
Настройка копии сканера каталога • 39 Развертывание пакета программных блейдов • 47
Настройка группы как объекта сети • 160 Общие сведения о развертывании • 45
Настройка хоста как объекта сети • 159 Вкладка Deployment (Развертывание) • 24
Настройка сети как объекта сети • 160 Действия сканирования устройств и и
Настройка группы сетей с исключением • 160 авторизации • 128
Настройка прокси для доступа в Интернет • 15 Синхронизация каталога • 40
Настройка сайта как объекта сети • 160 Деактивация и удаление правил • 135
Настройка группы сайтов как объекта сети • 161 Деактивация удаленной помощи • 164
Настройка действия записи • 165 Шифрование диска • 87
Настройка активного каталога на аутентификацию • 77 Утилита Dynamic Mount Utility • 97
E L
Редактирование свойств объектов, не входящих в активный Обеспечение соблюдения лицензий • 15
каталог • 37 Статус лицензии • 17
Активация и деактивация копии сканера • 40 Назначение Licenses Status Report (Отчет статуса лицензий) • 25
сервера управления сервером политики Endpoint Policy • 72 Действия записи в журнал регистрации событий • 114
Анализ близости сервера политики Endpoint Policy • 71 Загрузка журнала регистрации событий • 147
Аутентификация активного каталога Endpoint Security • 75 Настройки входа в систему • 99
Роли администратора Endpoint Security • 41 M
Аналитический отчет Endpoint Security • 130 Обновления сигнатур вредоносного ПО • 121
Введение в Endpoint Security • 9 Обработка вредоносного ПО • 123
Лицензии Endpoint Security • 14 Решение Management High Availability • 63
Endpoint Security на Mac системах • 28 Управление компьютерами • 36
Лицензии продуктов Endpoint Security • 14 Управление организационными единицами или группами
Службы и порты Endpoint Security • 11 • 35
Приведение правил в исполнение в зависимости от Управление пользователями • 35
состояния • 60 Управление пользователями и компьютерами • 33
Экспортирование пакетов • 49 Управление пользователями компьютера • 36
Внешние серверы политики Endpoint Policy • 70 Определение типа устройства вручную • 109
F Media Encryption & Port Protection (Шифрование данных
Аварийное переключение • 64 на сменных носителях и Управление портами ПК) • 24
Поиск компонентов в SmartEndpoint • 27 Политика Media Encryption & Port Protection • 103
Firewall (Сетевой экран) • 28 Рабочий процесс удаленной помощи по Media Encryption
Политика Firewall Rules • 125 & Port Protection • 155
Full Disk Encryption (Шифрование всего содержимого диска) • Терминология Media Encryption & Port Protection • 103
23, 29 Действия сайта Media Encryption • 115
Фаза развертывания Full Disk Encryption • 94 Мигрирование с других продуктов • 31
Установка и развертывание Full Disk Encryption • 87 Отслеживание состояний соответствия • 136
Журнал регистрации событий Full Disk Encryption • 93 Мониторинг активности сервера политики Endpoint Policy
Политика Full Disk Encryption • 82 • 73
Восстановление данных компонента Full Disk Encryption • 89 Мониторинг объектов виртуальных групп • 43
Действия политики Full Disk Encryption • 82 N
Устранение сбоев в компоненте Full Disk Encryption • 91 Объекты сети • 150
G Примечания по использованию карт Smartcard • 102
Получение и применение контрактов • 16 O
Получение лицензий • 15 Действия оффлайн доступа • 111
Получение пакетов Исходного клиента • 46 OneCheck Logon • 87
Предоставление удаленной помощи пользователям Full Disk Дополнительные компоненты системы • 10
Encryption • 154 Организационно-центрическая модель • 13
Действие глобального автоматического доступа • 117 Правила исходящего трафика • 126
Глобальные настройки Pre-boot аутентификации • 96 Общие сведения о резервном копировании и
Постепенное обновление • 54 восстановлении данных • 80
H Общие сведения о Compliance Rules • 129
Настройки беспроводных точек доступа • 128 Общие сведения о серверах политики Endpoint Policy • 70
Как работают серверы политики Endpoint Policy? • 70 Общие сведения о политики Endpoint Security • 56 Общие
Как работает синхронизация • 65 сведения о компоненте Full Disk Encryption • 82
Создание резервной копии и восстановление данных • 80 Общие сведения о High Availability для Endpoint Security •
I 63
Важная информация • 2 Общие сведения о Media Encryption & Port Protection • 103
Импорт XML файлов Appscan • 145 Общие сведения об удаленной помощи • 154
Импорт параметров программ • 143 Общие сведения о архитектуре системы • 9
Общие сведения о User Authentication (OneCheck) • 95
Правила входящего трафика • 125
Вкладка Overview (Общие сведения) • 18
Наследование и приоритет правил • 58
Установка • 31 P
Настройки установки и обновления • 147 Репозиторий пакетов • 52
Установка пакетов на клиентах • 51 Сложность и безопасность пароля • 97
Установка изменений политики на клиентах • 61 Синхронизация паролей • 98
Установка клиента • 31 Планирование политики Firewall • 125
Установка клиента через интерпретатор командной строки • Планирование для Compliance Rules • 129
53 Планирование для Management High Availability • 64
Трафик IPv6 • 128