Поиск по сайту

Полезные статьи

25.05.2020

Защита конечных устройств FortiClient EMS

В последнее время набирают популярность решения, направленные на контроль и защиту конечных устройств. Сегодня мы хотим показать вам одно из таких решений - FortiClient Enterprise Management Server. А именно - рассмотрим системные требования, процесс установки и базовую конфигурацию.

FortiClient Enterprise Management Server - централизованный сервер, предназначенный для управления программами FortiClient, установленными на контролируемых рабочих станциях. Он позволяет распространять необходимые настройки FortiClient (антивируса, веб фильтрации, телеметрии, контроля съемных устройств)  на все подключенные к нему рабочие станции.


Для его установки необходимы:

• Microsoft Windows Server 2008 R2 или новее;
• 64 битный двухъядерный процессор 2 Ггц (или 2 vCPU);
• 4 ГБ RAM (рекомендуется 8 и более);
• 40 ГБ свободного пространства;
• Гигабитный (10/100/1000baseT) Ethernet адаптер;
• Доступ к интернету;
• Отсутствие других установленных сервисов.

Доступ к интернету необходим во время установки. После успешной установки он необязателен. Во время работы он используется для получения различных обновлений и сигнатур для движков безопасности.
Найти установочный файл можно на сайте suppot.fortinet.com. Или можете обратиться к нам.
Мы уже развернули Windows Server 2019 и скачали необходимый для установки файл. Запустим его.

Windows Server 2019

Нам предлагают ознакомиться с лицензионным соглашением. Знакомимся, ставим галочку и запускаем установку. Установка происходит от имени администратора, поэтому понадобятся его учетные данные (если вы залогинены на сервере не под административной учетной записью). После этого начнется установка.

ознакомимся с лицензионным соглашением

Обычно она длится около 15 минут. После успешного завершения установки вы увидите следующее окно:

Успешный успех

Запустим установленный EMS. Нам сразу предлагают ввести логин и пароль. По умолчанию логин - adimn, а пароль отсутствует.

Запустим установленный EMS

После входа предлагается создать новый пароль, подходящий под определенные требования. После создания пароля и входа в систему мы увидим следующее сообщение:

сообщение

Нас интересуют именно триальные лицензии. Поэтому нажимаем на кнопку Try free. Для получения лицензий необходим действующий аккаунт на ресурсе FortiCloud. Если его нет, можно перейти по ссылке Sign up now и создать его.

Создать акк

После ввода учетных данных и их верификации мы получаем информацию о полученной триальной лицензии:

получаем информацию о полученной триальной лицензии

В состав триальной лицензии входит 10 лицензий на ПО FortiClient, подписка на облачную песочницу и механизмы защиты конечных точек (антивирус, IPS, веб фильтрация и т.д.).

После того, как мы активировали триальные лицензии, попадаем на главную страницу. Добавим в инвентарь FortiClient EMS все машины из существующего домена. Для этого перейдем в меню Endpoints -> Domains -> Add a domain и введем необходимую информацию:

Endpoints -> Domains -> Add a domain

После этого в левом меню появится добавленный домен со всеми устройствами, которые зарегистрированы в нем:

добавленный домен

Теперь перейдем в меню Endpoint Profiles -> Manage Profiles -> Add

Здесь вы увидете множество настроек - антивирус, веб фильтр, сканер уязвимостей, VPN и так далее. Настроим профиль для компьютеров, находящихся в домене:

Endpoint Profiles -> Manage Profiles -> Add

В настройках Malware мы включили антивирус и контроль съемных носителей. В системных параметрах мы включили отправку информации о программах, установленных на компьютере. Вы же можете настраивать профили на свое усмотрения, функционала здесь довольно много. После того, как создан профиль, необходимо определить, к каким компьютерам он будет привязываться. Для этого нужно создать политику конечных узлов. Но перед этим создадим список для телеметрии - в нем укажем адрес FortiGate, это необходимо для того, чтобы FortiClient с конечных узлов передавал различную информацию о состоянии узла на FortiGate. Перейдем в меню Telemetry Gateway Lists -> Manage Telemetry Gateway Lists -> Add. Меню создания выглядит таким образом:

создадим список для телеметрии

Здесь необходимо название листа, текущий адрес EMS и адрес FortiGate в поле Notify FortiGate.Теперь мы можем настроить политику. Для этого перейдем в поле Endpoint Policy -> Manage Policies -> Add:

настроить политику

Здесь мы выбрали доменную группу компьютеров. В поле Endpoint Profile необходимо указать профиль, созданный ранее. В поле Telemetry Gateway List необходимо также указать лист для телеметрии, созданный ранее.

Теперь мы создадим свой установочник с необходимым для нас функционалом. В примере я распространю его вручную, но это также можно сделать с помощью групповых политик AD.

Перейдем в поле Manage Installers -> Deployment Packages -> Add. Здесь нас ждет конфигурация установщика, состоящая из пяти пунктов:

Manage Installers -> Deployment Packages -> Add

На первом этапе необходимо выбрать тип инсталлера и его версию. Мы выберем официальный инсталлер и последнюю версию из ветки 6.2 (на момент написания статьи 6.2.6). Также поставим галочку напротив опции - Keep updated to the latest patch.

Нажимаем на кнопку Next и переходим на второй этап. Здесь необходимо просто выбрать имя. Назовем инсталлер Domain Installer и перейдем к третьему этапу:

перейдем к третьему этапу

Здесь можно выбрать функционал, который будет присутствовать в данном установочнике. Мы оставим галочку на Security Fabric Agent и дополнительно включим антивирус. Нажимаем Next:

Нажимаем Next

Здесь включим автоматическую регистрацию и перейдем на последний этап:

Этап 5

Здесь мы активируем телеметрию. На этом этапе создание инсталлера завершается. После этого данный инсталлер появится в меню с указанием ссылки, откуда его можно скачать. При необходимости параметры расположения установщиков можно изменить в меню System Settings -> Server -> EMS Settings:

параметры расположения установщиков можно изменить

Перейдем на рабочую машину и перейдем по ссылке, указанной в меню Manage Installers -> Deployment Packages:

Перейдем на рабочую машину и далее по ссылке

Устанавливаем FortiClient

Здесь нужно скачать и установить msi файл, подходящий для вашей системы (х64 или х86). После этого запускаем установочник (необходимы права администратора) и устанавливаем FortiClient. После установки запускаем его и переходим в меню Fabric Telemetry. Здесь необходимо указать адрес EMS сервера.

необходимо указать адрес EMS сервера.

После того, как компьютер соединится с EMS, он отобразится на панели сервера как подключенный, и займет одну из 10 триальных лицензий. Перейдем в меню Endpoints -> All Endpoints и выберем подключенного клиента:

выберем подключенного клиента

Здесь можно увидеть информацию о подключенной машине, а также профилях, которые к ней применяются. Также с помощью кнопки Scan из этого меню можно запустить антивирусное сканирование, а также сканирование на уязвимости. После завершения сканирования можно посмотреть на его итоги:

Scan

Базовая настройка закончена

С помощью манипуляций с профилями и другими настройками вы сможете управлять безопасностью конечных узлов так, как вам нужно.

В дополнение покажем, как настраивается Compliance. Данная конфигурация позволяет отправлять данные о конечных узлах на FortiGate и разграничивать им доступ в различные сети на основе их состояний. Перейдем в поле Compliance Verification Rules -> Add. Попадаем в меню настройки Compliance. Для начала создадим само правило, для этого нажмем на кнопку Add Rule:

создадим правило

Здесь мы можем настроить различные правила для Windows, iOS, Mac, Linux, Android. Больше всего правил существует для Windows. Здесь можно проверять установленное антивирусное ПО, версию ОС, наличие запущенного процесса и многое другое:

настроить различные правила для Windows, iOS, Mac, Linux, Android

Для примера мы создадим правило, которое будет определять, выполнен ли вход в домен test.local с подключенной машины. Таким образом, если машина подключена к домену, на FortiGate мы можем дать ей расширенный доступ к сетям, а если нет - минимальный. Пример настройки указан на рисунке ниже:

доступ к сетям

Нажмем на кнопку Save и вернемся к исходному правилу. Назовем само правило и создадим тег. Для этого его нужно просто ввести его имя в поле Tag Endpoint As:

Tag Endpoint As

Сохраняем созданное правило. Вы можете попробовать самостоятельно создать тег, который будет помечать рабочие узлы с определенной версией ОС. Теперь посмотрим на настройки подключенной машины:

настройки подключенной машины

Как видим, к машине теперь привязано два тега: in_domain и windows_10_on_host. Второй тег говорит о том, что подключенная машина работает на ОС Windows 10.

Теперь перейдем к настройкам со стороны FortiGate. Первым делом настроим подключение к FortiClient EMS. Для начала необходимо со стороны FG разрешить административное подключение для объектов Security Fabric. Перейдем в меню Network -> Interfaces и выберем порт, через который будет осуществляться подключение к EMS. В нашем случае это port2. Переходим в его настройки и в разделе Administrative Access ставим галочку напротив пункта Security Fabric Connection и нажимаем ОК:

перейдем к настройкам со стороны FortiGate

Далее перейдем в меню Security Fabric -> Fabric Connectors. В списке коннекторов нужно найти FortiClient EMS. Вводим IP адрес EMS сервера и нажимаем на кнопку Apply & Refresh. Если все прошло успешно, в поле User/Groups должно появиться количество созданных на FortiClient EMS тегов.

Вводим IP адрес EMS сервера

Все готово, теперь создадим политику, разрешающую пользователям, залогиненым в домене, доступ в Интернет. Для этого перейдем во вкладку Policy & Objects -> IPv4 Policy и создадим новую политику:

Создадим новую политику

Все настройки стандартные, только в поле Source необходимо выбрать диапазон адресов (можно выбрать all), а также группу пользователей, которая будет выходить в Интернет. В нашем случае это группа IN_DOMAIN. Все готово, осталось только настроить необходимые профили безопасности и сохранить политику.

Примерно так работает Compliance между FortiGate и FortiClient EMS. Мы постарались разобрать самые простые примеры, но на самом деле сценариев использования данного решения намного больше.


Если у вас возникли вопросы, смело обращайтесь по телефону , почте или заполняйте форму. Специалисты отдела продаж и инженеры помогут с решением задач, касающихся продуктов Fortinet.