Защита конечных устройств с помощью FortiClient EMS
На сегодняшний день довольно быстро набирают популярность решения, направленные на контроль и защиту конечных устройств. Сегодня мы хотим показать вам одно из таких решений — FortiClient Enterprise Management Server: рассмотрим системные требования, процесс установки и базовую конфигурацию.
FortiClient Enterprise Management Server — централизованный сервер, предназначенный для управления программами FortiClient, установленными на контролируемых рабочих станциях. Он позволяет распространять необходимые настройки FortiClient (антивируса, веб фильтрации, телеметрии, контроля съемных устройств) на все подключенные к нему рабочие станции.
Для его установки необходимы:
Microsoft Windows Server 2008 R2 или новее;
64 битный двухъядерный процессор 2 Ггц (или 2 vCPU);
4 ГБ RAM (рекомендуется 8 и более);
40 ГБ свободного пространства;
Гигабитный (10/100/1000baseT) Ethernet адаптер;
Доступ к интернету;
Отсутствие других установленных сервисов.
Доступ к интернету необходим во время установки. После успешной установки он необязателен. Во время работы он используется для получения различных обновлений и сигнатур для движков безопасности.
Найти установочный файл можно на сайте технической поддержки Fortinet (необходим аккаунт). Или можете обратиться к нам.
Мы уже развернули Windows Server 2019 и скачали необходимый для установки файл. Запустим его.
Нам предлагают ознакомиться с лицензионным соглашением. Знакомимся, ставим галочку и запускаем установку. Установка происходит от имени администратора, поэтому понадобятся его учетные данные (если вы залогинены на сервере не под административной учетной записью). После этого начнется установка.
Обычно она длится около 15 минут. После успешного завершения установки вы увидите следующее окно:
Запустим установленный EMS. Нам сразу предлагают ввести логин и пароль. По умолчанию логин — adimn, пароль отсутствует.
После входа предлагается создать новый пароль, подходящий под определенные требования. Создав пароль и войдя в систему, мы увидим следующее сообщение:
Нас интересуют именно триальные лицензии. Поэтому нажимаем на кнопку Try free. Для получения лицензий необходим действующий аккаунт на ресурсе FortiCloud. Если его нет, можно перейти по ссылке Sign up now и создать его.
После ввода учетных данных и их верификации, у нас появляется информация о полученной триальной лицензии:
В состав триальной лицензии входит 10 лицензий на ПО FortiClient, подписка на облачную песочницу и механизмы защиты конечных точек (антивирус, IPS, веб-фильтрация и т.д.).
После того, как мы активировали триальные лицензии, попадаем на главную страницу. Добавим в инвентарь FortiClient EMS все машины из существующего домена. Для этого перейдем в меню Endpoints → Domains → Add a domain и введем необходимые данные:
В левом меню появится добавленный домен со всеми устройствами, которые зарегистрированы в нем:
Теперь перейдем в меню Endpoint Profiles → Manage Profiles → Add. Здесь вы увидите множество настроек — антивирус, веб фильтр, сканер уязвимостей, VPN и так далее. Настроим профиль для компьютеров, находящихся в домене:
В настройках Malware мы включили антивирус и контроль съемных носителей. В системных параметрах мы активировали отправку информации о программах, установленных на компьютере. Вы же можете настраивать профили на свое усмотрение, функционал здесь довольно велик.
После того, как создан профиль, необходимо определить к каким компьютерам он будет привязываться. Для этого нужно создать политику конечных узлов. Но перед этим напишем список для телеметрии — в нем укажем адрес FortiGate, это необходимо для того, чтобы FortiClient с конечных узлов передавал различную информацию о состоянии узла на FortiGate. Перейдем в меню Telemetry Gateway Lists → Manage Telemetry Gateway Lists → Add. Меню создания выглядит таким образом:
Здесь требуется название листа, текущий адрес EMS и адрес FortiGate в поле Notify FortiGate.
Теперь мы можем настроить политику. Для этого перейдем в поле Endpoint Policy → Manage Policies → Add:
Здесь мы выбрали доменную группу компьютеров. В поле Endpoint Profile необходимо указать профиль, созданный ранее. В поле Telemetry Gateway List напишем лист для телеметрии, указанный ранее.
Теперь мы создадим свой установочник с нужным для нас функционалом. В примере я распространю его вручную, но это также можно сделать с помощью групповых политик AD.
Перейдем в поле Manage Installers → Deployment Packages → Add. Здесь нас ждет конфигурация установщика, состоящая из пяти пунктов.
На первом этапе следует выбрать тип инсталлера и его версию. Нам подходит официальный инсталлятор и последняя версия из ветки 6.2 (на момент написания статьи 6.2.6). Также поставим галочку напротив опции — Keep updated to the latest patch.
Нажимаем на кнопку Next и переходим на второй этап. Здесь требуется написать имя инсталлера. Назовем его Domain Installer и перейдем к третьему этапу:
Здесь можно выбрать функционал, который будет присутствовать в данном установочнике. Мы оставим галочку на Security Fabric Agent и дополнительно включим антивирус. Нажимаем Next:
Здесь активируем автоматическую регистрацию и перейдем на последний этап:
Последним этапом устанавливаем телеметрию. На этом создание инсталлятора завершено. После этого данный инсталлер появится в меню с указанием ссылки, откуда его можно скачать. При необходимости параметры расположения установщиков можно изменить в меню System Settings → Server → EMS Settings:
Перейдем на рабочую машину и кликнем по ссылке, указанной в меню Manage Installers → Deployment Packages:
Здесь нужно скачать и установить msi файл, подходящий для вашей системы (х64 или х86). После этого запускаем установочник (необходимы права администратора) и устанавливаем FortiClient. Запускаем его и переходим в меню Fabric Telemetry, указывая адрес EMS сервера.
После того, как компьютер соединится с EMS, он отобразится на панели сервера как подключенный, и займет одну из 10 триальных лицензий. Перейдем в меню Endpoints → All Endpoints и выберем подключенного клиента:
В данном окне можно увидеть информацию о подключенной машине, а также о профилях, которые к ней применяются. С помощью кнопки Scan из меню можно запустить антивирусное сканирование, а также сканирование на уязвимости. После завершения сканирования можно посмотреть на его итоги:
Базовая настройка закончена. Теперь с помощью манипуляций с профилями и другими настройками, вы сможете управлять безопасностью конечных узлов так, как вам нужно. В дополнение покажем, как настраивается Compliance. Данная конфигурация позволяет отправлять данные о конечных узлах на FortiGate и разграничивать им доступ в различные сети на основе их состояний. Переходим в поле Compliance Verification Rules → Add. Попадаем в меню настройки Compliance. Для начала создадим само правило, для этого нажмем на кнопку Add Rule:
Есть возможность настроить различные правила для Windows, iOS, Mac, Linux, Android. Больше всего правил существует для Windows. Здесь можно проверять установленное антивирусное ПО, версию ОС, наличие запущенного процесса и многое другое:
Для примера мы создадим правило, которое будет определять, выполнен ли вход в домен test.local с подключенной машины. Таким образом, если машина подключена к домену, на FortiGate мы можем дать ей расширенный доступ к сетям, а если нет — минимальный. Пример настройки указан на рисунке ниже:
Нажмем на кнопку Save и вернемся к исходному правилу. Назовем само правило и создадим тег. Для этого нужно ввести его имя в поле Tag Endpoint As:
Сохраняем созданное правило. Вы можете попробовать самостоятельно создать тег, который будет помечать рабочие узлы с определенной версией ОС. Теперь посмотрим на настройки подключенной машины:
Как видим, к машине теперь привязано два тега: indomain и windows10onhost. Второй тег говорит о том, что подключенная машина работает на ОС Windows 10.
Теперь перейдем к настройкам со стороны FortiGate. Первым делом настроим подключение к FortiClient EMS. Для начала необходимо со стороны FG разрешить административное подключение для объектов Security Fabric. Перейдем в меню Network → Interfaces и выберем порт, через который будет осуществляться подключение к EMS. В нашем случае это port2. Открываем его настройки и в разделе Administrative Access ставим галочку напротив пункта Security Fabric Connection, нажимаем ОК:
Далее перейдем в меню Security Fabric → Fabric Connectors. В списке коннекторов нужно найти FortiClient EMS. Вводим IP адрес EMS сервера и кликаем Apply & Refresh. Если все прошло успешно, в поле User/Groups должно появиться количество созданных на FortiClient EMS тегов.
Почти готово. Теперь напишем политику, разрешающую пользователям, залогиненым в домене, доступ в Интернет. Для этого перейдем во вкладку Policy & Objects → IPv4 Policy и создадим новую политику:
Все настройки стандартные, только в поле Source необходимо выбрать диапазон адресов (можно выбрать all), а также группу пользователей, которая будет выходить в Интернет. В нашем случае это группа IN_DOMAIN. Все готово, осталось только настроить необходимые профили безопасности и сохранить политику.
Так работает Compliance между FortiGate и FortiClient EMS. Мы постарались разобрать самые простые примеры, но на самом деле сценариев использования данного решения намного больше.
Если у вас возникли вопросы или требуется помощь в проведении тестирования — пишите нам.