Защита конечных устройств с помощью FortiClient EMS

8f3c340d1be13d14017e0abaf509e252

На сегодняшний день довольно быстро набирают популярность решения, направленные на контроль и защиту конечных устройств. Сегодня мы хотим показать вам одно из таких решений — FortiClient Enterprise Management Server: рассмотрим системные требования, процесс установки и базовую конфигурацию.   

FortiClient Enterprise Management Server — централизованный сервер, предназначенный для управления программами FortiClient, установленными на контролируемых рабочих станциях. Он позволяет распространять необходимые настройки FortiClient (антивируса, веб фильтрации, телеметрии, контроля съемных устройств)  на все подключенные к нему рабочие станции. 

Для его установки необходимы:

  • Microsoft Windows Server 2008 R2 или новее;

  • 64 битный двухъядерный процессор 2 Ггц (или 2 vCPU);

  • 4 ГБ RAM (рекомендуется 8 и более);

  • 40 ГБ свободного пространства;

  • Гигабитный (10/100/1000baseT) Ethernet адаптер;

  • Доступ к интернету;

  • Отсутствие других установленных сервисов.

Доступ к интернету необходим во время установки. После успешной установки он необязателен. Во время работы он используется для получения различных обновлений и сигнатур для движков безопасности. 

Найти установочный файл можно на сайте технической поддержки Fortinet (необходим аккаунт). Или можете обратиться к нам. 

Мы уже развернули Windows Server 2019 и скачали необходимый для установки файл. Запустим его. 

32854f6a91022377ce57c24792e25ae5

Нам предлагают ознакомиться с лицензионным соглашением. Знакомимся, ставим галочку и запускаем установку. Установка происходит от имени администратора, поэтому понадобятся его учетные данные (если вы залогинены на сервере не под административной учетной записью). После этого начнется установка.

46e1b967589e773003f14c022ffb69da

Обычно она длится около 15 минут. После успешного завершения установки вы увидите следующее окно:

c29135c6cae543f4f94560d326655cbf

Запустим установленный EMS. Нам сразу предлагают ввести логин и пароль. По умолчанию логин — adimn, пароль отсутствует. 

6fb5f4f437257df2fabf253453ab12b7

После входа предлагается создать новый пароль, подходящий под определенные требования. Создав пароль и войдя в систему, мы увидим следующее сообщение:

520ce390c57a41cf4e837a1d1d42e6dc

Нас интересуют именно триальные лицензии. Поэтому нажимаем на кнопку Try free. Для получения лицензий необходим действующий аккаунт на ресурсе FortiCloud. Если его нет, можно перейти по ссылке Sign up now и создать его.

af92bf2fb277563cd3926278faca3c55

После ввода учетных данных и их верификации, у нас появляется информация о полученной триальной лицензии:

d4d95f5f432ccfffe6b7a37184f5f38d

В состав триальной лицензии входит 10 лицензий на ПО FortiClient, подписка на облачную песочницу и механизмы защиты конечных точек (антивирус, IPS, веб-фильтрация и т.д.). 

После того, как мы активировали триальные лицензии, попадаем на главную страницу. Добавим в инвентарь FortiClient EMS все машины из существующего домена. Для этого перейдем в меню Endpoints → Domains → Add a domain и введем необходимые данные:

f9d0845fc3a8cb010151e8218f8817e0

В левом меню появится добавленный домен со всеми устройствами, которые зарегистрированы в нем:

72f738d633b1fd28a4f3c43fd9db0ab6

Теперь перейдем в меню Endpoint Profiles → Manage Profiles → Add. Здесь вы увидите множество настроек — антивирус, веб фильтр, сканер уязвимостей, VPN и так далее. Настроим профиль для компьютеров, находящихся в домене:

86a63baa2d628e1d7dc0ce244337146d

В настройках Malware мы включили антивирус и контроль съемных носителей. В системных параметрах мы активировали отправку информации о программах, установленных на компьютере. Вы же можете настраивать профили на свое усмотрение, функционал здесь довольно велик. 

После того, как создан профиль, необходимо определить к каким компьютерам он будет привязываться. Для этого нужно создать политику конечных узлов. Но перед этим напишем список для телеметрии — в нем укажем адрес FortiGate, это необходимо для того, чтобы FortiClient с конечных узлов передавал различную информацию о состоянии узла на FortiGate. Перейдем в меню Telemetry Gateway Lists → Manage Telemetry Gateway Lists → Add. Меню создания выглядит таким образом:

2baa868a6eadd78b02676b20c4dad1fb

Здесь требуется название листа, текущий адрес EMS и адрес FortiGate в поле Notify FortiGate.

Теперь мы можем настроить политику. Для этого перейдем в поле Endpoint Policy → Manage Policies → Add:

de9f14f43a52fa1e04cad8f95cdb2c01

Здесь мы выбрали доменную группу компьютеров. В поле Endpoint Profile необходимо указать профиль, созданный ранее. В поле Telemetry Gateway List напишем лист для телеметрии, указанный ранее. 

Теперь мы создадим свой установочник с нужным для нас функционалом. В примере я распространю его вручную, но это также можно сделать с помощью групповых политик AD. 

Перейдем в поле Manage Installers → Deployment Packages → Add. Здесь нас ждет конфигурация установщика, состоящая из пяти пунктов. 

dc0229b4c403116a1d3413911035b765

На первом этапе следует выбрать тип инсталлера и его версию. Нам подходит официальный инсталлятор и последняя версия из ветки 6.2 (на момент написания статьи 6.2.6). Также поставим галочку напротив опции — Keep updated to the latest patch. 

Нажимаем на кнопку Next и переходим на второй этап. Здесь требуется написать имя инсталлера. Назовем его Domain Installer и перейдем к третьему этапу:

8f501a21125badf17b46a6f50bde236d

Здесь можно выбрать функционал, который будет присутствовать в данном установочнике. Мы оставим галочку на Security Fabric Agent и дополнительно включим антивирус. Нажимаем Next:

7fb051b18ddeec17a16df0a9c714f999

Здесь активируем автоматическую регистрацию и перейдем на последний этап:

6a59f49ec45fb066b898ec7c70256d41

Последним этапом устанавливаем телеметрию. На этом создание инсталлятора завершено. После этого данный инсталлер появится в меню с указанием ссылки, откуда его можно скачать. При необходимости параметры расположения установщиков можно изменить в меню System Settings → Server → EMS Settings:

6d220d160fd65460c0ee7695832aa10e

Перейдем на рабочую машину и кликнем по ссылке, указанной в меню Manage Installers → Deployment Packages:

81258e10c844bf4a3c722af7353b43d6

Здесь нужно скачать и установить msi файл, подходящий для вашей системы (х64 или х86). После этого запускаем установочник (необходимы права администратора) и устанавливаем FortiClient. Запускаем его и переходим в меню Fabric Telemetry, указывая адрес EMS сервера. 

547c10d9afba2439c756f0162c413fb6

После того, как компьютер соединится с EMS, он отобразится на панели сервера как подключенный, и займет одну из 10 триальных лицензий. Перейдем в меню Endpoints → All Endpoints и выберем подключенного клиента:

15395c8dc8fd6604bf0fc4670211facc

В данном окне можно увидеть информацию о подключенной машине, а также о профилях, которые к ней применяются. С помощью кнопки Scan из меню можно запустить антивирусное сканирование, а также сканирование на уязвимости. После завершения сканирования можно посмотреть на его итоги:

589e1d400f44bc4177737140cd2ee460

Базовая настройка закончена. Теперь с помощью манипуляций с профилями и другими настройками, вы сможете управлять безопасностью конечных узлов так, как вам нужно. В дополнение покажем, как настраивается Compliance. Данная конфигурация позволяет отправлять данные о конечных узлах на FortiGate и разграничивать им доступ в различные сети на основе их состояний. Переходим в поле Compliance Verification Rules → Add. Попадаем в меню настройки Compliance. Для начала создадим само правило, для этого нажмем на кнопку Add Rule:

77c36da51686b27382174862d49943d6

Есть возможность настроить различные правила для Windows, iOS, Mac, Linux, Android. Больше всего правил существует для Windows. Здесь можно проверять установленное антивирусное ПО, версию ОС, наличие запущенного процесса и многое другое:

8671e1b732e5fbd110eafa03f041fd04

Для примера мы создадим правило, которое будет определять, выполнен ли вход в домен test.local с подключенной машины. Таким образом, если машина подключена к домену, на FortiGate мы можем дать ей расширенный доступ к сетям, а если нет — минимальный. Пример настройки указан на рисунке ниже:

5ffaf2cf4ea2cef3d0d7ef18db681149

Нажмем на кнопку Save и вернемся к исходному правилу. Назовем само правило и создадим тег. Для этого нужно ввести его имя в поле Tag Endpoint As:

3b07610a2c563f1b6b5aea9b380f44d8

Сохраняем созданное правило. Вы можете попробовать самостоятельно создать тег, который будет помечать рабочие узлы с определенной версией ОС. Теперь посмотрим на настройки подключенной машины:

3824ce5bd3f97039d99373338820a63c

Как видим, к машине теперь привязано два тега: indomain и windows10onhost. Второй тег говорит о том, что подключенная машина работает на ОС Windows 10. 

Теперь перейдем к настройкам со стороны FortiGate. Первым делом настроим подключение к FortiClient EMS. Для начала необходимо со стороны FG разрешить административное подключение для объектов Security Fabric. Перейдем в меню Network → Interfaces и выберем порт, через который будет осуществляться подключение к EMS. В нашем случае это port2. Открываем его настройки и в разделе Administrative Access ставим галочку напротив пункта Security Fabric Connection, нажимаем ОК:

8f336b25695962b0d4b60d8ffcafa070

Далее перейдем в меню Security Fabric → Fabric Connectors. В списке коннекторов нужно найти FortiClient EMS. Вводим IP адрес EMS сервера и кликаем Apply & Refresh. Если все прошло успешно, в поле User/Groups должно появиться количество созданных на FortiClient EMS тегов.

aa8879e08ce2afe7f2574bd282969a78

Почти готово. Теперь напишем политику, разрешающую пользователям, залогиненым в домене, доступ в Интернет. Для этого перейдем во вкладку Policy & Objects → IPv4 Policy и создадим новую политику:

d68eaca93e6510a79f49c935e4031425

Все настройки стандартные, только в поле Source необходимо выбрать диапазон адресов (можно выбрать all), а также группу пользователей, которая будет выходить в Интернет. В нашем случае это группа IN_DOMAIN. Все готово, осталось только настроить необходимые профили безопасности и сохранить политику.

Так работает Compliance между FortiGate и FortiClient EMS. Мы постарались разобрать самые простые примеры, но на самом деле сценариев использования данного решения намного больше. 

Если у вас возникли вопросы или требуется помощь в проведении тестирования —  пишите нам. 

© Habrahabr.ru