UA

Блог

Как подготовить рабочие станции к удаленному развертыванию агентов BEST? 

В данной статье представлена информация о том, как подготовить рабочие станции к удаленному развертыванию для того, чтобы защитить сети с помощью агентов BEST (Bitdefender GravityZone). Агент BEST обеспечивает гибкое сканирование системы и разворачивается на любой машине.

Для успешного выполнения задачи развертывания Bitdefender Endpoint Security Tools в целевых системах вам необходимо выполнить следующие предварительные требования к конфигурации: 

1. Требования к Операционной системе:

• Убедитесь, что целевые конечные точки соответствуют минимальным системным требованиям согласно Руководству по установке GravityZone. Для некоторых конечных точек может потребоваться установить последний доступный пакет обновления для операционной системы или освободить место на диске. Составьте список конечных точек, не отвечающих необходимым требованиям, чтобы исключить их из списка для удаленного развертывания.
• При развертывании агента через ретранслятор Linux должны быть выполнены следующие дополнительные условия: 

1) На конечной точке ретрансляции должен быть установлен пакет Samba (smbclient) версии 4.1.0 или выше, а также команда net для развертывания агентов Windows. Обратите внимание! Команда net обычно поставляется с пакетами samba-client и/ или samba-common. В некоторых дистрибутивах Linux (например, CentOS 7.4) команда net устанавливается только при установке полного пакета Samba (Common + Client + Server). Убедитесь, что на вашей конечной точке Relay доступна команда net.

2) На целевых конечных точках Windows должны быть включены Administrative Share и Network Share.

3) На целевых конечных точках Linux и Mac должен быть включен SSH и отключен брандмауэр.  


2. Административные привилегии

Для установки требуются права администратора. Убедитесь, что у вас есть необходимые учетные данные для всех компьютеров.
Вы также должны определить настройки контроля учетных записей (UAC) в соответствии с конфигурацией целевой конечной точки:

Для Windows 8.1 и 10 вам потребуются полные административные привилегии (учетные данные встроенной учетной записи администратора или учетной записи пользователя домена). Дополнительные сведения об успешном развертывании BEST на станциях с Windows 8.1 и 10 см. в этой статье.

Для целевых систем, которые являются частью Workgroup, вы должны отключить UAC, только если вы используете другие учетные данные с правами администратора, кроме встроенной учетной записи администратора домена при настройке задачи развертывания. Если задача развертывания настроена на проверку подлинности со встроенной учетной записью администратора домена (и параметры UAC по умолчанию для этой учетной записи не были изменены групповой политикой), она будет выполняться без изменения параметров UAC.

Для целевых систем, которые являются частью домена Active Directory, в дополнение к предыдущим рекомендациям, если администратор хочет настроить задачу и предоставить учетные данные для развертывания пользователей, которые являются членами группы безопасности «Администраторы домена», объект групповой политики можно настроить со следующими настройками: 

[Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options]

Внимание! В целях безопасности после завершения цикла развертывания верните настройки к значениям по умолчанию.

Для Windows 7, 8 и 10 вам потребуется отключить контроль учетных записей (UAC) следующим образом:

Перейдите в Пуск> Панель управления> Учетные записи пользователей.

Нажмите «Изменить настройки контроля учетных записей пользователей».

Установите UAC на «Никогда не уведомлять» и нажмите OK


3. Требования к подключению

На всех рабочих станциях и серверах, которыми вы хотите управлять и которые должны иметь сетевое подключение к устройству GravityZone, вам нужно будет настроить брандмауэр, чтобы разрешить следующие порты связи, используемые компонентами безопасности:

• 8443: порт связи между консолью GravityZone и Bitdefender Endpoint Security Tools. Этот порт должен быть разрешен на всех компьютерах в сети.

•7074: порт связи, используемый для развертывания и обновления через ретранслятор.

Примечание. Эти порты не должны использоваться другими приложениями, установленными в сети.

Для сервера ретрансляции рекомендуется использовать статический IP-адрес. Если вы не устанавливаете статический IP-адрес, используйте имя хоста машины.
Сконфигурируйте каждую рабочую станцию, чтобы не использовать мастер совместного использования, следующим образом:

В Windows 7:

Перейдите в Пуск> Компьютер> Упорядочить> Макет и выберите «Строка меню».
Нажмите «Инструменты» и перейдите в Параметры папки ...> Вид
Снимите флажок Use Sharing Wizard в списке дополнительных настроек, затем ОК.

В Windows 8 и 8.1:

Перейдите в Computer > View > Options
В окне параметров папки щелкните вкладку «Вид»
Снимите флажок Use Sharing Wizard в списке дополнительных настроек, затем ОК.

В Windows 10:

Перейдите на Этот Компьютер> Вид > Параметры
Нажмите вкладку «Вид»;
Снимите флажок Use Sharing Wizard в списке дополнительных настроек, затем ОК


• Убедитесь, что протокол общего доступа к файлам и принтерам включен. Эта служба использует порты TCP 139, 445 и порты UDP 137, 138.

Чтобы проверить, включен ли протокол общего доступа к файлам и принтерам:

Перейдите в Пуск> Панель управления> Центр управления сетями и общим доступом

Определите, какое сетевое соединение установлено, выберете его и нажмите свойства.


Обратите внимание!

Чтобы соединение было успешным:

- Отключите брандмауэр Windows или настройте его для разрешения трафика через протокол общего доступа к файлам и принтерам. Чтобы отключить брандмауэр Windows, откройте Панель управления> Брандмауэр Windows и нажмите Выкл.

- Разрешите трафик ICMP (чтобы вы могли успешно выполнить ping-запрос на рабочую станцию).

4. Удаление стороннего программного обеспечения безопасности

Удалите (а не просто отключите) любое существующее программное обеспечение для защиты от вредоносных программ, брандмауэра или интернет-безопасности с компьютеров. Запуск агента безопасности одновременно с другим программным обеспечением безопасности на конечной точке может повлиять на их работу и вызвать серьезные проблемы с системой.

Многие несовместимые программы безопасности автоматически обнаруживаются и удаляются во время установки. 

CRM-форма появится здесь