04. AZ F-SECURE POLICY MANAGER CONSOLE ELSŐ INDÍTÁSA A.)
Előkészítő információk A PMC első indításával elkezdődik a kezdeti értékekkel feltöltés, nevezetesen: - a távtelepítő csomagok rendszerbe emelése - a biztonsági rendszer szerkezetének (Policy Domain) kialakítása - a kapcsolattartásért a végponton felelős F-Secure Management Agent telepítése. A Policy Management terminológiában használt Policy Domain és a Windows / Linux szerint értelmezett hálózati domain két, egymástól független fogalom. Ha a láthatóvá tételkor lehet is közöttük látszatra hasonlóság, a mélyebb tartalmát tekintve, egymás mellett, egymástól függetlenül léteznek, nincs közöttük kölcsönhatás.
Ha a telepítéssel kapcsolatban kérdése, kérése van, szívesen segítek. Keressen munkanapokon, munkaidőben az
[email protected] vagy a 0627 300-272 elérhetőségek bármelyikén.
Fontos megjegyzések: A hálózatvédelemben meg kell különböztetni a kommunikációs környezet és a végpontvédelem elemeit. Most még csak az előbbinél tartunk. - A kommunikációs elemek NEM védelmi eszközök. A telepítésükkel nem válnak védetté a gépek, mindössze a rendszergazda távfelügyeleti lehetőségét teszik lehetővé. A kommunikációs környezetet három szoftver-csoport: a hálózatban egyetlen példányban létező (teszt idején egy munkaállomáson, éles helyzetben a fájlszerveren futó) F-Secure Policy Manager Server (PMS), az igénytől függően egy vagy több kliensre (alapértelmezésben: 1 munkaállomásra) feltett F-Secure Policy Manager Console (PMC) és a minden egyes végpontra, a védelmi elem mellé kötelezően telepítendő F-Secure Management Agent (FSMA) biztosítja.
- Mostanra a PMS és a PMC már él. Az FSMA vagy automatikusan (ld. D.1 illetve D.2 fejezetek) vagy kézzel (ld. D.3 fejezet) kerül ki a végpontokra. - A végpontvédelmi eszközök (táv)telepítését a következő füzet ismerteti.
B.)
Első indítás, ismerkedés a kezelő felülettel Ha még nem futna: indítsa el a Policy Manager Console szoftvert. A kezelő felületre az adminisztrátori kulcs beírása után tud belépni. Emlékeztető: Ebben a szakaszban a kulcsnak már léteznie kell (ld. FS12Prm-03 füzet 4. oldala). Tipp: A Connection mezőben ellenőrizheti a kommunikációs port értékét.
A kulcs beírása után megjelenik az indító képernyő, és betöltésre kerülnek a felügyelethez szükséges adatok.
Az F-Secure Policy Manager regisztrált vagy nem regisztrált módon használható. 1. A regisztrált módú használathoz vásárolt Policy Manager licenckód (vPML-kód) szükséges. A termék ennek érvénytartamán belül futásképes. Éles verzió esetén ezt a kódot az eNTi Szoft Kft-től kapja meg.
2. Ha próbaidőszakú használatot jelöl be, akkor 30 napja van a termék tulajdonságainak felderítésére. A határidő letelte után vagy egy megvásárolt kulccsal regisztrálhatja a terméket, vagy ha ezt nem szeretné, akkor a rendszerről el kell távolítani a szoftvereket. A jelen segédlet próbaidőszak választása mellett készült.
A folytatáshoz kattintson a
gombra.
A Policy Manager Console nyitó képernyőjén megjelenik a kezelő felület, alapértelmezés szerint Anti-virus üzemmódban.
A kezelőfelület másik, Advanced üzemmódjára a
menüben tud átváltani (az Advanced használatáról később még lesz szó).
C.)
Távtelepítő csomagok felvétele a rendszerbe Az első indításkor a rendszer még üres; sem kiküldeni való telepítő csomagok, sem az azok fogadására alkalmas végpontok nincsenek benne. Dolgozzunk Anti-virus üzemmódban; a bal szélső harmadban, a házirend szerkezet (Policy Domains) területén látható: a házirend-szerkezetben most még csak az üres Gyökér (Root) látható.
A távtelepítéshez szükséges csomagokkal is ez a helyzet: ugyan le vannak már töltve a számítógépre, de még nincsenek felvéve a rendszerbe. Emlékeztető: A letöltendő állományokról az FS12Prm-02 füzet, B.) A Client Security végpontvédelem telepítéséhez szükséges letöltések fejezet ír.
Első lépésként emeljük be a rendszerbe a távtelepítéshez szükséges csomago(ka)t. Ehhez kattintson az hivatkozásra.
Az Installation packages (Telepítő csomagok) ablakban kattintson az gombra.
Az Import installation package (Telepítő csomag beemelés) ablakban válassza ki: - abból a könyvtárból, ahova elmentette - azokat az állományokat, amiket elmentett. A beemelési műveletet az
gombbal indíthatja.
Tipp-1: Ha az ablak üres, akkor valószínűleg még nem töltötte le / nem az alapértelmezett helyre töltötte le az állományokat. Ha az ablakból, szimpla tallózással nem találja az állományokat, akkor lépjen ki a PMC-ből, keresse meg kézzel a gépén, hogy vannak-e, és ha igen: hol vannak ezek az állományok. Az eredmény függvényében értelemszerűen járjon el, majd térjen vissza a PMC-be. Tipp-2: az ablak alapértelmezés szerint a .jar, .fsfix típusú állományokat mutatja, ezért ezek a kiterjesztések a munkaterületen nem kerülnek kiírásra.
Miközben a beemelési folyamat előrehalad (visszajelzés az ablak alján), a már beemelt csomagokból az ablak bal oldalán kiválasztott tétel részleteit az ablak jobb oldali területe mutatja. Tipp: bár egy kézikönyv sem írja, de az egyértelműség kedvéért miután az összes telepítő csomagot beemelte, lépjen ki a PMC-ből, majd indítsa újra a szoftvert.
A művelet végén a rendszerünkben már van távtelepítő csomagok elkészítésére használható alap-készletünk (amiből később fogunk majd szétküldhető, felkonfigurált csomagokat létre hozni). Amit még meg kell tennünk: - a távfelügyelendő géphalmaz beemelése a rendszerbe (a biztonsági rendszer szerkezetének kialakítása) - a kommunikáció harmadik, egyben utolsó elemének: a végpontvédelmi szoftver és a központ közötti „beszélgetést” elvégző F-Secure Management Agent (FSMA) szoftvernek az eljuttatása a végpontvédelmet fogadó gépekre.
D.)
A biztonsági rendszer szerkezetének kialakítása
A központi felügyelet szerkezete automata vagy kézi úton hozható létre. - Előbbi a Windows Active Directory vagy a hálózat lekérdezésével lehetséges. Mindkettő gondoskodik a kommunikáció végpont oldali elemének, az F-Secure Management Agent-nek a telepítéséről is. - A struktúra kézi kialakításakor kézzel kell beírni a végpontok elérési adatait, és az FSMA telepítését is így kell elvégezni.
A művelet a Policy Domain területen lévő Root elemre jobb kattintáskor megjelenő helyi menüvel végezhető el.
Az segítségével vehetők át az adatok a már meglévő Windows AD szerkezetből (ld. D.1 )
Ha nincs AD a rendszerben, az tétel szolgál – a hálózat lekérdezésével – a végpontok automatikus felderítésére és a szerkezetbe beemelésére. (ld. D.2 )
A és menüsorok adják a kézi lehetőséget; a szerkezet finomítását / kézi hangolását segítik.
Figyelem: ne használja a Push install to Windows hosts... lehetőséget! Ha gond lenne az automatikával, akkor inkább a kézi módszernél leírtak szerint járjon el.
D.1 Szerkezet kialakítás Active Directory adatok felhasználásával Ha a hálózat használ Active Directory lehetőséget, akkor a PM képes abból adatokat átvenni.
Ha Önnél nincs elérhető AD, hagyja ki ezt a lépést, ugorjon a D.2 fejezethez.
Az AD adatainak átvételéhez a Policy Domain terület Root elemén kiadott jobb egérgomb kattintással kérje ki a helyi menüt, majd kattintson az sorra.
A megjelenő ablakban lehet megadni a domain szerver címét és azon a szerveren egy Windows domain admin jogosultsággal rendelkező felhasználói nevet, jelszót. Figyelem, fontos! Az ablak a Windows hálózat domain admin rendszergazdai jogosultságú fiókjának adatait kéri. Ügyeljen rá, hogy ne a Policy Manager adminisztrátori kulcsához tartozó adatokat adja meg (amivel magába a Policy Managerbe szokott a PMC indulásakor belépni), mert hibát okoz! A szerver beazonosításához megadhat DNS nevet, IP címet vagy URL-t, ldap[s]://your.server[:port] formátumban. A felhasználói név megadási formája: Domain\User. Ha kitöltötte az adatokat, a folytatáshoz kattintson a
gombra.
Adja meg az Active Directory tartományt, a beemelendő tárolókat és a fogadó policy domaint. A számítógépeket már tartalmazó tárolók vastagon szedve jelennek meg a listán.
A példa valamennyi tárolót beemeli (minden csoport neve előtt kipipált a jelölő négyzet). A házirend céltartomány a gyökér (Root). A folytatáshoz kattintson a
gombra.
Itt választható ki, hogy a megjelenő importálási szabályok közül melyik kerüljön alkalmazásra. Ezeket a szabályokat fogják használni a Policy Manager által kezelendő, az Active Directory-hoz csatlakozott gépek.
A beállításokon nem célszerű változtatni. Az indításhoz kattintson a
gombra.
A megjelenő ablak mutatja a művelet eredményét. Figyelem, fontos! Ne zárja be a varázsló ablakát, amíg a művelet le nem fut.
Az importálás befejezésekor megjelenik az látható lesz a végeredmény is.
felirat, és
Ha a művelet befejeződött, a varázsló bezárásához kattintson a gombra.
A konzolon láthatóvá válik a változás: a gyökér alatt megjelent a két új szerkezeti elem.
D.2
Házirend szerkezet kialakítása Active Directory nélkül
A hálózat meglévő elemei akkor is felolvastathatók, ha nincs a rendszerben Active Directory lehetőség. Tipp: Ha a D.1-ben írtak szerint már felvette a struktúrát, akkor nincs szükség erre a lépésre.
A Policy Domain terület Root elemén kiadott jobb egérgomb kattintással kérje ki a helyi menüt. Kattintson az sorra.
A parancs egy broadcast csomagot küld a hálózatba; a rendszer ennek segítségével állapítja meg az így elérhető struktúrát. Az felolvasás eredménye.
ablak
fülén látható a
Az NT Domains az Active Directory kevésbé fejlett alternatívája. Előfordulhat, hogy a művelet nem hoz fel minden elemet; ekkor a hiányzó tagokat kézzel lehet majd beépíteni a rendszerbe, majd kiküldeni rájuk FSMA-t.
Akár csak az AD esetén, most is el kel juttatni a központ és a végpont közötti kommunikációért felelős F-Secure Management Agent szoftvert a végpontra. Ehhez első lépésben tegyen pipát azon gépek neve elé, amit fel kíván venni a központi felügyeletbe, majd kattintson az gombra.
D.3
A struktúra kézi kialakítása Ezt a lehetőséget csak vázlatosan tekintjük át, hiszen ritkán / csak akkor van rá szükség, ha a fenti két automatikus eljárás hiányosan zárult, vagy később, amikor egy már meglévő, komplett szerkezetet akar bővíteni egy-két új géppel. A szerkezet kialakításához a Policy Domain terület Root elemén kiadott jobb egérgomb kattintással kérje ki a helyi menüt. A kattintás után írja be kézzel a kívánt értékeket.
sorra
A szerkezeten belül egy új végpont kézi megadásához használja a helyi menü
elemét.
A gépeket WINS névvel:
Az .MSI elkészítését részletesen a következő, 05ös füzet ismerteti. Most vázlatosan annyit is elég róla megjegyezni:
vagy IP címmel azonosíthatja:
A rendszer visszajelzést ad, ha nem tudja feloldani a bevitt azonosítót. A D.1 és D.2 automata struktúra-kialakító módszerrel a kommunikációért felelős FSMA is eljut a végpontokra, a kézi struktúra-kialakításkor azonban nem, ezt kézzel kell elvégezni. Ennek legegyszerűbb módja egy .MSI fájlformátumú távtelepítő állomány elkészítése és a végpontra eljuttatása.
Az F-Secure Policy Manager Console-ban beimportáljuk a .JAR telepítő csomagot, majd exportáljuk, de már a szabvány telepítő struktúrát tartalmazó .MSI formátumban. Ennek során elvégezhető lesz a távtelepítendő szoftver előzetes beállítása: megadhatjuk a telepítő kódmondatot, a kommunikációs beállításokat, stb. A távtelepítő csomagban benne lesz a végpont-védelmen kívül az FSMA kommunikációs szoftver is. A végeredményként létre jövő .MSI állományt vagy hálózatos (pl. AD Group Policy, script, stb.) vagy kézi („körbesétálós”; USB, CD, DVD) módszerrel eljutatjuk a végpontra, majd elindítjuk. Megjegyzés: az.MSI fájl Windows környezetben futó PMC esetén készíthető el, Linux környezetű konzolban azonban nem. Innentől kezdve a teszt környezetben / az éles hálózatban teljes értékű, élő biztonsági kommunikációs környezet áll majd a rendszergazda rendelkezésére.
