Gebruikershandleiding. YourSafetynet school+ 2.x. Copyright 2014 Media Security Networks BV. All rights reserved

Gebruikershandleiding YourSafetynet school+ 2.x

© Copyright 2014 Media Security Networks BV. All rights reserved.

Gebruikershandleiding – YourSafetynet school+ 2.x

Rev. 1.6 – 2014-11-11

INHOUD 1

Inleiding ............................................................................................................................................ 5 1.1 1.1.1

Management Server appliance ........................................................................................... 5

1.1.2

Filter Gateway appliance ..................................................................................................... 5

1.1.3

Endpoint Filter client ........................................................................................................... 5

1.2 2

Onderdelen.............................................................................................................................. 5

Belangrijk!................................................................................................................................ 6

YourSafetynet Management Server................................................................................................. 6 2.1

Aan de slag: de setup .............................................................................................................. 6

2.1.1

Download de appliance ....................................................................................................... 6

2.1.2

Systeemvereisten ................................................................................................................ 6

2.1.3

Netwerkvereisten ................................................................................................................ 7

2.1.4

Eerste start in Console Terminal ......................................................................................... 7

2.1.5

Updates installeren ............................................................................................................. 7

2.1.6

Setup via de Web Interface ................................................................................................. 8

2.1.7

Het systeem activeren met uw licentie ............................................................................. 10

2.2

Koppelen met Active Directory/LDAP ................................................................................... 10

2.2.1

Toevoegen van een domein .............................................................................................. 11

2.2.2

De Basis DN........................................................................................................................ 12

2.2.3

Domeinkoppeling voor Filter Gateways ............................................................................ 12

2.3

Profielen ................................................................................................................................ 12

2.3.1

Het Standaard Profiel ........................................................................................................ 12

2.3.2

Nieuw profiel aanmaken ................................................................................................... 13

2.3.3

Automatische toewijzing van een profiel .......................................................................... 14

2.3.4

Eigen black- en whitelists .................................................................................................. 15

2.3.5

Logs bijhouden .................................................................................................................. 16

2


2.4 2.4.1 3

Instellingen voor een gebruiker......................................................................................... 17

Inleiding ................................................................................................................................. 19

3.1.1

Gateway Modes................................................................................................................. 19

3.1.2

Captive Portal .................................................................................................................... 21

3.1.3

Locatie in het netwerk ....................................................................................................... 22

3.1.4

Meerdere Filter Gateways gebruiken................................................................................ 22

3.2

Aan de slag: de setup ............................................................................................................ 23

3.2.1

Download de appliance ..................................................................................................... 23

3.2.2

Systeemvereisten .............................................................................................................. 23

3.2.3

Eerste start in Console Terminal ....................................................................................... 23

3.2.4

Updates installeren ........................................................................................................... 24

3.2.5

Setup via de Web Interface ............................................................................................... 24

3.2.6

Inloggen in ‘System Control’.............................................................................................. 26

3.2.7

Gekoppeld domein ............................................................................................................ 27

Endpoint Client............................................................................................................................... 28 4.1

Aan de slag: de setup ............................................................................................................ 28

4.1.1

Download de installer........................................................................................................ 28

4.1.2

Systeemvereisten .............................................................................................................. 28

4.1.3

Hoe te installeren .............................................................................................................. 29

4.2

Client verwijderen ................................................................................................................. 32

4.2.1

Verwijderen via configuratiescherm ................................................................................. 32

4.2.2

Verwijderen via command-line (msiexec) ......................................................................... 32

4.3 4.3.1 5

Filter Gebruikers .................................................................................................................... 16

YourSafetynet Filter Gateway ........................................................................................................ 19 3.1

4

Rev. 1.6 – 2014-11-11

Instellingen in Windows Registry .......................................................................................... 33 External URL Detection Cycles........................................................................................... 33

Console Terminal ........................................................................................................................... 35

3


5.1 5.1.1 5.2

Rev. 1.6 – 2014-11-11

Remote Console via SSH ........................................................................................................ 35 Inloggen via SSH met PuTTY .............................................................................................. 35 Terminal Console Commando’s............................................................................................. 35

5.2.1

Systeem stoppen of opnieuw opstarten ........................................................................... 35

5.2.2

Systeem updates uitvoeren ............................................................................................... 36

4


Rev. 1.6 – 2014-11-11

1 Inleiding Dit is een handleiding voor versie 2.X van YourSafetynet. Deze instructies zijn alleen van toepassing op versie 2.0 en hoger. Voor de 1.X versies van YourSafetynet is er een aparte handleiding.

1.1 Onderdelen YourSafetynet 2.X bestaat uit drie onderdelen: 1.1.1 Management Server appliance Dit is het hoofdonderdeel van YourSafetynet. Deze server in de vorm van een virtual appliance (OVF format) biedt een web interface voor het beheer van vrijwel alle instellingen binnen YourSafetynet. Het is het centrale punt voor alle instellingen, logs, statistieken en rapporten. Met de YourSafetynet Management server kunt u instellingen en gegevens van meerdere organisaties op één centraal punt beheren. Beheer wordt gedaan door managers. Er kunnen een onbeperkt aantal verschillende managers aangemaakt (eventueel met afwijkende rechten). De YourSafetynet Management server vereist een geldige YourSafetynet school+ licentie.

1.1.2 Filter Gateway appliance Dit is een intermediate gateway in de vorm van een virtual appliance. Dit onderdeel biedt de mogelijkheid om computers, laptops, mobiele devices te filteren zonder dat daar software voor geïnstalleerd hoeft te worden. De Filter Gateway is een soort firewall, maar dan binnen uw netwerk. Het ‘vangt’ al het binnenkomende netwerkverkeer af en filtert dit volgens de ingestelde beperkingen. De gateway gedraagt zich als een zogenaamde captive portal. De eerste keer dat een gebruiker verbinding probeert te maken zal de gateway de gebruiker doorsturen naar een inlogformulier. Hier moet de gebruiker inloggen (met zijn Active Directory of LDAP credentials) en moet dan eventueel nog akkoord gaan met het ICT gebruiksreglement dat u heeft ingesteld. Daarna kan de gebruiker verder surfen (binnen de beperkingen van de ingestelde filters). Een Filter Gateway appliance zal instellingen en logs uitwisselen met de YourSafetynet Management server. U kunt een onbeperkt aantal Filter Gateway appliances gebruiken in combinatie met een Management Server.

1.1.3 Endpoint Filter client Dit is een software pakket voor Windows machines en terminal servers (te installeren via een msi pakket). Dit pakket installeert zichzelf als een lokaal filter op de computer. Alle filtering vindt lokaal plaats op de computer. Naast een internetfilter heeft de endpoint client nog extra filter mogelijkheden op het gebied van software (reguleren van gebruik van software). Daarnaast biedt het een ‘alarm knop’ waarmee de gebruiker direct een screenshot kan maken. Deze wordt doorgestuurd naar de Management Server

5


Rev. 1.6 – 2014-11-11

en is daar door de managers te bekijken. Deze alarmknop is vooral handig bij technische problemen of als er sprake is van pestgedrag. De Endpoint Client zal instellingen en logs uitwisselen met de YourSafetynet Management server. U kunt een onbeperkt aantal Endpoint clients gebruiken in combinatie met een Management Server.

1.2 Belangrijk! Met YourSafetynet kan voor uw organisatie een specifiek ICT beleid worden afgestemd op het Master niveau (bijvoorbeeld de overkoepelende stichting), op Organisatie niveau (bijvoorbeeld één school) of per profiel/gebruikersgroep (bijvoorbeeld klassen of afdelingen van een school). Het is belangrijk dat het uit te voeren ICT beleid wordt geaccordeerd door directie of beleidsafdelingen vóórdat u gebruikers gaat filteren of monitoren. Volg onderstaande hoofdstappen voor de complete installatie: 1. Installeer de Management Server appliance 2. Stel in overleg met de directie of beleidsafdelingen het ICT beleid op voor de verschillende onderdelen binnen de school. Hiervoor kunnen de beschikbare (voorbeeld)documenten in de Management Server worden gebruikt. Laat het uit te voeren ICT beleid accorderen door de directie of beleidsafdelingen. 3. Installeer daarna, pas na het accorderen van het ICT beleid, de filter software: de Endpoint Clients en/of Filter Gateway appliances. 4. Zorg dat de juiste ICT gebruiksreglementen zijn aangemaakt in de Management Server en zorg dat deze gekoppeld zijn aan de Organisaties en Profielen waar ze voor gelden.

2 YourSafetynet Management Server 2.1 Aan de slag: de setup 2.1.1 Download de appliance Download de YourSafetynet Management Server appliance via: http://www.yoursafetynet.com/nl/school/download

2.1.2 Systeemvereisten De virtual appliance wordt aangeboden in OVF format (met VMDK disk). Importeer deze OVF image in uw virtualisatie platform, zoals Microsoft ® Hyper-V of VMWare® vSphere.

6


Rev. 1.6 – 2014-11-11

Raadpleeg de documentatie van uw virtualisatie platform over het aanmaken van een virtual machine op basis van een OVF image. De volgende virtuele hardware eigenschappen worden aanbevolen:    

Minimaal 2 CPU cores Minimaal 2 GB RAM Tot 40 GB HD 1 netwerkverbinding (met internettoegang)

N.B. Als u profielen automatisch wilt laten koppelen aan gebruikers op basis van AD/LDAP, dan is er een verbinding nodig met een domaincontroller (Active Directory/LDAP).

2.1.3 Netwerkvereisten De Management Server moet toegankelijk zijn via HTTPS (TCP poort 443). HTTPS wordt gebruikt voor toegang tot de web interface voor de managers (via webbrowser). De endpoint clients en filter gateways communiceren met de management server over dezelfde HTTPS poort. De ‘fysieke’ locatie van de management server is niet van belang, zolang deze maar via een (publiek) IP-adres te bereiken is op de HTTPS poort 443. De virtual appliance hoeft dus niet in het te filteren netwerk te staan en zou eventueel in een extern data center gehost kunnen worden. De management server moet zelf op het internet kunnen. Dit is o.a. nodig voor DNS lookups, NTP tijdsynchronisatie, licentie controle en updates. 2.1.4 Eerste start in Console Terminal Start de virtual appliance en log in op de console terminal met de console terminal admin account: Gebruikersnaam: Wachtwoord:

ysnadmin changeme14127

Het systeem zal direct vragen om een nieuw wachtwoord in te stellen. Kies een veilig (niet te gemakkelijk te raden) wachtwoord en onthoud dit goed; dit wachtwoord is niet op een later moment te achterhalen als u het kwijtraakt. N.B. U zult deze logingegevens alleen in uitzonderlijke gevallen nodig hebben; de meeste instellingen en functies zult u straks eenvoudig kunnen beheren via de web interface met uw eigen manager account login. 2.1.5 Updates installeren Regelmatig komen er updates uit van pakketten en onderdelen van de appliance. Het gaat hier niet alleen om de pakketten van YourSafetynet zelf, maar ook pakketten van derden. Om er zeker van te zijn dat u de meest recente versies heeft (met alle bug- en securityfixes), kunt u het beste nu eerst updates installeren.

7


Rev. 1.6 – 2014-11-11



Log in op de console terminal (als u dat al niet was)



Type het volgende command (en daarna ENTER): sudo apt-get update Het systeem zal diverse lijsten met mogelijke updates binnenhalen (dit kan even duren).



Type vervolgens de command (met daarna ENTER): sudo start ysn-system-upgrade Het systeem zal alle updates nu downloaden en installeren. Dit kan vaak meer dan 5 minuten duren. Aan het einde zal het systeem automatisch opnieuw opgestart worden.

N.B. Op een later moment kunt u ook via de web interface updates laten uitvoeren.

2.1.6 Setup via de Web Interface Nu de appliance gestart is kunt u via de web interface de setup starten. BELANGRIJK: Installeer altijd eerst eventueel beschikbare updates (zie Updates installeren). 2.1.6.1 Adres van Web Interface Als u inlogt op de Console Terminal met de console terminal admin account dan zal het systeem ook vermelden wat het webadres is van de web interface. Het kan zijn dat de eerste keer dat u inlogt er nog geen IP-adres zichtbaar is. Log dan nog een keer in.

N.B. De netwerkconfiguratie en het IP-adres zijn verkregen via DHCP. U kunt op een later moment via de web interface een alternatieve netwerkconfiguratie instellen.

8


Rev. 1.6 – 2014-11-11

2.1.6.2 Setup starten Ga met de browser naar de ‘/setup’ op het aangegeven adres en volg de stappen: https:///setup N.B. Uw browser zal melding maken van een ongeldig SSL certificaat (omdat het een self-signed certificaat is). Laat de browser een uitzondering toevoegen voor dit adres.

Tijdens de setup zullen diverse basisgegevens ingesteld worden. Deze kunt u op een later moment altijd nog wijzigen. Het gaat hier o.a. om: 





Networkconfiguratie Hier kunt u zaken als de host name, IP adres, de default gateway en DNS servers invoeren. Standaard wordt dit verkregen via DHCP. Master Context Dit is het overkoepelende niveau van instellingen; hieronder komen uw organisaties te hangen. Organisatie Binnen de Master Context zijn er meerdere organisaties te beheren (elk met eigen gebruikers, profielen en filterinstellingen). Standaard moet er minimaal één organisatie zijn 9




Rev. 1.6 – 2014-11-11

binnen uw Master Context. Die wordt hier aangemaakt. Op een later moment kunt u nog meer organisaties toevoegen. Manager De web interface is alleen toegankelijk voor Managers. Hier maakt u een Master Manager account aan (uw eigen account). Deze heeft alle rechten op Master Context niveau en mag dus alles wijzigen. U kunt op een later moment nog meer managers toevoegen (eventueel op een lager niveau, zoals een Organisatie Manager).

Na de setup zult u direct kunnen inloggen met uw zojuist aangemaakte Master Manager account. N.B. Tijdens de setup zal het systeem mogelijk een aantal keer opnieuw opstarten.

2.1.7 Het systeem activeren met uw licentie Als de setup is afgerond wordt u direct doorgestuurd naar de management interface en het onderdeel licentie (op een later moment altijd te bereiken via Master -> Licentie). Hier kunt u het systeem activeren. De licentiesleutel Om de Management Server te activeren heeft u een geldige licentiesleutel nodig voor YourSafetynet school+. Deze licentiesleutel is altijd gekoppeld aan een YourSafetynet.com account (een email adres en wachtwoord). Heeft u van uw reseller een nieuwe licentiesleutel ontvangen die nog niet gekoppeld is aan een YourSafetynet.com account, ga dan naar: www.yoursafetynet.com/register-license-school Hier kunt u de licentie koppelen aan een YourSafetynet.com account. Dit kan een geheel nieuwe YourSafetynet.com account zijn, maar ook een bestaande (hiervoor moet u inloggen). Activeren Tijdens de activatie zal er gevraagd worden naar uw licentie en YourSafetynet.com accountgegevens. Tevens kunt u een installatie referentie opgeven. Deze referentie kunt u later ook terugvinden op YourSafetynet.com (onder Mijn Account -> Licenties). Dit is vooral handig als u meerdere licenties heeft, of meerdere installaties op één licentie.

2.2 Koppelen met Active Directory/LDAP In de meeste gevallen is het aan te raden om uw organisatie binnen de YourSafetynet Management Server te koppelen aan een Active Directory domein (of een OpenLDAP directory). Met een gekoppeld domein is het mogelijk om automatisch een profiel aan gebruikers toe te laten wijzen op basis van de OU of Groepslidmaatschap.

10


Rev. 1.6 – 2014-11-11

Als u gebruik wilt maken van een Filter Gateway, dan is een koppeling met een domein ook vereist. Gebruikers zullen via de captive portal van de Filter Gateway moeten inloggen met hun Active Directory of LDAP account voordat ze toegang krijgen tot het internet. 2.2.1 Toevoegen van een domein Ga naar Organisatie -> Domein & Netwerk en klik op Nieuw op een nieuw domein toe te voegen aan uw organisatie.

Voer alle verbindingsgegevens in en geef een gebruikersnaam met wachtwoord op zodat de management server verbinding kan maken met de domain controller. De gebruiker die u hier invoert wordt alleen gebruikt door de management server zelf (alleen leesrechten nodig op de gehele boomstructuur van uw domein). De management server zal de OU- en groepsstructuur van uw domein op de achtergrond regelmatig opnieuw synchroniseren. Wijzigingen in uw domeinstructuur zullen doorgaans binnen 10 minuten ook op de management server verwerkt zijn. Let op: Zorg dat de distinguished name onder Basis DN correct is (zie volgende sectie).

11


Rev. 1.6 – 2014-11-11

2.2.2 De Basis DN Voor de juiste toewijzing van profielen en inloggen via de captive portal van de Filter Gateway is het van belang dat de gebruikers van uw organisatie binnen uw domein te vinden zijn binnen de ingestelde Basis DN (of in een sub map daarvan). Voorbeeld 1 U heeft een Active Directory domein (mydomain.local) met een aparte OU voor uw organisatie (bijvoorbeeld ou=MyOrg,dc=mydomain,dc=local). U heeft alle gebruikers binnen de standaard map ‘Users’ (bijvoorbeeld cn=Users, dc=mydomain, dc=local).  U stelt in dat geval de Basis DN in op de root DN: dc=mydomain, dc=local. Voorbeeld 2 U heeft een Active Directory domein (mydomain.local) met een aparte OU voor uw organisatie (bijvoorbeeld ou=MyOrg,dc=mydomain,dc=local). U heeft alle gebruikers ook binnen deze OU staan, eventueel verdeeld over een aantal sub mappen (bijvoorbeeld ou=MyUsersA,ou=MyOrg, dc=mydomain, dc=local en ou=MyUsersB,ou=MyOrg, dc=mydomain, dc=local).  U stelt in dat geval de Basis DN in op de DN: ou=MyOrg,dc=mydomain, dc=local.

2.2.3 Domeinkoppeling voor Filter Gateways Als u gebruik gaat maken van een Filter Gateway, dan moet daar het juiste domein voor ingesteld worden. Onder Organisatie -> Domein & Netwerk -> Filter Gateway kunt u instellen welk domein (welke domain controller) gebruikt moet worden door de Filter Gateway appliances. Het loginscherm dat door de captive portal van de Filter Gateway wordt getoond aan gebruikers zal deze domain controller gebruiken om de credentials te controleren. Tevens wordt dit gebruikt om voor nieuwe gebruikers direct op basis van hun OU of Group lidmaatschap een profiel toe te wijzen.

2.3 Profielen YourSafetynet werkt voor het maken van filterinstellingen op basis van profielen. Binnen een profiel wordt ingesteld of er toegang is tot bepaalde filter categorieën en eventueel wanneer of hoe lang die toegang mogelijk is. Elke filter gebruiker heeft één profiel (wordt dan gefilterd volgens de instellingen van dat profiel) of helemaal geen profiel (wordt dan niet gefilterd). Doorgaans is het aan te raden een profiel aan te maken voor afdelingen of groepen binnen uw organisatie die u afzonderlijk wilt filteren (elk met eigen instellingen). Dit kan bijvoorbeeld overeenkomen met bepaalde OU’s binnen uw Active Directory, maar dat is niet noodzakelijk. 2.3.1 Het Standaard Profiel Als u naar Profielen gaat zie u dat er al één profiel binnen uw organisatie is gedefinieerd met de naam (Standaard Profiel). Dit is het profiel dat standaard wordt toegewezen aan nieuwe (nog onbekende)

12


Rev. 1.6 – 2014-11-11

filter gebruikers. Dit is tevens het profiel dat wordt toegewezen aan gebruikers die op basis van hun OU of Group lidmaatschap niet onder een ander profiel vallen (bij koppeling met Active Directory of LDAP). Het is aan te raden dit profiel in te stellen volgens een aantal basisfilters, zodat er altijd een algemeen filterbeleid geldt. Let op: het Standaard Profiel staat in eerste instantie niet ingeschakeld. Gebruikers met die profiel worden dan niet beveiligd. Klik op de knop met het ‘slotje’ om het profiel in te schakelen (zie afbeelding).

2.3.2 Nieuw profiel aanmaken Het is aan te raden om naast het Standaard Profiel nog één of meer profielen aan te maken binnen uw organisatie. Ga naar Profielen -> Nieuw Profiel en voer een naam en eventueel een omschrijving van het profiel in. Deze omschrijving is optioneel en alleen zichtbaar voor u en andere managers binnen de organisatie.

13


Rev. 1.6 – 2014-11-11

Nadat u het profiel heeft aangemaakt (via de knop Wijzigingen Opslaan), krijgt u de mogelijkheid om de profieltoewijzing in te stellen. Zie volgende sectie voor meer informatie over profieltoewijzing.

2.3.3 Automatische toewijzing van een profiel Als u een profiel heeft aangemaakt of gekozen heeft voor het wijzigen van een profiel kunt ook de profieltoewijzing instellen. Hier heeft u, als u eerder een domein gekoppeld heeft aan de organisatie, de keuze uit twee mogelijkheden: Geen automatische toewijzing Het profiel zal nooit automatisch aan een gebruiker worden toegewezen. Alleen als u zelf handmatig dit profiel aan een gebruiker toewijst zal de gebruiker gefilterd worden volgens de instellingen van het profiel. Automatische toewijzing via het domein U kunt het profiel laten koppelen met één of meer OU’s of groepen binnen uw Active Directory of LDAP domein. Het profiel zal automatisch toegewezen worden aan alle gebruikers die in de gekoppelde OU’s zitten of lid zijn van de gekoppelde groepen. Bij automatische toewijzing via het domein zal de management server op de achtergrond regelmatig contact maken met de domain controller om gegevens over het OU en Group lidmaatschap op te vragen voor de gebruikers. Als een gebruiker dus binnen uw active directory veranderd van Group of OU zal deze ook automatisch een ander profiel krijgen binnen YourSafetynet als dat nodig is.

Kiest u voor Automatische toewijzing via het domein dan krijgt u een boomstructuur te zien van de huidige OU’s en groepen binnen uw domein. Vink hier de OU’s en/of groepen aan die u wilt koppelen met dit profiel (zie afbeelding). Klik op ‘Wijzigingen opslaan’ om de instelling actief te maken. N.B. Automatische toewijzing vindt dus plaats in een regelmatig draaiend achtergrondproces. Wijzigingen in de gekoppelde OU’s of Groups zullen dus niet direct effect hebben, maar kunnen ca. 5 tot 10 minuten duren. N.B. Nieuw aangemaakte profielen staan (net als het Standaard Profiel) in eerste instantie nog uitgeschakeld (icoontje van ‘open slot’). De filtering wordt pas actief als u het profiel ook inschakelt.

14


Rev. 1.6 – 2014-11-11

2.3.4 Eigen black- en whitelists Standaard bevat YourSafetynet al zeer uitgebreide black- en whitelists voor de verschillende filter categorieën. Het kan zijn dat u echter nog extra specifieke websites zou willen filteren of juist altijd willen toestaan. Hiervoor heeft elk profiel eigen black- en whitelist instellingsmogelijkheden. Op de pagina van het profiel (via Profielen) kunt u onder Filters -> Web filters eigen black- of whitelist instellingen maken. U kunt de ingebouwde filtercategorieën uitbreiden door zelf websites (domeinnamen) toe te voegen aan een categorie. Dit is bijvoorbeeld handig als een bepaalde website volgens u als ‘Gokken’ gezien zou moeten worden, dan kunt u deze specifiek onder de categorie ‘Gokken’ laten identificeren. Websites die u zelf toevoegt overschrijven altijd eventuele fabrieksinstellingen voor die website. Websites die u toevoegt aan de Blacklist categorie zullen altijd worden geblokkeerd, ongeacht de overige profielinstellingen. Websites die u toevoegt aan de Whitelist categorie zullen altijd worden toegestaan, ongeacht de overige profielinstellingen.

15


Rev. 1.6 – 2014-11-11

2.3.5 Logs bijhouden Op de pagina van het profiel (via Profielen) kunt u onder Opties -> Logs instellen of er logs moeten worden bijgehouden. Standaard wordt er niets gelogd, u zult dit specifiek moeten aanvinken voor elk profiel waar u voor wilt loggen. Let op: het bewaren en verwerken van gegevens over internet- en computergebruik zijn meestal onderhevig aan privacywetgeving. Raadpleeg de speciale supportpagina’s (bereikbaar via het vraagteken rechts boven in de navigatiebalk) voor meer informatie over de juiste procedures en richtlijnen met betrekking tot het registreren en verwerken van deze gegevens.

2.4 Filter Gebruikers Onder Gebruikers vindt u een lijst met alle gebruikers die door YourSafetynet zijn ‘gezien’ binnen uw organisatie. Dit betreft gebruikers die ooit ingelogd hebben op de captive portal van een Filter Gateway of op een Windows machine waarde Endpoint Client op geïnstalleerd staat.

16


Rev. 1.6 – 2014-11-11

Deze lijst bevat dus bijvoorbeeld niet alle gebruikers binnen uw Active Directory structuur, maar alleen de gebruikers die echt van belang zijn binnen uw Organisatie. In eerste instantie zal deze lijst dan ook leeg zijn voor uw Organisatie. Pas nadat er gebruikers ingelogd hebben, zullen er steeds meer gebruikers verschijnen in deze lijst. Als gebruikers langer dan 2 maanden inactief zijn worden ze weer automatisch verwijderd uit de lijst. U kunt eventueel ook handmatig een gebruiker verwijderen uit de lijst. N.B. Als een verwijderde gebruiker daarna weer ergens inlogt, zal deze automatisch weer aangemaakt worden (en al dan niet gefilterd worden op basis van het gekoppelde profiel).

2.4.1 Instellingen voor een gebruiker U kunt eventueel handmatig instellingen voor een gebruiker aanpassen. Zoek hiervoor onder Gebruikers naar de betreffende gebruiker en klik op de naam of op de ‘Wijzig’ knop.

Profiel toewijzing Standaard zal een gebruiker een profiel automatisch toegewezen krijgen op basis van zijn OU of Group lidmaatschap. Als er op basis van die gegevens geen profiel gevonden werd, krijgt de gebruiker het Standaard Profiel toegewezen. U kunt voor een gebruiker de toewijzing op Handmatig zetten. In dat geval kiest u het profiel dat van toepassing moet zijn voor de gebruiker. Eventueel kunt u er ook voor kiezen om specifiek ‘Geen’ profiel in te stellen. In dat geval zal de gebruiker geheel niet gefilterd worden. N.B. Een gebruiker wordt pas echt gefilterd als het profiel dat hij toegewezen heeft gekregen ook ingeschakeld (beveiligd) staat onder Profielen (knop ‘slotje’). Overeenkomst Akkoord Onder deze instelling kunt u handmatig het eerder gegeven akkoord op het ICT gebruiksreglement

17


Rev. 1.6 – 2014-11-11

van de organisatie wijzigen. De gebruiker zal dan bij de eerstvolgende login opnieuw akkoord moeten gaan met het geldende ICT reglement. N.B. Dit is alleen van toepassing als u voor uw organisatie ook een ICT reglement heeft ingesteld. Zie hiervoor onder Organisatie -> Gebruiksreglement.

18


Rev. 1.6 – 2014-11-11

3 YourSafetynet Filter Gateway 3.1 Inleiding De Filter Gateway kan op twee manieren in uw netwerk geplaatst worden. De ‘Simple Router Mode’ is voor de meeste netwerken de beste keus.

N.B. De Filter Gateway is geen firewall of router tussen uw netwerk en het internet, maar een intermediate gateway tussen de te filteren devices en uw eigen netwerk. Er zal dus altijd ook nog een reguliere firewall (of UTM) in uw netwerk aanwezig moeten zijn.

3.1.1

Gateway Modes

3.1.1.1 Simple Router Mode In deze variant heeft de gateway één netwerk interface (met 1 lokaal IP) en het verkeer dat binnenkomt, wordt verder doorgestuurd indien nodig. Dit is een 'out-of-band' oplossing waarbij de gateway 'naast' de andere devices op je netwerk staat (op de (virtuele) switch bijvoorbeeld). Alleen het verkeer dat je er heen stuurt wordt gefilterd (niet AL het lokale netwerkverkeer hoeft er doorheen). Default Gateway De te filteren devices moeten in dit geval hun internet verkeer zelf doorsturen naar de gateway. Dat kan bijvoorbeeld door het IP adres van de Filter Gateway als default gateway in te stellen (bijvoorbeeld in de DHCP setting). De YSN Filter Gateway zal op zijn beurt het verkeer weer doorsturen naar de ‘echte’ default gateway. Zie Figuur 1.

Figuur 1: Simple Router Mode

19


Rev. 1.6 – 2014-11-11

Policy Based Routing (PBR) Beschikt u over een geavanceerde router of switch waarmee u Policy Based Routing kunt uitvoeren, dan kunt u op die manier zorgen dat het HTTP(S) verkeer bij de YSN Filter Gateway terecht komt. Het is dan niet nodig om de YSN Filter Gateway als default gateway in te stellen. Alle TCP pakketten voor poort 80/443 moeten dan naar de YSN Filter Gateway gestuurd worden. Zie ook Figuur 2.

Figuur 2: Simple Router Mode (PBR)

3.1.1.2 Inline Bridge Mode In deze variant wordt de Filter Gateway als transparante bridge in uw netwerk geplaatst. De clients die gefilterd moeten worden zitten aan de 'downstream' kant en de 'rest' van uw netwerk zit aan de 'upstream' kant. Zie Figuur 3.

20


Rev. 1.6 – 2014-11-11

Figuur 3: Bridge Mode

De filter gateway heeft in de Bridge Mode twee netwerk interfaces (samen op één IP adres): 1. De upstream netwerkverbinding (eth0) Dit is de eerste netwerkverbinding van de filter gateway en wordt gebruikt als toegang tot de rest van uw netwerk en het internet. 2. De downstream netwerkverbinding (eth1) Dit is de tweede netwerkverbinding van de filter gateway en wordt gebruikt als verbinding met de te filteren devices. De gateway wordt in-line geplaatst tussen uw eigen netwerk en een netwerk van te filteren devices. De gateway zal al het verkeer tussen de twee netwerkverbindingen als een bridge met elkaar verbinden. Al het reguliere netwerkverkeer wordt over-en-weer gestuurd. De devices achter de downstream verbinding zullen dus ook gewoon hun DHCP en DNS aanvragen kunnen versturen alsof ze direct in het normale netwerk zouden zitten. Ook koppelingen met uw domain controller of aanvragen voor intranet websites zullen altijd doorgestuurd worden. De aanvragen die de Filter Gateway in Bridge Mode doet 'lijken' van het originele IP adres van de downstream client af te komen (die worden door de YSN Filter Gateway 'spoofed'). Op die manier is deze variant dus 'echt' transparant en merkt zowel de upstream als de downstream kant niet dat er gefilterd wordt.

3.1.2 Captive Portal De gateway gedraagt zich als een Captive Portal: de gebruikers zullen doorgestuurd worden naar een loginpagina waar ze moeten inloggen met hun Active Directory (of LDAP) accountgegevens. Daarna zullen ze eventueel eerst een ICT reglement moeten accorderen. Daarna krijgen ze toegang tot de opgevraagde website.

21


Rev. 1.6 – 2014-11-11

De inlogsessies zijn gekoppeld aan het IP- of MAC adres van de device van de gebruiker. Is de gebruiker langer dan bepaalde tijd inactief (geen verbindingen), dan wordt de gebruiker automatisch uitgelogd (idle session timeout). Bij een nieuwe aanvraag moet de gebruiker dan weer opnieuw inloggen.

3.1.3 Locatie in het netwerk De locatie van de YSN Filter Gateway is vooral van belang omdat inlogsessies van gebruikers gekoppeld zijn aan een IP- of MAC-adres. De individuele devices moeten dus voor gateway ook allemaal apart ‘zichtbaar’ zijn met een eigen IP- of MAC-adres. Dit betekent dus dat de filter gateway ‘fysiek’ binnen uw lokale netwerk moet staan of bijvoorbeeld in een datacenter dat via een VPN verbonden is met uw lokale netwerk (zodat de gateway in het datacenter nog steeds de unieke IP adressen van de te filteren devices ‘ziet’). Het is echter in verband met performance meestal aan te raden om de filter gateway ‘zo dicht mogelijk’ bij de te filteren devices te plaatsen. Tevens is het bij grotere netwerken vaak nodig meerdere filter gateways te gebruiken (zie volgende sectie). NB: Internetverkeer van de te filteren devices verloopt via de Filter Gateway. Als u de Filter Gateway in een datacenter (of andere externe locatie) heeft staan, dan zal het internetverkeer dus ook mogelijk allemaal via het datacenter verlopen. Dit kan extra vertraging of kosten met zich mee brengen! NB: De Filter Gateway gebruikt voor het inloggen een verbinding met uw LDAP/Active Directory domain controller. De locatie van de gateway binnen het netwerk moet dus ook zodanig zijn dat deze verbinding kan maken met de domain controller. De Filter Gateway hoeft niet het domein niet de ‘joinen’, maar moet wel verbinding kunnen maken via TCP/LDAP (poort instelbaar, eventueel met LDAP+TLS).

3.1.4 Meerdere Filter Gateways gebruiken U kunt een onbeperkt aantal Filter Gateways toepassen in uw netwerk. Met één filter gateway kunt u doorgaans 100 tot 250 users/devices filteren (meer is mogelijk als u meer virtuele hardware resources toewijst). Als niet alle gebruikers gefilterd worden, kunnen er meer gebruikers tegelijkertijd afgehandeld worden. Gebruikt u load balancing (bijvoorbeeld via load balancing in uw Policy Based Router die het verkeer over de verschillende YSN Filter Gateways verdeelt), houd u er dan rekening mee dat inlogsessies altijd gekoppeld zijn aan één Filter Gateway. De load balancing moet dus op basis van een ‘Source IP hash’ gebeuren, zodat aanvragen van een gebruiker altijd bij dezelfde gateway terecht komen. Als dit niet gebeurt en een aanvraag van de gebruiker komt bij een andere gateway terecht, dan zal deze gebruiker weer opnieuw moeten inloggen.

22


Rev. 1.6 – 2014-11-11

3.2 Aan de slag: de setup 3.2.1 Download de appliance Download de YourSafetynet Filter Gateway appliance via: http://www.yoursafetynet.com/nl/school/download

3.2.2 Systeemvereisten De virtual appliance wordt aangeboden in OVF format met VMDK disk of als VHD disk. Importeer de image in uw virtualisatie platform, zoals Microsoft ® Hyper-V of VMWare® vSphere. Raadpleeg de documentatie van uw virtualisatie platform over het aanmaken van een virtual machine op basis van een OVF image. De volgende virtuele hardware eigenschappen worden aanbevolen:     

Minimaal 4 CPU cores Minimaal 4 GB RAM Tot 40 GB HD 1 netwerkverbinding (Simple Router Mode) 2 netwerkverbindingen (Bridge Mode)

NB: Gebruikt u de Bridge Mode op Hyper-V, zorg dan dat Enable Spoofing of MAC addresses ingeschakeld is voor de VM voor beide netwerkverbindingen! NB: Omdat gebruikers moeten inloggen op de Filter Gateway voor ze internettoegang krijgen, is er een verbinding nodig met een domaincontroller (Active Directory/LDAP).

3.2.3 Eerste start in Console Terminal Start de virtual appliance en log in op de console terminal met de console terminal admin account: Gebruikersnaam: Wachtwoord:

ysnadmin changeme14127

Het systeem zal direct vragen om een nieuw wachtwoord in te stellen. Kies een veilig (niet te gemakkelijk te raden) wachtwoord en onthoud dit goed; dit wachtwoord is niet op een later moment te achterhalen als u het kwijtraakt. N.B. U zult deze logingegevens alleen in uitzonderlijke gevallen nodig hebben; de meeste instellingen en functies zult u straks eenvoudig kunnen beheren via de web interface met uw eigen manager account login.

23


Rev. 1.6 – 2014-11-11

3.2.4 Updates installeren Regelmatig komen er updates uit van pakketten en onderdelen van de appliance. Het gaat hier niet alleen om de pakketten van YourSafetynet zelf, maar ook pakketten van derden. Om er zeker van te zijn dat u de meest recente versies heeft (met alle bug- en securityfixes), kunt u het beste nu eerst updates installeren. 

Log in op de console terminal (als u dat al niet was)



Type het volgende command (en daarna ENTER): sudo apt-get update Het systeem zal diverse lijsten met mogelijke updates binnenhalen (dit kan even duren).



Type vervolgens de command (met daarna ENTER): sudo start ysn-system-upgrade Het systeem zal alle updates nu downloaden en installeren. Dit kan vaak meer dan 5 minuten duren. Aan het einde zal het systeem automatisch opnieuw opgestart worden.

N.B. Op een later moment kunt u ook via de web interface updates laten uitvoeren.

3.2.5 Setup via de Web Interface Nu de appliance gestart is kunt u via de web interface de setup starten. BELANGRIJK: Installeer altijd direct na de setup eventueel beschikbare updates (zie Updates installeren). 3.2.5.1 Adres van Web Interface Als u inlogt op de Console Terminal met de console terminal admin account dan zal het systeem ook vermelden wat het webadres is van de web interface. Het kan zijn dat de eerste keer dat u inlogt er nog geen IP-adres zichtbaar is. Log dan nog een keer in.

24


Rev. 1.6 – 2014-11-11

N.B. De netwerkconfiguratie en het IP-adres zijn verkregen via DHCP. U kunt op een later moment via de web interface een alternatieve netwerkconfiguratie instellen.

3.2.5.2 Setup starten Ga met de browser naar de ‘/setup’ op het aangegeven adres en volg de stappen: https:///setup N.B. Uw browser zal melding maken van een ongeldig SSL certificaat (omdat het een self-signed certificaat is). Laat de browser een uitzondering toevoegen voor dit adres.

25


Rev. 1.6 – 2014-11-11

Tijdens de setup zullen diverse basisgegevens ingesteld worden. Deze kunt u op een later moment altijd nog wijzigen. Het gaat hier o.a. om: 



Networkconfiguratie Hier kunt u zaken als de Gateway Mode, de host name, het IP adres, de default gateway en DNS servers invoeren. Standaard wordt dit verkregen via DHCP. Server Link Hier koppelt u de Gateway appliance met een Management Server. U heeft hiervoor het publieke adres van de Management Server nodig en een API Keyset. De API Keyset kunt u in de Management Server vinden onder Organisatie -> Filter Nodes -> API Keys.

N.B. Tijdens de setup zal het systeem mogelijk een aantal keer opnieuw opstarten. 3.2.6 Inloggen in ‘System Control’ Als de setup afgerond is kunt u inloggen op de System Control via de web interface. Hier moet u inloggen met uw Manager account (dezelfde als die u gebruikt voor de Management Server): https:///system

26


Rev. 1.6 – 2014-11-11

Tijdens de setup heeft de gateway ook alle Manager accounts van de organisatie gesynchroniseerd. Alle managers kunnen dus na de setup inloggen op de web interface van de gateway. Deze synchronisatie zal regelmatig herhaald worden, dus wijzigingen in Managers voor uw organisatie gelden ook voor het ‘System Control’ gedeelte van de gateway.

3.2.7 Gekoppeld domein Voor de juiste werking is het van belang dat u op de Management Server onder Organisatie -> Domein & Netwerk -> Filter Gateway een correct domein is ingesteld. Als dit nog niet correct is ingesteld, doe dat dan nu. Het kan 5 tot 10 minuten duren voordat de gateway deze wijzigingen doorgekregen heeft van de management server. De Filter Gateway zal automatisch alle verbindingen naar poort 80 doorsturen naar een inlogpagina. De gebruiker zal eerst moeten inloggen met zijn Active Directory (of LDAP) account. De filter gateway zal via een LDAP verbinding met de ingestelde domain controller controleren of de inloggegevens van de gebruiker kloppen. Als de gegevens kloppen zal de gateway het profiel van de gebruiker inladen. Mocht er een ICT gebruiksreglement van toepassing zijn, dan zal de gebruiker eerst akkoord moeten gaan met het gebruiksreglement. Daarna kan de gebruiker weer als normaal verder websites bezoeken, maar wel alleen de websites die zijn toegestaan volgens het gekoppelde profiel.

27


Rev. 1.6 – 2014-11-11

4 Endpoint Client 4.1 Aan de slag: de setup 4.1.1 Download de installer Download de installer via: http://www.yoursafetynet.com/nl/school/download

4.1.2

Systeemvereisten

Besturingssysteem:      

Windows Vista SP2 Windows 7 Windows 8 Windows Server 2008 SP2 and up Windows Server 2008 R2 and up Windows Server 2012

Platform Let op: er zijn twee versies van de installer: een 32 bit en een 64 bit versie. U kunt de 32 bits versie niet op 64 bits systemen installeren en vice versa. U vindt de 64 bit versie in de ‘x64’ map en de 32 bit versie in de ‘x86’ map.

Software vereisten De YourSafetynet Endpoint Client vereist.NET Framework 4.5.1. Op Windows 8.1 en Windows Server 2012 SP1 is dit een standaard onderdeel (niet altijd ingeschakeld). Download de officiële web-installer van het .NET Framework via de volgende link (stuurt door naar de downloadpagina van Microsoft): http://www.yoursafetynet.com/getdotnet451

28


Rev. 1.6 – 2014-11-11

4.1.3 Hoe te installeren De endpoint client moet per machine geïnstalleerd worden. Het vereist elevated privileges om te installeren (en te de-installeren). N.B. Hoewel de client geïnstalleerd wordt op machine niveau, zal deze standaard alle activiteit toestaan voor gebruikers op het systeem. Pas als er voor een gebruiker een profiel is toegewezen (via de Management Server) zal er gefilterd worden. 4.1.3.1 Standaard installatie (volledige interface) Start de .exe of de .msi en volg de stappen. Er zal gevraagd worden om de EULA te accepteren. Bij de installatie van de client wordt er om 3 dingen gevraagd:  



Server host Vul hier de host name of het IP adres van de Management Server in. API Key De API Key kun je vinden in de management server; ga naar Organisatie -> Filter Nodes -> Api Keys en klik op de eerste key voor details. Dan komt er een detailpagina. Kopieer daarvan de API Key. API Secret De API Secret behoort bij de eerder gevonden API Key. Kopieer hem van dezelfde detail pagina.

4.1.3.2 Installatie via de command-line (msiexec) Via de msiexec kunt u het msi pakket installeren door gebruik te maken van de standaard parameters voor UI level of silent installs.

Installeren via de command-line vereist meestal extra parameters. Vooral de SERVERHOST, API_KEY en API_SECR parameters zijn van belang. Aanbevolen parameters SERVERHOST="" Deze parameter is aanbevolen. Hiermee definieert u de host naam of het IP-adres van de management server. De client heeft dit nodig om instellingen van de management server op te kunnen halen. De SERVERHOST parameter zal tevens opgeslagen worden in de ‘ServerList’ register sleutel onder ‘HKLM/SOFTWARE/Media Security Networks/YourSafetynet school+ client/’. Wilt u de host van de Management Server op een later moment wijzigen dan kan dat via deze registersleutel.

29


Rev. 1.6 – 2014-11-11

Let op: deze parameter is aanbevolen. Gebruikt u de parameter niet, dan MOET u zelf de ‘ServerList’ registersleutel correct instellen. API_KEY="" Deze parameter is aanbevolen. Hiermee definieert u de API key die de client moet gebruiken bij de communicatie met de management server. U vindt deze API Key in de Management Server onder Organisatie -> Filter Nodes -> API Keys. De API_KEY parameter zal tevens opgeslagen worden in de ‘ServerApiKey’ register sleutel onder ‘HKLM/SOFTWARE/Media Security Networks/YourSafetynet school+ client/’. Wilt u de API Key van de Management Server op een later moment wijzigen dan kan dat via deze registersleutel. Let op: deze parameter is aanbevolen. Gebruikt u de parameter niet, dan MOET u zelf de ‘ServerApiKey’ registersleutel correct instellen. API_SECR="<secret>" Deze parameter is aanbevolen. Hiermee definieert u de API secret (horend bij de API key) die de client moet gebruiken bij de communicatie met de management server. U vindt deze API secret in de Management Server onder Organisatie -> Filter Nodes -> API Keys. De API_SECR parameter zal tevens opgeslagen worden in de ‘ServerApiSecr’ register sleutel onder ‘HKLM/SOFTWARE/Media Security Networks/YourSafetynet school+ client/’. Wilt u de API Secret van de Management Server op een later moment wijzigen dan kan dat via deze registersleutel. Let op: deze parameter is aanbevolen. Gebruikt u de parameter niet, dan MOET u zelf de ‘ServerApiSecr’ registersleutel correct instellen.

Optionele parameters ARPNOREMOVE=1 Deze parameter is een standaard MSI parameter (werkt ook op andere MSI pakketten). Wanneer deze parameter op 1 wordt gezet zal de ‘Verwijderen’ optie uitgeschakeld worden in het Add/Remove Programs gedeelte van het configuratiescherm van Windows. Als u deze optie inschakelt kunt u dus alleen nog maar via de command-line de software verwijderen. Deze parameter wordt automatisch op 1 gezet als u de parameter UNINSTALLPASS gebruikt.

30


Rev. 1.6 – 2014-11-11

Let op: het is niet aan te raden deze optie te gebruiken. U zou dit normaal gesproken alleen moeten gebruiken indien u wilt ‘beschermen’ tegen ongeoorloofd verwijderen door gebruikers die ook beheerderrechten hebben (normale gebruikers kunnen de software niet verwijderen). UNINSTALLPASS="<password>" Met deze parameter kunt u een optioneel wachtwoord instellen ter ‘bescherming’ van het verwijderen van de software. Als er een wachtwoord is ingesteld zal er alleen nog verwijderd kunnen worden via de command-line en het opgeven van het juiste wachtwoord. Deze parameter zal resulteren in twee registersleutels (een key en hash). Deze worden opgeslagen in de waardes 'uip_s' en 'uip_h' onder HKLM/SOFTWARE/Media Security Networks/YourSafetynet school+ client/. Let op: het is niet aan te raden deze optie te gebruiken. U zou dit normaal gesproken alleen moeten gebruiken indien u wilt ‘beschermen’ tegen ongeoorloofd verwijderen door gebruikers die ook beheerderrechten hebben (normale gebruikers kunnen de software niet verwijderen). Voorbeelden msiexec /i YourSafetynetClientSetup.msi /qn SERVERHOST="myhost" API_KEY="2313fef..23" API_SECR="dd939a…93fe" msiexec /i YourSafetynetClientSetup.msi /qn SERVERHOST="myhost" API_KEY="2313fef..23" API_SECR="dd939a…93fe" ARPNOREMOVE=1 msiexec /i YourSafetynetClientSetup.msi /qn SERVERHOST="myhost" API_KEY="2313fef..23" API_SECR="dd939a…93fe" ARPNOREMOVE=1 UNINSTALLPASS=="mypass"

4.1.3.3 Push installatie Omdat de client setup als standaard MSI pakket beschikbaar is en deze alle standaard parameters/switches accepteert kunt u de client ook in de meeste push scenario’s installeren. Let op: -

Als u bij push installatie niet de aanbevolen parameters voor SERVERHOST, API_KEY en API_SECR gebruikt, zorg dan dat de gerelateerde registersleutels correct zijn ingesteld. Zorg ervoor dat de push installatie rekening houdt met het platform van de machine (32 bit of 64 bit). U kunt de 32 bits versie niet op 64 bits systemen installeren en vice-versa.

4.1.3.4 Installatie via scripts Het is aanbevolen om een installatiescript te gebruiken dat op zijn beurt msiexec aanroept met de juiste parameters (zie 4.1.3.2).

31


Rev. 1.6 – 2014-11-11

Voorbeeld: msiexec /i %MYSHARE%\YourSafetynetClientSetup.msi /qn SERVERHOST="myhost" API_KEY="2313fef..23" API_SECR="dd939a…93fe"

4.1.3.5 Installatie via GPO Omdat de installatie een aantal parameters vereist in de meeste gevallen (SERVERHOST, API_KEY en API_SECR), is het aan te raden een MST bestand te maken met een tool zoals Orca. Zorg ervoor dat alle aanbevolen parameters correct ingesteld staan in Orca. Als u geen MST bestand maakt, zorg dan dat de gerelateerde registersleutels correct zijn ingesteld voor de aanbevolen parameters (zie 4.1.3.2). Zie ook: http://support.microsoft.com/kb/816102 http://support.microsoft.com/kb/255905

4.2 Client verwijderen U kunt de Endpoint Client verwijderen via de command-line of via het onderdeel Add/Remove Programs van het configuratiescherm. Om te kunnen verwijderen heeft u altijd beheerderrechten nodig. N.B. Het is mogelijk dat u bij het verwijderen een melding krijgt dat een herstart van het systeem vereist is. Dit is niet strikt noodzakelijk, de verwijderprocedure zal alle services stoppen en opruimen in de elevated stage van de het verwijderproces. Door enkele beschermingsconstructies in YourSafetynet kan Windows de services niet stoppen op de standaard manier; vandaar de melding.

4.2.1 Verwijderen via configuratiescherm Deze optie is alleen beschikbaar als u tijdens de installatie geen gebruik gemaakt heeft van de UNINSTALLPASS of ARPNOREMOVE parameters.

4.2.2 Verwijderen via command-line (msiexec) U kunt via msiexec de endpoint client verwijderen via de ‘/x’ switch. Hiervoor heeft u óf de originele MSI nodig, óf de productcode. Verwijderen met originele msi pakket Hiervoor heeft u het originele msi pakket nodig dat u gebruikt heeft voor de installatie. U kunt dit niet doen met een nieuwere of oudere versie van het msi pakket; het moet exact dezelfde versie zijn. 32


Rev. 1.6 – 2014-11-11

Voorbeelden: msiexec /x YourSafetynetClientSetup.msi msiexec /x YourSafetynetClientSetup.msi UNINSTALLPASS="mypass" msiexec /x YourSafetynetClientSetup.msi /l*v MyLogFile.txt

Verwijderen met productcode (guid) Hiervoor heeft u de productcode (guid) van het installatiepakket nodig. Deze productcode verandert bij elke nieuwe versie van het installatiepakket. Als u de productcode (guid) niet weet, kunt u die proberen te vinden via regedit: -

Kijk onder HKLM\SOFTWARE\Windows\CurrentVersion\Uninstall Klik met rechtermuisknop op deze map ‘Uninstall’ en kies ‘Zoeken…’ en zoek op ‘YourSafetynet’ De registersleutelnaam zal de correcte productcode (guid) zijn. Bijvoorbeeld: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{8EDE247B-EA55-483B99AC-2A3C9F3068B6}

Voorbeelden: msiexec /x {8EDE247B-EA55-483B-99AC-2A3C9F3068B6} msiexec /x {8EDE247B-EA55-483B-99AC-2A3C9F3068B6} UNINSTALLPASS="mypass" msiexec /x {8EDE247B-EA55-483B-99AC-2A3C9F3068B6} /l*v MyLogFile.txt

4.3 Instellingen in Windows Registry Voor de endpoint client kunt u bepaalde instellingen maken via registry keys. 4.3.1 External URL Detection Cycles De endpoint client maakt voor het filteren o.a. gebruik van een externe URL detectie techniek. Dit is vooral van belang voor het filteren/blokkeren van HTTPS websites, omdat daarvan de URL en inhoud versleuteld zijn en dus niet via de reguliere methode is te inspecteren. Deze externe detectie werkt door in een regelmatige background cycle aan de webbrowser te vragen wat de actieve URL is (en soms ook wat de website titel is). Deze URL wordt dan gescand en als de URL niet is toegestaan wordt de browser gevraagd het scherm af te sluiten. Deze URL detection cycle draait ongeveer elke 5 seconden. Standaard wordt er na 2 cycles (~10 seconden) bepaald of de URL is toegestaan en wordt het browserscherm afgesloten indien nodig. Via een registry key is het mogelijk om het aantal cycles in te stellen voordat de URL gescand wordt en het browserscherm wordt afgesloten. U kunt het aantal cycles ook op 0 instellen; in dat geval

33


Rev. 1.6 – 2014-11-11

wordt er zo snel mogelijk gekeken naar de URL en wordt het scherm afgesloten indien nodig. Dit kan in de praktijk tussen de 0 en 5 seconden liggen. Let op: Als uw browser een startpagina heeft die niet is toegestaan en het aantal cycles staat zeer laag of op 0, dan kan het zijn dat u het browsergebruik compleet blokkeert. De browser kan dan heel snel na het opstarten weer gesloten worden, omdat er een verboden URL actief is. U heeft dan weinig/geen tijd om naar een wel toegestane URL te surfen.

4.3.1.1 Per user Het aantal cycles is in te stellen op userniveau via de volgende registersleutel: ; Changes number of cycles to 0 (default is 2) [HKEY_CURRENT_USER\Software\Media Security Networks\YourSafetynet] "ExternalUrlDetectStrikes"=dword:00000000

Let op: deze sleutel heeft voorrang op een eventueel op machine niveau ingestelde sleutel.

4.3.1.2 Per machine Het aantal cycles is in te stellen op machine niveau via de volgende registersleutel: ; Changes number of cycles to 0 (default is 2) [HKEY_LOCAL_MACHINE\Software\Media Security Networks\YourSafetynet] "ExternalUrlDetectStrikes"=dword:00000000

Let op: een sleutel op user niveau (HKCU) heeft voorrang op deze sleutel.

34


Rev. 1.6 – 2014-11-11

5 Console Terminal 5.1 Remote Console via SSH De appliances zijn ook te beheren via een remote console over SSH. Hiervoor moet via SSH verbinding gemaakt worden op poort 2224. Let op: dit is een afwijkende poort, de standaard SSH poort is 22. 5.1.1 Inloggen via SSH met PuTTY PuTTY is een SSH client voor Windows. Hiermee kunt u op afstand met een Windows machine inloggen op de Console Terminal over SSH. 1. Download putty.exe (vereist geen installatie): http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html 2. Start putty.exe en voer het IP adres of de host name van de appliance in. Zorg dat de poort op 2224 is ingesteld. 3. Klik op Open. PuTTY zal nu verbinding proberen te maken. Als dit lukt, krijgt u de allereerste keer de vraag of u de fingerprint wilt accepteren (die moet u accepteren). 4. Log in met ysnadmin en uw wachtwoord. 5. Nu kunt u de commando’s invoeren. Tip: Tekst die u in de PuTTY terminal selecteert wordt automatisch naar het clipboard gekopieerd. U kunt deze tekst dus op een andere plek in Windows plakken. Andersom kunt u ook tekst van het clipboard in Windows ook weer in de terminal plakken door met de rechtermuisknop in de PuTTY terminal te klikken.

5.2 Terminal Console Commando’s De Management Server en Filter Gateway zijn beide gebaseerd om Ubuntu Linux 14.04 LTS. Alle standaard beschikbare console commando’s zijn dan ook gewoon toepasbaar. Hieronder volgen enkele specifieke YourSafetynet commando’s en andere handige standaard commando’s. 5.2.1 Systeem stoppen of opnieuw opstarten Stoppen: sudo shutdown -h now Herstarten: sudo reboot

35


Rev. 1.6 – 2014-11-11

5.2.2 Systeem updates uitvoeren Met dit commando wordt er gecontroleerd op updates, worden ze geïnstalleerd en wordt het systeem automatisch opnieuw opgestart. sudo apt-get update && start ysn-system-upgrade

36


Rev. 1.6 – 2014-11-11

© Copyright Media Security Networks BV. All rights reserved.

Microsoft, Windows, Windows XP, Windows Vista, Windows 7, Windows 8, Windows Server and .NET Framework are either registered trademarks or trademarks of Microsoft Corporation in the United States and/or other countries.

37

Gebruikershandleiding. YourSafetynet school+ 2.x. Copyright 2014 Media Security Networks BV. All rights reserved

Recommend Documents