教程篇(7.0) 03. FortiClient EMS配置和管理 ❀ FortiClient EMS ❀ Fortinet 网络安全专家 NSE 5
Posted 飞塔老梅子
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了教程篇(7.0) 03. FortiClient EMS配置和管理 ❀ FortiClient EMS ❀ Fortinet 网络安全专家 NSE 5相关的知识,希望对你有一定的参考价值。
在本节课中,你将学习如何配置和管理FortiClient EMS。你还将学习如何管理大量终端。
在这节课中,你将学习上图显示的主题。
通过了解FortiClient EMS的管理功能,你将能够执行FortiClient EMS的管理和数据库管理,并识别其组件。
你可以通过启动FortiClient EMS应用程序或通过支持的web浏览器访问FortiClient EMS。在FortiClient EMS服务器上,在web浏览器中输入“access localhost via https”,如果是远程访问,请使用服务器主机名或FQDN通过web访问页面。
你可以通过在服务器上执行ipconfig /all命令获取服务器名称。主机名将出现在Windows IP配置中。如果你无法远程访问服务器,请确保能够ping通servername,这可以通过将它添加到DNS条目或Windows主机文件中来实现。你可能需要修改防火墙规则以允许连接。
你可以使用仪表板查看关于系统和终端的摘要信息。你还可以查看终端上漏洞扫描的摘要信息。
在FortiClient EMS仪表板中,你可以看到系统和许可信息小部件:
● 系统信息小部件:显示FortiClient EMS的主机名、版本、数据库、系统时间和正常运行时间等信息
● 许可信息小部件:显示FortiClient EMS序列号、FortiCloud帐号、零信任安全许可、下一代终端安全许可和Chromebook许可信息
状态页图表和小部件显示饼图的数量。每个饼图都提供终端信息的摘要。你可以单击饼图的任何部分或表格中的任何行来显示更多详细信息。详细信息包括端点活动(架构上或架构下的状态)、终端警报、终端连接状态、托管的Windows、Mac FortiClient版本和OS版本。它还显示反病毒、沙箱、漏洞和web检测。
漏洞扫描仪表板显示许多图表和小部件,其中包含从终端收集的漏洞扫描信息的摘要。
在EMS设置页面启用Chromebook管理后,还可以查看Chromebook的状态。Chromebook状态显示了许多图表。每张图表都提供了Chromebook信息的摘要。
邀请码支持以下场景:
● 注册FortiClient Linux / ios / android终端到FortiClient EMS。由于在FortiClient EMS中无法为这些操作系统创建部署包,因此这是注册这些操作系统终端到FortiClient EMS的唯一方法。
● 对于安装完成后不会自动注册到FortiClient EMS的设备,需要进行注册。
最终用户输入邀请码连接FortiClient和FortiClient EMS。如果你设置了SMTP协议,可以启用以邮件形式发送邀请码的功能。邮件通知可以单独发送,也可以批量发送。发送单独的邀请码是一种最佳实践,因为它限制了任何意想不到的终端连接到FortiClient EMS。
创建一个新的安装程序,在邀请中包含一个安装程序。终端用户使用该安装程序在终端上安装FortiClient,如果安装后没有自动连接,则使用邀请码连接FortiClient EMS。
默认用户admin具有FortiClient EMS的所有权限,包括修改、用户权限、审批、发现和部署。admin用户具有访问所有已配置的Windows和LDAP服务器及用户的权限,并具有配置用户权限和权限的权限。如果你未被授权执行某些任务或访问某些设备,则相关的菜单项、内容页项和按钮将被隐藏或禁用。同时系统提示你没有权限查看所选信息,也没有权限执行所选操作。
默认情况下,admin用户没有密码。你必须添加密码以提高安全性。
你可以配置本地、Windows和LDAP的admin用户。本地管理帐户存储在FortiClient EMS本地数据库。Windows用户列表来源于安装了FortiClient EMS的主机服务器。LDAP用户列表来源于已导入网管的AD域用户列表。
在FortiClient EMS中,管理员角色可以定义每个管理员帐号的权限。你可以使用FortiClient EMS缺省的4种管理员角色中的一种,也可以创建新的管理员角色分配给管理员帐号。
默认的四个角色是:
● 超级管理员
● 标准管理员
● 终端管理员
● 限制管理员
每个管理员角色可以包括三类权限:终端权限、策略权限和设置权限。对于某些任务或设备未授权的管理员角色,EMS会对相关菜单项、内容页面项、按钮进行隐藏或禁用。
你也可以在EMS对用户进行配置。不活动超时设置指定不活动用户保持多长时间登录FortiClient EMS。超过设置的时间后,EMS会自动注销该用户。要让不活跃的用户无限期地登录到FortiClient EMS,键入值0。
允许不活动天数设置指定不活动天数之后禁用用户帐户。例如,设置该字段为10,用户超过10天未登录FortiClient EMS,则EMS会关闭该用户的帐号,导致该用户无法登录FortiClient EMS。具有超级管理员权限的用户可以重新激活帐户。
密码最大年龄设置是指用户在密码过期后强制修改密码的天数。可以将该值设置为0来禁用该设置。该设置仅适用于系统内置用户,如admin用户、EMS用户。
你还可以启用SAML SSO,以允许用户使用FortiGate作为身份提供者(IdP)登录FortiClient EMS。在FortiGate作为IdP的FortiClient EMS中,只能使用SAML SSO特性。FortiClient EMS不支持使用FortiAuthenticator作为IdP,也不支持使用自定义IdP。
在FortiClient EMS Administration窗口的Fabric devices窗口中,可以查看到FortiClient EMS授权的所有FortiGate设备。添加FortiGate后,可以将状态改为拒绝或授权。只有当FortiClient EMS是安全架构的一部分时,这些架构设备才会出现。
通过日志查看器,你可以查看并下载FortiClient EMS日志。日志查看器页面包含了FortiClient EMS所有进程的日志,如GUI控制台、服务更新、AD服务、EMS服务等。你还可以通过应用过滤器查看特定的FortiClient EMS日志。原始日志以zip文件的形式下载到计算机上。
FortiClient数据库管理允许你备份和恢复数据库,如上图所示。这些选项在FortiClient EMS Dashboard > Status窗口中可用。执行备份时需要输入密码。使用相同的备份方式恢复数据库时,将使用相同的密码。恢复数据库后,将出现一条消息。该消息指示你等待恢复的数据库重新加载。你必须等待数据库完全恢复。
注意,只有使用相同的版本号备份数据库时,恢复才有效。
答案:B
答案:B
现在你知道了如何访问FortiClient EMS GUI。你还了解了FortiClient EMS组件、FortiClient管理和数据库管理。现在,你将了解FortiClient EMS的系统设置。
通过演示FortiClient EMS系统设置的能力,你将能够配置服务器、日志、FortiGuard、终端、登录横幅、EMS警报、终端警报、SMTP服务器和自定义消息设置。
FortiClient EMS共享设置选项在Windows、MacOS、Linux和Chromebook终端之间共享。你可以配置FortiClient EMS的主机名、IP地址和FQDN。启用“使用FQDN”选项后,FortiClient可以使用Listen on IP Addresses字段中的指定IP地址进行连接,也可以使用指定的FQDN进行连接。
远程HTTPS访问选项用于指定对FortiClient EMS进行远程管理访问的设置。你可以设置启用/禁用通过HTTPS协议远程访问FortiClient EMS。选择“远程HTTPS访问”时,可选择HTTPS端口、预定义主机名、代理管理IP和端口、自定义主机名。预定义的主机名包括服务器绑定名或IP地址。FortiClient EMS响应此字段中定义的所有名称。
“SSL证书”选项显示当前已导入的SSL证书。如果你已经上传了SSL证书,页面会显示“替换证书”按钮。
EMS CA证书(ZTNA)需要ZTNA或EPP许可,仅适用于FortiClient 7.0.0及以上版本的终端。
在EMS设置窗口中,可以通过在字段中输入新的端口号来配置侦听端口设置。FortiClient将使用指定的端口进行连接。默认显示FortiClient EMS服务器的8013端口。你还可以启用或禁用TLS 1.0或1.1文件下载。Windows 7使用旧的TLS版本。
在FortiClient下载URL字段中,你可以看到在FortiClient EMS上创建的FortiClient安装程序的URL可供下载。
你可以使用强制仅邀请注册选项取消不满足要求的FortiClient端点的注册。对于使用仅邀请注册的端点,你可以选择all、none或FortiClient版本7.0.0或更高版本。
签名软件包选项允许你可以使用由FortiClient EMS生成或上传至FortiClient EMS的代码签名证书对Windows FortiClient软件安装程序进行数字签名。
通过配置EMS服务器列表,你可以选择FortiClient EMS注册的具体IP地址或FQDN。
通过只连接本地子网选项,可以连接到FortiClient EMS的本地子网。
选中“启用登录横幅”复选框后,在用户登录FortiClient EMS时,登录界面会弹出提示信息。当你在消息框中键入消息时,“预览”部分显示消息的预览。
EMS for Chromebooks设置窗口还包括侦听端口设置,它像EMS设置一样,显示FortiClient EMS服务器用于Chromebooks的默认端口。你可以通过输入新的端口号来更改端口。默认端口号为8443。
你还可以配置用户不活动超时设置,这是用户超时的不活动小时数。配置文件更新时间间隔配置文件更新的时间间隔,单位为秒。
“SSL certificate”显示当前导入的SSL证书。如果你已经上传了SSL证书,页面会显示“替换证书”按钮。服务帐号显示当前正在使用的服务帐号ID。你必须输入帐号ID和私钥才能更新帐号。说明Chromebook需要添加SSL证书才能连接到FortiClient EMS。
当FortiClient终端注册到FortiClient EMS时,会消耗一个许可证座位。可以配置许可超时值,单位为天。如果一个终端断开了与EMS的连接,那么许可证座位将被保留,以预期该端点将重新连接。
如果终端在给定超时内没有重新连接,它的连接记录将从FortiClient EMS中删除。如果终端被删除、关闭或脱机,并且在Delete超时值内没有重新建立到FortiClient EMS的遥测连接,则该端点将从FortiClient EMS中删除,即使该端点上的FortiClient显示它仍然连接。许可证超时时间默认为45天。最大支持天数为90天。许可证超时值在给定超时后释放许可。
“自动上传头像”选项允许FortiClient上传用户头像到所有设备,“启用终端快照报表”设置启用终端快照报表。可以设置快照时间间隔,时间间隔必须在300 ~ 86400秒之间。
在“日志设置”中,你可以为FortiClient EMS设置日志捕获的日志消息级别。例如,在“日志级别”下拉列表中选择“信息”,则ForitClient EMS的日志中会添加“信息”到“紧急事件”中的所有日志消息。通常,你希望使用的级别是Info,因为它包含系统生成的大多数日志(除Debug外),包括管理员登录或注销活动。紧急日志只在系统不稳定的情况下产生,不包括其他系统日志。根据日志的类型和组织的需要,你可能希望只记录特定级别的系统日志。
你还可以指定何时自动删除日志、警报和事件。默认情况下,所有日志、警报和其他操作系统事件是30天,Chromebook事件是7天。
单击“立即清除”,立即清除FortiClient EMS所有日志、告警或事件信息。
FortiGuard设置包括服务器位置,允许你配置FortiGuard服务器位置到全球,美国或欧洲。欧洲仅在选中启用SSL复选框时可用。
你还可以启用“使用FortiManager进行客户端软件/签名更新”选项,该选项允许你将FortiManager用于客户端软件和签名更新。如果选择“Failover”,在FortiManager for FortiClient不可用时,将启用故障转移到FDN。通过“端点”窗口的设置,你可以为FortiClient EMS添加FortiClient遥测连接键。FortiClient必须在连接期间提供此密钥。你还可以配置保持活动间隔。FortiClient按照指定的时间间隔向FortiClient EMS发送短消息和全消息。云服务部分提供了允许你连接FortiCloud的选项,你可以选择地区和时间偏移。
你可以查看FortiClient EMS产生的警报。上图显示了产生警报的事件示例。当有新的通知或收到新的通知时,红色标签与警报图标相关联。查看告警时,该告警清除。你可以在工具栏中选择警报图标(一个铃声)来查看警报。你可以使用每个列标题中的Filter图标来应用过滤器,并使用Clear filters图标来删除过滤器。
你还可以通过设置SMTP服务器,对FortiClient EMS事件或终端事件启用告警。当告警触发时,EMS会发送邮件通知。
通过“EMS Alerts”界面,你可以针对版本提醒和FortiClient提醒发送电子邮件通知。上图显示了EMS警报窗口上可用的所有警报。
在Endpoint Alerts窗口中,你启用了为终端发送电子邮件警报的选项。上图展示了你可以选择用来生成电子邮件提醒的所有终端事件。你也可以选择发送提醒邮件的时间间隔。缺省情况下,设置为30分钟。
你可以查看FortiClient EMS产生的告警。上图显示了产生警报的事件示例。当有新的通知或收到新的通知时,红色标签与Alert图标相关联。查看告警时,该告警清除。单击工具栏中的Alert图标(一个铃声)可以查看警报。你可以使用每个列标题中的Filter图标来应用过滤器,并使用Clear filters图标来删除过滤器。
通过“SMTP服务器”窗口,你可以设置SMTP服务器,对EMS和终端事件启用告警。所有可用的SMTP服务器配置选项都显示在上图上。你可以选择使用STARTTLS或SMTP对SMTP通信进行加密。选择一个加密选项将启用GUI上的用户名和密码字段。
你可以自定义某些情况下在终端上显示的消息,例如FortiClient EMS隔离了终端。例如,你可以对消息进行定制,使其包含组织的帮助台电话号码,以便用户可以就其计算机联系网络管理员。
你还可以自定义在浏览器内web筛选结果页面中终端上显示的消息。在“自定义消息”中,选择“WebFilter自定义消息”。左边面板显示定制字段,而右边面板预览定制消息,因为当使用最新版本的FortiClient时,它们将出现在web浏览器中。web过滤消息的类型有:屏蔽页面、阻断页面、阻止FortiGuard不可访问页面、警告页面、警告FortiGuard不可访问页面。
在左窗格中,启用或禁用字段,并输入所需的消息。你也可以上传logo和图标字段的图片。右边的窗格显示消息的预览。
在Feature Select窗格上,你可以选择显示和隐藏哪些功能。只有在“功能选择”窗口中启用的功能,才能在FortiClient EMS的其他区域进行配置。
例如,如果你在“功能选择”窗口中禁用Web过滤器,Web过滤器选项卡将不会出现在端点配置文件中,并且在系统设置中启用Web过滤器日志的选项也将不可用。
此外,当你在部署包中启用web过滤器,并且部署包在终端上安装web过滤器时,web过滤器选项不会出现在FortiClient GUI中,因为它是禁用的。
状态仪表板上的Web Filter Detection小部件和从FortiGate/FortiManager导入配置文件的选项也不可用。
只有FortiClient EMS的超级管理员才能在“功能选择”界面启用/禁用特性。其他FortiClient EMS用户在“功能选择”页面可以查看哪些特性的启用和禁用情况,但不能修改配置。如果你以前在某个端点上启用了某个特性,但后来在功能选择窗口上禁用了该功能,那么FortiClient EMS就会在该终端上禁用该功能。
在FortiClient EMS多租户设置中,你可以创建多个站点,为不同的管理员提供对不同站点的粒度访问,并将端点数据和配置分离到不同的站点中。站点之间是完全独立的,不能共享数据。例如,如果管理员只能访问站点A,则无法查看其他站点的数据。
FortiClient EMS最多支持500个多租户站点。当启用多租户时,架构连接器必须使用FQDN连接到EMS,其中FQDN主机名匹配EMS中的站点名称(包括“默认站点”)。
你可以在MSSP环境中使用多租户来节省资源并使用相同的许可证(FortiClient许可证的总数在站点之间共享)。这也适用于使用细分和不同部门使用不同广告的企业环境。
必须在FortiClient EMS系统设置中启用“管理多个客户站点”。FortiClient EMS会强制重启GUI使修改生效。重新启动后,EMS GUI将显示全局指示板。当你最初启用多租户时,有两个站点:全局,你可以在其中设置和查看全局设置;默认,其中包含属于原始FortiClient EMS实例的端点。与原始FortiClient实例相关联的设置被保留。如果需要切换站点,请在界面右上角选择站点名称,然后在下拉列表中选择。
启用多租户之后,前面创建的所有管理员(除了默认的管理员用户)都将成为默认站点的管理员。
若要添加新站点,请从站点选择列表中选择“配置站点”,如上图所示。你还可以打开管理中的配置站点页面以创建新站点。此页面显示所有站点及其许可使用情况。必须配置名称。在分配许可给新站点之前,必须先释放默认站点的许可数量。
启用多租户后,你只能从全局级别配置一些设置,而只能从站点级别配置其他设置。无法从全局站点查看站点级设置。有关设置的详细说明,请参见《FortiClient EMS管理指南》。
从全局站点,你可以配置管理员。从全局站点添加新管理员时,可以创建本地管理员或配置Windows或LDAP用户。从站点级添加新管理员时,只能配置LDAP用户。同一来源(FortiClient EMS、LDAP或Windows)的管理员名在所有站点中必须唯一。如果管理员来自不同的来源,他们可以有相同的名称。在多租户中,除了超级管理员和设置管理员之外,你还有一个额外的管理员角色—站点管理员。
站点管理员只能访问指定的站点,不能访问全局站点。站点管理员可以访问多个站点。缺省情况下,站点管理员为所能访问的所有站点的超级管理员。站点管理员可以配置站点许可和系统设置,包括服务器设置。通过在登录站点后为站点分配不同的管理角色,你可以修改站点管理员的可用配置选项。上述管理员角色特定于启用多租户时的全局管理员管理。
答案:A
现在你已经了解了FortiClient EMS的系统设置。接下来,你将学习如何为Chromebook设置FortiClient EMS。
通过展示设置FortiClient EMS来管理chromebook的能力,你将能够配置谷歌管理控制台设置和服务帐户凭证。
使用你的谷歌域Admin或G Suite帐号登录谷歌Admin控制台。请注意,通过工作、学校、俱乐部或家庭或朋友等组织建立的谷歌帐户被称为G Suite帐户。
添加FortiClient Web过滤扩展后,在Chrome Web Store窗口中搜索该扩展的ID。扩展名显示为FortiClient Chromebook Web Filtger Extension。
说明不支持FortiClient EMS软件供公众使用。你只能通过使用上图中显示的扩展ID来启用该功能。
你必须配置FortiClient Chromebook Web过滤扩展才能使谷歌管理控制台与FortiClient EMS通信。FortiClient EMS托管服务,将web过滤策略的终端配置文件分配给谷歌域中的组。同时,还可以处理来自FortiClient web过滤扩展的日志和web访问统计信息。
你必须在谷歌管理控制台中添加FortiClient EMS详细信息作为配置文件服务器,如上图所示。
具体配置请参见《FortiClient EMS管理指南》。
FortiClient Chromebook Web Filter扩展通过HTTPS连接与FortiClient EMS通信。为使Chromebook扩展信任FortiClient EMS,需要获取SSL证书并添加到FortiClient EMS中。
如果使用公共的SSL证书,在FortiClient EMS中只需要添加公共的SSL证书。如果你喜欢使用非来自普通证书颁发机构(CA)的证书,则必须将SSL证书添加到FortiClient EMS,并将证书的根CA推送到谷歌Chromebooks。否则,FortiClient Chromebook Web Filter扩展与FortiClient EMS之间的HTTPS连接将无法正常工作。
关于证书的更多信息,请参见《FortiClient EMS管理指南》。
你必须禁用开发人员工具并禁止隐身模式和来宾模式。禁用访问Chrome开发者工具阻止用户禁用FortiClient web过滤扩展。当用户在隐身模式下浏览时,扩展会被忽略。来宾模式不提供个人资料信息,并在用户关闭浏览器窗口后删除浏览活动。
你还必须阻止任务管理器管理谷歌域,以防止用户停止FortiClient web扩展。谷歌Chrome浏览器有一个内置的任务管理器,可以让你看到Chrome运行时网页、扩展和谷歌进程使用了多少内存和CPU。当任务管理器打开时,它会显示所有打开的选项卡、扩展和Chrome当前正在使用的进程的列表,用户可以结束任何进程。
在FortiClient EMS中添加谷歌域后,当用户登录谷歌域时,谷歌Admin控制台会自动向Chromebook推送FortiClient Web过滤扩展。
你可以通过打开谷歌Chrome浏览器来验证该功能已经在Chromebook上可用。输入chrome: //extensions检查FortiClient扩展并访问任何赌博网站,如http://www.777.com,并确认该网站被屏蔽。
FortiClient EMS需要谷歌Developer控制台生成的服务帐号凭据。你可以使用FortiClient EMS提供的默认服务帐号凭据。要配置缺省服务帐户凭据,必须将客户端ID缺省值添加到谷歌管理控制台。不需要对服务帐户凭证进行其他配置。这些设置允许谷歌信任FortiClient EMS,从而使FortiClient EMS能够从谷歌域检索信息。
注意,服务帐户凭据是一个集合。如果更改一个凭据,则必须更改其他两个凭据。
在使用服务帐号唯一凭据以提高安全性时,需要在谷歌Admin控制台和FortiClient EMS中添加服务帐号唯一凭据,操作步骤如下:
1、使用谷歌开发人员控制台创建唯一的服务帐户凭据。
2、将唯一的服务帐户凭据添加到谷歌管理控制台。
3、在FortiClient EMS中添加服务帐号唯一凭据。
答案:A
答案:A
你现在了解了如何配置FortiClient EMS来管理Chromebook。接下来,你将了解终端管理。
通过展示使用FortiClient进行终端管理的能力,你将能够配置Windows、MacOS和Linux终端以及谷歌域。
FortiClient EMS需要识别需要管理的设备。对于Windows和macOS,设备信息可以来自AD服务器、Windows工作组或手动连接FortiClient。Linux终端不与AD服务器通信。
在FortiClient EMS中,你可以先创建域或工作组,然后对组进行重命名和删除操作。
终端可以通过手动方式从AD服务器导入。你可以通过LDAP服务导入并同步计算机帐户信息。通过识别属于AD域服务器一部分的终端,可以添加终端。
注意从AD服务器导入终端后,可以对终端进行编辑。这些更改不会同步回AD服务器。
终端用户也可以通过在FortiClient上指定FortiClient EMS的IP地址,手动连接FortiClient Telemetry和FortiClient EMS。这个过程有时被称为注册FortiClient到FortiClient EMS。
在FortiClient EMS中添加终端后,在“终端列表”中可以查看某个域或工作组中的终端列表。你还可以在“客户端详细信息”窗格中查看每个终端的详细信息,并使用过滤器访问具有特定质量的终端。
你可以将过滤器设置保存为书签,然后选择使用它们的书签。
在“终端”窗格上,你可以执行上图中显示的操作。FortiClient EMS支持反病毒和漏洞扫描。所有的扫描都开始于下一个FortiClient Telemetry通信的终端。你还可以在“客户端详细信息”窗格中查看每个终端的漏洞扫描历史。
当漏洞需要终端用户下载并安装软件进行修补时,FortiClient EMS支持对漏洞进行自动修补。FortiClient控制台显示该信息。
FortiClient EMS支持从一个或多个终端上传日志文件。日志文件被上传到运行FortiClient EMS的计算机硬盘上,在FortiClient EMS图形界面上看不到日志文件。
你可以通过FortiClient EMS在一个或多个终端上运行FortiClient诊断工具,并将结果导出到运行FortiClient EMS的计算机硬盘上。导出的信息在FortiClient EMS GUI中不可见。
FortiClient EMS还可以隔离、断开连接、从管理中排除和删除终端。
你可以使用FortiClient EMS邀请码或QR码发放Android设备。你可以发送邀请码或创建二维码分发给FortiClient (Android)用户。FortiClient (Android)用户可以通过输入或扫描设备上的QR码来自动启用FortiTelemetry,并尝试连接到指定的FortiClient EMS服务器。邀请码或QR码可以包含FortiClient EMS服务器的主机名或IP地址、端口号和连接密钥。只需要输入FortiClient EMS主机名/IP地址;所有其他字段都是可选的。
FortiClient EMS需要识别需要管理的设备。设备信息来自谷歌管理控制台。如果EMS服务器设置中选择了“EMS for Chromebooks设置”,则有“谷歌Domains”选项。
你可以在FortiClient EMS的“管理域”页面中添加域。在FortiClient EMS中添加域后,你可以对添加的域进行查看、编辑、删除等操作。
注意,本节仅适用于使用FortiClient EMS管理谷歌Chromebook的情况。
你可以使用组分配规则,根据安装程序ID、IP地址或操作系统自动将端点放入自定义组。创建FortiClient部署包时包含一个选项,用于指定安装程序ID。例如,假设你希望将位于公司总部的所有终端移动到同一个终端组上。你可以使用“HQ”安装程序ID配置FortiClient部署包,然后将此部署包部署到所需的终端。
“IP地址”选项允许你创建一个组分配规则,自动将指定子网或IP地址范围内的所有终端移动到同一个自定义组中。
OS选项自动将安装了特定OS的所有终端移动到自定义组中。
当终端的FortiClient连接到FortiClient EMS时,FortiClient EMS会将终端放在需要的组中。
如果新连接的终端不匹配任何组分配规则,并且属于已导入的AD域,则终端将被移动到AD域树中其所属的OU中。如果未导入AD域,或终端也不属于导入的AD域,则将其置于“Other endpoint”组中。
FortiClient EMS会自动将不应用于任何组分配规则的终端放置到“其他终端”组中。
答案:A
答案:B
现在你了解了在FortiClient EMS上针对Windows、macOS、Linux和Chromebook用户的终端管理。接下来,你将了解隔离管理。
通过展示你使用FortiClient EMS管理隔离文件的能力,你将能够查看并允许列出隔离文件。
在“文件”窗格中,FortiClient EMS管理员可以查看所有被管理终端的隔离文件信息,并根据需要将FortiClient EMS中的文件加入白名单。
FortiClient将隔离的文件信息发送给FortiClient EMS。当FortiClient对终端上的文件进行隔离并将隔离文件信息发送到FortiClient EMS后,在“文件”窗格的“隔离管理”中可以查看隔离文件列表。你还可以查看每个隔离文件的详细信息,并使用过滤器访问具有特定质量的隔离文件。
你可以允许从EMS中列出并恢复隔离的文件。这将从隔离中释放文件,并使它们可以通过FortiClient EMS和FortiClient之间的下一次遥测通信在终端上访问。文件状态更改为隔离并允许列出。
请注意,FortiClient控制台不允许你恢复和删除隔离文件。这些选项在FortiClient GUI上是灰色的。
你们很多人都听说过安全架构。安全架构使用FortiTelemetry将不同的安全传感器和工具连接在一起,实时收集、协调和响应网络上任何地方发生的恶意行为。
安全代理将终端与安全架构连接起来,并通过与安全架构共享终端遥测和遵从状态来提供终端可见性和控制。它还具有漏洞管理功能,可将扫描过程扩展到托管的FortiGate或FortiClient EMS。
在安全架构拓扑中,可以看到被折衷和隔离的终端。你可以从FortiAnalyzer等设备获得这些终端的可见性和详细信息,其中妥协(loC)裁决指示器基于达到或超过一个阈值,在这个阈值处某个终端将成为风险,必须隔离并确认该终端已被妥协。
除了隔离恶意文件、提交对象给FortiSandbox进行分析和应用补丁外,通过与安全架构集成,FortiClient还可以自动隔离可疑或受损的终端。
隔离自动化的好处包括控制威胁和事件以及控制爆发。
安全架构在不同的监视级别提供了终端的可见性。当安全架构包括这里列出的网络设备时,你可以配置系统自动隔离检测到loC的终端。需要配置以下网络设备:
● FortiGate
● FortiAnalyzer
● FortiClient EMS
● FortiClient
FortiClient需要同时连接EMS和FortiGate。FortiGate和FortiClient必须同时向FortiAnalyzer发送日志。你需要在FortiGate上配置EMS的IP地址,以及管理员登录凭证。
该配置的功能如下:
1. FortiClient向FortiAnalyzer发送日志。
2. FortiAnalyzer在日志中发现loc,并通知FortiGate。
3. FortiGate将识别FortiClient是否为已连接的终端,以及它是否拥有FortiClient所连接的FortiClient EMS的登录凭证。有了此信息,FortiGate会向FortiClient EMS发送通知以隔离终端。
4. FortiClient EMS搜索终端并向其发送隔离消息。
5. 终端接收隔离邮件并隔离自己,从而阻塞所有网络通信流。终端将状态变化通知FortiGate和EMS。
执行自动化:
以下命令触发对endpoint_ip_address终端的隔离处理:
diag endpoint forclient -em -rest-api queue-quarantine-ipv4 endpoint_ip_address
注意,FortiClient (Linux)不支持此功能。
使用FortiClient、EMS、和FortiGate需要满足以下前提条件:
1. FortiClient必须安装在终端上,并与EMS连接。
2. 在FortiClient EMS中,需要为终端分配IP地址为FortiGate的终端配置文件和网关列表。它还需要一个终端策略,该策略配置了所需的配置文件和所需端点组的遥测网关列表,并且必须启用远程HTTPS访问选项。
3. FortiGate必须使用以下配置来隔离终端。
● 自动触发
● 自动化操作
● 自动化针
● EMS防火墙地址对象(如果使用的是低于6.2.0的FortiOS版本)
● 终端控制FCT-EMS对象
关于FortiGate自动化配置的更多详细信息,请参见《FortiClient EMS 7.0管理指南》。
答案:A
答案:B
现在你知道了如何配置终端隔离管理。接下来,你将了解软件目录。
通过展示使用FortiClient EMS查看终端上的软件目录的能力,你将能够识别安装了哪些应用程序。
你可以集中查看所有终端上安装的软件列表。该列表包含每个应用程序的详细信息,例如供应商和版本信息。你可以在“应用程序”窗格或“主机”窗格中,按应用程序或供应商查看该信息。FortiClient将已安装的应用信息发送给FortiClient EMS。
FortiClient EMS管理员可以在“应用程序”窗格中查看所有受管终端中已安装的应用程序信息。
“应用程序”窗格还显示已安装的应用程序总数、供应商和新安装的应用程序。你可以按字母顺序或按供应商查看应用程序名称。还可以根据应用程序名称、供应商名称和版本号应用过滤器。
在“主机”窗格中,FortiClient EMS管理员可以按主机查看所有被管理终端中已安装的应用程序信息。
“主机”区域显示应用程序总数、操作系统详细信息以及终端上安装的软件列表。你还可以查看主机的其他详细信息,如图所示。
可以通过主机名、用户名、操作系统名和IP地址进行过滤。
答案:A
恭喜你!你已经完成了这一课。现在,你将回顾你在本课中涉及的目标。
通过掌握本课涉及的目标,你学习了如何安装、配置和管理FortiClient EMS。你还学习了如何管理大量终端。
以上是关于教程篇(7.0) 03. FortiClient EMS配置和管理 ❀ FortiClient EMS ❀ Fortinet 网络安全专家 NSE 5的主要内容,如果未能解决你的问题,请参考以下文章
教程篇(7.0) 04. FortiClient 部署 ❀ FortiClient EMS ❀ Fortinet 网络安全专家 NSE 5
教程篇(7.0) 04. FortiClient 部署 ❀ FortiClient EMS ❀ Fortinet 网络安全专家 NSE 5
教程篇(7.0) 05. 通过FortiClient EMS发放FortiClient ❀ FortiClient EMS ❀ Fortinet 网络安全专家 NSE 5
教程篇(7.0) 05. 通过FortiClient EMS发放FortiClient ❀ FortiClient EMS ❀ Fortinet 网络安全专家 NSE 5
教程篇(7.0) 01. 介绍FortiClient和FortiClient EMS ❀ FortiClient EMS ❀ Fortinet 网络安全专家 NSE 5
教程篇(7.0) 01. 介绍FortiClient和FortiClient EMS ❀ FortiClient EMS ❀ Fortinet 网络安全专家 NSE 5