教程篇(7.0) 05. 通过FortiClient EMS发放FortiClient ❀ FortiClient EMS ❀ Fortinet 网络安全专家 NSE 5

Posted 飞塔老梅子

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了教程篇(7.0) 05. 通过FortiClient EMS发放FortiClient ❀ FortiClient EMS ❀ Fortinet 网络安全专家 NSE 5相关的知识,希望对你有一定的参考价值。

  在本课中,你将学习如何使用FortiClient EMS在终端上提供FortiClient。

  通过展示FortiClient配置的能力,你将能够创建终端策略和配置文件,以及启用不同的FortiClient功能和设置。 

  通过展示配置和编辑端点策略的能力,你将能够使用终端策略将终端配置文件应用到终端组或用户。

  终端策略将终端配置文件分配给Windows、macOS和Linux终端的终端组或用户。“管理策略”页面提供了将哪些端点策略应用到哪些端点组或AD设备组(计算机)的全面摘要。

  安装FortiClient EMS时,会创建一个默认策略。缺省情况下,缺省策略会将缺省终端配置文件分配给未分配的终端组或AD设备组,或不匹配初始化时在FortiClient EMS上配置的其他策略的组或用户。

  你可以编辑默认策略,但不能禁用或删除它。你只能修改默认策略上的fabric和off-fabric终端配置文件。

  注意当用户在同一机器上切换本地无域帐号和域帐号时,可能会导致FortiClient EMS对终端应用的策略不正确。

  通过创建新的终端策略,可以将终端配置文件分配给终端组或AD用户。

  在上图显示的屏幕截图中,你可以看到属于域trainingAD组和All Groups的终端包括在终端策略中配置了终端配置文件的工作组终端。你必须在策略上选择on-fabric配置文件,但off-fabric配置文件是可选的。FortiClient EMS通过下一个Telemetry通信将这些设置推送到终端。在本例中,trainingAD组中的终端适用于学生策略。FortiClient EMS只对组应用“培训策略”。

  在“策略管理”界面,你可以对策略进行添加、编辑、删除、启用或禁用操作。

  你还可以创建Chromebook策略分配终端配置文件和遥测网关列表组的Chromebook终端。管理Chromebook策略页面提供了一个全面的总结,哪些策略应用到谷歌域中的哪些组。只有在FortiClient EMS服务器上启用了“forclient EMS for Chromebooks Settings”选项时,才会出现该选项。

  Chromebook策略的功能与Windows、macOS和Linux终端策略相同,除了它们应用于Chromebook终端,并且只能包括Chromebook配置文件,而不能包括遥测网关列表。

  一个终端可以适用于多个终端策略。当一个终端符合多个终端策略时,以下因素决定了哪个终端策略适用于该终端:

  ● 只有在“终端策略和组件管理策略”页面上启用终端策略时,FortiClient EMS才会对终端应用终端策略。

  ● 如果一个终端符合多个启用终端策略的条件,FortiClient EMS将根据以下条件确定应用哪个终端策略,顺序如下:

  1. 如果某个策略是直接分配给用户的(在终端策略的Users字段中配置),则FortiClient EMS会将该策略分配给终端。

  2. 如果有策略分配给组容器或用户组,或同时有策略分配给终端,FortiClient EMS将优先级最高的策略分配给终端。

  3. 如果有继承的策略分配给组容器或用户组,或两者都有(分配给父容器或组的策略),FortiClient EMS将优先级最高的策略分配给终端。

  在上图的示例中,AD组TrainingAD同时适用于Training和AD-group策略。在此场景下,FortiClient EMS将第一个符合条件的终端策略“培训”应用于AD组,因为该终端策略的优先级最高。为了对终端应用更严格的策略(AD-Group),管理员必须移动策略,使其具有比Training策略更高的优先级。

  在“策略管理”界面,单击“更改优先级”,选择策略,并根据需要上下移动策略。

  FortiClient EMS支持上传或导入CA证书。你可以通过浏览本地pc上的CA证书文件,手动上传证书。或者,你也可以从FortiGate导入证书。你将需要提供FortiGate IP地址、VDOM信息和登录凭证。

  FortiClient EMS会使用HTTPs端口导入证书。

  可以为终端配置fabric上的检测规则。FortiClient EMS使用这些规则来确定终端是on- fabric还是off-fabric。根据终端在fabric上的状态,FortiClient EMS可能应用不同的配置文件到终端,如应用终端策略中配置。一个规则集可以用于fabric检测。

  DHCP服务器可以配置DHCP服务器的IP地址或MAC地址,也可以同时配置DHCP服务器的MAC地址和IP地址。还可以配置DHCP码。DHCP代码是Fortios 6.0中的选项224的同义词,这是FortiGate的序列号。现在,DHCP代码可以是在DHCP服务器中作为选项224配置的任何字符串。如果需要,你仍然可以使用FortiGate序列号作为DHCP代码。在forclient EMS中,如果终端连接的DHCP服务器与指定的配置匹配,则认为终端满足规则。可以配置多个IP地址、MAC地址和DHCP代码。选择DNS服务器时,如果终端连接的DNS服务器与指定的配置匹配,则视为该终端满足规则。可为DNS服务器配置多个IP地址。

  当检测类型选择为“FortiClient EMS Connection”时,如果该终端与forclient EMS在线,则FortiClient EMS认为该终端满足规则。通过“本地IP/子网”,可以配置作为本地IP地址的IP地址范围。配置网关MAC地址为可选配置。当终端的以太网IP地址或无线IP地址在指定的范围内时,当终端的默认网关MAC地址与指定的MAC地址匹配时,如果已经配置,则认为终端满足规则。

  默认网关选项允许配置网关IP地址。当终端的默认网关与指定的IP地址和MAC地址匹配时,FortiClient EMS认为该终端满足该规则。同样,MAC地址是可选的。

  对于ping服务器检测,如果终端能够访问指定IP地址的服务器,则认为该终端满足规则。“公网IP”选项允许使用终端的公网IP地址或广域网IP地址。如果指定的公网(WAN) IP地址与指定的公网(WAN) IP地址匹配,则认为该终端满足规则。可以配置多个地址。

  检测类型选择“连接介质”时,可选择连接状态,如以太网连接、Wi-Fi连接或两者同时选择“已连接”或“未连接”。Wi-Fi选项还需要SSID和无线连接的安全类型。如果终端的网络设置与配置的所有字段匹配,则认为终端满足规则。

  请注意,fabric上的检测规则不适用于运行forclient 6.2.1和更早版本的终端。

  在“VPN隧道”选项中,可以输入SSL或IPSec类型的VPN隧道名称。当终端接入的VPN隧道名称匹配时,FortiClient EMS认为该终端满足该规则。按“+”键可以配置隧道。

  上图展示了一些检测类型及其选项。

  答案:B

  答案:A

  现在你了解了终端策略及其组件。接下来,你将了解终端配置文件。

  通过展示在配置、编辑、分配和管理终端配置文件方面的能力,你将能够使用终端配置文件来定义安装在FortiClient终端上的功能。

  安装FortiClient EMS时,会创建一个默认配置文件。默认情况下,此配置文件应用于你创建的任何组。缺省配置文件旨在提供有效的保护级别。Windows、macOS和Linux终端以及Chromebook终端都有单独的默认配置文件。

  你可以为Windows、macOS和Linux端点和Chromebook端点创建和配置单独的配置文件。你也可以编辑如这上图所示的默认配置文件。

  你可以编辑、添加或删除默认配置文件中的设置。单击“恢复默认”,也可以恢复到默认设置。

  缺省配置文件旨在提供有效的保护级别。要使用特定的功能,例如应用程序防火墙,创建一个新的配置文件或编辑默认配置文件。

  注意,一个单独的FortiClient必须属于一个组,然后才能将设置推送给他们。

  你可以创建终端配置文件来配置FortiClient。本配置文件不包括在终端上安装或卸载FortiClient软件,用于在终端上配置FortiClient软件。

  你还可以在FortiClient EMS中使用XML或自定义方式配置FortiClient配置文件使用FortiClient EMS上的XML编辑器进行XML配置。自定义XML文件必须包含终端在部署时所需的所有设置。

  你可以从FortiGate和FortiManager设备中导入FortiClient web过滤配置文件到FortiClient EMS中,然后在FortiClient EMS中编辑该配置文件,以添加FortiClient安装程序或其他配置细节。

  FortiGate和FortiManager上的HTTPS端口必须打开,才能成功将配置文件从FortiOS导入到FortiClient EMS。

  你需要导入配置文件的FortiGate或FortiManager设备的IP地址和端口号。你还需要一个来自FortiGate或FortiManager的VDOM名称(如果适用的话);登录用户名,以及连接密码。

  你还可以导入XML配置文件来创建配置文件。如果配置文件启用了在功能选择中被禁用的功能,那么FortiClient EMS将显示一个警告,说明该功能将不会在配置文件部署到的终端上启用。要在终端上启用该功能,你必须在功能选择中启用该功能。

  Chromebook配置文件支持网页分类过滤,阻止和允许列表,以及安全搜索。你可以创建不同的配置文件,并将它们分配给谷歌域中的不同组。安装FortiClient EMS时,会创建一个默认配置文件。此配置文件适用于你添加到FortiClient EMS中的任何域。

  该搜索引擎提供了一种安全的搜索功能,可以从搜索结果中屏蔽不适当或显着的图像。安全搜索功能有助于屏蔽大多数成人内容。FortiClient EMS支持谷歌、Yahoo、Bing等常用搜索引擎的安全搜索。

  FortiClient EMS中的配置文件控制安全搜索功能。

  当你使用终端策略向域或工作组分配配置文件时,配置文件设置将自动推送到域或工作组中的终端。如果你没有将配置文件分配给特定的域或工作组,则会自动应用默认配置文件。在编辑分配给终端或域的现有配置文件后,当你保存配置文件时,更改也自动推到终端或Chromebook。

  当你克隆一个配置文件时,所有的内容都会显示在内容窗格中,并且你可以用一个新的名称保存克隆的配置文件。

  对于从FortiGate或FortiManager导入的配置文件,你可以手动同步配置文件,这样它们就会更新为从它们导入的FortiGate或FortiManager设备的最新更改。你也可以编辑同步计划时间。

  你还可以删除任何新创建的配置文件。但是请注意,你不能删除默认配置文件和分配的配置文件。 

  对于Chromebook,只有Web过滤器和系统设置选项卡可用。其他所有选项卡都是Windows、macOS和Linux终端独占的。

  配置文件名称允许你输入名称并选择显示选项。基本显示选项显示所有GUI选项。Advanced显示选项允许XML配置选项卡使用XML配置配置文件。此选项仅适用于Windows、macOS和Linux配置文件。

  眼睛图标在以下FortiClient功能上可用:

  ● 恶意软件保护

  ● 沙盒

  ● Web过滤

  ● 应用程序防火墙

  ● VPN

  ● 漏洞扫描

  在FortiClient中,你可以使用眼睛图标向终端用户显示或隐藏功能。当你选择隐藏时,该功能仍将在后台运行,但终端用户无法看到它。当在用户不知情的情况下检查流量时,它非常有用。

  在FortiClient上启用反病毒功能。有些选项只有在启用高级时才会显示。

  在一般设置中,你可以启用或禁用一些选项,这些选项将阻止与已知通道的通信,阻止对恶意网站的访问,并使用FortiSandbox的签名识别恶意软件和漏洞。

  在实时保护设置中,FortiClient可以对病毒发现采取不同的处理措施。还可以选择文件大小,对用户或系统进程访问的文件进行扫描,如读、写等。按需扫描集成了FortiClient到Windows资源管理器菜单。当电脑使用电池供电时,你可以暂停扫描,并自动向FortiGuard提交可疑文件进行分析。你还可以选择调度类型、扫描类型和优先级。你还可以选择可移动媒体和网络驱动器进行扫描。

  反勒索软件保护特定的文件,文件夹,或文件类型在你的终端从未经授权的更改。

  反利用选项使反利用引擎能够监视常用的应用程序,以发现利用已知漏洞的企图。你可以排除应用程序从反利用检测和启用系统托盘通知。

  你可以启用基于云的恶意软件爆发检测。基于云的恶意软件保护功能通过查询FortiGuard来确定文件是否恶意,帮助保护终端免受来自外部来源的高风险文件类型,如互联网或网络驱动器。

  你还可以在反病毒扫描中启用对可移动媒体设备的控制访问以及文件或文件夹的排除。其他选项允许扫描rootkit、广告软件、风险软件、电子邮件、插入媒体和高级启发式签名。必须使用Advanced视图查看Other选项。

  一旦恶意软件在终端配置文件上启用并推送到FortiClient,你可以在FortiClient控制台的反病毒仪表板上查看可用选项。

  你可以查看实时保护状态、查看数据库是否最新或按需进行反病毒扫描。在FortiClient EMS默认终端配置文件中,默认关闭恶意软件保护功能。

  当以下条件之一为真时,FortiClient会在安装后自动禁用RTP:

  ● 操作系统是服务器

  ● 检测到Exchange服务器

  ● 检测到SQL Server

  如你所知,FortiClient安全功能是通过FortiClient EMS授权的。没有联系到FortiClient EMS,这些功能就消失了。只能在FortiClient EMS终端配置文件中配置反病毒选项进行修改。

  单击“设置”图标,可以查看大部分防病毒配置信息。在实时保护方面,你可以配置设置来指定要扫描的内容。当在实时监控过程中检测到病毒时,将自动隔离该病毒。如果你安装了其他反病毒软件,FortiClient会弹出警告提示,提示你的系统可能因为不同反病毒软件的冲突而锁定或变得不稳定。在安装FortiClient或启用反病毒实时保护功能之前,请先卸载所有冲突的反病毒软件。

  还可以启用预定的反病毒扫描,在预定的时间自动扫描工作站。排除列表允许你将不希望包含在反病毒扫描中的文件和文件夹包括在内。

  上图展示了FortiClient上的实时保护配置。要启用实时保护,你必须选择“在文件下载或复制到我的系统时扫描文件”。为什么?

  当你从互联网下载软件时,总是有可能下载到试图将恶意软件、灰色软件或病毒注入你的系统的应用程序或程序。

  你还可以使用IP信誉数据库签名启用命令和控制(C&C)检测。它根据已知的C&C IP地址和端口号组合来检查网络流量。

  阻断恶意网站阻断所有对恶意网站的访问。启用该选项前,必须在“系统设置”页签中勾选“FortiProxy(仅在故障处理时禁用)”。

  你可以为安全风险站点类别配置一种操作,其中包括阻止、警告、允许和监视。你还可以选择查看所有子类别,并为每个子类别配置单个操作(阻止、警告、允许、监视)。安全风险类别包含以下子类别:

  ● 动态DNS

  ● 恶意网站

  ● 新近观察到域

  ● 新注册的域名

  ● 网络钓鱼

  ● 垃圾邮件网址

  你可以配置每日、每周和每月扫描,以及选择上图的一种扫描类型。快速扫描只扫描可执行文件,dll和驱动程序,目前正在运行的威胁。完整扫描是指对系统进行全扫描,包括所有文件、可执行文件、dll和驱动程序进行威胁扫描。自定义扫描是指在本地硬盘驱动器上选择特定的文件夹进行威胁扫描。所有三种扫描类型运行rootkit检测引擎来检测和删除rootkit。

  默认情况下,FortiClient计划每月运行全系统扫描。建议你在你的终端上运行一个完整的系统扫描,由默认设置指定。使用默认设置可以在保护终端免受网络威胁和支持最佳总体性能之间取得最佳平衡。如果默认设置不能满足你的需求,你可以进行相应的调整和微调。

  注意,如果你将月度扫描配置为在每个月的31日进行,那么对于那些少于31天的月份,扫描将在每月的第一天进行。

  如果你希望从反病毒扫描中排除特定的文件或文件夹,但仍然希望对系统的其他部分执行反病毒扫描,则可以配置排除列表。添加到此列表中的文件和文件夹将不进行反病毒扫描。

  你还可以在FortiClient控制上按需运行反病毒扫描。扫描有四种类型:

  ● 自定义扫描运行:rootkit检测引擎,检测并移除rootkit。它允许你在本地硬盘驱动器(HDD)上选择一个特定的文件夹来扫描威胁。

  ● 完整扫描:运行rootkit检测引擎,检测并移除rootkit。然后,它对所有文件、可执行文件、dll和驱动程序执行全系统扫描。

  ● 快速扫描:运行rootkit检测引擎,检测并移除rootkit。它只扫描以下威胁:可执行文件、dll和当前正在运行的驱动程序。

  ● 可移动媒体扫描:在可移动媒体上运行完全扫描。不能为可移动介质安排扫描。

  你可以查看最近一次扫描运行的日期。你可以对工作站上的特定文件或文件夹执行反病毒扫描,方法是右键单击该文件或文件夹,然后选择“使用FortiClient反病毒扫描”并提交以供分析。你每天最多可以向FortiGuard提交5个文件进行分析。FortiClient使用SMTP端口25上传文件。网络防火墙已开放该端口。FortiGuard团队不会对提交的文件提供反馈,但会为检测到的恶意文件创建签名。

  注意,提交分析选项仅在你选择单个文件时可用。

 在FortiClient控制台中,“检测到的威胁”链接允许你查看隔离的威胁、站点违规和实时保护事件。每个链接都提供了有关威胁或违规的进一步信息。

  通过隔离文件链接,你可以查看、提交或查看隔离文件的详细信息。你还可以查看原始文件位置、查看病毒名称、向FortiGuard提交可疑文件和查看日志。只有FortiClient EMS管理员可以对隔离文件进行删除、允许列表和恢复操作。

  网站违规链接允许你查看网站违规,这是FortiClient反病毒的一部分,并提交请求,使网站重新分类。你可以查看违规网站的详细信息,包括网站名称、类别、日期和时间、用户名和状态。

  当发生反病毒实时保护事件时,它会记录在realtime_scan.log中,你可以在任何文本编辑器中打开它。默认情况下,实时保护事件会在默认查看器中打开。

  当用户通过浏览器下载病毒文件时,如果发现病毒的处理措施设置为“禁止访问受病毒感染的文件”或“隔离受病毒感染的文件”,则会给出警告信息。隔离文件发现操作后,你可以采取上图中显示的操作之一。FortiClient将文件锁定在文件详细信息页上显示的指定位置,直到执行任何操作。在版本6.2中,恢复和允许列表是在FortiClient EMS隔离管理上完成的。

  当操作设置为“禁止访问受感染的文件”时,系统将弹出提示信息,说明该文件已感染病毒,不允许用户下载该文件。

  请注意,如果不选择“检测到病毒时发出警报”,当你试图通过web浏览器下载包含病毒的文件时,病毒警报对话框将不会打开。

  通过选择“关于”,可以查看当前FortiClient的版本、引擎和签名信息。

  当注册在FortiGate或FortiClient EMS时,你可以使用FortiManager的客户端软件和签名更新。

  反勒索软件保护你终端的特定文件、文件夹,或文件类型未经授权的更改。反勒索软件部分包括保护文件夹、文件类型和动作有效签名者的选项。

  你可以从现有列表中选择所需的文件夹,或者创建一个自定义目录来保护。使用“添加文件夹”按钮添加一个新文件夹。FortiClient反勒索软件保护所选文件夹中的所有内容不受未经授权的更改。

  还有一个受保护的文件类型列表。你可以添加额外的文件类型来防止可疑活动,用逗号分隔每个文件类型。请注意,在输入文件类型时,不要包括前导点。例如,要包含文本文件,你可以输入txt,而不是.txt。

  当反勒索软件检测到可疑活动时,它会显示一个弹出窗口,询问用户是否想要终止该进程。如果用户选择yes,则FortiClient终止可疑进程。如果用户选择no, FortiClient将允许进程继续。但是,如果用户没有选择一个选项,FortiClient将等待配置的动作超时,然后按照配置执行以下操作之一:

  ● 如果检测到可疑活动,则阻止访问并警告用户:FortiClient终止可疑活动的进程。

  ● 警告用户并在超时后恢复:FortiClient允许进程继续。

  “绕过有效签名者”允许FortiClient从所选反勒索软件操作中排除一个进程,如果该进程有有效的签名者。

  反漏洞检测保护脆弱终端免受未知漏洞攻击。FortiClient监控流行的应用程序的行为,如web浏览器(Internet Explorer, Chrome, Firefox, Opera), Java/Flash插件,Microsoft Office应用程序和PDF阅读器,以检测利用零日或未修补的漏洞感染终端的漏洞。一旦检测到,FortiClient将终止被破坏的应用程序进程。

  反漏洞检测功能还可以保护终端不受基于内存的攻击和驱动下载的攻击。它还可以检测和阻止未知和已知的漏洞工具包。

  上图显示了反漏洞部分中常用的应用程序列表。你还可以通过将某个应用程序移动到“排除应用程序”框中来排除被监视的应用程序。本例中不包括Opera网络浏览器。

  反漏洞是一种无签名的解决方案。

  基于云的恶意软件保护功能通过查询FortiGuard来识别文件是否恶意,帮助保护端点免受来自外部来源(如互联网或网络驱动器)的高风险文件类型的影响。当文件被下载或执行时,FortiClient会为文件生成一个SHA1校验和。FortiClient将校验和发送给FortiGuard,与FortiGuard的校验和库进行比较,以确定它是否是恶意的。如果在库中找到校验和,FortiGuard会通知FortiClient该文件被认为是恶意软件。默认情况下,FortiClient对文件进行隔离。

  该功能只向FortiGuard提交高风险的文件类型,如.exe、.doc、.pdf和.dll。你可以在不依赖反病毒保护的情况下启用该特性。缺省情况下,高危文件类型列表与提交FortiSandbox的文件类型列表相同。

  上图展示了你可以选择的基于云的恶意软件保护选项:对于服务器设置,你可以选择等待云扫扫描结果,然后允许访问,如果结果超时,或拒绝访问文件时,没有任何结果。当FortiClient EMS无法访问时,会出现超时FortiGuard。

  File Submission Options部分允许你选择需要提交分析的文件的源。来源可以是可移动媒体,如USB,映射的网络驱动器,网页下载,和电子邮件下载。你还可以通过启用“从可信源排除文件”来排除可信源中的文件。

  “修复处理措施”允许你在检测到恶意文件时选择“隔离”或“警报并通知”。当FortiClient隔离该文件时,根据FortiGuard是否报告该文件为恶意文件,采取此处理措施。

  可移动媒体访问部分控制可移动媒体设备的访问,如USB驱动器或外部硬盘驱动器。你还可以配置规则来允许或阻止特定的可移动设备。特定设备的规则需要类别、制造商、厂商ID、产品ID和修订信息。你可以通过以下方式之一找到设备所需的值:

  ● Microsoft Windows设备管理器:选择设备并查看其属性。

  ● USBDeview

  通过FortiClient EMS管理员的配置,FortiClient可以根据规则对可移动媒体设备的访问进行允许、阻止或监控。对不符合任何配置规则的设备的访问控制或操作由默认的可移动媒体访问设置控制。在上图的示例中,动作Monitor被选择为默认动作,并且没有为特定的设备配置规则。通过这种配置,FortiClient将记录所有连接到终端的移动设备的连接。

  排除选项允许排除AV扫描。FortiClient EMS支持使用通配符和路径变量指定文件和文件夹,以排除扫描。上图显示了通配符和变量FortiClient EMS支持。

  注意,不支持通配符和变量的组合。较长的排除列表会影响AV性能。建议排除列表尽可能短。排除列表是区分大小写的。

  其他部分允许你启用扫描rootkit,广告软件,风险软件,电子邮件,插入媒体,高级启发式和MIME文件。它还支持FortiGuard分析,自动将可疑文件发送到FortiGuard进行分析。

  你还可以对已登录的FortiClient用户开启过期AV签名通知功能。

  FortiClient支持与FortiSandbox的集成,无论是在本地还是在云端。配置后,FortiSandbox会自动扫描下载到终端上的文件,或从连接到终端的可移动媒体上的文件,或映射的网络驱动器。FortiClient还能自动扫描电子邮件客户端从终端或互联网上下载的文件。在每种情况下,如果在本地没有检测到文件,并且配置了FortiSandbox集成,FortiClient会将文件发送给FortiSandbox进行进一步分析。终端用户也可以手动提交文件到FortiSandbox进行扫描。定期从FortiSandbox下载最新的反病毒特征码,应用于本地所有实时、点播的反病毒扫描。FortiClient每天最多可向FortiSandbox Cloud发送300个文件。如果同时提交了多个文件,FortiClient会发送一个文件到FortiSandbox Cloud,等待该文件的判决结果,然后发送下一个文件到FortiSandbox Cloud。对于FortiSandbox, FortiClient发送的文件总数受限于硬件规格。

  你可以在FortiClient EMS中启用“沙箱检测”。有些选项只有在启用高级时才会显示。

  当你启用FortiSandbox时,以下选项可用:

  ● 服务器允许你在网络中选择FortiSandbox,并根据结果选择文件访问选项。

  ● 在“文件提交选项”部分,你可以选择可移动媒体、网络驱动器、web下载和电子邮件下载等文件资源。

  ● “修复处理措施”允许你对受感染的文件选择“隔离”或“警报并通知”处理措施。

  ● 异常允许你排除来自可信源和特定文件或文件夹的文件。

  ● Inclusions允许你向FortiSandbox提交包括文件夹和文件。

  ● 其他从Windows上下文菜单隐藏沙盒扫描选项。

  除了配置上图中显示的选项外,还必须在FortiSandbox上配置到FortiClient EMS的连接。在FortiSandbox上单击“扫描>设备”,通过序列号搜索FortiClient EMS并授权。在“面板”的“系统信息”小部件中可以查看到FortiClient EMS的序列号。

  通过单击“设置”图标,可以在FortiClient控制台中查看沙箱配置。这些选项包括:

  Wait for FortiSandbox results before allow file access:选择等待FortiSandbox分析结果后才允许文件访问。

  当没有沙箱结果时,拒绝文件访问:当FortiClient无法访问FortiSandbox进行文件分析或无结果时,拒绝文件访问。

  你可以查看以下FortiSandbox提交选项:

  所有从映射的网络驱动器执行的文件:选择将所有在映射的网络驱动器上执行的文件提交到FortiSandbox进行分析。清除复选框以禁用此特性。

  所有从移动媒体执行的文件:选择将所有在移动媒体(如USB驱动器)上执行的文件提交到FortiSandbox进行分析。清除复选框以禁用此特性。

  所有web下载:选择提交终端上的所有web下载到FortiSandbox进行分析。

  所有邮件下载(例如Outlook):选择将终端上的所有邮件下载提交到FortiSandbox进行分析。

  你可以查看以下补救选项:

  隔离受感染的文件:选择隔离受感染的文件。

  仅警报和通知:选择就感染病毒的文件向终端用户发出警报并通知,但不隔离感染病毒的文件。

  你可以查看以下排除选项:

  从可信源排除文件:选择从FortiSandbox分析中排除可信源的文件。

  免除指定文件/文件夹:选择免除FortiSandbox分析中的指定文件和/或文件夹。还必须创建排除列表。

  注意,所有的配置更改都是在FortiClient EMS终端配置文件上完成的。例如,你还可以包含没有扩展名但必须通过XML配置配置的文件。

  当FortiSandbox启用并在线时,你可以按需发送文件到FortiSandbox进行扫描。

  FortiSandbox扫描结果显示在“恶意软件保护”页面。当检测到病毒时,FortiClient会创建一个通知警报,显示文件数量。可以阻止对文件的访问,直到FortiSandbox扫描结果返回。当扫描完成时,FortiSandbox可以隔离受感染的文件,或在不隔离文件的情况下向终端用户发出警告并通知受感染的文件。

  SUBMITTED框显示提交给FortiSandbox扫描的文件数量。ZERO-DAY框显示检测到的零日文件的数量。CLEAN框显示FortiSandbox扫描完成后识别为CLEAN的文件数,PENDING框显示等待FortiSandbox扫描的文件数。

  你可以查看被FortiSandbox隔离的文件。终端用户只能向FortiSandbox提交文件,用于扫描和检查隔离文件的详细信息。

  隔离文件的最大保存时间在<quarantine></quarantine> XML标记中指定。

  FortiClient将隔离的文件信息发送给FortiClient EMS。如果FortiClient EMS管理员白名单该文件(误报),FortiClient EMS将白名单信息发送给FortiClient。FortiClient收到允许列表信息后,将从隔离区释放文件。

  “Web Filter”页签启用Web过滤选项。对于Windows、macOS和Linux配置文件,必须在“系统设置”页签中启用“FortiProxy(仅在“故障处理”时禁用)才能使用Web Filter。

  一般设置包括启用FortiClient的web过滤功能,允许FortiClient在网络上使用FortiGate进行web过滤,网络中也配置了web过滤配置文件。此选项仅适用于Windows和macOS配置文件。该设置会影响“防病毒保护”中的“阻止访问恶意网站”设置。

  日志所有url启用对端点用户访问的所有url进行日志记录。你还可以启用“日志用户发起流量”功能,将用户信息包含在web过滤日志中。

  当HTTPS站点被阻止时显示冒泡通知启用当HTTPS站点被阻止时显示冒泡通知。选中“启用Web浏览器插件用于HTTPS Web过滤”,提高HTTPS站点Web过滤规则的检测和执行能力。

  你也可以启用安全搜索选项的搜索引擎,如谷歌搜索或YouTube。

  站点分类从FortiGuard启用站点分类。当站点类别被禁用时,FortiClient将受到排除列表的保护。对于下面的所有类别,你可以通过选择“阻止”、“警告”、“允许”或“监视”为整个站点类别配置操作。每个网站类别都显示在上图中。

  你也可以从FortiOS或FortiManager中导入web过滤配置文件到forclient EMS中,并同步到终端配置文件中。

  在“速率IP地址”中,可以同时过滤url地址和解析后的IP地址,并选择对速率错误的处理方式。

  请注意,如果你启用“当评级错误发生时允许网站”选项,FortiClient将阻止所有url,包括强制门户认证页面。这将阻止用户访问身份验证页面。

  排除列表选项允许你选择一个操作,并输入特定的url及其类型,例如简单、通配符或正则表达式。

  终端用户可以通过单击FortiClient控制台上的设置图标来查看当前配置。FortiClient EMS管理员可以根据网站类别及其子类别配置web安全配置文件,包括“允许”、“阻断”、“警告”和“监控web流量”。

  如果希望豁免属于某个类别的URL,但仍然希望对整个类别采取操作,该怎么办?

  FortiClient EMS管理员可以配置排除列表,在排除列表中添加网站,并设置允许、阻止、监控等权限。管理员还可以将简单表达式、通配符表达式或正则表达式配置为类型。如果网站属于被阻止的类别,则排除列表中的允许或监视权限允许用户访问特定的URL。请注意,当站点类别被禁用时,FortiClient仅受排除列表的保护。

  当你配置web过滤器常规设置时,你可以选择记录指定操作的所有url,并且可以下载记录的文件。你还可以选择只记录用户发起的浏览。

  你可以查看站点违规信息和违规详情,包括网站名称、类别、日期和时间、用户名。只有当操作设置为阻止或警告FortiGuard站点类别,并阻止排除列表时,违规才会显示。

  “应用程序防火墙”选项卡启用或禁用应用程序控制。

  在常规部分,你可以为被阻塞的应用程序启用冒泡通知。你还可以启用网络流量检测,以检查试图利用已知漏洞的入侵。

  在“类别”部分,你可以对这上图中显示的类别选择以下操作:

  ● 阻止

  ● 允许

  ● 监视

  应用程序覆盖选项允许FortiClient防火墙基于应用程序的签名来允许、阻止或监控应用程序。你可以删除应用,并为应用添加签名。注意,FortiClient不包括SSL深度检测。FortiClient不能应用“需要深度检测”的签名,请不要在配置文件中使用。

  VPN页签,启用或禁用VPN在端点上的使用。有通用的和特定的VPN类型设置可供配置。

  “常规”部分允许你启用或禁用各种VPN相关设置,你也可以选择最大尝试次数。这些选项同时应用于SSL和IPSec VPN。

  SSL VPN包括DNS缓存服务控制设置。可以选择关闭、保持不变或重启DNS缓存控制服务。你也可以将DNS服务器覆盖到SSL VPN DNS IP。

  你还可以启用或禁用上图中显示的不同IPSec VPN选项。

  可以同时为SSL和IPsec添加VPN配置文件。

  SSL VPN设置包括远端网关IP、SSL端口号、请求证书的选项和用户名提示。还有一个选项可以输入连接和断开连接脚本。该选项也必须在FortiGate上启用。

  IPSec VPN的配置包括对端网关IP、认证方式、预共享密钥(如果“认证方式”选择了“预共享密钥”)和提示用户名。你可以在“VPN设置”区域框中选择IPsec方式(主方式或野蛮方式),以及方式配置、手工配置、DHCP over IPsec、DNS服务器等选项。

  你还可以对阶段1和阶段2进行配置。用户可以选择用于生成协商密钥的加密和认证算法,并根据需要添加加密和认证算法,以及向远端VPN对等体提出的算法。你需要选择最小的一个和最大的两个组合。远程对等端或客户端必须配置为使用你定义的至少一个提议。

  FortiClient (Windows)支持基于源应用的分割隧道,可以指定从VPN隧道中排除哪些应用流量。你可以排除高带宽消耗的应用程序。

  例如,你可以排除Microsoft Office 365、Microsoft Teams、Skype、GoToMeeting、Zoom等应用程序。

  你必须在EMS中的终端配置文件中配置这些设置。该功能不支持显式包含VPN隧道中的流量。

  这上图显示的示例显示,应用程序Microsoft Teams是由其名称、完整路径或安装目录指定的。多个表项可以用“;”隔开。

  当FortiClient EMS管理员支持添加个人VPN连接时,也可以在FortiClient控制台直接配置IPsec VPN。你可以创建、编辑、保存或删除IPsec VPN连接。可以创建并保存多条IPsec连接。由于此配置是IPsec VPN的一端,因此为了连接和访问远程资源,配置设置必须与FortiGate IPsec配置相匹配。

  当FortiClient EMS管理员不允许使用个人VPN时,通过“端点配置文件VPN”页签可以提供这些配置,以及一些高级配置,如冗余IPsec VPN连接、保存密码、自动连接、一直在线等。

  SSL VPN的配置与IPsec类似,即隧道的一端配置,另一端在FortiGate上配置。

  当FortiClient EMS管理员不允许个人VPN时,终端配置文件VPN选项卡允许你提供这些配置,以及SSL VPN门户上的高级配置,以及更多。

  DTLS是一个仅适用于windows的特性,不建议用于较慢的网络。在FortiGate SSL VPN设置中也必须启用DTLS设置。

  你可以选择在连接到FortiGate之后、更新漏洞签名时以及操作系统更新时对端点进行漏洞扫描。

  你也可以通过选择“启用代理”来启用代理。

  自动维护设置允许你配置漏洞扫描作为Windows自动维护的一部分运行。将FortiClient漏洞扫描添加到Windows自动维护队列中,系统可以选择合适的时间进行扫描。

  你还可以安排扫描。在“计划类型”下拉列表中,可以选择“每天”、“每周”或“每月”。在Scan On字段中,可以配置运行扫描的日期。如果时间表设置为“每月”,则此设置适用。你还可以指定扫描开始的时间。

  “自动补丁”功能是指在检测到漏洞时自动安装补丁。可以选择“紧急”、“高”、“中”、“低”或“全部”。

  “排除”部分包含允许排除应用程序的选项。上图显示了这些选项。这些选项不会将应用程序排除在漏洞扫描之外。当在排除中启用“禁用这些应用程序的自动补丁”按钮时,将禁用对排除在漏洞遵从性检查之外的应用程序的自动补丁。

  当FortiClient开启了合规性,且有FortiClient EMS合规性规则要求时,所有自动和手动软件补丁的安装必须在符合状态和网络接入的时间段内完成。默认时间为一天。

  但是,FortiGate管理员可能会选择不同的时间框架。联系你的系统管理员以了解你需要多长时间来修复漏洞。

  漏洞扫描可以识别终端上需要通过安装软件补丁来修复的漏洞。你可以单击“立即修复”,自动安装软件补丁,也可以在安装软件补丁前检查已检测到的漏洞。同时也列出了不能自动安装的软件补丁。你应该手动下载并安装有漏洞的软件补丁。

  FortiClient每隔一定时间或每天更新一次漏洞扫描签名。对于间隔,必须以小时为单位选择。最小为1,最大为24。对于daily,你必须选择一天中的特定时间。FortiClient不支持推送更新。

  扫描完成后,FortiClient会显示终端上发现的漏洞汇总信息。如果发现需要手动安装修复补丁的漏洞,还会显示受影响的软件列表。

  你可以查看最近7次漏洞扫描和补丁的历史记录。你可以查看历史记录,以了解哪些软件被识别为易受攻击的,以及是否针对这些漏洞安装了补丁。

  答案:B

  答案:A

  答案:B

  现在你已经了解了FortiClient终端配置文件,接下来,你将了解如何配置FortiClient设置。

  通过展示配置FortiClient设置的能力,你将能够配置不同的ForitClient设置,以满足你的需求。

  这些配置选项中的大多数只适用于Windows、macOS和Linux配置文件。诸如上传日志到FortiAnalyzer/FortiManager等选项可用于所有端点。有些选项只有在启用Advanced视图时才可用。

  Ul部分指定了在终端上安装FortiClient用户界面时的显示方式。

  Log部分指定将生成日志的级别和功能等日志设置。FortiClient可以使用不同的日志级别。它们包括信息、紧急情况、警报、关键情况、通知、调试等。

  你还可以选择“on- based Logging When On-Net”,包括客户端On-Net时的本地日志消息,以及“Upload Logs to FortiAnalyzer/FortiManager”。这将需要FortiAnalyzer或FortiManager的IP地址和其他设置,如上传计划、日志生成超时和日志保留策略(以天为单位)。你还可以选择从FortiClient终端上传事件日志。

  代理部分允许你启用对FortiGuard服务器的访问,并使用配置的代理向FortiGuard提交病毒。可以选择代理类型、IP、端口、用户名和密码。

  在Update部分,你可以指定是否将FortiManager用于FortiClient更新。你还可以选择FortiClient软件更新、更新时间表、FortiGuard服务器位置和类型以及anycast。

  你必须启用FortiProxy来使用web过滤选项以及一些防病毒选项。你可以启用“HTTPS代理”。如果禁用,FortiProxy将不再检测HTTPS流量。它还支持其他有用的选项,如上图所示。

  Endpoint Control部分指定终端的设置。你可以参考上图来了解所有可用的选项。例如,管理员可以设置“禁用断开连接”,禁止用户断开FortiClient遥测到FortiClient EMS的连接。

  用户身份设置部分的选项允许用户使用以下方法在FortiClient中指定自己的身份:

  ● 在FortiClient中手动输入他们的详细信息

  ● 登录社交媒体账户,如Linkedln,谷歌或Salesforce

  默认情况下,FortiClient EMS从终端操作系统获取用户详细信息。如果用户使用上面列出的方法之一提供了他们的详细信息,FortiClient EMS将获得用户指定的详细信息。禁用该选项时,FortiClient EMS会从终端操作系统中获取并显示用户详细信息。

  零信任网络访问(ZTNA)设置部分启用FortiClient上的ZTNA连接规则功能。该功能需要在FortiClient上手动添加ZTNA TCP转发接入代理连接规则。

  其它部分中的选项在客户端上启用CA证书安装。你可以在“管理CA证书”窗口中添加证书。它还支持FortiAuthenticator的SSO迁移代理。使用该功能需要在FortiAuthenticator设备上申请FortiClient SSO移动代理证书。默认端口号为8001。FortiAuthenticator监听一个可配置的TCP端口。FortiClient采用双向证书认证的TLS/SSL方式连接FortiAuthenticator。FortiClient向FortiAuthenticator发送登录报文,FortiAuthenticator返回确认报文。FortiClient到FortiAuthenticator的通信要求如下:

  1. IP地址在整个网络中必须唯一。

  2. FortiAuthenticator必须可以从所有位置的客户端访问。

  3. FortiAuthenticator必须能被所有FortiGate设备访问。

  iOS部分的选项允许你上传.mobileconfig文件来分发配置文件。

  在FortiClient系统设置GUI上还有其他的设置,包括:

  备份:备份FortiClient配置。

  恢复:恢复FortiClient配置。请注意,恢复按钮总是灰色的,因为FortiClient是由FortiClient EMS管理。

  注意FortiClient的配置文件是XML格式的配置文件。备份时可以选择文件的目标文件,将文件保存为不加密的(.conf)或加密的(.sconf)格式。你可以在XML配置文件中包含或排除注释。

  答案:A

  答案:B

教程篇(7.0) 05. FortiGate安全 & 防火墙认证 ❀ Fortinet 网络安全专家 NSE 4

教程篇(7.0) 05. FortiGate基础架构 & IPsec安全隧道 ❀ Fortinet 网络安全专家 NSE 4

教程篇(7.0) 07. 诊断和故障排除 ❀ FortiClient EMS ❀ Fortinet 网络安全专家 NSE 5

教程篇(7.0) 07. 诊断和故障排除 ❀ FortiClient EMS ❀ Fortinet 网络安全专家 NSE 5

教程篇(7.0) 07. 诊断和故障排除 ❀ FortiClient EMS ❀ Fortinet 网络安全专家 NSE 5

教程篇(7.0) 03. FortiClient EMS配置和管理 ❀ FortiClient EMS ❀ Fortinet 网络安全专家 NSE 5