UserGate Client для Windows 7.5.x

Установка VPN-соединения с помощью UserGate Client для Windows

Встроенный в приложение UserGate Client для Windows VPN-клиент использует следующие параметры для установления VPN-соединения:

Протокол для установления защищенного соединения: IPsec (IKEv2).
Аутентификация с помощью x.509-сертификатов или c помощью методов EAP, PEAP.
Функция DPD (Dead Peer Detection), работающая в режиме On idle (при отсутствии трафика) с интервалом 15 секунд и максимальным количеством неудачных попыток — 6. Проверка доступности соседнего узла активируется в случае отсутствия трафика в туннеле в течение двойного интервала времени (30 секунд). Если не получен ответ от сервера на запрос проверки, пакеты продолжают отсылаться до максимально разрешенного количества попыток с интервалом 5 секунд. Если ответ получен, происходит возврат к первоначальному интервалу. Если ответ не получен — соединение разрывается.
Группы Диффи — Хеллмана: группа 2 Prime 1024, группа 14 Prime 2048, группа 16 Prime 4096.
Алгоритмы аутентификации и шифрования (фазы 1 и 2): SHA1/AES128, SHA256/AES128, SHA384/AES128, SHA1/AES256, SHA256/AES256, SHA384/AES256, SHA1/3DES, SHA256/3DES, SHA384/3DES.
Максимальный размер данных, шифруемых одним ключом (фаза 2): не ограничен.

При работе в связке с UserGate Management Center параметры параметров VPN-подключений централизованно задаются администратором сети на UserGate MC и передаются на управляемое конечное устройство по его запросу.

Если конечное устройство не интегрировано с UserGate MC, введите параметры соединения в начальном окне графического интерфейса приложения UserGate Client:

адрес VPN-сервера (IP-адрес или FQDN);
параметры аутентификации (логин с паролем или сертификат).

ПримечаниеПри использовании FQDN для подключения, если имени VPN-сервера соответствует несколько IP-адресов, клиент устанавливает соединение по первому адресу, который отвечает на запросы.

ПримечаниеДля корректного установления VPN-подключения с UserGate NGFW по протоколу IKEv2 логин и пароль, используемые клиентом, не должны содержать символы кириллицы.

Для установления VPN-соединения:

1. В строке состояния нажмите на значок UserGate Client.

2. В появившемся окне выберите VPN-сервер для подключения и нажмите Connect.

3. При необходимости введите имя пользователя и пароль, затем нажмите Next.

При успешном установлении соединения в окне приложения отобразится статус VPN Connected и данные установившегося соединения.

Если администратором VPN-сервера настроена функция раздельного туннелирования, маршруты, полученные от VPN-сервера, будут добавлены в таблицу маршрутизации конечного устройства при установлении соединения.

Чтобы разорвать VPN-соединение, нажмите Disconnect в окне приложения.

Работа UserGate Client в связке с UserGate NGFW

UserGate NGFW при работе в связке с конечными устройствами c установленным приложением UserGate Client может выполнять функции VPN-сервера, сервера контроля сетевого доступа и межсетевого экрана.

После установления VPN-соединения конечные устройства автоматически регистрируются на UserGate NGFW. Взаимодействие конечных устройств с UserGate NGFW производится по порту 4045 с использованием протокола HTTPS.

После регистрации на UserGate NGFW каждому новому конечному устройству присваивается уникальный идентификатор, который хранится в базе UserGate NGFW.

Конечное устройство периодически отправляет на UserGate NGFW данные телеметрии. UserGate NGFW на основе полученных данных выполняет проверку соответствия конечных устройств требованиям безопасности с помощью HIP-профилей. Информация о результате проверки передается далее для использования в правилах межсетевого экрана UserGate NGFW.

ПримечаниеЕсли конечное устройство подключено к UserGate Management Center, регистрации на NGFW после установки VPN-соединения не произойдет. Функция проверки соответствия конечного устройства правилам политики безопасности будет производиться на UserGate MC.

Тайм-аут активности конечных устройств составляет две минуты, то есть, если в течение двух минут на UserGate NGFW не поступает информация от конечного устройства, оно считается неактивным. По истечении трех периодов неактивности запись о конечном устройстве удаляется из базы UserGate NGFW. При повторном подключении конечное устройство будет заново зарегистрировано. Если конечное устройство будет подключено до истечения этого времени, его запись будет обновлена.

После подключения к другому VPN-серверу конечное устройство будет зарегистрировано на новом UserGate NGFW.

Проверка HIP на UserGate NGFW

Проверка на соответствие требованиям безопасности (комплаенса) на UserGate NGFW происходит по следующей схеме.

Конечное устройство отправляет на UserGate NGFW следующие данные:

информацию о пользователях;
данные о системе (версия, издание, netbios-имя);
список запущенных процессов;
список запущенных служб;
список установленного программного обеспечения (название, вендор, версия);
ключи реестра, которые используются в HIP-объектах;
список обновлений системы;
элементы автозагрузки;
информацию о защищенности системы (антивирус, межсетевой экран, BitLocker и т. п.);
информацию о точках восстановления системы.

Полученные от конечного устройства данные расшифровываются и передаются для сравнения с HIP-профилями. Информация о результате проверки передается далее для использования в правилах межсетевого экрана. Если конечное устройство соответствует всем условиям правила межсетевого экрана на UserGate NGFW, это правило становится активным для данного конечного устройства.

ПримечаниеУсловия HIP-объекта при проверке не выполняются, если используется критерий «Ключи реестра» со строковым значением ключа, содержащим символы кириллицы.

ПримечаниеДля работы с конечными устройствами UserGate Client необходимо наличие соответствующей лицензии на UserGate NGFW. Подробнее — в разделе «Лицензирование». В случае отсутствия соответствующей лицензии регистрации конечного устройства на UserGate NGFW не произойдет; будет установлено только VPN-соединение.

Для подключения конечного устройства к UserGate NGFW:

1. В выбранной зоне UserGate NGFW разрешите подключение конечных устройств. Для этого в параметрах зоны разрешите сервис «Подключение конечных устройств».

2. Укажите данные для установки защищенного соединения между конечным устройством и UserGate NGFW. Для этого в веб-консоли UserGate NGFW в разделе Настройки ➜ Консоль администратора ➜ Настройки укажите сертификат и профиль для установки защищенного соединения. При подключении конечное устройство будет проверять актуальность сертификата. В случае смены сертификата на UserGate NGFW при наличии уже подключенных конечных устройств необходимо распространить корневой сертификат удостоверяющего центра (Root CA); сертификат необходимо поместить в хранилище локального компьютера «Доверенные корневые центры сертификации».

3. Настройте UserGate NGFW в качестве VPN-сервера. Подробнее о настройке UserGate NGFW в качестве VPN-сервера для сценария удаленного подключения конечных устройств — в разделе «VPN для удаленного доступа клиентов (Remote access VPN)».

После установки VPN-соединения регистрация конечного устройства произойдет автоматически. Политики безопасности, настроенные на UserGate NGFW, также будут применены к конечным устройствам. Для проверки на соответствие требованиям безопасности (комплаенса) конечное устройство будет отправлять телеметрию на UserGate NGFW с периодичностью в 1 минуту.

Конечное устройство будет производить попытку регистрации каждый раз после подключения к новому VPN-серверу.

Работа UserGate Client в связке с UserGate MC

Интеграция конечных устройств с UserGate Management Center (UserGate MC) позволяет администратору централизованно управлять их конфигурацией и режимами работы.

Через платформу UserGate MC доступны следующие функции:

Управление параметрами UserGate Client на конечных устройствах.
Гибкая настройка политик безопасности через правила межсетевого экрана.
Централизованное создание и распространение параметров VPN-подключений для UserGate Client.
Проверка соответствия конечных устройств требованиям безопасности с помощью HIP-профилей.
Передача данных телеметрии и событий безопасности конечных устройств на устройства UserGate LogAn и UserGate SIEM для анализа и автоматического реагирования на угрозы безопасности.

Регистрация конечных устройств на UserGate MC происходит через порт 4045. В процессе регистрации применяется пин-код, созданный на UserGate MC. Конечному устройству присваивается уникальный идентификатор, который будет использован в дальнейшем для взаимодействия с платформой управления. Подробнее о добавлении конечных устройств под управление UserGate MC — в разделе «Добавление конечных устройств под управление UGMC».

После регистрации конечное устройство запрашивает параметры конфигурации у UserGate MC каждые 10 секунд. UserGate MC отправляет на конечное устройство:

параметры межсетевого экрана;
параметры VPN-подключений;
общие параметры шаблонов;
библиотеки элементов;
HIP-объекты и профили, если они используются в правилах межсетевого экрана.

Отправка конфигурации на конечное устройство происходит автоматически при ее изменении на управляющем UserGate MC.

Конечное устройство передает на UserGate MC следующие данные:

Телеметрию системы:
- данные о загрузке центрального процессора;
- сведения о накопителях;
- время непрерывной работы;
- другую статистику производительности.
Параметры для проверки соответствия HIP (подробнее — в разделе «Проверка HIP на UserGate MC»):
- статус средств безопасности (состояние антивируса, межсетевого экрана, автоматических обновлений системы, BitLocker);
- список активных процессов и служб;
- перечень установленного программного обеспечения;
- список установленных обновлений.

Данные о конфигурации отправляются конечным устройством только в случае наличия изменений.

При выполнении операций поиска в соответствующем разделе UserGate MC, конечное устройство отправляет на UserGate MC следующую дополнительную информацию:

временные метки — текущее время и время последней загрузки конечного устройства с указанием часового пояса;
сведения о подключенных USB-устройствах;
сведения об элементах автозагрузки;
данные о точках восстановления системы;
расширенные данные о производительности;
данные об обновлениях и ключах реестра.

UserGate Log Analyzer получает данные с конечных устройств не напрямую, а через UserGate Management Center (MC). Соединение между UserGate LogAn и UserGate MC защищено SSH-туннелем, по которому передается вся информация: телеметрия, журналы Windows и иные данные безопасности. Эти данные используются для последующего анализа и автоматического реагирования на угрозы.

Подробнее о централизованном управлении конечными устройствами с помощью UserGate MC — в разделе «Централизованное управление конечными устройствами».

Проверка HIP на UserGate MC

В UserGate MC реализована возможность проверки конечного устройства на соответствие требованиям безопасности (комплаенса) с помощью HIP-профилей.

Технология HIP (Host Information Profile) предназначена для сбора и анализа данных о состоянии защиты конечных устройств. Она позволяет оценивать уровень соответствия устройств заданным требованиям безопасности и использовать эти данные для управления доступом к сетевым ресурсам.

С помощью HIP проверяется наличие и актуальность антивирусного ПО, состояние межсетевого экрана, версия операционной системы, установленные обновления и другие параметры безопасности. Администратор сети может настраивать HIP-объекты (например, требования к наличию антивируса или установленным обновлениям операционной системы). Эти объекты объединяются в HIP-профили, которые задают правила проверки устройств. Результаты проверки HIP могут использоваться как условие для предоставления доступа. Например, доступ в корпоративную сеть или к критически важным приложениям может быть разрешен только устройствам, соответствующим заданным HIP-профилям.

Проверка соответствия конечных устройств требованиям безопасности производится следующим образом:

Конечное устройство отправляет на UserGate MC следующие данные:

информацию о пользователях;
данные о системе (версия, издание, netbios-имя);
список запущенных процессов;
список запущенных служб;
список установленного программного обеспечения (название, производитель ПО, версия);
ключи реестра;
список обновлений системы;
элементы автозагрузки;
информацию о защищенности системы (антивирус, межсетевой экран, BitLocker и т. п.);
информацию о точках восстановления системы.

Для проверки на соответствие требованиям безопасности используются только HIP-профили, указанные в правилах межсетевого экрана в качестве одного из условий фильтрации. В случае успешной проверки правило межсетевого экрана будет отправлено на конечное устройство с установленным клиентом.

ПримечаниеЕсли HIP-профиль не указан в параметрах правила межсетевого экрана на UserGate MC, такое правило применяется на всех конечных устройствах.

Установка UserGate Client

UserGate Client для Windows поставляется в формате установочного MSI- или EXE-файла, позволяющего выполнить установку вручную или с использованием инструментов автоматизации.

Минимальные системные требования

Минимальные системные требования для установки приложения:

Операционная система: Windows 10 (64-bit) или Windows 11 (64-bit).
Оперативная память (ОЗУ): не менее 2 ГБ.
Процессор: тактовая частота от 2 ГГц.
Свободное дисковое пространство: минимум 200 МБ.

Порядок установки приложения

Для установки приложения в ручном режиме запустите установочный файл. Во время установки запустится мастер настройки клиента, который предложит задать параметры подключения к UserGate Management Center — IP-адрес и код конечного устройства, созданный в центре управления.

ПримечаниеЧтобы отложить подключение к UserGate Management Center, нажмите Cancel.

ПримечениеПосле установки UserGate Client компьютер будет перезагружен. Это необходимо для корректной работы приложения.

Установка приложения в автоматическом режиме осуществляется с помощью групповых политик Microsoft Active Directory. Для публикации приложения в Active Directory требуется MSI-файл с инсталлятором и административный шаблон UserGateClient.adm, который используется для указания IP-адреса UserGate Management Center и кода устройства пользователя, созданного в центре управления.

После завершения установки UserGate Client получает конфигурацию, назначенную ему в UserGate Management Center, и передает информацию об устройстве пользователя в центр управления.

Приложение UserGate Client для Windows имеет несколько вкладок для настройки параметров.

Вкладка	Описание
General	Информация об устройстве пользователя (пользователь, имя компьютера, IP-адрес для выхода в Интернет, версия Windows) и VPN-подключении (статус подключения; VPN IP-адрес подключения конечного устройства; количество байтов, переданных и полученных с момента подключения по VPN; длительность соединения). Параметры для настройки: Флажок Save login — сохранение логина пользователя для VPN-подключения после перезагрузки конечного устройства. Флажок Reconnect — переподключение к VPN-серверу в случае обрыва связи. В случае потери соединения будет отображено начальное окно интерфейса приложения. Если опция переподключения активна, приложение будет производить повторные попытки подключения к серверу; если функция отключена — будет отображено начальное окно с выбором сервера. Флажок Popup in center — отображение начального окна интерфейса приложения в центре экрана в случае обрыва VPN-соединения
Logs	Настройка параметров журналирования. Logging level — уровень детализации: Off — отключить ведение журнала диагностики; Error — журналировать только ошибки; Warning — журналировать ошибки и предупреждения; Info — журналировать ошибки, предупреждения и дополнительную информацию; Debug — максимальная детализация. Журнал находится в разделе: `%ALLUSERSPROFILE%\UserGate\UserGate Client\var\log\usergateclient\ug_client.txt`. Tooltips history — история оповещений. Export logs — скачать журнал диагностики (после скачивания откроется архив с файлом журнала диагностики)
Network	Просмотр информации о сетевых параметрах и параметрах маршрутизации: IPCONFIG — информация о всех сетевых адаптерах и текущей конфигурации TCP/IP. ROUTING — записи локальной таблицы маршрутизации. SOCKETS — список активных подключений (тип порта, адреса, состояние соединения, идентификатор процесса). Чтобы скопировать информацию, нажмите Copy
Policy	Просмотр информации о безопасности устройства пользователя (статус межсетевого экрана, антивируса, центров обновления и безопасности Windows). Значение индикации: желтый — отключен; зеленый — включен; красный — не соответствует политикам безопасности
Advanced	Управление контентной фильтрацией (возможность самостоятельного отключения контентной фильтрации в соответствии с политиками, настроенными на сервере UserGate Management Center)

Данные для подключения к UserGate Management Center (IP-адрес и код для подключения устройства пользователя) указываются в разделе: %PROGRAMFILES%\UserGate\UserGate Client\usergateclient\bin\endpoint_gui.

Важно!В случае обновления операционной системы конечного устройства с Windows 10 до Windows 11 требуется удалить приложение UserGate Client средствами операционной системы и выполнить его повторную установку. О порядке корректного удаления приложения — в разделе «Удаление приложения».

Дополнительные рекомендации по настройке приложения UserGate Client для Windows

В этом разделе представлены дополнительные настройки устройства пользователя, позволяющие повысить информативность аудита событий операционных систем Microsoft Windows, расширив его функциональность.

ПримечаниеНастройки, представленные в данном разделе, носят рекомендательный характер.

ПримечаниеДля передачи журналов устройства пользователя на UserGate Log Analyzer на английском языке, установите языковой пакет «Английский (США)». После этого английский язык будет доступен для выбора в качестве языка интерфейса.

Чтобы расширить возможности UserGate Client на Windows:

1. Установите системную службу Sysmon, предоставляющую подробные сведения о создании процессов, сетевых подключениях и изменениях времени создания файлов. Подробная информация и файл установки доступны на портале документации Windows.

2. Добавьте раздел для возможности запроса журнала Sysmon (Microsoft-Windows-Sysmon/Operational) и передачи его на серверы UserGate Log Analyzer. Раздел можно добавить с помощью приложения «Редактор реестра» или с помощью следующей команды:

REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Microsoft-Windows-Sysmon/Operational"

ПримечаниеДля быстрого запуска приложения «Редактор реестра» нажмите комбинацию клавиш Win + R и запустите команду regedit.

3. Включите журналирование всех запускаемых PowerShell-команд и результатов вывода:

REG ADD "HKLM\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" /v EnableScriptBlockLogging /t REG_DWORD /d 1

В случае включения через «Редактор реестра» необходимо создать переменную EnableScriptBlockLogging в каталоге HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging, указав тип данных REG_DWORD и значение 1.

ПримечаниеНастройка этой функции возможна в реестрах HKEY_LOCAL_MACHINE и HKEY_CURRENT_USER. предпочтительно использование конфигурации HKEY_LOCAL_MACHINE.

4. Добавьте реестр для возможности запроса и передачи журнала PowerShell (Microsoft-Windows-Powershell/Operational) на серверы UserGate Log Analyzer:

REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Microsoft-Windows-Powershell/Operational

5. Включите регистрацию дополнительных данных о событиях создания процессов из командной строки в журнале событий безопасности (данные будут добавлены в событие аудита создания процессов «4688: создан процесс»). Для включения используйте приложение «Редактор реестра» или выполните следующую команду:

REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\Audit\" /v ProcessCreationIncludeCmdLine_Enabled /t REG_DWORD /d 1

В случае включения через «Редактор реестра» необходимо создать переменную ProcessCreationIncludeCmdLine_Enabled в каталоге HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\Audit, указав тип данных REG_DWORD и значение 1.

ПримечаниеЭта функциональность поддерживается на устройствах с версией операционной системы не ниже Windows Server 2012 R2 и Windows 8.1.

Журналирование

UserGate Client записывает события в журнал приложений Windows. Ведется запись следующих событий:

Запуск и остановка сервиса (события UG0101 Service started и UG0102 Service stopped).
Подключение к UserGate Management Center и потеря связи (события UG0201 MC connected и UG0202 MC connection lost).
Подключение по VPN и завершение сессии, в том числе ошибки подключения — недоступность сервера, неправильно указанные данные (события UG0301 VPN connected и UG0302 VPN disconnected).
Получение конфигурации от UserGate Management Center (событие UG0401 MC rules propagated).

Удаление приложения

Для корректного удаления приложения на компьютере пользователя перейдите в раздел Пуск ➜ Параметры ➜ Приложения ➜ Установленные приложения (Панель управления ➜ Программы ➜ Программы и компоненты в Windows 10), найдите в списке приложений UserGate Client и выберите Удалить.

После удаления приложения необходимо перезагрузить компьютер.

Лицензирование

Компьютер пользователя с установленным приложением UserGate Client называется конечным устройством.

Конечное устройство может быть интегрировано с UserGate Management Center (MC) или с UserGate NGFW. Функциональные возможности, предоставляемые UserGate Client, зависят от варианта интеграции и приобретенных лицензий.

Функция	Лицензия для NGFW	Лицензия для MC	Лицензия для MC + модуль NAC
VPN	+	+	+
Настройка параметров VPN	Диалоговое окно на конечном устройстве	Централизованно на MC	Централизованно на MC
Пользователи	Только VPN-пользователи	Все	Все
Телеметрия состояния	+	+	+
Телеметрия событий	−	+	+
Host Information Profile (HIP)	+	−	+
Настройка локального МЭ	−	+	+
Блокировка на локальном МЭ	−	−	+

Интеграция с UserGate NGFW

При интеграции конечного устройства с UserGate NGFW доступны следующие функции:

Установление защищенного VPN-подключения с UserGate NGFW. Настройка параметров VPN выполняется на конечном устройства в окне приложения.
Сбор телеметрии состояния конечного устройства на UserGate NGFW.
Контроль доступа конечных устройств к сети с помощью правил межсетевого экрана на UserGate NGFW, использующих HIP-профили.

Для интеграции необходимо приобрести лицензионный модуль UserGate Client для UserGate NGFW. Лицензия на модуль (сроком от 1 года до 5 лет) выписывается по количеству лицензируемых конечных управляемых устройств наборами по 10, 100 и 1000 шт. По истечении срока действия лицензии перестают работать правила межсетевого экрана, использующие HIP-профили в качестве условий фильтрации.

Подробнее о лицензировании UserGate NGFW — в разделе «Лицензирование UserGate NGFW».

Подробнее об интеграции конечного устройства с UserGate NGFW — в разделе «Работа UserGate Client в связке с UserGate NGFW».

Интеграция с UserGate Management Center

Для интеграции конечного устройства с UserGate MC необходимо приобрести базовый лицензионный модуль UserGate Client для UserGate MC. Лицензия на модуль выписывается по количеству лицензируемых конечных управляемых устройств наборами по 10, 100, 1000 и 10 000 шт. Срок действия лицензии не ограничен.

С базовой лицензией доступны следующие функции:

Централизованное управление конечными устройствами и их доступом в сеть, за исключением контроля доступа в соответствии с требованиям безопасности (комплаенса) с помощью HIP-профилей.
Сбор телеметрии и событий безопасности конечных устройств.
Функция установления защищенного VPN-подключения. Настройка параметров VPN централизованно выполняется администратором сети на UserGate MC и передается на конечное устройство.

Дополнительный лицензионный модуль NAC для UserGate MC поставляется на срок от 1 года до 5 лет и выписывается по количеству лицензируемых конечных управляемых устройств наборами по 10, 100, 1000 и 10 000 шт. Лицензия на модуль включает в себя следующие дополнительные функции:

Проверка конечных устройств на соответствие требованиям безопасности с помощью HIP-профилей.
Контроль доступа в сеть по результатам проверки на уровне конечного устройства.

По истечении срока действия лицензии на модуль NAC контроль доступа по результатам проверки комплаенса становится недоступным. Правила межсетевого экрана, использующие профиль HIP в качестве одного из условий, перестают работать.

Подробнее о лицензировании UserGate MC — в разделе «Лицензирование UserGate MC».

Подробнее об интеграции с UserGate MC — в разделе «Работа UserGate Client в связке с UserGate MC».