Управление конечными устройствами UserGate

installation-settings

Настройки инсталляции ПО UserGate Client:

• collect-ep-data: сбор информации о конечном устройстве (IP-адрес, время последнего подключения к UGMC, пользователь, имя компьютера, версия ОС, версия ПО UserGate Client, загрузка CPU и памяти, запущенные процессы, сервисы и т.д.).

  Значение по умолчанию: enabled.

  Если отключить данную функцию, то UGMC будет получать информацию только об IP-адресе, имени конечного устройства, версии ПО UserGate Client и ОС Windows, текущем времени и времени загрузки устройства, загрузке CPU и памяти.

  Важно! Отключение сбора информации о конечном устройстве влияет на работу профилей HIP.

• network-access: настройка сетевого доступа при остановленном ПО UserGate Client.

  Значение по умолчанию: enabled.

• firewall-access: разрешение пользователю самостоятельно, используя графический интерфейс, отключать контентную фильтрацию на конечном устройстве:

  • off — не разрешать самостоятельно отключать контентную фильтрацию.

  • on — разрешить самостоятельно отключать контентную фильтрацию.

  • by code — разрешить самостоятельно отключать контентную фильтрацию с использованием кода. Для разрешения пользователю самостоятельно отключать контентную фильтрацию необходимо указать/сгенерировать код, который клиент должен ввести на конечном устройстве; также можно указать срок действия кода (code-expiration-date).

  При разрешении пользователю отключать фильтрацию самостоятельно можно указать количество разрешённых отключений (number-of-shutdowns) и/или время, на которое фильтрация будет отключена (duration).

  Значение по умолчанию: on (отключение фильтрации на 10 минут без использования кода).

  Важно! В случае использования счётчика количества отключений: если внести изменения в настройки разрешения отключения межсетевого экрана, то счётчик на конечном устройстве обнулится.

• uninstall-access: возможность удаления ПО UserGate Client. При использовании опции uninstall-code (Разрешить с использованием кода) необходимо указать/сгенерировать код, который необходимо ввести клиенту при удалении ПО.

  Значение по умолчанию: enabled.

Важно! Настройки не будут применены, если не включена синхронизация (параметр sync on). Иначе будут использованы значения по умолчанию.

notification

Настройка оповещений:

• show-icons: отображение иконки UserGate Client в области уведомлений на панели задач.

• notification-tooltips: включение/отключение отправки оповещений на конечное устройство.

  Если оповещения отключены, то уведомления не будут отображаться на конечном устройстве вне зависимости от настроек отдельных уведомлений (о добавлении/удалении устройства из карантина, блокировке ресурса).

• add-to-quarantine-message: отправка уведомлений о блокировке устройства. Для настройки уведомления необходимо указать текст сообщения и тип. Уведомление будет отображено в виде всплывающего окна.

• remove-from-quarantine-message: отправка уведомлений о разблокировке устройства. Для настройки уведомления необходимо указать текст сообщения и тип. Уведомление будет отображено в виде всплывающего окна.

• resource-blocked-message: отправка уведомления при блокировке перехода по адресу электронного ресурса. Для настройки уведомления необходимо указать текст сообщения и тип. Уведомление будет отображено в виде всплывающего окна.

Важно! Настройки не будут применены, если не включена синхронизация (араметр sync on). Иначе будут использованы значения по умолчанию.

logan-device

Установка для конечного устройства сервера LogAn, на которое устройство будет отсылать информацию о событиях. Сервер LogAn должен быть предварительно зарегистрирован в UGMC.

Важно! Настройки не будут применены, если не включена синхронизация (араметр sync on). Иначе будут использованы значения по умолчанию.

enabled

Включение/отключение правила.

name

Название профиля безопасности для подключения к серверу VPN.

descriptipon

Описание профиля.

vpn-address

Имя хоста (FQDN) или IP-адрес VPN-сервера.

Важно! Необходимо учитывать, что при указании адреса VPN-сервера в виде FQDN перебор IP-адресов не предусмотрен. В случае, если DNS-сервер вернет несколько адресов, будет выполнена попытка подключения к первому адресу в списке.

protocol

VPN-протоколы для создания туннеля:

• ipsec2. Для создания туннелей используется протокол Layer 2 Tunnelling Protocol (L2TP), а для защиты передаваемых данных — протокол IPsec.

• ikev2-with-certificate. Для создания защищенного канала будет использоваться протокол IKEv2, а для взаимной проверки подлинности сервера и клиента — сертификаты.

  Важно! При генерации клиентского сертификата обязательно должно быть указано поле CN — идентификатор пользователя, которому этот сертификат предназначается.

• ikev2. Для создания защищенного канала будет использоваться протокол IKEv2, а для проверки клиента — логин и пароль (EAP-MSCHAP v2). Данный метод доступен только для пользователей доменного RADIUS-сервера.

ike-mode

Режим IKE (указать при выборе опции протоколаIPsec L2TP): main, aggressive.

Разница между режимами: в агрессивном режиме используется меньшее количество пакетов, что позволяет достичь более быстрого установления соединения. Агрессивный режим не передает некоторые параметры согласования, что требует предварительной идентичной настройки их на точках подключения.

psk

Cтрока, которая должна совпадать на сервере и клиенте для успешного подключения. Указывается для протокола IPsec L2TP.

Фаза 1

Во время первой фазы происходит согласование защиты IKE. Аутентификация происходит на основе общего ключа в режиме, выбранном ранее. Необходимо указать следующие параметры:

• phase1-key-lifetime – по истечению данного времени происходят повторные аутентификация и согласование настроек первой фазы.

• dpd-interval – для проверки состояния и доступности соседних устройств используется механизм Dead Peer Detection (DPD). DPD периодически отправляет сообщения R-U-THERE для проверки доступности IPsec-соседа. Минимальный интервал проверки: 10 секунд; значение 0 отключает проверку.

• dpd-max-failures – максимальное количество запросов обнаружения недоступных IPsec-соседей, которое необходимо отправить до того, как IPsec-сосед будет признан недоступным.

• dh-groups – выбор группы Диффи-Хеллмана, которая будет использоваться для обмена ключами. Сам ключ не передаётся, а передаются общие сведения, необходимые алгоритму определения ключа DH для создания общего секретного ключа. Чем больше номер группы Диффи-Хеллмана, тем больше бит используется для обеспечения надёжности ключа.

• phase1-security – алгоритмы аутентификации и шифрования используются в порядке, в котором они отображены. Для изменения порядка перетащите необходимую пару вверх/вниз или используйте кнопки Выше/Ниже.

Фаза 2

Во второй фазе осуществляется выбор способа защиты IPsec подключения. Необходимо указать:

• phase2-key-lifetime. По истечению данного времени узлы должны сменить ключ шифрования. Время жизни, заданное во второй фазе, меньше, чем у первой фазы, т.к. ключ необходимо менять чаще.

• key-lifesize-enabled, key-lifesize. Время жизни ключа может быть задано в байтах. Если заданы оба значения (key-lifetime и key-lifesize), то счётчик, первый достигнувший лимита, запустит пересоздание ключей сессии.

• phase2-security – алгоритмы аутентификации и шифрования.

name

Название списка адресов.

description

Описание списка.

threat-lvl

Уровень угрозы:

• very-low — очень низкий уровень угрозы.

• low — низкий уровень угрозы.

• medium — средний уровень угрозы.

• high — высокий уровень угрозы.

• very-high — высокий уровень угрозы.

type

Тип списка:

• local — локальный.

• updatable — если cписок является обновляемым, то необходимо указать адрес, с которого загружаются обновления (url). Периодичность обновления списка указывается параметром shedule в формате crontab.

Crontab-формат: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6; 0 — вс). Каждое из поле может быть задано следующим образом:

• Звездочка (*) — обозначает весь диапазон (от первого до последнего).

• Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.

• Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".

• Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа".

lists

Выбор существующих IP-листов для добавления в создаваемый лист.

ips 

IP-адреса или диапазон IP-адресов, которые необходимо включить в список. Указывается в формате: <ip>, <ip/mask> или <ip_range_start-ip_range_end>.

name

Название списка адресов.

description

Описание списка.

threat-lvl

Уровень угрозы:

• very-low — очень низкий уровень угрозы.

• low — низкий уровень угрозы.

• medium — средний уровень угрозы.

• high — высокий уровень угрозы.

• very-high — высокий уровень угрозы.

type

Тип списка:

• local — локальный.

• updatable — если cписок является обновляемым, то необходимо указать адрес, с которого загружаются обновления (url). Периодичность обновления списка указывается параметром shedule в формате crontab.

Crontab-формат: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6; 0 — вс). Каждое из поле может быть задано следующим образом:

• Звездочка (*) — обозначает весь диапазон (от первого до последнего).

• Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.

• Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".

• Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа".

apps

Указание названия (name) и контрольной суммы (hash) приложения. Контрольная сумма исполняемого файла Windows должна быть определена по алгоритму SHA1, например, с помощью утилиты fciv.

name

Название списка URL.

description

Описание списка URL.

type

Тип списка:

• local — локальный.

• updatable — если cписок является обновляемым, то необходимо указать адрес, с которого загружаются обновления (url). Периодичность обновления списка указывается параметром shedule в формате crontab.

Crontab-формат: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6; 0 –вс). Каждое из поле может быть задано следующим образом:

• Звездочка (*) — обозначает весь диапазон (от первого до последнего).

• Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.

• Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".

• Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа".

urls

URL, которые необходимо добавить в список.

case-sensitivity

Чувствительность к регистру в написании адреса URL:

• sensitive — чувствительно к регистру букв в адресе.

• insensitive — нечувствительно к регистру букв в адресе.

• domain — список адресов доменов.

name

Название группы URL-категорий.

description

Описание группы.

categories

Категории URL, которые необходимо добавить в группу.

name

Название списка типов контента.

description

Описание списка.

type

Тип списка:

• local — локальный.

• updatable — если cписок является обновляемым, то необходимо указать адрес, с которого загружаются обновления (url). Периодичность обновления списка указывается параметром shedule в формате crontab.

Crontab-формат: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6; 0 — вс). Каждое из поле может быть задано следующим образом:

• Звездочка (*) — обозначает весь диапазон (от первого до последнего).

• Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.

• Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".

• Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа".

mime

Типы контента, которые необходимо добавить в список. Различные типы контента и их описание доступны по ссылке https://www.iana.org/assignments/media-types/media-types.xhtml.

name

Название группы.

description

Описание группы.

time-set

• interval-name — название интервала повторения.

• type — тип интервала повторения:

  • daily — ежедневно:

    • time-from — время начала (указывается в формате HH:MM).

    • time-to — время окончания (указывается в формате HH:MM).

    • all-day on — весь день.

  • weekly — каждую неделю:

    • time-from — время начала (указывается в формате HH:MM).

    • time-to — время окончания (указывается в формате HH:MM).

    • all-day on — весь день.

    • days [ Mon | Tue | Wed | Thu | Fri | Sat | Sun ] — дни недели.

  • monthly — каждый месяц:

    • time-from — время начала (указывается в формате HH:MM).

    • time-to — время окончания (указывается в формате HH:MM).

    • all-day on — весь день.

    • days — числа месяца (от 1 до 31).

  • fixed — единовременно:

    • time-from — время начала (указывается в формате HH:MM).

    • time-to — время окончания (указывается в формате HH:MM).

    • all-day on — весь день.

    • fixed-date — нужная дата (указывается в формате YYYY-MM-DD).

  • span — повторяющиеся события:

    • time-from — время начала (указывается в формате HH:MM).

    • time-to — время окончания (указывается в формате HH:MM).

    • all-day on — весь день.

    • fixed-date-from — дата начала (указывается в формате YYYY-MM-DD).

    • fixed-date-to — дата окончания (указывается в формате YYYY-MM-DD).

  • range — диапазон дат:

    • time-from-enabled <on | off> — включение/отключение указания даты начала интервала.

    • fixed-date-from — дата начала (указывается в формате YYYY-MM-DD).

    • time-from — время начала (указывается в формате HH:MM).

    • time-to-enabled <on | off> — включение/отключение указания даты окончания интервала.

    • fixed-date-to — дата окончания (указывается в формате YYYY-MM-DD).

    • time-to — время окончания (указывается в формате HH:MM).

enabled

Включение объекта управляемого устройства UGC.

licensed

Лицензирование конечного устройства: on/off. Если on, то он использует одну лицензию.

В случае отсутствия лицензии конечное устройство не сможет подключиться к UGMC.

Если параметр будет поставлен в off после регистрации устройства на UGMC, то:

• правила межсетевого экрана, полученные от МС ранее, продолжают работать;

• подключение по VPN с настройками, полученными ранее от МС доступно;

• новые настройки конечное устройство от MC не получает.

name

Название для управляемого устройства UGC. Можно вводить произвольное название.

description

Описание управляемого устройства UGC.

templates-group

Группа шаблонов, настройки которой следует применить к этому управляемому устройству UGC. Настройки (политики) применятся после синхронизации с UGMC.

sync-mode

Режим синхронизации: отключено (disabled), автоматическая (auto) или ручная (manual) синхронизация.

enabled

Включение объекта управляемого устройства UGC.

name

Название для управляемого устройства UGC. Можно вводить произвольное название.

description

Описание управляемого устройства UGC.

group

Группа шаблонов, настройки которой следует применить к этому управляемому устройству UGC. Настройки (политики) применятся после синхронизации с UGMC.

name

Название объекта HIP.

description

Описание объекта HIP (опционально).

os-version

Версия операционной системы устройства пользователя.

При использовании операторов = и != необходимо указывать полную версию Windows.

ug-client-version 

Версия ПО UserGate Client.

security

Статусы компонентов безопасности конечного устройства:

• firewall — межсетевой экран;

• virus-protection — Антивирус;

• automatic-update — Автоматическое обновление;

• bitlocker.

Важно! BitLocker считается включенным, если он включен хотя бы на одном из дисков.

products

Проверка соответствия программного обеспечения, установленного на конечном устройстве:

• antimalware. Проверка соответствия антивирусного ПО на устройстве пользователя.

  • enabled: проверка статуса ПО;

  • database-updated: проверка актуальности баз (да, нет, не проверять);

  • version ПО;

  • vendor: производитель и название продукта.

• firewall. Проверка соответствия межсетевого экрана на конечном устройстве. При настройке необходимо указать:

  • installed: проверка наличия установленного ПО;

  • enabled: проверка статуса ПО (да, нет, не проверять);

  • version ПО;

  • vendor: производитель и название продукта;

• backup. Проверка ПО для резервного копирования:

  • installed: проверка наличия установленного ПО;

  • version ПО;

  • vendor: производитель и название продукта.

• disk-encryption. Проверка установленных на конечном устройстве программ для шифрования диска:

  • installed: проверка наличия установленного ПО;

  • version ПО;

  • vendor: производитель и название продукта.

• dlp. Проверка соответствия системы предотвращения утечек информации.

  • installed: проверка наличия установленного ПО;

  • version ПО;

  • vendor: производитель и название продукта.

• patch-management. Проверка актуальности обновления.

  • installed: проверка наличия установленного ПО;

  • version ПО;

  • vendor: производитель и название продукта.

processes

Проверка процессов, запущенных на конечном устройстве.

running-services

Проверка служб, запущенных на конечном устройстве.

registry-keys

Ключ реестра Microsoft Windows — каталог, в котором хранятся настройки и параметры операционной системы.

Поддерживаются следующие типы параметров реестра:

• REG_SZ: строка Unicode или ANSI с нулевым символом в конце.

• REG_BINARY: двоичные данные в любой форме.

• REG_DWORD: 32-разрядное число.

Доступна проверка ключей следующих разделов реестра:

• HKEY_LOCAL_MACHINE

• HKEY_USERS

Важно! Путь указывается с использованием обратного слэша (\), например, \HKEY_LOCAL_MACHINE, после которых через (\) указывается полный путь к параметру.  

Описание ключей реестра читайте в документации Microsoft (https://docs.microsoft.com/ru-ru/troubleshoot/developer/webapps/iis/general/use-registry-keys).

installed-updates

Проверка наличия указанного обновления на конечном устройстве. Необходимо указать номер статьи базы знаний Microsoft (KB), например, KB5013624.

name

Название профиля HIP.

description

Описание профиля HIP (опционально).

hip-objects

Выбор логического элемента (and, or, and-not, or-not) и объектов HIP.

Подробнее о создании объектов читайте в разделе Объекты HIP.