Приложение UserGate Client для Windows — компонент экосистемы UserGate SUMMA, развертываемый на конечных устройствах. Приложение предназначено для защиты конечных устройств и предотвращения их использования для атак на сетевую инфраструктуру.

UserGate Client для Windows поддерживает следующие функции:

• Установление защищенного соединения с VPN-сервером UserGate NGFW по протоколу IPsec (IKEv2).

• Аутентификация пользователей посредством x.509-сертификатов или с помощью методов EAP, PEAP.

• Поддержка режима многофакторной аутентификации пользователей с использованием одноразовых кодов TOTP.

• Поддержка функции раздельного туннелирования (split tunneling). Функция позволяет модифицировать таблицу маршрутизации компьютера пользователя при установлении VPN-соединения в соответствии с параметрами, заданными администратором на VPN-сервере.

• Централизованное управление сетевыми параметрами, политиками безопасности и контентной фильтрации на устройствах пользователей через систему UserGate Management Center.

• Проверка конечных устройств на соответствие требованиям безопасности, реализованная на основе HIP-профилей.

• Сбор телеметрической информации, журналов ОС, других данных о безопасности конечных устройств и передача их в систему анализа событий UserGate SIEM, где эти данные могут быть использованы для автоматического реагирования на угрозы безопасности.

Компьютер пользователя с установленным приложением UserGate Client называется конечным устройством.

Конечное устройство может быть интегрировано с UserGate Management Center (MC) или с UserGate NGFW. Функциональные возможности, предоставляемые UserGate Client, зависят от варианта интеграции и приобретенных лицензий.

Интеграция с UserGate NGFW

При интеграции конечного устройства с UserGate NGFW доступны следующие функции:

• Установление защищенного VPN-подключения с UserGate NGFW. Настройка параметров VPN выполняется на конечном устройства в окне приложения.

• Сбор телеметрии состояния конечного устройства на UserGate NGFW.

• Контроль доступа конечных устройств к сети с помощью правил межсетевого экрана на UserGate NGFW, использующих HIP-профили.

Для интеграции необходимо приобрести лицензионный модуль UserGate Client для UserGate NGFW. Лицензия на модуль (сроком от 1 года до 5 лет) выписывается по количеству лицензируемых конечных управляемых устройств наборами по 10, 100 и 1000 шт. По истечении срока действия лицензии перестают работать правила межсетевого экрана, использующие HIP-профили в качестве условий фильтрации.

Подробнее о лицензировании UserGate NGFW — в разделе «Лицензирование UserGate NGFW».

Подробнее об интеграции конечного устройства с UserGate NGFW — в разделе «Работа UserGate Client в связке с UserGate NGFW».

Интеграция с UserGate Management Center

Для интеграции конечного устройства с UserGate MC необходимо приобрести базовый лицензионный модуль UserGate Client для UserGate MC. Лицензия на модуль выписывается по количеству лицензируемых конечных управляемых устройств наборами по 10, 100, 1000 и 10 000 шт. Срок действия лицензии не ограничен.

С базовой лицензией доступны следующие функции:

• Централизованное управление конечными устройствами и их доступом в сеть, за исключением контроля доступа в соответствии с требованиям безопасности (комплаенса) с помощью HIP-профилей.

• Сбор телеметрии и событий безопасности конечных устройств.

• Функция установления защищенного VPN-подключения. Настройка параметров VPN централизованно выполняется администратором сети на UserGate MC и передается на конечное устройство.

Дополнительный лицензионный модуль NAC для UserGate MC поставляется на срок от 1 года до 5 лет и выписывается по количеству лицензируемых конечных управляемых устройств наборами по 10, 100, 1000 и 10 000 шт. Лицензия на модуль включает в себя следующие дополнительные функции:

• Проверка конечных устройств на соответствие требованиям безопасности с помощью HIP-профилей.

• Контроль доступа в сеть по результатам проверки на уровне конечного устройства.

По истечении срока действия лицензии на модуль NAC контроль доступа по результатам проверки комплаенса становится недоступным. Правила межсетевого экрана, использующие профиль HIP в качестве одного из условий, перестают работать.

Подробнее о лицензировании UserGate MC — в разделе «Лицензирование UserGate MC».

Подробнее об интеграции с UserGate MC — в разделе «Работа UserGate Client в связке с UserGate MC».

UserGate Client для Windows поставляется в формате установочного MSI- или EXE-файла, позволяющего выполнить установку вручную или с использованием инструментов автоматизации.

Минимальные системные требования

Минимальные системные требования для установки приложения:

• Операционная система: Windows 10 (64-bit) или Windows 11 (64-bit).

• Оперативная память (ОЗУ): не менее 2 ГБ.

• Процессор: тактовая частота от 2 ГГц.

• Свободное дисковое пространство: минимум 200 МБ.

Порядок установки приложения

Для установки приложения в ручном режиме запустите установочный файл. Во время установки запустится мастер настройки клиента, который предложит задать параметры подключения к UserGate Management Center — IP-адрес и код конечного устройства, созданный в центре управления.

Установка приложения в автоматическом режиме осуществляется с помощью групповых политик Microsoft Active Directory. Для публикации приложения в Active Directory требуется MSI-файл с инсталлятором и административный шаблон UserGateClient.adm, который используется для указания IP-адреса UserGate Management Center и кода устройства пользователя, созданного в центре управления.

После завершения установки UserGate Client получает конфигурацию, назначенную ему в UserGate Management Center, и передает информацию об устройстве пользователя в центр управления.

Приложение UserGate Client для Windows имеет несколько вкладок для настройки параметров.

Данные для подключения к UserGate Management Center (IP-адрес и код для подключения устройства пользователя) указываются в разделе: %PROGRAMFILES%\UserGate\UserGate Client\usergateclient\bin\endpoint_gui.

Дополнительные рекомендации по настройке приложения UserGate Client для Windows

В этом разделе представлены дополнительные настройки устройства пользователя, позволяющие повысить информативность аудита событий операционных систем Microsoft Windows, расширив его функциональность.

Чтобы расширить возможности UserGate Client на Windows:

1. Установите системную службу Sysmon, предоставляющую подробные сведения о создании процессов, сетевых подключениях и изменениях времени создания файлов. Подробная информация и файл установки доступны на портале документации Windows.

2. Добавьте раздел для возможности запроса журнала Sysmon (Microsoft-Windows-Sysmon/Operational) и передачи его на серверы UserGate Log Analyzer. Раздел можно добавить с помощью приложения «Редактор реестра» или с помощью следующей команды:

REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Microsoft-Windows-Sysmon/Operational"

3. Включите журналирование всех запускаемых PowerShell-команд и результатов вывода:

REG ADD "HKLM\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" /v EnableScriptBlockLogging /t REG_DWORD /d 1

В случае включения через «Редактор реестра» необходимо создать переменную EnableScriptBlockLogging в каталоге HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging, указав тип данных REG_DWORD и значение 1.

4. Добавьте реестр для возможности запроса и передачи журнала PowerShell (Microsoft-Windows-Powershell/Operational) на серверы UserGate Log Analyzer:

REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Microsoft-Windows-Powershell/Operational

5. Включите регистрацию дополнительных данных о событиях создания процессов из командной строки в журнале событий безопасности (данные будут добавлены в событие аудита создания процессов «4688: создан процесс»). Для включения используйте приложение «Редактор реестра» или выполните следующую команду:

REG ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\Audit\" /v ProcessCreationIncludeCmdLine_Enabled /t REG_DWORD /d 1

В случае включения через «Редактор реестра» необходимо создать переменную ProcessCreationIncludeCmdLine_Enabled в каталоге HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\Audit, указав тип данных REG_DWORD и значение 1.

Журналирование

UserGate Client записывает события в журнал приложений Windows. Ведется запись следующих событий:

• Запуск и остановка сервиса (события UG0101 Service started и UG0102 Service stopped).

• Подключение к UserGate Management Center и потеря связи (события UG0201 MC connected и UG0202 MC connection lost).

• Подключение по VPN и завершение сессии, в том числе ошибки подключения — недоступность сервера, неправильно указанные данные (события UG0301 VPN connected и UG0302 VPN disconnected).

• Получение конфигурации от UserGate Management Center (событие UG0401 MC rules propagated).

Удаление приложения

Для корректного удаления приложения на компьютере пользователя перейдите в раздел Пуск ➜ Параметры ➜ Приложения ➜ Установленные приложения (Панель управления ➜  Программы ➜  Программы и компоненты в Windows 10), найдите в списке приложений UserGate Client и выберите Удалить.

После удаления приложения необходимо перезагрузить компьютер. 

Интеграция конечных устройств с UserGate Management Center (UserGate MC) позволяет администратору централизованно управлять их конфигурацией и режимами работы.

Через платформу UserGate MC доступны следующие функции:

• Управление параметрами UserGate Client на конечных устройствах.

• Гибкая настройка политик безопасности через правила межсетевого экрана.

• Централизованное создание и распространение параметров VPN-подключений для UserGate Client.

• Проверка соответствия конечных устройств требованиям безопасности с помощью HIP-профилей.

• Передача данных телеметрии и событий безопасности конечных устройств на устройства UserGate LogAn и UserGate SIEM для анализа и автоматического реагирования на угрозы безопасности. 

Регистрация конечных устройств на UserGate MC происходит через порт 4045. В процессе регистрации применяется пин-код, созданный на UserGate MC. Конечному устройству присваивается уникальный идентификатор, который будет использован в дальнейшем для взаимодействия с платформой управления. Подробнее о добавлении конечных устройств под управление UserGate MC — в разделе «Добавление конечных устройств под управление UGMC».

После регистрации конечное устройство запрашивает параметры конфигурации у UserGate MC каждые 10 секунд. UserGate MC отправляет на конечное устройство:

• параметры межсетевого экрана;

• параметры VPN-подключений;

• общие параметры шаблонов;

• библиотеки элементов;

• HIP-объекты и профили, если они используются в правилах межсетевого экрана.

Отправка конфигурации на конечное устройство происходит автоматически при ее изменении на управляющем UserGate MC.

Конечное устройство передает на UserGate MC следующие данные:

• Телеметрию системы:

  • данные о загрузке центрального процессора;

  • сведения о накопителях;

  • время непрерывной работы;

  • другую статистику производительности.

• Параметры для проверки соответствия HIP (подробнее — в разделе «Проверка HIP на UserGate MC»):

  • статус средств безопасности (состояние антивируса, межсетевого экрана, автоматических обновлений системы, BitLocker);

  • список активных процессов и служб;

  • перечень установленного программного обеспечения;

  • список установленных обновлений.

Данные о конфигурации отправляются конечным устройством только в случае наличия изменений.

При выполнении операций поиска в соответствующем разделе UserGate MC, конечное устройство отправляет на UserGate MC следующую дополнительную информацию: 

• временные метки — текущее время и время последней загрузки конечного устройства с указанием часового пояса;

• сведения о подключенных USB-устройствах;

• сведения об элементах автозагрузки;

• данные о точках восстановления системы;

• расширенные данные о производительности;

• данные об обновлениях и ключах реестра.

UserGate Log Analyzer получает данные с конечных устройств не напрямую, а через UserGate Management Center (MC). Соединение между UserGate LogAn и UserGate MC защищено SSH-туннелем, по которому передается вся информация: телеметрия, журналы Windows и иные данные безопасности. Эти данные используются для последующего анализа и автоматического реагирования на угрозы.

Подробнее о централизованном управлении конечными устройствами с помощью UserGate MC — в разделе «Централизованное управление конечными устройствами».  

Проверка HIP на UserGate MC

В UserGate MC реализована возможность проверки конечного устройства на соответствие требованиям безопасности (комплаенса) с помощью HIP-профилей.

Технология HIP (Host Information Profile) предназначена для сбора и анализа данных о состоянии защиты конечных устройств. Она позволяет оценивать уровень соответствия устройств заданным требованиям безопасности и использовать эти данные для управления доступом к сетевым ресурсам. 

С помощью HIP проверяется наличие и актуальность антивирусного ПО, состояние межсетевого экрана, версия операционной системы, установленные обновления и другие параметры безопасности. Администратор сети может настраивать HIP-объекты (например, требования к наличию антивируса или установленным обновлениям операционной системы). Эти объекты объединяются в HIP-профили, которые задают правила проверки устройств. Результаты проверки HIP могут использоваться как условие для предоставления доступа. Например, доступ в корпоративную сеть или к критически важным приложениям может быть разрешен только устройствам, соответствующим заданным HIP-профилям.

Проверка соответствия конечных устройств требованиям безопасности производится следующим образом:

Конечное устройство отправляет на UserGate MC следующие данные:

• информацию о пользователях;

• данные о системе (версия, издание, netbios-имя);

• список запущенных процессов;

• список запущенных служб;

• список установленного программного обеспечения (название, производитель ПО, версия);

• ключи реестра;

• список обновлений системы;

• элементы автозагрузки;

• информацию о защищенности системы (антивирус, межсетевой экран, BitLocker и т. п.);

• информацию о точках восстановления системы.

Для проверки на соответствие требованиям безопасности используются только HIP-профили, указанные в правилах межсетевого экрана в качестве одного из условий фильтрации. В случае успешной проверки правило межсетевого экрана будет отправлено на конечное устройство с установленным клиентом. 

UserGate NGFW при работе в связке с конечными устройствами c установленным приложением UserGate Client может выполнять функции VPN-сервера, сервера контроля сетевого доступа и межсетевого экрана. 

После установления VPN-соединения конечные устройства автоматически регистрируются на UserGate NGFW. Взаимодействие конечных устройств с UserGate NGFW производится по порту 4045 с использованием протокола HTTPS.

После регистрации на UserGate NGFW каждому новому конечному устройству присваивается уникальный идентификатор, который хранится в базе UserGate NGFW.

Конечное устройство периодически отправляет на UserGate NGFW данные телеметрии. UserGate NGFW на основе полученных данных выполняет проверку соответствия конечных устройств требованиям безопасности с помощью HIP-профилей. Информация о результате проверки передается далее для использования в правилах межсетевого экрана UserGate NGFW.

Тайм-аут активности конечных устройств составляет две минуты, то есть, если в течение двух минут на UserGate NGFW не поступает информация от конечного устройства, оно считается неактивным. По истечении трех периодов неактивности запись о конечном устройстве удаляется из базы UserGate NGFW. При повторном подключении конечное устройство будет заново зарегистрировано. Если конечное устройство будет подключено до истечения этого времени, его запись будет обновлена.

После подключения к другому VPN-серверу конечное устройство будет зарегистрировано на новом UserGate NGFW.

Проверка HIP на UserGate NGFW

Проверка на соответствие требованиям безопасности (комплаенса) на UserGate NGFW происходит по следующей схеме.

Конечное устройство отправляет на UserGate NGFW следующие данные:

• информацию о пользователях;

• данные о системе (версия, издание, netbios-имя);

• список запущенных процессов;

• список запущенных служб;

• список установленного программного обеспечения (название, вендор, версия);

• ключи реестра, которые используются в HIP-объектах;

• список обновлений системы;

• элементы автозагрузки;

• информацию о защищенности системы (антивирус, межсетевой экран, BitLocker и т. п.);

• информацию о точках восстановления системы.

Полученные от конечного устройства данные расшифровываются и передаются для сравнения с HIP-профилями. Информация о результате проверки передается далее для использования в правилах межсетевого экрана. Если конечное устройство соответствует всем условиям правила межсетевого экрана на UserGate NGFW, это правило становится активным для данного конечного устройства.

Для подключения конечного устройства к UserGate NGFW:

1. В выбранной зоне UserGate NGFW разрешите подключение конечных устройств. Для этого в параметрах зоны разрешите сервис «Подключение конечных устройств».

2. Укажите данные для установки защищенного соединения между конечным устройством и UserGate NGFW. Для этого в веб-консоли UserGate NGFW в разделе Настройки ➜ Консоль администратора ➜ Настройки укажите сертификат и профиль для установки защищенного соединения. При подключении конечное устройство будет проверять актуальность сертификата. В случае смены сертификата на UserGate NGFW при наличии уже подключенных конечных устройств необходимо распространить корневой сертификат удостоверяющего центра (Root CA); сертификат необходимо поместить в хранилище локального компьютера «Доверенные корневые центры сертификации».

3. Настройте UserGate NGFW в качестве VPN-сервера. Подробнее о настройке UserGate NGFW в качестве VPN-сервера для сценария удаленного подключения конечных устройств  — в разделе «VPN для удаленного доступа клиентов (Remote access VPN)».

После установки VPN-соединения регистрация конечного устройства произойдет автоматически. Политики безопасности, настроенные на UserGate NGFW, также будут применены к конечным устройствам. Для проверки на соответствие требованиям безопасности (комплаенса) конечное устройство будет отправлять телеметрию на UserGate NGFW с периодичностью в 1 минуту.

Конечное устройство будет производить попытку регистрации каждый раз после подключения к новому VPN-серверу.

Встроенный в приложение UserGate Client для Windows VPN-клиент использует следующие параметры для установления VPN-соединения:

• Протокол для установления защищенного соединения: IPsec (IKEv2).

• Аутентификация с помощью x.509-сертификатов или c помощью методов EAP, PEAP.

• Функция DPD (Dead Peer Detection), работающая в режиме On idle (при отсутствии трафика) с интервалом 15 секунд и максимальным количеством неудачных попыток — 6. Проверка доступности соседнего узла активируется в случае отсутствия трафика в туннеле в течение двойного интервала времени (30 секунд). Если не получен ответ от сервера на запрос проверки, пакеты продолжают отсылаться до максимально разрешенного количества попыток с интервалом 5 секунд. Если ответ получен, происходит возврат к первоначальному интервалу. Если ответ не получен — соединение разрывается.

• Группы Диффи — Хеллмана: группа 2 Prime 1024, группа 14 Prime 2048, группа 16 Prime 4096.

• Алгоритмы аутентификации и шифрования (фазы 1 и 2): SHA1/AES128, SHA256/AES128, SHA384/AES128, SHA1/AES256, SHA256/AES256, SHA384/AES256, SHA1/3DES, SHA256/3DES, SHA384/3DES.

• Максимальный размер данных, шифруемых одним ключом (фаза 2): не ограничен.

При работе в связке с UserGate Management Center параметры параметров VPN-подключений централизованно задаются администратором сети на UserGate MC и передаются на управляемое конечное устройство по его запросу.

Если конечное устройство не интегрировано с UserGate MC, введите параметры соединения в начальном окне графического интерфейса приложения UserGate Client:

• адрес VPN-сервера (IP-адрес или FQDN);

• параметры аутентификации (логин с паролем или сертификат).

Для установления VPN-соединения:

1. В строке состояния нажмите на значок UserGate Client.

2. В появившемся окне выберите VPN-сервер для подключения и нажмите Connect.

3. При необходимости введите имя пользователя и пароль, затем нажмите Next.

При успешном установлении соединения в окне приложения отобразится статус VPN Connected и данные установившегося соединения.

Если администратором VPN-сервера настроена функция раздельного туннелирования, маршруты, полученные от VPN-сервера, будут добавлены в таблицу маршрутизации конечного устройства при установлении соединения.

Чтобы разорвать VPN-соединение, нажмите Disconnect в окне приложения.