EMS - Tariq Abosallout

Machine Translated by Google
Forticlient Endpoint Management Server (EMS)
Curso Completo
PREPARADO POR TARIQ ABOSALLOUT

Forticlient Endpoint Management Server (EMS)
• Introdução ao forticlient e Forticlient EMS
• Implantação e provisionamento do Forticlient usando o forticlient EMS
• Diagnóstico e solução de problemas

Segurança de rede de terminais
Forticlient Endpoint Protection inclui uma ampla gama de recursos de segurança
• Proteção contra malware (antivírus, antiexploração, proteção contra malware baseada em nuvem,
Acesso de mídia)
• Filtragem da Web
• VPN – SSL e IPSec •
Firewall de aplicativos •
vulnerabilidades de aplicativos •
Gerenciamento central • Registro
central
Muitos aplicativos de software de segurança de endpoint de finalidade única levam a alto custo e complexidade
O software Standard Security pode fornecer proteção básica, mas a segurança de endpoint fornece antivírus
e muito mais Antivírus, antimalware, assinatura IPS/IDS, proteção contra malware baseada em nuvem…

Forticlient
ÿ Suporta proteção de múltiplas

plataformas: ÿ Windows ÿ Mac OS ÿ IOS
ÿ Android
Este curso explicará o Forticlient EMS v6.4.3 e

aprenderá como atualizá-lo assim que uma nova
versão for lançada

capacidade de gerenciamento
O FortiClient EMS destina-se ao uso corporativo e tem a capacidade de gerenciar um grande número de endpoints. A
seguir estão as configurações de hardware do sistema host sugeridas para o FortiClient EMS. As configurações sugeridas
dependem do número de endpoints que o FortiClient EMS está gerenciando.
Recomenda-se ter pelo menos 200 GB de espaço em disco disponível.

Serviços e portas necessários

O FortiTelemetry é usado para comunicação entre diferentes produtos Fortinet. Ele é usado para
conectar dispositivos no Security Fabric.
FortiClient Telemetry se conecta ao EMS para receber um perfil de informações de configuração.
Opções de implantação
Você pode implantar o FortiClient em um dos seguintes cenários:
•Autônomo: (FortiClient com EMS): Nesse cenário, o FortiClient não participa do Security Fabric. •Malha
de segurança: (FortiClient na malha de segurança): Este cenário permite que o FortiClient participe do
Fortinet Security Fabric.
Tariq Abosallout PREPARADO POR TARIQ ABOSALLOUT

FortiClient com EMS

FortiClient no Security Fabric
Nesse cenário, o FortiClient Telemetry se conecta ao EMS para receber um perfil de informações de configuração como parte de
uma política de endpoint. O EMS está conectado ao FortiGate para participar do Security Fabric. O EMS envia informações de endpoint
do FortiClient para o FortiGate. O FortiGate também pode receber listas de grupos de terminais dinâmicos do EMS e usá-los para criar
políticas de firewall dinâmicas. O EMS envia atualizações de grupo para o FortiOS e o FortiOS usa as atualizações para ajustar as políticas
com base nesses grupos. Este recurso requer o FortiOS 6.2.0 ou uma versão posterior.

O EMS envia as seguintes informações de endpoint para o FortiOS: •Perfil do usuário:

• Nome de usuário conectado • Nome completo • Endereço de e-mail • Número de
telefone •Avatar do usuário •IDs de conta de rede social •Endereço MAC •Tipo de
SO •Versão do SO •Versão do FortiClient •UUID do FortiClient
O EMS também envia as seguintes informações do endpoint para o FortiAnalyzer:

•Informações do sistema/telemetria
•Avatar do usuário •Inventário de
software •Processos •Estatísticas
da rede
O FortiClient envia diretamente as seguintes informações para o FortiAnalyzer:
•Registros •Eventos de host do Windows

Como a telemetria do FortiClient se conecta ao EMS
1. Inserindo manualmente o endereço IP, o que significa que o usuário do endpoint insere o endereço
IP EMS no FortiClient.
2. Lista de servidores de telemetria:
FortiClient Telemetry procura endereços IP em sua sub-rede na lista de servidores de telemetria.
Ele se conecta ao EMS na lista que está na mesma sub-rede do sistema host.
Se o FortiClient não conseguir encontrar nenhum servidor EMS em sua sub-rede na lista de servidores
de telemetria, ele tentará se conectar ao primeiro EMS alcançável na lista, começando do topo. O
FortiClient mantém a ordem da lista conforme configurado na lista de servidores de telemetria.
3. Lista de servidores de telemetria lembrados. Você pode configurar o FortiClient para lembrar os endereços
IP do servidor ao conectar a Telemetria ao EMS. Posteriormente, o FortiClient pode usar os endereços IP
lembrados para conectar automaticamente a Telemetria ao EMS.

O provisionamento de endpoint consiste em todas as etapas necessárias para configurar o EMS para instalar forticlients
nos endpoints e enviar a configuração para os forticlients
O provisionamento de endpoint consiste nas seguintes etapas:
1.Crie um perfil e uma lista de IP de gateway. É recomendável criar um perfil para cada pacote de implantação.
Recomenda-se colocar os endereços de todas as unidades FortiGate em uma lista de IP de gateway. Certifique -se de que
o FortiGate esteja localizado o mais próximo possível fisicamente dos endpoints que estão sendo monitorados.
2.Crie um pacote de implantação. Selecione os recursos FortiClient desejados para implantar no endpoint.
3.Atribua o pacote de implantação a um perfil.
4.Crie uma política de endpoint. Atribua o perfil e a lista de IP do gateway à política. Atribua a política ao grupo de
terminais desejado.

Forticlient
ÿ Suporta proteção de múltiplas plataformas:

ÿ Windows ÿ Mac os ÿ IOS ÿ Android
Esta apresentação explica o EMS v6.4.3 e o

vídeo para atualização será gravado assim que uma
nova versão for lançada

capacidade de gerenciamento
O FortiClient EMS destina-se ao uso corporativo e tem a capacidade de gerenciar um grande número de endpoints. A
seguir estão as configurações de hardware do sistema host sugeridas para o FortiClient EMS. As configurações sugeridas
dependem do número de endpoints que o FortiClient EMS está gerenciando.
Recomenda-se ter pelo menos 200 GB de espaço em disco disponível.


Por que você precisa do Fortinet Endpoint Security?
• O software antivírus tradicional pode proteger endpoints de vírus conhecidos, mas pode ser incapaz de detectar e proteger contra
ameaças avançadas. Isso pode resultar na perda ou comprometimento dos dados
• Muitas soluções de segurança de endpoint não são capazes de fornecer gerenciamento central, registro central e outros
recursos
• É uma solução de segurança de rede abrangente que fornece muitos serviços, incluindo antivírus, antimalware, filtragem da web , filtragem de
aplicativos, VPN e assim por diante, em vez de usar diferentes softwares de finalidade única de fornecedores diferentes, o que leva a alto
custo e complexidade
• Pode ser instalado em diferentes plataformas, incluindo Windows OS, Mac OS, Android e IOS.
• Pode forçar a conformidade do terminal, o que exige que os dispositivos do terminal cumpram critérios específicos antes que possam
acessar a rede
• Fornece atualizações de antivírus, antimalware e assinaturas e atualizações de IPS/IDS
• Muitas pessoas estão usando acesso remoto para se conectar ao trabalho sem controle sobre dispositivos remotos e móveis sem
controle sobre o dispositivo remoto e móvel e acesso à mídia removível, mas o forticlient pode controlar.


• Licenças
• Integre o diretório ativo com o forticlient EMS
• Habilite o acesso HTTPS no servidor EMS
• Conceder acesso EMS aos usuários LDAP para poder gerenciar o EMS usando os usuários AD

• Preparando endpoints do Windows para implantação do FortiClient
• Gerenciar a configuração de implantação (Habilitar-Desabilitar-excluir)
• Implantação de atualizações FortiClient do FortiClient EMS

Preparando endpoints do Windows para implantação do FortiClient
Você deve habilitar e configurar os seguintes serviços em cada endpoint do Windows antes de implantar o FortiClient:
• Agendador de Tarefas: Automático •

Windows Installer: Manual
• Registro Remoto: Automático
Você deve configurar o Firewall do Windows para permitir as seguintes conexões de entrada:
• Compartilhamento de arquivos e impressoras
(SMB-In) • Gerenciamento remoto de tarefas agendadas (RPC)


Como instalar o forticlient no endpoint do windows automaticamente a partir do forticlient EMS
Carregue os arquivos do instalador do forticlient no EMS
Gerenciar a implantação
Crie um perfil que controle os recursos de segurança
Crie uma política e

• Aba Endpoints
• Guia de Implantação e Instaladores
• Gerenciando a configuração de implantação (Habilitando-Desabilitando-excluindo) •

Gerenciando os níveis de prioridade da configuração de implantação
• Guia de políticas de endpoint
• Guia Perfis de Endpoint
• Atualize os forticlients dos Endpoints através do EMS em um clique



• Serviços e portas necessários para comunicação EMS com

outros dispositivos
• Atualize todos os endpoints forticlients com um clique

Serviços e portas necessários


Classes de software malicioso
Vírus, worms, cavalos de Tróia e bots fazem parte de uma classe de software chamada "malware". Malware é a abreviação de " software
malicioso ", também conhecido como código malicioso ou "malcode". É um código ou software projetado especificamente para danificar, roubar
ou, em geral, fazer alguma outra ação "ruim" ou ilegítima em dados, hosts ou redes.
Vírus
Um vírus de computador é um tipo de malware que se propaga inserindo uma cópia de si mesmo em outro programa. Ele se espalha de um
computador para outro, deixando infecções enquanto viaja. Quase todos os vírus são anexados a um arquivo executável. Os vírus requerem a
propagação de um arquivo host infectado
Vermes
Os worms de computador são semelhantes aos vírus, pois replicam cópias funcionais de si mesmos e podem causar o mesmo tipo
de dano. Ao contrário dos vírus, que requerem a disseminação de um arquivo host infectado, os worms são softwares autônomos e
não requerem um programa host ou ajuda humana para se propagar.
Trojan. Esse tipo de software malicioso se disfarça de software legítimo. Por exemplo, os trojans podem parecer uma atualização do Java ou do
Flash Player após o download e o malware trojan é controlado por terceiros. Ele pode ser usado para acessar informações confidenciais, como
informações de cartão de crédito.
Um bot é um Trojan que infecta computadores e dispositivos conectados à Internet, permitindo que sejam controlados remotamente por um invasor.

Uma botnet [abreviação de bot network] é uma rede de computadores e dispositivos sequestrados infectados com malware bot e controlados remotamente por um hacker.
Um servidor de comando e controle [C&C] é um computador controlado por um invasor ou cibercriminoso que é usado para enviar comandos a sistemas comprometidos
por malware e receber dados roubados de uma rede de destino.
Ransomware
Ransomware é um tipo de software malicioso que ameaça publicar os dados da vítima ou bloquear o acesso a eles, a menos que um resgate seja pago. Enquanto
malwares mais avançados criptografam os arquivos da vítima, tornando-os inacessíveis, e exigem o pagamento de um resgate para descriptografá-los.
Rootkit é um tipo de programa de malware que permite que criminosos cibernéticos obtenham acesso e se infiltrem em dados de máquinas sem serem detectados.
Pode dar ao invasor controle remoto e permanecer oculto por um longo período de tempo. Como resultado, os rootkits são uma das vertentes de malware mais difíceis de
descobrir e remover. O rootkit pode conter várias ferramentas maliciosas, que normalmente incluem bots para lançar ataques distribuídos de negação de serviço (DDoS). Um
rootkit geralmente fornece a um invasor um backdoor em uma máquina.
Um site malicioso é um site que tenta instalar malware em seu dispositivo.
Um site de phishing – às vezes chamado de site “falsificado” ou “semelhante” – rouba seus dados. Os sites de phishing parecem sites legítimos.
Mas, quando os visitantes são solicitados a inserir credenciais de login, informações pessoais ou detalhes de cartão de crédito, os dados são direcionados aos cibercriminosos.
Backdoor
Uma forma não documentada de acessar um sistema. Normalmente, os invasores usam backdoors para acesso mais fácil e contínuo a um
sistema depois que ele foi comprometido.

URL de spam: Simplesmente, é uma URL maliciosa. Ao clicar em uma URL infectada, você pode baixar ransomware, vírus, trojan ou qualquer outro tipo
de malware que comprometa sua máquina ou até mesmo sua rede, no caso de uma empresa.
E-mails ou mensagens de spam geralmente vêm de endereços de e-mail ilegítimos. Esses e-mails geralmente são enviados em massa por um
remetente anônimo. Eles raramente contêm um link de cancelamento de inscrição e, se contiver, esse link pode estar incorporado com malware. Isso
pode levar ao download de um worm e os cibercriminosos podem obter acesso ao seu computador, smartphone e outros dispositivos.
A quarentena é o processo de isolamento de um arquivo suspeito de estar infectado por um vírus para evitar que ele contamine outras partes do seu
computador. O arquivo em quarentena não pode ser executado como um programa e transferido para uma pasta oculta que não pode ser acessada
O ataque de negação de serviço (DoS) é um ataque destinado a tornar a rede ou o dispositivo ou serviço de destino inacessível aos usuários pretendidos.
É um malware usado para impedir o fluxo normal de dados para dentro e para fora de um sistema para tornar o alvo inútil ou inacessível por um
determinado período. Quando um ataque DoS é lançado de diferentes locais de maneira coordenada, geralmente é chamado de ataque distribuído de
negação de serviço (DDoS).
Um exemplo de ataque DoS: quando um site é acessado massivamente e repetidamente de diferentes locais, impedindo que visitantes legítimos acessem
o site.
Exemplo: ataques restringem os usuários válidos a usar a rede. O invasor executa um ataque DOS inundando uma rede com
muitas solicitações desnecessárias que ocupam toda a largura de banda da rede. Os ataques DoS podem desacelerar uma
rede ou derrubar completamente uma rede por várias horas. A proteção DoS é o principal recurso para melhorar a segurança
da rede; ele detecta o tráfego anormal e o filtra.

Um exploit kits ou exploit packs são ameaças automatizadas que usam sites comprometidos para desviar o tráfego da Web para outra página de
destino. Dentro da página de destino, há um código que fará a varredura do dispositivo da vítima em busca de aplicativos vulneráveis baseados em navegador.
Em seguida, o kit de exploração envia um malware para infectar o host, como ransomware.
O kit de exploração Neutrino é um kit de ferramentas malicioso que visa todas as vulnerabilidades de exploração no componente Java
Runtime Environment (JRE).

Um ativo é o que estamos tentando proteger.
Ativo: Pessoas (como funcionários e clientes), propriedades (consistem em itens tangíveis e intangíveis aos quais pode ser atribuído um valor) e informações (como bancos de
dados, código de software, registros críticos da empresa).
Uma vulnerabilidade é uma fraqueza ou lacuna em nossos esforços de proteção.
Vulnerabilidade: Fraquezas ou lacunas em um programa de segurança que podem ser exploradas por ameaças para obter acesso não autorizado a um ativo.
Uma ameaça é aquilo contra o qual estamos tentando nos proteger.
Ameaça: Qualquer coisa que possa explorar uma vulnerabilidade, intencionalmente ou acidentalmente, e obter, danificar ou destruir um ativo.
Risco é a interseção de ativos, ameaças e vulnerabilidades.
Risco: O potencial de perda, dano ou destruição de um ativo como resultado de uma ameaça explorando uma vulnerabilidade.
Se você não entender a diferença entre esses termos, nunca entenderá o verdadeiro risco para os ativos. Avaliar com precisão as ameaças e identificar as vulnerabilidades é
fundamental para entender o risco aos ativos.


Proteção contra malware Forticlient
• Proteção antivírus •
Proteção contra malware baseada
em nuvem • Proteção antiexploit •
Acesso à mídia removível

Proteção antivírus

Proteção antivírus (AV)

• Malware baseado em arquivo, site malicioso, phishing, canais C&C e proteção de URL de spam faz parte do componente/proteção
antivírus.
• O Forticlient pode verificar arquivos do sistema, arquivos executáveis, mídia removível, arquivos DLL e drivers, memória do sistema.
• Painel do antivírus: visualize o status da proteção em tempo real (RTP) (ligado/desligado), veja se o banco de dados está atualizado ou
executar uma verificação antivírus sob demanda.
• RTP: Quando um vírus é detectado durante o monitoramento em tempo real, ele é automaticamente colocado em quarentena
• A proteção contra malware é desativada por padrão no perfil padrão do EMS
• O Forticlient desativa automaticamente o RTP após a instalação quando um dos seguintes é verdadeiro: O sistema operacional é o servidor,
O servidor Exchange foi detectado ou o servidor SQL foi detectado

Opções de antivírus:
• você pode clicar no ícone de configuração no forticlient para visualizar a configuração do AV pelo EMS:
Status de proteção em tempo real

Escaneamento marcado
Exclusões
• Por padrão, o forticlient está programado para executar uma verificação completa do sistema mensalmente.
• Varredura antivírus sob demanda: executa o mecanismo de detecção de rootkit para detectar e remover rootkits
Verificação personalizada: selecione arquivos e pastas específicos para verificar
Verificação completa: verificação completa do sistema de todos os arquivos, DLLs e drivers
Verificação rápida: verifica arquivos executáveis, DLLs e drivers em execução no momento

Verificação de mídia removível: verificação completa de mídia removível
• Você pode verificar um arquivo ou pasta específica e enviar um arquivo (até 5 arquivos por dia para o fortiguard) para análise. A equipe do Fortigaurd
não fornece feedback para os arquivos enviados, mas cria assinaturas para os arquivos maliciosos detectados.

O link Ameaça detectada permite visualizar:
• Arquivos em quarentena
• Violações do site •
Eventos de proteção em tempo real
A ação na descoberta de vírus é definida como Negar acesso ao arquivo infectado ou colocar arquivo infectado em quarentena
Se a ação de descoberta de arquivo for de quarentena, você pode executar uma das ações
• Excluir
• Quarentena
• Restaurar
• Enviar arquivo suspeito •
Enviar como falso positivo •
Adicionar à lista de exclusão •
Abrir local do arquivo
A mensagem de aviso aparece quando um forticlient detecta um vírus. Quando você não
seleciona Alertar quando vírus detectado, a caixa de diálogo de alerta de vírus não abre

Gerenciamento de quarentena
Arquivos O FortiClient envia informações de arquivos em quarentena para o FortiClient EMS. O administrador do FortiClient EMS pode visualizar informações
de arquivo em quarentena para todos os endpoints gerenciados no painel Arquivos e permitir arquivos do FortiClient EMS, se necessário.
• Visualização de arquivos em quarentena

• Lista de permissões de arquivos em quarentena: você pode listar de permissões e restaurar arquivos em quarentena. Isso libera os arquivos da quarentena e
os torna acessíveis no endpoint com a próxima comunicação de telemetria entre o FortiClient EMS e o FortiClient.
Lista de permissões
• Visualização de arquivos
permitidos • Edição de descrições de arquivo: Por padrão, a descrição do arquivo
está em branco. • Exclusão de arquivos da lista de permissões
O EMS exclui o registro de quarentena 180 dias após a última atualização do arquivo.

Proteção contra malware baseada em nuvem

• Ajuda a proteger endpoints somente de tipos de arquivo de alto risco, como .doc, .exe, .dll, .pdf.
• Quando um arquivo é baixado ou executado, o Forticlient gera uma soma de verificação SHA1 para o
Arquivo
• O FortiClient envia a soma de verificação para o FortiGuard, consulta o Fortiguard para determinar se um arquivo
é malicioso
• O Fortiguard compara a soma de verificação com a biblioteca de soma de verificação. se a soma de

verificação for encontrada na biblioteca, o Fortiguard comunica ao forticlient que o arquivo é considerado
malware. Por padrão, o forticlient coloca o arquivo em quarentena
• A lista de tipos de arquivos de alto risco é a mesma lista dos tipos de arquivos enviados para
FortiSandbox por padrão

Proteção Antiexploit

• O Forticlient monitora o comportamento de aplicativos populares, como navegadores da Web, plug-ins java/flash, Microsoft Office
aplicativos e leitores de PDF para detectar explorações que usam vulnerabilidades de dia zero ou não corrigidas para infectar o endpoint.
Uma vez detectado, o Forticlient encerra o processo de aplicativo comprometido
• É uma solução sem assinatura
• Detecta e bloqueia exploit kits conhecidos e desconhecidos.
• Você pode visualizar as tentativas de exploração que o forticlient bloqueou e os aplicativos protegidos contra explorações
• Aplicativos com um botão de exclusão ao lado de seus nomes são protegidos contra explorações evasivas
• Aplicativos com um botão Desexcluir ao lado de seus nomes não são protegidos contra explorações evasivas

Acesso à mídia removível

Forticlient controla o acesso a dispositivos de mídia removíveis
O Forticlient pode permitir, bloquear ou monitorar dispositivos conforme configurado pelo administrador do EMS

Detecção de Sandbox

caixa de areia em geral
Na segurança cibernética, um sandbox é um ambiente isolado em uma rede que imita os ambientes operacionais do usuário final. Sandboxes são
usados para executar códigos suspeitos com segurança, sem risco de danos ao dispositivo host ou à rede.
Usando um sandbox para detecção avançada de malware fornece outra camada de proteção contra novas ameaças de segurança — malware de
dia zero (anteriormente inédito) e ataques furtivos, em particular. E o que acontece na sandbox, fica na sandbox — evitando falhas do sistema e
evitando que as vulnerabilidades de software se espalhem.
Os ambientes de sandbox parecem um pouco diferentes do sistema real de um usuário final. Se o malware detectar um sandbox, ele pode
encerrar imediatamente ou interromper a execução de atividades prejudiciais.
Os ambientes sandbox fornecem uma camada proativa de segurança de rede defesa contra novas e avançadas ameaças persistentes (APT).
APTs são ataques direcionados e desenvolvidos sob medida, geralmente com o objetivo de comprometer organizações e roubar dados. Eles são
projetados para evitar a detecção e muitas vezes passam despercebidos pelo radar de métodos de detecção mais diretos.
Três variedades de implementação de sandbox incluem:
Emulação de sistema completo: o sandbox simula o hardware físico da máquina host, incluindo CPU e memória, fornecendo
visibilidade profunda do comportamento e impacto do programa.
Emulação de sistemas operacionais: o sandbox emula o sistema operacional do usuário final, mas não o hardware da máquina.
Virtualização: essa abordagem usa uma caixa de proteção baseada em máquina virtual (VM) para conter e examinar programas suspeitos.

O processo de um ataque explorando uma vulnerabilidade de software desconhecida é conhecido como ataque de dia
zero , também conhecido como ataque de dia 0, e antes do sandbox não havia meios eficazes de pará-lo.
Sandbox de malware: é um sistema que confina as ações de um aplicativo, como abrir um documento
do Word, a um ambiente isolado. Nesse ambiente seguro, o sandbox analisa o comportamento dinâmico de
um objeto e suas várias interações de aplicativos em um ambiente de pseudousuário e descobre qualquer
intenção maliciosa.
Características típicas encontradas em uma sandbox de malware:
• Mecanismo de detecção que consiste em análises estáticas e dinâmicas para capturar atributos de malware e
técnicas
• Emulação de vários sistemas operacionais de dispositivos, incluindo Windows, macOS, Linux e SCADA/ICS, e associados
aplicativos e protocolos
• Aceita várias fontes, incluindo pacotes de rede, compartilhamentos de arquivos, envio sob demanda e
envios automatizados por NGFW, SEG, EPP/EDR e WAF.
• Modos de implantação flexíveis, como dispositivo, VM, SaaS e nuvem pública para atender a vários locais e
ambientes de nuvem

• Forticlient pode ser integrado com sandbox
•
Se o arquivo não for detectado localmente e a integração do FortiSandbox estiver configurada, o FortiClient enviará o arquivo para o FortiSandbox
para análise posterior.
• Os usuários do endpoint podem enviar arquivos manualmente para o sandbox para análise
• O acesso aos arquivos pode ser bloqueado até que o resultado da verificação do FortiSandbox seja retornado. Quando a verificação é concluída, o
FortiSandbox pode colocar os arquivos infectados em quarentena ou alertar e notificar o usuário do endpoint sobre os arquivos infectados sem colocá-
los em quarentena .
• O FortiClient baixa periodicamente as assinaturas AV mais recentes do FortiSandbox e as aplica localmente a todas as varreduras AV em tempo real e sob
demanda
• O FortiClient pode enviar no máximo 300 arquivos diariamente para o FortiSandbox Cloud
• No caso do dispositivo FortiSandbox, o número total de arquivos enviados pelo FortiClient é limitado às especificações de hardware: Por exemplo, uma
unidade FSA3000D pode escanear apenas 560 arquivos/h dentro da VM em média. O FortiSandbox mantém os envios e seus resultados por 60 dias
para o veredicto de Malware e 3 dias para o veredicto de Limpeza.
• Modos de implantação flexíveis, como dispositivo, VM, SaaS e nuvem pública para atender a vários locais e na nuvem
ambientes

Os resultados da verificação do FortiSandbox são exibidos na página Proteção contra malware . Quando um vírus é detectado, o FortiClient cria um alerta de
notificação que exibe o número de arquivos.
A caixa Enviado mostra o número de arquivos enviados ao FortiSandbox para verificação. A caixa de dia zero mostra o número de arquivos
de dia zero detectados. A caixa Limpa mostra o número de arquivos determinados como limpos após a verificação do FortiSandbox e a caixa pendente
mostra o número de arquivos aguardando a verificação do FortiSandbox.
O FortiClient envia as informações do arquivo em quarentena para o EMS. Se o administrador do EMS colocar o arquivo na lista de permissões (no caso de
um falso positivo), o EMS enviará as informações da lista de permissões para o FortiClient. Depois que o FortiClient recebe as informações da lista de permissões,
ele libera o arquivo da quarentena.

Filtro Web do Forticlient

• Depois que o FortiClient é registrado no EMS, as configurações do filtro da web são enviadas do dispositivo de gerenciamento e são somente leitura
no console do FortiClient.
• O administrador do EMS pode configurar um perfil de segurança da web para permitir, bloquear, avisar ou monitorar o tráfego da web com base nas categorias e
subcategorias do site.
• Os recursos de filtro da Web permitem bloquear, permitir, avisar e monitorar o tráfego da Web com base na categoria de URL ou filtros de URL personalizados
• Você pode criar uma lista de exclusão de filtro de URL personalizada que substitui a categoria existente.
• O administrador do EMS pode habilitar um plug-in de navegador da Web para filtragem da Web HTTPS no terminal. Isso melhora a detecção e
imposição de regras de Filtro da Web em sites HTTPS. Depois que esta opção estiver habilitada, você deve abrir o navegador para aprovar a instalação do novo plug-in. O
plug-in é compatível apenas com o navegador Google Chrome em plataformas Windows.
• O administrador do EMS pode configurar uma lista de exclusão à qual o administrador pode adicionar sites e definir as permissões para permitir, bloquear,
e monitorar.
• Ao definir as configurações gerais do filtro da web, você pode optar por registrar todos os URLs com uma ação atribuída e os arquivos registrados podem ser
baixado. Você também pode optar por registrar apenas a navegação iniciada pelo usuário.
• Observe que, quando as categorias de sites são desativadas, o FortiClient é protegido apenas pela lista de exclusão.
• Você pode ver as violações do site e os detalhes da violação. A violação será exibida apenas se a ação for definida para bloquear ou avisar para o FortiGuard
categorias de sites e bloqueio para a lista de exclusão

Permitir: permite o acesso aos sites dentro da categoria.

Bloquear: Impede o acesso a sites dentro da categoria. Os usuários que tentarem acessar um site bloqueado receberão uma mensagem de substituição explicando
que o acesso ao site está bloqueado.
Warn: Apresenta uma mensagem ao usuário, permitindo que ele continue se assim desejar. Aceitar um aviso de isenção de responsabilidade permitirá que os usuários
naveguem na categoria de substituição por 5 minutos.
Monitorar: permite e registra o acesso aos sites da categoria. Você também pode habilitar cotas de usuário ao habilitar a ação do monitor.
Classificar endereços IP: as classificações do FortiGuard Web Filter para endereços IP não são atualizadas tão rapidamente quanto as classificações para URLs.
Um exemplo de como isso funciona é se a classificação de uma URL com base no nome de domínio indicar que ela pertence à categoria Lingerie e Maiô, que é permitida, mas a
categoria atribuída ao endereço IP foi Pornografia, que tem uma ação de Bloquear, porque a Pornografia categoria tem um peso maior, a ação efetiva é Bloquear.
Registrar todas as URLs: quando essa configuração está desativada, o FortiClient EMS registra apenas URLs conforme especificado por configurações por categoria ou por URL.
Registrar tráfego iniciado pelo usuário: registra apenas o tráfego iniciado pelo usuário.
Modo de sincronização Quando esta opção está habilitada, o navegador da web aguarda uma resposta de uma solicitação HTTPS antes de enviar outra solicitação HTTPS.
Verificar apenas o tráfego iniciado pelo usuário Use o plug-in do navegador da Web apenas para o tráfego iniciado pelo usuário. Isso permite um processamento mais rápido.
Quando esta opção está desativada, o plug-in verifica todas as solicitações de URL.

Ativar pesquisa segura
Quando o Safe Search está ativado, a pesquisa do Google do ponto de extremidade é definida como modo restrito.
Para perfis do Windows e macOS, habilitar o Safe Search também define o acesso ao YouTube como acesso restrito estrito. Para definir o acesso ao
YouTube como moderado, restrito ou irrestrito, você pode desativar a Pesquisa segura e configurar a Pesquisa do Google e o acesso ao YouTube com o
Google Admin Console em vez do FortiClient EMS.

VPN – SSL e IPSec

O FortiClient suporta conexões IPsec e SSL VPN à sua rede para acesso remoto. O administrador do EMS pode provisionar conexões
VPN do cliente no perfil FortiClient (perfil do endpoint EMS) ou o usuário do endpoint pode configurar novas conexões no console FortiClient.
Você também pode configurar a autenticação de dois fatores usando FortiToken para segurança aprimorada para ambos os tipos de VPNs
em seu dispositivo FortiGate para conexões FortiClient VPN.
você pode se conectar automaticamente a uma VPN quando o FortiClient é iniciado ou mapear ou desmapear uma unidade de rede quando
um túnel é conectado ou desconectado, respectivamente.
Você também pode configurar o FortiClient para se conectar a uma VPN antes do login (login em uma conta do Windows ou por meio de
um ambiente AD)
Você pode configurar a VPN IPsec diretamente no console FortiClient quando o administrador do EMS permitir que você adicione conexões VPN
pessoais. Você pode criar e salvar várias conexões IPSec.
Observe que as conexões VPN provisionadas serão listadas em VPN corporativa. As conexões VPN configuradas localmente serão listadas
em VPN pessoal.

Firewall de aplicativos

O firewall do aplicativo analisa e detecta o tráfego do aplicativo, mesmo em portas não padrão.
Você pode usar o recurso de firewall do aplicativo para detectar e executar ações contra o tráfego de rede, dependendo do aplicativo que está
gerando o tráfego.
Você pode criar regras para bloquear ou permitir o tráfego de aplicativos no FortiGate ou EMS, com base na categoria ou aplicativo. As regras
são então enviadas para o FortiClient gerenciado.
As configurações do firewall do aplicativo são somente leitura no console FortiClient. Você pode ver os aplicativos bloqueados nos últimos
sete dias.

Gerenciamento de Vulnerabilidade

• Vulnerabilidade: Fraquezas ou lacunas em um programa de segurança que podem ser exploradas por ameaças para obter acesso não autorizado a um
de ativos.
• os hackers podem explorar vulnerabilidades em dispositivos terminais e usar essas vulnerabilidades para obter acesso não autorizado ao
sistema
• O gerenciamento de vulnerabilidade é usado para proteger os aplicativos em execução nos dispositivos terminais.
• Você pode instalar patches de software automaticamente clicando em corrigir agora ou revisar as vulnerabilidades detectadas antes de instalar
patches de software
• Em alguns casos, patches de software que não podem ser instalados automaticamente e você deve baixar e instalar manualmente
patches de software para o software vulnerável
• Há opção para o usuário digitalizar sob demanda. Se alguma vulnerabilidade detectada exigir que o usuário instale manualmente
patches de correção, a lista do software afetado é exibida
• Você pode visualizar o histórico para ver qual software foi identificado como vulnerável e se há patches para as vulnerabilidades
foram instalados para as últimas sete varreduras e patches de vulnerabilidade
• O FortiClient se comunica com o FortiGuard Center para obter as atualizações de assinatura.

Correções Automáticas
Os patches são instalados automaticamente quando as vulnerabilidades são detectadas
Vulnerabilidades de aplicativos isentos que exigem atualização manual da verificação de conformidade de vulnerabilidades: Todos os
aplicativos que exigem que o usuário do terminal corrija vulnerabilidades manualmente são excluídos da verificação de conformidade de
vulnerabilidades.
Esta opção não exclui aplicativos da varredura de vulnerabilidade.
Excluir aplicativos selecionados da verificação de conformidade de vulnerabilidade: os aplicativos na lista de exclusão estão isentos da
necessidade de instalar patches de software dentro do prazo especificado nas regras de conformidade do FortiGate para manter o status de
conformidade e o acesso à rede.
Os aplicativos da lista não são excluídos da verificação de vulnerabilidade.
Manutenção automática: configura a verificação de vulnerabilidade para ser executada como parte da manutenção automática do Windows.
Adicionar FortiClient Vulnerability Scans à fila de manutenção automática do Windows permite que o sistema escolha um momento apropriado para
a verificação que terá impacto mínimo no usuário, no desempenho do PC e na eficiência energética.
Período: Especifique com que frequência a Verificação de Vulnerabilidade precisa ser iniciada durante a manutenção automática. Digite o
número de dias desejado .
Prazo: Especifique quando o Windows deve iniciar a Verificação de Vulnerabilidade durante a manutenção automática de emergência, se a
Verificação de Vulnerabilidade não for concluída durante a manutenção automática regular. Digite o número de dias desejado.

VPN

O FortiClient usa VPN SSL e IPSec para fornecer acesso seguro e confiável a redes e aplicativos corporativos de praticamente
qualquer local remoto conectado à Internet. ... A autenticação de dois fatores também pode ser usada para fornecer uma camada adicional
de segurança.
• Ativar o provisionamento VPN •

Adicionar túneis VPN • Desativar
a opção de conectar/desconectar • Você pode
ativar o controle do servidor de cache SSL VPN DNS
• O Ipsec pode usar certificados da Windows Store •
Definir configurações básicas e avançadas de VPN
A seção Geral permite habilitar ou desabilitar várias configurações relacionadas à VPN. Você também pode selecionar um número máximo
de tentativas. Essas opções são aplicadas a VPN SSL e IPSec.
SSL VPN inclui a configuração DNS Cache Service Control . Você pode optar por desabilitar, deixar inalterado ou reiniciar o serviço de
controle de cache DNS. Você também pode substituir o servidor DNS para SSL VPN DNS IP.
Dnscach (serviço de cliente dns): armazena os nomes dns. Parar este serviço não significa que os nomes de DNS não serão resolvidos.
Isso será resolvido, mas as consultas de nomes de DNS não serão armazenadas em cache


• Criar regras de marcação Zero Trust. Consulte Incluindo um conjunto de regras de marcação Zero Trust. •
Depois que o FortiClient conectar a Telemetria ao EMS, confirme se o EMS agrupa dinamicamente os pontos de extremidade com base no Zero
Confie nas regras de marcação. Consulte Monitor de marca de confiança zero.
Zero Trust Tag Monitor
Você pode visualizar todos os grupos de terminais dinâmicos em Zero Trust Tags > Zero Trust Tag Monitor. O EMS cria grupos de terminais dinâmicos
com base na tag configurada para cada regra. • Exportar um certificado assinado pela autoridade certificadora (CA) para carregar no FortiOS e um
certificado de servidor da web para carregar no EMS Para obter detalhes sobre como configurar um certificado de servidor usando o Microsoft
Certification Authority Management Console, consulte
https://docs.microsoft.com/en-us/windows-server/networking/core-network-guide/cncg/server-certs/configure-the-server-certificate-template

Registrando no FortiAnalyzer
Quando os endpoints do FortiClient estão na malha e o registro no FortiAnalyzer está configurado, os logs do FortiClient são
enviados para o FortiAnalyzer. No entanto, quando os endpoints do FortiClient estão fora da malha e o FortiAnalyzer não está acessível, os
logs do FortiClient são retidos pelo período de retenção de log e enviados para o FortiAnalyzer quando o FortiClient estiver na malha
novamente. Por padrão, os logs do FortiClient são mantidos por 90 dias. Você pode controlar o período de retenção de log usando o elemento
<log_retention_days> na configuração XML. Consulte o https://docs.fortinet.com/document/forticlient/6.4.1/xml-reference-guide/921514

Configurações do sistema

• Configurações do Forticlient EMS
• Definir configurações do servidor
• Definir configurações de registro
• Configurar Banners e alertas
• Configurar servidor SMTP

Carregar evento de segurança: Carregar eventos de segurança para FortiAnalyzer ou FortiManager. Esta opção se aplica apenas ao FortiClient 6.4.3 e versões
posteriores. Isso inclui logs para eventos de Proteção contra Malware, Filtro da Web, Verificação de Vulnerabilidade e Firewall de Aplicativos.
Carregar evento do sistema: esta opção se aplica apenas ao FortiClient 6.4.3 e versões posteriores. Isso inclui logs para controle de endpoint, atualização e eventos
FortiClient.
Retenção de Log: Configure a duração do tempo para reter logs em dias.
Use o FortiManager para atualização de assinatura do cliente
Habilite o FortiClient EMS para obter assinaturas AV do FortiManager no endereço IP ou nome do host especificado.
O FortiClient se conecta ao FortiGuard para consultar o mecanismo de varredura de vulnerabilidades e antivírus e atualizações de assinatura.
As URLs conectadas para cada localização de servidor são as seguintes: FortiGuard:
Global: forticlient.fortinet.net EUA:

usforticlient.fortinet.net
FortiGuard Anycast:
Global: fctupdate.fortinet.net EUA:
fctusupdate.fortinet.net Europa:
fcteuupdate.fortinet.net

Fazer logoff quando o usuário fizer logout do Windows: Faça logoff do FortiClient quando o usuário do endpoint fizer logout do Windows. Desligue para permanecer
conectado.
Sub-redes On-Fabric: esta opção aplica-se apenas a endpoints executando o FortiClient 6.2.1 e versões anteriores. Para endpoints executando o FortiClient 6.2.2 e
versões posteriores, consulte Regras de detecção na malha.
Enviar inventário de software: envie informações do aplicativo instalado para o FortiClient EMS. Se a opção Upload Logs to FortiAnalyzer/
FortiManager estiver habilitada, o terminal também enviará as informações de inventário de software para o FortiAnalyzer.
Permitir que os usuários especifiquem a identidade usando: permite que os usuários especifiquem sua identidade no FortiClient usando os seguintes métodos:
• Inserir manualmente seus detalhes no FortiClient • Fazer login

em sua conta para os seguintes serviços de mídia social:
LinkedIn
Google
Força de vendas
Por padrão, o EMS obtém detalhes do usuário do sistema operacional do endpoint. Se o usuário fornecer seus detalhes usando um dos métodos acima, o EMS obterá
os detalhes especificados pelo usuário. Se esta opção estiver desativada, o EMS obtém e exibe os detalhes do usuário do sistema operacional do endpoint .
Notificar usuários para enviar informações de identidade do usuário Exibe uma notificação no terminal para que o usuário especifique sua
identidade. Se o usuário fechar a notificação sem especificar sua identidade, a notificação será exibida a cada dez minutos até que o usuário
envie suas informações de identidade.

Configurações de Sistemas - Servidor
Quando você habilita a opção Usar FQDN , o FortiClient pode se conectar usando o IP especificado ou o FQDN especificado.
A opção de acesso HTTPS remoto especifica configurações para acesso de administração remota ao FortiClient EMS
O nome de host predefinido exibe o nome NetBIOS do servidor na instalação que não pode ser alterado.
O nome do host personalizado exibe o nome do host do servidor no qual o FortiClient EMS está instalado. Você pode personalizar o nome do host.
Quando você altera o nome do host, o servidor da Web é reiniciado.
Se você selecionar Redirect HTTP request to HTTPS, e tentar acessar remotamente o EMS usando URL, este URL será redirecionado automaticamente para https.
A opção de certificado SSL exibe o certificado SSL atualmente importado. Se você já carregou um certificado SSL, a página exibe o botão Substituir .
Escutar na porta: o FortiClient se conectará usando a porta especificada. Por padrão, ele exibe a porta 8013 para o servidor FortiClient EMS.
Configuração de tempo limite de inatividade do usuário , que é o número de horas de inatividade após as quais o usuário atinge o tempo limite. Intervalo de
atualização do perfil especifica o intervalo de atualização do perfil, em segundos.

Configurações de sistemas - Logs
Na seção Logs , você pode especificar qual nível de mensagens de log capturar nos logs do FortiClient EMS. Por exemplo, se você selecionar Info, todas as mensagens
de log de Info a Emergency serão adicionadas aos logs do FortiClient EMS.
Você também pode especificar quando excluir logs, alertas e eventos automaticamente. Por padrão, são 30 dias para todos os logs, alertas e outros eventos do
sistema operacional e 7 dias para eventos do Chromebook.
Você pode clicar em Limpar agora para excluir imediatamente todos os logs, alertas ou eventos do FortiClient EMS.

Configurações de sistemas - Fortiguard e endpoints
Localização do servidor, que permite configurar a localização do servidor FortiGuard para Nearest ou US.
• Se você selecionar Nearest, o FortiClient EMS se conectará ao servidor FortiGuard cujo endereço IP é fornecido pelo servidor DNS.
Se você selecionar EUA, o FortiClient EMS pode se conectar apenas aos servidores FortiGuard disponíveis nos Estados Unidos
Opção FortiManager , que permite usar o FortiManager para software cliente e atualizações de assinatura.
Se você selecionar Failover, isso habilitará o failover para FDN, quando o FortiManager for FortiClient não estiver disponível.
As configurações na janela Endpoints permitem adicionar a chave de conexão de telemetria FortiClient para o FortiClient EMS.
O FortiClient deve fornecer essa chave durante a conexão.
Quando o endpoint FortiClient é registrado no EMS, ele consome um assento de licença. Você pode configurar um valor de tempo limite de licença
em dias. • Se um terminal se desconectar do EMS, o assento da licença é retido em antecipação à reconexão do terminal. Se o
endpoint não se reconectar dentro do tempo limite determinado, seu registro de conexão é removido do EMS.
• Se o terminal for removido, desligado ou ficar offline e não restabelecer uma conexão de telemetria com o EMS dentro do tempo limite determinado, o
terminal será excluído do EMS mesmo que o FortiClient no terminal mostre que ainda está conectado.

Configurações de Sistemas – Banners e Alertas
Quando você marca a caixa de seleção Ativar banner de login, uma mensagem aparece na tela de login antes que um usuário faça login no EMS .
A janela Alertas EMS permite que você envie um e-mail para alertas de versão e FortiClient.
Na janela Endpoint Alerts , você pode habilitar a opção de enviar um alerta por e-mail para os endpoints. Você também pode selecionar um
intervalo de tempo para enviar e-mails de alerta. Por padrão, é definido como 30 minutos.
Configurações do sistema - Servidor SMTP
você pode configurar um servidor SMTP para habilitar alertas para EMS e eventos de terminal. Quando um alerta é acionado, o EMS envia uma
notificação por e-mail para o endereço de e-mail configurado.
No campo Segurança , se você selecionar STARTTLS ou SMTPS, os campos Nome de usuário e Senha serão habilitados.

Configurações do sistema - mensagens personalizadas
Você pode personalizar as mensagens que são exibidas nos endpoints em determinadas situações, como quando o EMS colocou o endpoint em quarentena.
Por exemplo, você pode personalizar a mensagem para incluir o número de telefone do suporte técnico de sua organização para que os usuários possam entrar
em contato com o administrador de rede sobre sua máquina.
Você também pode personalizar as mensagens exibidas em um terminal nas páginas de resultados do filtro da Web no navegador
No painel esquerdo, habilite ou desabilite os campos e digite as mensagens desejadas. Você também pode fazer upload de imagens para campos de
logotipo e ícone . O painel direito exibe visualizações das mensagens.
Configurações do sistema - Alertas
Você pode visualizar os alertas gerados pelo FortiClient EMS. Exemplos de eventos que geram um alerta. Um rótulo vermelho é associado ao ícone Alerta
quando novas notificações estão disponíveis ou recebidas. Ele é limpo quando você visualiza o alerta.
Exemplo de eventos que geram alertas: • Nova

versão do forticlient está disponível • Falha na
implantação do Forticlient • Falha ao verificar
atualizações de assinatura • Erro encontrado ao
verificar o computador local • Erro encontrado ao baixar entradas do
servidor AD

Inventário de software

Você visualiza centralmente uma lista de softwares instalados em todos os endpoints
A lista inclui detalhes de cada aplicativo, como fornecedor e informações de versão
O painel Aplicativos também mostra o número total de aplicativos instalados, fornecedores e aplicativos recém-instalados. Você pode exibir os nomes
dos aplicativos em ordem alfabética ou por fornecedor. Você também pode aplicar filtros por nome do aplicativo, nome do fornecedor e número da versão.
Painel Hosts, para mostrar informações sobre aplicativos instalados para todos os endpoints gerenciados por host
Contagem de instalação Número de endpoints nos quais o aplicativo está instalado.

EMS - Tariq Abosallout

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

EMS - Tariq Abosallout

Enviado por

Direitos autorais:

Formatos disponíveis

Machine Translated by Google

Forticlient Endpoint Management Server (EMS)

PREPARADO POR TARIQ ABOSALLOUT

Forticlient Endpoint Management Server (EMS)

• Introdução ao forticlient e Forticlient EMS

• Implantação e provisionamento do Forticlient usando o forticlient EMS

• Diagnóstico e solução de problemas

PREPARADO POR TARIQ ABOSALLOUT

Segurança de rede de terminais

Forticlient Endpoint Protection inclui uma ampla gama de recursos de segurança

PREPARADO POR TARIQ ABOSALLOUT

ÿ Suporta proteção de múltiplas

Este curso explicará o Forticlient EMS v6.4.3 e

PREPARADO POR TARIQ ABOSALLOUT

PREPARADO POR TARIQ ABOSALLOUT

Serviços e portas necessários

PREPARADO POR TARIQ ABOSALLOUT

FortiClient Telemetry se conecta ao EMS para receber um perfil de informações de configuração.

Você pode implantar o FortiClient em um dos seguintes cenários:

Tariq Abosallout PREPARADO POR TARIQ ABOSALLOUT

FortiClient com EMS

PREPARADO POR TARIQ ABOSALLOUT

FortiClient no Security Fabric

PREPARADO POR TARIQ ABOSALLOUT

O EMS envia as seguintes informações de endpoint para o FortiOS: •Perfil do usuário:

O EMS também envia as seguintes informações do endpoint para o FortiAnalyzer:

O FortiClient envia diretamente as seguintes informações para o FortiAnalyzer:

•Registros •Eventos de host do Windows

PREPARADO POR TARIQ ABOSALLOUT

Como a telemetria do FortiClient se conecta ao EMS

PREPARADO POR TARIQ ABOSALLOUT

O provisionamento de endpoint consiste nas seguintes etapas:

3.Atribua o pacote de implantação a um perfil.

PREPARADO POR TARIQ ABOSALLOUT

ÿ Suporta proteção de múltiplas plataformas:

Esta apresentação explica o EMS v6.4.3 e o

PREPARADO POR TARIQ ABOSALLOUT

PREPARADO POR TARIQ ABOSALLOUT

PREPARADO POR TARIQ ABOSALLOUT

Por que você precisa do Fortinet Endpoint Security?

• Fornece atualizações de antivírus, antimalware e assinaturas e atualizações de IPS/IDS

PREPARADO POR TARIQ ABOSALLOUT

PREPARADO POR TARIQ ABOSALLOUT

• Integre o diretório ativo com o forticlient EMS

• Habilite o acesso HTTPS no servidor EMS

PREPARADO POR TARIQ ABOSALLOUT

• Preparando endpoints do Windows para implantação do FortiClient

• Gerenciar a configuração de implantação (Habilitar-Desabilitar-excluir)

• Implantação de atualizações FortiClient do FortiClient EMS

PREPARADO POR TARIQ ABOSALLOUT

Preparando endpoints do Windows para implantação do FortiClient

• Agendador de Tarefas: Automático •

• Registro Remoto: Automático

PREPARADO POR TARIQ ABOSALLOUT

PREPARADO POR TARIQ ABOSALLOUT

Como instalar o forticlient no endpoint do windows automaticamente a partir do forticlient EMS

Carregue os arquivos do instalador do forticlient no EMS

Crie um perfil que controle os recursos de segurança

Crie uma política e

PREPARADO POR TARIQ ABOSALLOUT

• Guia de Implantação e Instaladores

• Gerenciando a configuração de implantação (Habilitando-Desabilitando-excluindo) •

• Guia de políticas de endpoint