BITDEFENDER GRAVITYZONE

Transkript

1 BITDEFENDER GRAVITYZONE Schnellstart-Anleitung

2 Bitdefender GravityZone Schnellstart-Anleitung Veröffentlicht Copyright 2014 Bitdefender Rechtlicher Hinweis Alle Rechte vorbehalten. Bestandteile dieses Handbuches dürfen weder in elektronischer noch mechanischer Form reproduziert werden. Dies gilt auch für das Fotokopieren, Aufnehmen oder jegliche andere Form von Datenspeicherung oder Informationsbeschaffung, ohne die Zustimmung von Bitdefender. Ausnahmen gelten für Zitate in Verbindung mit Testberichten. Der Inhalt darf in keiner Weise verändert werden. Warnung und Haftungsausschluss. Dieses Produkt und die dazugehörige Dokumentation sind urheberrechtlich geschützt. Die Informationen in diesem Dokument werden ohne Mängelgewähr gegeben. Obwohl dieses Dokument mit äußerster Sorgfalt erstellt und geprüft wurde, übernehmen die Autoren keinerlei Haftung für tatsächlich oder angeblich auftretende Schäden bzw. Datenverluste, die direkt oder indirekt durch die Informationen in diesem Dokumente entstehen könnten oder bereits entstanden sind. Dieses Handbuch enthält Verweise auf andere, nicht von Bitdefender erstellte Webseiten, die auch nicht von Bitdefender kontrolliert werden, somit übernimmt Bitdefender auch keine Verantwortung in jeglicher Art für den Inhalt dieser Webseiten. Der Besuch der in diesem Dokument aufgelisteten Drittanbieter-Webseiten erfolgt damit auf eigene Gefahr. Bitdefender stellt diese Links der Einfachheit zur Verfügung. Dies bedeutet nicht, dass Bitdefender den Inhalt einer Website Dritter befürwortet oder Verantwortung dafür übernimmt. Warenzeichen. Es erscheinen eingetragene Warenzeichen in diesem Dokument. Alle eingetragenen und nicht eingetragenen Warenzeichen in diesem Dokument sind das alleinige Eigentum der jeweiligen Besitzer.

3 89504E470D0A1A0A D B4E8B AECE1CE C5445FFFFFF C2D37E A D76370FB7BCF85E1BDE DE847DDF 185A5B BBAA18EAFFEFBFCF90FFF7DF3F0630F8CCA42DC9A0C0 14A7CC30E58C763FC3751EAFC50C0C4E40C5F5F54075E5E7ECE743D4ED0A 4ECC62B831977D06C365F5E3090C13AE CE60F80F52575DBF FC3644DDEB695EDB19AC4D2EB533342D5BB198C1E5E9AA030C960C01EC40 75FFFF31FC2FFFF51DAC0C00A09339A FC E44AE A A F E70307A

4 Inhaltsverzeichnis 1. Über GravityZone Systemanforderungen Anforderungen für die GravityZone-Appliance Hardware-Anforderungen Internet-Verbindung Anforderungen Control Center-Web-Konsole Anforderungen für Security for Endpoints Unterstützte Betriebssysteme Hardware-Anforderungen Unterstützte Web-Browser Anforderungen für Security for Virtualized Environments Unterstützte Virtualisierungsplattformen Unterstützte Virtualisierungs-Verwaltungs-Tools Security Server-Anforderungen Unterstützte Gast-Betriebssysteme Anforderungen und Ressourcenverbrauch des Bitdefender Tools Security for Mobile Devices-Anforderungen Unterstützte Plattformen Verbindunugngsanforderungen Push-Benachrichtigungen Zertifikate für die ios-geräteverwaltung GravityZone-Kommunikations-Ports GravityZone: Installation und Einrichtung Installation vorbereiten Installation und Einrichtung der GravityZone-Appliance Hostname und Domäneneinstellungen konfigurieren Netzwerkeinstellungen konfigurieren Proxy-Einstellgn. konf GravityZone-Rollen installieren Control Center: Ersteinrichtung Lizenzschlüssel eingeben Control Center-Einstellungen konfig Control Center-Benutzer hinzufügen Sicherheitsdienste installieren Security for Endpoints installieren Vor der Installation Lokale Installation Remote-Installation Wie die Netzwerkerkennung funktioniert Security for Virtualized Environments installieren iv

5 Eine Verbindung zu vcenter Server herstellen Security Server auf Hosts installieren Bitdefender Tools auf virtuellen Maschinen installieren Security for Mobile Devices installieren Externe Adresse für den Kommunikationsserver konfigurieren Benutzerdefinierte Benutzer erstellen und organisieren Benutzern Geräte hinzufügen GravityZone Mobile Client auf Geräten installieren Erste Schritte Benutzertypen in Control Center Verbinden mit dem Control Center Control Center auf einen Blick Übersicht über die Control Center Tabellendaten Symbolleisten Kontextmenü Dienstauswahl Sicherheitsrichtlinien anwenden Richtlinien erstellen und konfigurieren Aufgaben verwenden Überwachung und Berichterstattung Verwendung des Dashboards Berichte verwenden Hilfe erhalten v

6 1. Über GravityZone Bitdefender hat über ein Jahrzehnt an Erfahrung und Innovation im Sicherheitssektor eingesetzt, um eine hochgradig skalierbare und ganzheitliche Sicherheitsmanagementplattform auf der Grundlage der neuen Gravity-Architektur zu erschaffen. Die neuen Enterprise-Sicherheitslösungen bilden eine "Gravitationszone", die in der Lage ist, von einigen hundert bis hin zu Millionen von Endpunkten bedarfsgesteuert zu schützen, entweder mit einer privaten, kundenseitig gehosteten Cloud oder mit einer öffentlichen Cloud auf Bitdefender- oder Drittanbieterservern. Die Lösung schafft volle Transparenz der gesamten Unternehmenssicherheitssituation und globaler Sicherheitsrisiken und ermöglicht die Steuerung der Sicherheitsdienste, die virtuelle und physische Arbeitsplatzrechner, Server und Mobilgeräte schützen. Sämtliche Bitdefender-Enterprise-Sicherheitslösungen werden innerhalb der GravityZone über eine zentrale Konsole verwaltet, die Steuerungs-, Berichts- und Warndienste für die verschiedenen Rollen innerhalb des Unternehmens zur Verfügung stellt. GravityZone besteht aus den folgenden Komponenten: Control Center Security for Endpoints Security for Virtualized Environments Security for Mobile Devices Control Center Ein web-basiertes Dashboard und zentrales Verwaltungselement, das die gesamte Unternehmenssicherheitssituation und globale Sicherheitsrisiken transparent macht und die Steuerung der Sicherheitsdienste erlaubt, die virtuelle und physische Arbeitsplatzrechner, Server und Mobilgeräte schützen. Dank der Gravity-Architektur ist Control Center in der Lage, die Anforderungen selbst der größten Unternehmen zu erfüllen. Control Center lässt sich mit den bestehenden Systemverwaltungs- und Überwachungssystemen integrieren und vereinfacht so die automatische Bereitstellung von Schutz auf nicht verwalteten Arbeitsplatzrechnern, Servern und mobilen Geräten in Microsoft Active Directory, VMware vcenter oder Citric XenServer. Security for Endpoints Bitdefender Security for Endpoints Die Lösung bietet unauffälligen Schutz für eine beliebige Anzahl von Computern und setzt dabei auf vielfach ausgezeichnete Malware-Schutz-Technologien kombiniert mit einer Firewall, Angriffserkennung, der Steuerung Über GravityZone 1

7 und Filterung des Internet-Zugangs, dem Schutz von sensiblen Daten und einer Anwendungssteuerung. Security for Endpoints bietet Sicherheit für Computer mit Mac OS X oder Windows sowie für Windows-Server. Die Produktivität der Mitarbeiter wird durch effizienten Ressourceneinsatz, optimierte System-Scans und automatisierte Sicherheit, die ohne Eingriffe des Benutzers auskommt, sichergestellt. Security for Virtualized Environments Security for Virtualized Environments ist die erste umfassende Sicherheitslösung für virtualisierte Rechenzentren zum Schutz von virtualisierten Servern und Arbeitsplatzrechnern auf Windows- und Linux-Systemen. Basierend auf den innovativen Sicherheitstechnologien von Bitdefender wurde Security for Virtualized Environments eigens für die anspruchsvollen Anforderungen der dynamischen virtualisierten Rechenzentren von heute entwickelt. Security for Mobile Devices Verwaltet und steuert iphones, ipads und Android-Geräte mit einem universellen auf den Einsatz in Unternehmen ausgelegten Ansatz, der die Geräte durch Echtzeit-Scans schützt und die Sicherheitsrichtlinien des Unternehmens auf einer beliebigen Zahl von Geräten anwendet, so z. B. Bildschirmsperrung, Passwortschutz, Verschlüsselung von Wechseldatenträgern, Ortung verlorener Geräte und Zugriffsverweigerung für nicht-konforme oder inoffiziell entsperrte Geräte. Über GravityZone 2

8 2. Systemanforderungen Alle GravityZone-Lösungen werden über das Control Center installiert und verwaltet Anforderungen für die GravityZone-Appliance GravityZone wird als virtuelle Appliance angeboten. Die GravityZone-Appliance steht in den folgenden Formaten zur Verfügung: OVA (kompatibel mit VMware vsphere, View, VMware Player) XVA (kompatibel mit Citrix XenServer, XenDesktop, VDI-in-a-Box) VHD (kompatibel mit Microsoft Hyper-V) OVF (kompatibel mit Red Hat Enterprise Virtualization)* OVF (kompatibel mit Oracle VM)* RAW (kompatibel mit Kernel-based Virtual Machine oder KVM)* *OVF- und RAW-Pakete sind im Format tar.bz2 gepackt. Mehr Details zur Kompatibilität von Oracle VM VirtualBox finden Sie in diesem Artikel. Bitte wenden Sie sich an Bitdefender, falls Sie Unterstützung für weitere Formate oder Virtualisierungsplattformen wünschen Hardware-Anforderungen Die Bereitstellung der GravityZone-Appliance setzt mindestens folgende Hardware-Konfiguration voraus: CPU: 4 virtuelle CPUs mit je 2 GHz Arbeitsspeicher: 6 GB 40 GB freier Speicherplatz Die oben genannte Hardware-Konfiguration ist geeignet für Umgebungen mit bis zu 50 Computern, 50 virtuellen Maschinen in einer VMware-Infrastruktur, 50 virtuelle Maschinen in einer Citrix-XenServer-Infrastruktur, 50 Active-Directory-Benutzer, 50 Android-Geräte und 50 ios-geräte Internet-Verbindung Die GravityZone-Appliance benötigt eine aktive Internet-Verbindung. Systemanforderungen 3

9 Anforderungen Control Center-Web-Konsole Folgendes wird benötigt, um die Control Center-Web-Konsole aufzurufen: Internet Explorer 9+, Mozilla Firefox 14+, Google Chrome 15+, Safari 5+ Empfohlene Bildschirmauflösung: 1280x800 oder höher. Der Computer, von dem aus Sie eine Verbindung herstellen, muss im Netzwerk mit dem Control Center verbunden sein. Warnung Control Center funktioniert in der Kompatibilitätsansicht des Internet Explorer 9+ nicht bzw. wird nicht richtig angezeigt. Es ist, als würden Sie eine nicht unterstützte Browserversion benutzen Anforderungen für Security for Endpoints Unterstützte Betriebssysteme Security for Endpoints bietet derzeit Sicherheit für die folgenden Betriebssysteme: Betriebssysteme Arbeitsplatzrechner: Windows 8.1 Windows 8 Windows 7 Windows Vista mit Service Pack 1 Windows XP mit Service Pack 2 (64-Bit) Windows XP mit Service Pack 3 Mac OS X Lion (10.7.x) Mac OS X Mountain Lion (10.8.x) Mac OS X Mavericks (10.9.x) Tablets und eingebettete Betriebssysteme: Windows Embedded 8.1 Industry Windows Embedded 8 Standard Windows Embedded Standard 7 Windows Embedded Compact 7 Windows Embedded POSReady 7 Windows Embedded Enterprise 7 Windows Embedded POSReady 2009 Windows Embedded Standard 2009 Windows XP Embedded mit Service Pack 2* Windows XP Tablet PC Edition* *Bestimmte Betriebssystemmodule müssen für die Funktionalität von Security for Endpoints installiert werden. Systemanforderungen 4

10 Betriebssysteme Server: Windows Server 2012 R2 Windows Server 2012 Windows Small Business Server (SBS) 2011 Windows Small Business Server (SBS) 2008 Windows Server 2008 R2 Windows Server 2008 Windows Small Business Server (SBS) 2003 Windows Server 2003 R2 Windows Server 2003 SP1 Windows Home Server Hardware-Anforderungen Mit Intel Pentium kompatibler Prozessor: Betriebssysteme Arbeitsplatzrechner 1 GHz oder schneller bei Microsoft Windows XP SP3, Windows XP SP2 64 Bit und Windows 7 Enterprise (32 und 64 Bit) 2 GHz oder schneller bei Microsoft Windows Vista SP1 oder neuer (32 und 64 Bit), Microsoft Windows 7 (32 und 64 Bit), Microsoft Windows 7 SP1 (32 und 64 Bit), Windows MHZ oder schneller bei Microsoft Windows Embedded Standard 7 SP1, Microsoft Windows POSReady 7, Microsoft Windows POSReady 2009, Microsoft Windows Embedded Standard 2009, Microsoft Windows XP Embedded mit Service Pack 2, Microsoft Windows XP Tablet PC Edition Betriebssysteme Server Minimum: 2,4 GHz Single-Core-CPU Empfohlen: 1,86 GHz oder schnellere Intel Xeon Multi-Core-CPU Freier RAM: Für Windows: Mindestens 512 MB, 1 GB empfohlen Für Mac: Mindestens 1 GB Speicherplatz (Festplatte): 1.5 GB freier Speicherplatz Für Entitäten mit Endpoint Security Relay-Rolle werden mindestens 6 GB freier Festplattenspeicher benötigt, da dort alle Updates und Installationspakete gespeichert sind Unterstützte Web-Browser Security for Endpoints funktioniert mit folgenden Browsern: Systemanforderungen 5

11 Internet Explorer 8+ Mozilla Firefox 8+ Google Chrome 15+ Safari Anforderungen für Security for Virtualized Environments Security for Virtualized Environments wird in einer virtuellen Appliance namens Security Server ausgeliefert. Security Server läuft auf einem Ubuntu Server LTS (Kernel 3.2) und wird über das Control Center verwaltet Unterstützte Virtualisierungsplattformen Security for Virtualized Environments ist auf den folgenden Virtualisierungsplattformen sofort einsatzbereit: VMware vsphere 5.5, 5.1, 5.0, 4.1 mit VMware vcenter Server 5.5, 5.1, 5.0, 4.1 vcns 5.5 VMware View 5.1, 5.0 Citrix XenServer 6.2, 6.0, 5.6 oder 5.5 (inkl. Xen Hypervisor) Citrix XenDesktop 7.5, 5.5 oder 5.0 (inkl. Xen Hypervisor) Citrix VDI-in-a-Box 5.x Microsoft Hyper-V Server 2008 R2 oder Windows 2008 R2 (inkl. Hyper-V Hypervisor) Microsoft Hyper-V Server 2012 oder Windows 2012 Server (inkl. Hyper-V Hypervisor) Microsoft Hyper-V Server 2012 R2 oder Windows 2012 R2 Server (inkl. Hyper-V Hypervisor) Red Hat Enterprise Virtualization 3.0 (inkl. KVM Hypervisor) Oracle VM 3.0 Der Support oder Virtualisierungsplattformen kann auf Anfrage bereitgestellt werden. Voraaussetzungen für die Integration mit VMware vshield Endpoint ESXi 5.5, 5.1, 5.0 (Version oder neuer), 4.1 (Version oder neuer) vcenter Server 5.5, 5.1, 5.0, 4.1 vshield Manager 5.5, 5.1, 5.0 vshield Endpoint, das über vshield Manager auf dem/den von Security for Virtualized Environments geschützten Host(s) installiert wurde VMware Tools Version oder neuer, die auf den geschützten virtuellen Maschinen im vollständigen Modus oder mit dem über die VMCI im benutzerdefinierten Modus ausgewählten vshield-endpoint-treiber installiert wurden. Systemanforderungen 6

12 Wichtig Es wird empfohlen, alle VMware-Produkte stets mit dem neuesten Patch auf dem neuesten Stand zu halten. Wenn Sie ESXi 5.5 verwenden, ist es für die Unterstützung der Gastbetriebssysteme Windows 2012 R2 und Windows 8.1 erforderlich, VMware ESXi 5.5, Patch ESXi BG: Updates esx-base ( ) anzuwenden. Wenn Sie ESXi 5.0 verwenden, empfehlen wir dringend, VMware ESXi 5.0 Patch ESXi BG: Updates tools-light anzuwenden; dadurch werden kritische Probleme bei den Gast-Treibern für vshield Endpoint gelöst. Das Patch aktualisiert VMware Tools auf die Version Wenn Sie ESXi 4.1 P3 verwenden, müssen Sie sich die aktualisierte Version der VMware Tools beschaffen und sie auf den virtuellen Maschinen installieren. Weitere Informationen finden Sie in diesem Artikel der Wissensdatenbank Unterstützte Virtualisierungs-Verwaltungs-Tools Control Center lässt sich derzeit mit den folgenden Virtualisierungs-Verwaltungs-Tools integrieren: VMware vcenter Server Citrix XenServer Um die Integration einzurichten, müssen Sie Benutzernamen und Passwort eines Administrators eingeben Security Server-Anforderungen Security Server ist eine vorkonfigurierte virtuelle Maschine, die auf einem Ubuntu Server LTS (3.2-Kernel) läuft. Speicher- und CPU-Zuteilung für Security Server hängt von der Anzahl und Art der VMs ab, die auf dem Host laufen. In der folgenden Tabelle sind die empfohlenen Ressourcen aufgeführt: Anzahl geschützter VMs 1-50 VMs VMs VMs RAM CPUs 2 GB 2 CPUs 2 GB 4 CPUs 4 GB 6 CPUs Weitere Anforderungen hängen davon ab, ob die Appliance mit VMware vshield Endpoint integriert werden kann: In VMware-Umgebungen mit vshield Endpoint: Systemanforderungen 7

13 Security Server muss auf jedem ESXi-Host installiert werden, der geschützt werden soll. Sie müssen 80 GB Speicherplatz auf jedem Host bereitstellen. In anderen Umgebungen: Es ist zwar nicht zwingend erforderlich, aber Bitdefender empfiehlt, zur Verbesserung der Leistung Security Server auf jedem physischen Host zu installieren. Sie müssen 8 GB Speicherplatz auf jedem Security Server-Host bereitstellen Unterstützte Gast-Betriebssysteme Security for Virtualized Environments bietet derzeit Sicherheit für die folgenden Betriebssysteme: Windows Server 2012* / Windows Server 2012 R2** Windows Server 2008/ Windows Server 2008 R2 Windows Server 2003/ Windows Server 2003 R2 Windows 8.1** Windows 8* Windows 7 Windows Vista*** Windows XP mit Service Pack 3 (32-Bit) / Service Pack 2 (64-Bit)*** Red Hat Enterprise Linux / CentOS 5.6 oder höher Ubuntu LTS oder höher SUSE Linux Enterprise Server 11 oder neuer OpenSUSE 11 oder höher Fedora 15 oder höher Debian 5.0 oder höher Oracle Solaris 11, 10 (nur in VMware-vShield-Umgebungen) * VMware vshield (agentenlose Version) unterstützt Windows 8 und Windows Server 2012 ab VMware vshield Manager Version 5.5. ** VMware vshield (agentenlose Version) unterstützt Windows 8.1 (32/64 Bit) und Windows Server 2012 R2 (64 Bit) ab Vmware vsphere 5.5 ESXi Build *** VMware vshield Endpoint unterstützt nicht die 64-Bit-Versionen von Windows XP und Vista. Zugriff-Scans sind auf allen unterstützten Gast-Betriebssystemen möglich. Auf Linux-Systemen werden Zugriff-Scans in den folgenden Fällen unterstützt: Kernel-Version oder höher Linux-Distribution Alle unterstützt Zugriff-Scan-Unterstützung Die Fanotify-Kernel-Option muss aktiviert sein. Systemanforderungen 8

14 Kernel-Version Linux-Distribution Debian 5.0, 6.0 Ubuntu LTS CentOS 6.x Red Hat Enterprise Linux 6.x Zugriff-Scan-Unterstützung Hierfür nutzt Bitdefender DazukoFS mit vorgefertigten Kernel-Modulen. Für andere Distributionen oder Kernel-Versionen müssen Sie das DazukoFS-Modul manuell kompilieren. Informationen zur Vorgehensweise bei der manuellen Kompilierung von DazukoFS finden Sie unter: Unterstützung von Zugriff-Scans auf virtuellen Linux-Maschinen (S. 54). Über Fanotify und DazukoFS können Anwendungen von Drittanbietern den Dateizugriff auf Linux-Systemen steuern. Weitere Informationen finden Sie unter : Fanotify-Manpages: Dazuko-Projekt-Website: Anforderungen und Ressourcenverbrauch des Bitdefender Tools Bitdefender Tools kann auf jeder virtuellen Maschine installiert werden, auf der eines der unterstützten Betriebssysteme läuft. Es gibt keine bestimmten Hardware- oder Software-Anforderungen. Wie die folgenden Tabellen zeigen, verbraucht Bitdefender Tools extrem wenig System-Ressourcen. In VMware-Umgebungen mit vshield Endpoint Plattform RAM Windows 6-16* MB (~ 10 MB für die GUI) Linux 9-10 MB Speicherplatz 24 MB MB *5 MB, wenn der Hintergrund-Modus aktiviert ist, 10 MB, wenn er deaktiviert ist. Wenn der Hintergrund-Modus aktiviert ist, wird die Benutzeroberfläche von Bitdefender Tools (GUI) nicht automatisch beim Systemstart geladen. So werden Ressourcen freigesetzt. In anderen Umgebungen Betriebssystem RAM Windows 20/25* MB Linux 50 MB Speicherplatz 60 MB 70 MB Systemanforderungen 9

15 *20 MB, wenn der Hintergrund-Modus aktiviert ist, 25 MB, wenn er deaktiviert ist. Wenn der Hintergrund-Modus aktiviert ist, wird die Benutzeroberfläche von Bitdefender Tools (GUI) nicht automatisch beim Systemstart geladen. So werden Ressourcen freigesetzt Security for Mobile Devices-Anforderungen Unterstützte Plattformen Security for Mobile Devices unterstützt die folgenden Mobilgeräte und Betriebssysteme: Apple iphones und ipads (ios 5.1+) Smartphones und Tablets mit Google Android (2.3+) Verbindunugngsanforderungen Mobile Geräte müssen eine aktive und funktionierende Funk-Daten- oder WLAN-Verbindung mit dem Kommunikationsserver haben Push-Benachrichtigungen Security for Mobile Devices verwendet Push-Benachrichtigungen, um Mobile Clients darauf hinzuweisen, dass Richtlinien-Updates oder Aufgaben bereit stehen. Push-Benachrichtigungen werden vom Kommunikationsserver über den Dienst gesendet, der vom Hersteller des Betriebssystems dafür vorgesehen ist: Google Cloud Messaging (GCM) bei Android-Geräten. Damit GCM funktioniert, müssen die folgenden Bedingungen erfüllt sein: Google Play Store muss installiert sein. Geräte, auf denen eine ältere Version als Android läuft, müssen außerdem mindestens angemeldetes Google-Konto haben. Um Push-Benachrichtigungen zu senden, müssen eine bestimmte Anzahl an Ports offen sein. Apple Push Notifications (APNs) bei ios-geräten. Weitere Informationen finden Sie in diesem Artikel der Wissensdatenbank. Mehr über die Verwaltung von mobilen Gräten mit GravityZone erfahren Sie in diesem Artikel Zertifikate für die ios-geräteverwaltung Um die Infrastruktur zur Verwaltung von ios-mobilgeräten einzurichten, benötigen Sie bestimmte Zertifikate. Weitere Informationen finden Sie unter Certificates. Systemanforderungen 10

16 2.5. GravityZone-Kommunikations-Ports In der folgenden Tabelle sind die Ports angegeben, die von den GravityZone-Komponenten benutzt werden: Schnittstelle 80 (HTTP) / 443 (HTTPS) 8443 (HTTPS) 7074 (HTTP) / / 7083 (SSL) , 5229, , 2196, (UDP) Nutzung Port für den Zugriff auf Control Center. Port für die Verbindung der Client/Agend-Software mit dem Kommunikationsserver. Update Server Port: Sorgt für die Kommunikation zwischen GravityZone-Diensten und der Außenwelt. Ports, die zur Sicherstellung der Kommunikation zwischen dem Control Center und dem Kommunikations-Server verwendet werden. Port, der standardmäßig vom Kommunikationsserver und Control Center zum Zugriff auf die Datenbank benutzt wird Ports, die vom Bitdefender Tools-Agent für die Verbindung zum Security Server verwendet werden. Port zur Kommunikation zwischen dem Bitdefender Tools-Agenten für Linux und Security Server in VMware-Umgebungen mit vshield Endpoint. Port zur Kommunikation zwischen dem Hypervisor (vmkernel) und Security Server in VMware-Umgebungen mit vshield Endpoint. Ports für Google Cloud Messaging (GCM). Der Kommunikationsserver benutzt GCM, um Push-Benachrichtigungen an verwaltete Android-Geräte zu senden. Ports für den Dienst Apple Push Notification (APNs). Die Ports 2195 und 2196 werden vom Kommunikationsserver dazu benutzt, mit den APNs-Servern zu kommunizieren. Port 5223 wird unter bestimmten Umständen von verwalteten ios-geräten benutzt, um per WLAN mit den APNs-Servern zu kommunizieren. Weitere Informationen finden Sie in diesem Artikel der Wissensdatenbank. Port für User Datagram Protocol (UDP), den GravityZone-Appliances zur Zeitsynchronisation mit dem NTP-Server verwenden. Näheres zu GravityZone-Ports erfahren Sie in diesem Artikel. Systemanforderungen 11

17 3. GravityZone: Installation und Einrichtung Führen Sie die folgenden Schritte aus, um die Installation möglichst reibungslos zu gestalten: 1. Installation vorbereiten. 2. Installieren Sie die GravityZone-Virtual-Appliance, und richten Sie sie ein. 3. Verbindung zum Control Center herstellen und erstes Benutzerkonto einrichten. 4. Geben Sie Ihren Lizenzschlüssel ein. 5. Control Center-Einstellungen konfig. 6. Fügen Sie Control Center-Benutzer hinzu Installation vorbereiten Zur Installation benötigen Sie ein Image der GravityZone-Virtual-Appliance. Nachdem Sie die GravityZone-Appliance installiert und eingerichtet haben, können Sie die nötigen Installationspakete für alle anderen Komponenten der Sicherheitsdienste aus der Ferne über die Oberfläche des Control Center installieren oder herunterladen. Das Image der GravityZone-Appliance steht in verschiedenen Formaten zur Verfügung, die mit den gängigsten Virtualisierungsplattformen kompatibel sind. Die Links zum Herunterladen erhalten Sie, wenn Sie sich auf der Bitdefender-Enterprise-Website für eine Testversion registrieren. Für die Installation und Ersteinrichtungen sollten Sie die folgenden Dinge zur Hand haben: DNS-Namen oder festgelegte IP-Adressen (entweder durch statische Konfiguration oder über DHCP-Reservierung) für die GravityZone-Appliances Benutzername und Passwort eines Domain-Administrators Eckdaten für vcenter Server, vshield Manager, XenServer (Hostname oder IP-Adresse, Kommunikations-Port, Administrator-Benutzername und -Passwort) Lizenzschlüssel für jeden GravityZone-Sicherheitsdienst (siehe zur Testversions-Registrierung oder zum Kauf) Server-Einstellungen für ausgehende s wenn nötig, Proxy-Server-Einstellungen Sicherheitszertifikate GravityZone: Installation und Einrichtung 12

18 Zur Installation der Dienste müssen zusätzliche Voraussetzungen erfüllt sein Installation und Einrichtung der GravityZone-Appliance Auf der GravityZone-Appliance können eine, mehrere oder alle der folgenden Rollen laufen: Datenbank-Server Update Server Web-Konsole Kommunikations-Server Für die Installation von GravityZone muss je eine Instanz jeder Rolle laufen. Das bedeutet, dass Sie, je nachdem wie Sie die GravityZone-Rollen verteilen möchten, zwischen einer und vier GravityZone-Appliances installieren werden. Die Datenbank-Server-Rolle ist die, die zuerst installiert wird. In einem Szenario mit mehreren GravityZone-Appliances installieren Sie zunächst die Datenbank-Server-Rolle auf der ersten Appliance und konfigurieren dann alle weiteren Appliances so, dass sie eine Verbindung mit der bestehenden Datenbankinstanz herstellen. Gehen Sie zur Installation und Einrichtung der GravityZone-Appliance folgendermaßen vor: 1. Importieren Sie das Image der GravityZone-Appliance in Ihre virtualisierte Umgebung. 2. Schalten Sie die Appliance an. 3. Greifen Sie von ihrem Virtualisierungsverwaltungsprogramm auf die Konsolenoberfläche der GravityZone-Appliance zu. 4. Legen Sie ein Passwort für den eingebauten Systemadministrator bdadmin fest. 5. Melden Sie sich mit dem Passwort an, das Sie eingerichtet haben. 6. Drücken Sie Enter, um zur Konfigurationsoberfläche zu gelangen. 7. Richten Sie die Appliance über die Konfigurationsoberfläche wie folgt ein: a. Weisen Sie der Appliance einen DNS-Namen zu. b. Konfigurieren Sie die Netzwerkeinstellungen. c. Konfigurieren Sie, wenn nötig, die Proxy-Einstellungen. d. GravityZone-Rollen installieren. Die GravityZone-Appliance hat eine schlichte Konfigurationsoberfläche. Mithilfe der Pfeiltasten und der Tabulator-Taste können Sie durch die Menüs und Optionen navigieren. Drücken Sie die Enter-Taste, um eine bestimmte Option auszuwählen Hostname und Domäneneinstellungen konfigurieren Die Kommunikation mit den GravityZone-Rollen funktioniert über die IP-Adresse oder den DNS-Namen derjenigen Appliance, auf denen die jeweilige Rolle installiert ist. Standardmäßig GravityZone: Installation und Einrichtung 13

19 kommunizieren die GravityZone-Komponenten über IP-Adressen. Wenn Sie die Kommunikation über DNS-Namen ermöglichen möchten, müssen Sie den GravityZone-Appliances DNS-Namen zuweisen und sicherstellen, dass diese Namen korrekt zu den konfigurierten IP-Adressen der Appliances aufgelöst werden. Außer der Konfiguration des Hostnamen der Appliance müssen Sie sie einer Domain zuordnen. Wichtig Der Hostname sollte (sofern nötig) nur während der Ersteinrichtung konfiguriert werden. Eine nachträgliche Änderungen des Hostnamen kann zu Kommunikationsfehlern mit zuvor installierten Clients führen. So konfigurieren Sie die Einstellungen für Hostname und Domain: 1. Wählen Sie aus dem Hauptmenü Hostname und Domain-Einstellungen konfigurieren. 2. Wählen Sie Hostname konfigurieren. 3. Geben Sie den Hostnamen der Appliance und den Domain-Namen ein. 4. Wählen Sie OK, um die Änderungen zu speichern. 5. Wählen Sie Domain konfigurieren. 6. Geben Sie den Benutzernamen und das Passwort eines Domain-Administrators ein. 7. Wählen Sie OK, um die Änderungen zu speichern Netzwerkeinstellungen konfigurieren Sie können die Appliance so einrichten, dass sie die Netzwerkeinstellungen automatisch vom DHCP-Server bezieht, oder Sie können sie manuell konfigurieren. Wenn Sie die DHCP-Methode wählen, müssen Sie den DHCP-Server so konfigurieren, dass er eine bestimmte IP-Adresse für die Appliance reserviert. So konfigurieren Sie die Netzwerkeinstellungen: 1. Wählen Sie aus dem Hauptmenü Netzwerkeinstellungen konfigurieren. 2. Wählen Sie den Netzwerkadapter aus. 3. Wählen Sie die Konfigurationsmethode: Netzwerkeinstellungen manuell konfigurieren. Sie müssen die IP-Adresse, die Netzwerkmaske, die Gateway-Adresse und die DNS-Server-Adressen angeben. Netzwerkeinstellungen automatisch über DHCP beziehen. Wählen Sie diese Option nur, wenn Sie den DHCP-Server so konfiguriert haben, dass er eine bestimmte IP-Adresse für die Appliance reserviert. 4. Über die entsprechenden Optionen können Sie die aktuellen Details zur IP-Konfiguration bzw. den Link-Status überprüfen. GravityZone: Installation und Einrichtung 14

20 Proxy-Einstellgn. konf. Wenn die Appliance über einen Proxy-Server mit dem Internet verbunden ist, müssen Sie die Proxy-Einstellungen konfigurieren. So konfigurieren Sie die Proxy-Einstellungen: 1. Wählen Sie aus dem Hauptmenü Proxy-Einstellungen konfigurieren. 2. Wählen Sie Proxy-Einstellungen konfigurieren. 3. Geben Sie die Adresse des Proxy-Servers ein. 4. Wählen Sie OK, um die Änderungen zu speichern GravityZone-Rollen installieren So installieren Sie GravityZone-Rollen: 1. Wählen Sie aus dem Hauptmenü Rollen installieren/verändern. 2. Wählen Sie Rollen hinzufügen oder entfernen. 3. Drücken Sie die Enter-Taste, um fortzufahren. 4. Dieser Schritt hängt von Ihrer aktuellen Situation ab: Wenn dies die erste Installation einer GravityZone-Appliance ist, drücken Sie die Leertaste und dann Enter, um die Datenbank-Server-Rolle zu installieren. Sie müssen Ihre Wahl noch einmal mit der Enter-Taste bestätigen und dann warten, bis die Installation abgeschlossen ist. Wenn Sie bereits eine andere Appliance mit der Datenbank-Server-Order installiert haben, wählen Sie Abbrechen, um zum Hauptmenü zurückzukehren. Sie müssen dann Datenbankadresse konfigurieren wählen und die Adresse des Datenbank-Servers eingeben. Verwenden Sie die folgende Syntax: Der Standard-Datenbank-Port ist Installieren Sie die anderen Rollen, indem Sie im Menü Rollen installieren/verändern den Punkt Rollen hinzufügen oder entfernen und anschließend die zu installierenden Rollen wählen. Drücken Sie die Leertaste, um eine Rolle auszuwählen und die Enter-Taste um fortzufahren. Sie müssen Ihre Wahl noch einmal mit der Enter-Taste bestätigen und dann warten, bis die Installation abgeschlossen ist. Die Installation jeder Rolle dauert normalerweise ein paar Minuten. Während der Installation werden benötigte Dateien aus dem Internet heruntergeladen. Daher dauert die Installation länger, wenn die Internetverbindung langsam ist. Wenn die Installation ins Stocken gerät, installieren Sie die Appliance erneut. GravityZone: Installation und Einrichtung 15

21 3.3. Control Center: Ersteinrichtung Nach der Installation und Einrichtung der GravityZone-Appliance müssen Sie die Web-Oberfläche des Control Center öffnen und Ihr Unternehmens-Administrator-Konto konfigurieren. Weitere Informationen zu Control Center-Benutzern finden Sie unter Benutzertypen in Control Center (S. 63). 1. Geben Sie in die Adressleiste ihres Browsers IP-Adresse oder den DNS-Hostnamen der Control Center-Appliance ein (mit dem Präfix Ein Konfigurationsassistent wird geöffnet. 2. Zunächst müssen Sie Ihre GravityZone-Installation bei einem Bitdefender-Konto registrieren. Geben Sie den Benutzernamen und das Passwort Ihres Bitdefender-Kontos ein. Wenn Sie noch kein Bitdefender-Konto haben, klicken Sie auf den entsprechenden Link, um eines zu erstellen. Klicken Sie auf Weiter. 3. Geben Sie den Lizenzschlüssel ein, der zur Validierung der erworbenen GravityZone-Sicherheitsdienste nötig ist. Sie finden Ihre Lizenzschlüssel in der zur Testversions-Registrierung oder zum Kauf. Geben Sie den Lizenzschlüssel in das Feld Schlüssel ein, und klicken Sie auf die Schaltfläche Hinzufügen. Warten Sie, bis der Lizenzschlüssel bestätigt wurde. In den entsprechenden Spalten sehen Sie auch den Sicherheitsdienst und das Ablaufdatum jedes Lizenzschlüssels. Während der Ersteinrichtung muss mindestens ein gültiger Lizenzschlüssel angegeben werden, um GravityZone zu verwenden. Später können Sie mehr Lizenzschlüssel hinzufügen oder bestehende verändern. Klicken Sie auf Weiter. 4. Geben Sie die geforderten Informationen zu ihrem Unternehmens-Administrator-Konto an: Benutzername, -Adresse und Passwort. Das Passwort muss mindestens einen Großbuchstaben, einen Kleinbuchstaben und eine Ziffer oder ein Sonderzeichen enthalten. 5. Klicken Sie Konto erstellen. Das Unternehmens-Administrator-Konto wird erstellt, und Sie werden automatisch mit dem neuen Konto am Bitdefender Control Center angemeldet. GravityZone: Installation und Einrichtung 16

22 3.4. Lizenzschlüssel eingeben Die GravityZone-Sicherheitsdienste werden getrennt lizenziert und verkauft. Jeder GravityZone-Sicherheitsdienst benötigt einen gültigen Lizenzschlüssel. Zur Verwendung von GravityZone muss mindestens ein gültiger Lizenzschlüssel eingegeben werden. Control Center wird kostenlos mit jedem GravityZone-Sicherheitsdienst mitgeliefert. Sie finden Ihre Lizenzschlüssel in der zur Testversions-Registrierung oder zum Kauf. So zeigen Sie bestehende Lizenzinformationen an und geben Ihre Lizenzschlüssel ein: 1. Melden Sie sich mit einem Konto am Control Center an, das dem Recht Unternehmen bzw. Lösungen zu verwalten. 2. Gehen Sie zur Seite Konfiguration > Lizenz 3. Jetzt können Sie die bestehenden Lizenzschlüssel, Status, Ablaufdaten und Benutzeranzahl der Lizenz sehen. Klicken Sie auf die Hinzufügen Schaltfläche auf der rechten Seite der Tabelle, um den Dienstwahl-Lizenzschlüssel zu ändern. Geben Sie im Feld Lizenzschlüssel einen Lizenzschlüssel ein. Bei der Offline-Registrierung müssen Sie auch den Registrierungs-Code angeben. Warten Sie, bis der Lizenzschlüssel bestätigt wurde. Der eingegebene Lizenzschlüssel wird in die Liste aufgenommen und ersetzt den vorherigen Schlüssel Control Center-Einstellungen konfig. So konfigurieren Sie die nötigen Control Center-Einstellungen: 1. Gehen Sie zum Seite Konfiguration. Wechseln Sie zum Reiter Mail-Server. Wenn Sie einrichten möchten, dass Control Center s versenden kann, markieren Sie das Kästchen Mail-Server-Einstellungen, und konfigurieren Sie die nötigen Einstellungen: Mail-Server (SMTP). Geben Sie die IP-Adresse oder den Host-Namen des -Servers ein, der die s versenden wird. Schnittstelle. Geben Sie den Port ein, über den die Verbindung zum Mail Server hergestellt werden soll. Verschlüsselungstyp. Wenn der Mail-Server eine verschlüsselte Verbindung erfordert, wählen Sie den passenden Typ aus dem Menü (SSL/TLS oder STRARTTLS). Absender- -Adresse. Geben Sie die -Adresse ein, die im Absender-Feld der ( -Adresse des Absenders) erscheinen soll. GravityZone: Installation und Einrichtung 17

23 Authentifizierung verwenden. Markieren Sie dieses Kästchen, wenn der Mail-Server eine Authentifizierung fordert. Sie müssen einen gültigen Benutzernamen/ -Adresse und ein gültiges Passwort angeben. Klicken Sie auf Speichern, um die Änderungen zu speichern. Wechseln Sie zum Reiter Proxy. Wenn Ihr Computer über einen Proxy-Server mit dem Internet verbunden ist, wählen Sie Proxy-Einstellungen verwenden und konfigurieren Sie die erforderlichen Einstellungen: Adresse - Geben Sie die IP-Adresse des Proxy-Servers ein. Port - Geben Sie den Port ein, über den die Verbindung zum Proxy-Server hergestellt wird. Name - Geben Sie einen für den Proxy-Server gültigen Benutzernamen ein. Passwort - Geben Sie das Passwort für den zuvor angegebenen Benutzer ein. Klicken Sie auf Speichern, um die Änderungen zu speichern. Wählen Sie den Reiter Verschiedenes, um die folgenden Grundeinstellungen zu konfigurieren: Wenn ein Security Server-Image benötigt wird, das nicht verfügbar ist. Standardmäßig beinhaltet die GravityZone-Appliance nicht die Images der virtuellen Maschine mit dem Security Server. Versucht ein Administrator ohne Rechte zur Lösungsverwaltung nun, ein Security Server-Image herunterzuladen oder eine Security Server-Installationsaufgabe auszuführen, wird die Aktion fehlschlagen. Sie können für solche Situationen eine automatische Aktion konfigurieren, indem Sie eine der folgenden Optionen wählen: Image automatisch herunterladen Den Administrator benachrichtigen und nicht herunterladen Um die Arbeit der Administratoren nicht zu stören, können Sie die nötigen Security Server-Pakete von der Seite Update > Produkt-Update herunterladen. Gleichzeitige Installationen. Über Installationsaufgaben können Administratoren aus der Ferne Sicherheitskomponenten installieren. Wählen Sie diese Option, um die Höchstzahl der Installationen festzulegen, die gleichzeitig vorgenommen werden können. Wenn die Höchstzahl der gleichzeitigen Installationen zum Beispiel auf 10 gesetzt wurde und eine Ferninstallationsaufgabe 100 Computern zugewiesen wird, sendet Control Center zunächst 10 Installationspakete durch das Netzwerk. In diesem Fall wird die Installation gleichzeitig auf höchstens 10 Computern durchgeführt, GravityZone: Installation und Einrichtung 18

24 während alle anderen Teilaufgaben zunächst den Zustand ausstehend erhalten. Sobald eine Teilaufgabe abgeschlossen ist, wird das nächste Installationspaket gesendet, usw. NTP-Server-Einstellungen. Der NTP-Server dient zur Synchronisation der Zeit zwischen allen GravityZone-Appliances. Eine Standardadresse ist voreingestellt. Im Feld NTP-Server-Adresse können Sie sie ändern. Damit die GravityZone-Appliances mit dem NTP-Server kommunizieren können, muss Port 123 (UDP) offen sein. Syslog aktivieren. Wenn Sie diese Funktion aktivieren, erlauben Sie GravityZone, Benachrichtigungen an einen Protokollserver zu schicken, der das Syslog-Protokoll verwendet. Damit können Sie GravityZone-Ereignisse besser überwachen. So aktivieren Sie die Protokollierung auf einem entfernten Syslog-Server: a. Markieren Sie das Kästchen Syslog aktivieren.. b. Geben Sie den Namen oder die IP-Adresse des Servers ein, das bevorzugte Protokoll und den Port, auf dem Syslog lauscht.. c. Klicken Sie in der Spalte Aktion auf die Schaltfläche Hinzufügen. Klicken Sie auf Speichern, um die Änderungen zu speichern. Wechseln Sie zum Reiter Backup, um GravityZone-Datenbank-Backups zu konfigurieren und auszuführen. Sie können beliebig viele Datenbank-Backups durchführen oder regelmäßige Backups zu bestimmten Zeitpunkten planen. Mit jedem Datenbank-Backup-Befehl wird eine TGZ-Datei (gzip-komprimierte TAR-Archivdatei) am in den erstellt. So führen Sie ein Datenbank-Backup durch: a. Klicken Sie auf die Schaltfläche Backup jetzt durchführen auf der rechten Seite der Tabelle. Ein Konfigurationsfenster wird sich öffnen. b. Wählen Sie die Art des Speicherorts, an dem das Backup-Archiv abgelegt wird: Lokal, hierbei wird das Archiv auf der GravityZone-Appliance gespeichert. Dabei müssen Sie den Pfad zum Verzeichnis auf der GravityZone-Appliance angeben, in dem das Archiv gespeichert werden soll. Die GravityZone-Appliance hat eine Linux-Verzeichnisstruktur. Sie können das Backup-Archiv z. B. im Verzeichnis tmp speichern. Geben Sie dazu /tmp in das Pfad-Feld ein. FTP, hierbei wird das Backup-Archiv auf einem FTP-Server gespeichert. Geben Sie dazu die FTP-Details in die folgenden Felder ein. GravityZone: Installation und Einrichtung 19

25 Netzwerk, hierbei wird das Archiv auf einer Netzwerkfreigabe gespeichert. Geben Sie dazu den Pfad zum gewünschten Netzwerkspeicherort ein (z. B. \\Computer\Ordner) sowie den Domänennamen und die Zugangsdaten des Domänenbenutzers. c. Klicken Sie auf die Schaltfläche Einstellungen testen. Ein Hinweis wird Ihnen mitteilen, ob die Einstellungen gültig sind oder nicht. Damit das Backup erstellt werden kann müssen alle Einstellungen gültig sein. d. Klicken Sie auf Generieren. Die Seite Backup wird geöffnet. Ein neuer Backup-Eintrag wird der Liste hinzugefügt. Überprüfen Sie den Status des neu erstellten Backups. Nachdem das Backup erstellt wurde, finden Sie die entsprechende TGZ-Datei am festgelegten Speicherort. In der Liste auf der Seite Backup sind die Protokolle aller erstellen Backups aufgeführt. Über die Protokolle können Sie nicht auf die Backup-Archive zugreifen; sie enthalten lediglich Informationen zu den erstellten Backups. So planen Sie ein Datenbank-Backup: a. Klicken Sie auf die Schaltfläche Backup-Einstellungen auf der rechten Seite der Tabelle. Ein Konfigurationsfenster wird sich öffnen. b. Wählen Sie Geplantes Backup. c. Legen Sie ein Backup-Intervall (täglich, wöchentlich oder monatlich) sowie eine Startzeit fest. So können Sie zum Beispiel Backups wöchentlich jeden Freitag um 22:00 Uhr durchführen lassen. d. Konfigurieren Sie den Speicherort für das Backup. e. Wählen Sie die Art des Speicherorts, an dem das Backup-Archiv abgelegt wird: Lokal, hierbei wird das Archiv auf der GravityZone-Appliance gespeichert. Dabei müssen Sie den Pfad zum Verzeichnis auf der GravityZone-Appliance angeben, in dem das Archiv gespeichert werden soll. Die GravityZone-Appliance hat eine Linux-Verzeichnisstruktur. Sie können das Backup-Archiv z. B. im Verzeichnis tmp speichern. Geben Sie dazu /tmp in das Pfad-Feld ein. FTP, hierbei wird das Backup-Archiv auf einem FTP-Server gespeichert. Geben Sie dazu die FTP-Details in die folgenden Felder ein. Netzwerk, hierbei wird das Archiv auf einer Netzwerkfreigabe gespeichert. Geben Sie dazu den Pfad zum gewünschten Netzwerkspeicherort ein (z. B. \\Computer\Ordner) sowie den Domänennamen und die Zugangsdaten des Domänenbenutzers. GravityZone: Installation und Einrichtung 20

26 f. Klicken Sie auf die Schaltfläche Einstellungen testen. Ein Hinweis wird Ihnen mitteilen, ob die Einstellungen gültig sind oder nicht. Damit das Backup erstellt werden kann müssen alle Einstellungen gültig sein. g. Klicken Sie auf Speichern, um das geplante Backup zu erstellen. Wählen Sie im Reiter Active Directory den Punkt Mit Active Directory synchronisieren um Control Center mit einer Active-Directory-Domain zu integrieren und zu synchronisieren. Sie müssen Folgendes angeben: Synchronisationsintervall (in Stunden) Active-Directory-Domain-Name (inkl. Domain-Endung) Benutzername und Passwort eines Domain-Administrators Klicken Sie Speichern, um die Änderungen zu speichern. Warten Sie einige Sekunden, bis sich das Control Center mit Active Directory aus der angegebenen Domain synchronisiert hat. Nach Abschluss des Vorgangs können Sie im Feld Synchronisationsstatus weitere Details einsehen. Im Reiter Virtualisierung können Sie die Integration von Control Center mit Virtualisierungs-Verwaltungsprogrammen konfigurieren. Control Center kann derzeit mit VMware vcenter Server und Citrix XenServer integriert werden. Integration mit vcenter Server. Sie können Control Center mit einem oder mehreren vcenter-server-systemen integrieren. vcenter Server-Systems im Linked Mode müssen separat zum Control Center hinzugefügt werden. So richten Sie die Integration mit einem vcenter-server ein: a. Klicken Sie auf die Schaltfläche Hinzufügen auf der rechten Seite der Tabelle, und wählen Sie vcenter Server aus dem Menü. Ein Konfigurationsfenster wird sich öffnen. b. Geben Sie die Informationen des vcenter-servers an. Name des vcenter-server-systems im Control Center Hostname oder IP-Adresse des vcenter-server-systems vcenter-server-port (standardmäßig 443) c. Geben Sie die Informationen des vshield-manager-systems an, das mit dem vcenter-server integriert ist (falls vorhanden). Hostname oder IP-Adresse des vshield-manager-systems vshield-manager-port (standardmäßig 443) GravityZone: Installation und Einrichtung 21

27 Wenn Sie VMware vshield Endpoint in Ihrer Umgebung nicht verwenden, lassen Sie die entsprechenden Felder leer. d. Geben Sie die Zugangsdaten für die Authentifizierung am vcenter-server an. Sie können die Zugangsdaten für die Integration mit Active Directory oder andere Zugangsdaten verwenden. Der Benutzer, dessen Zugangsdaten Sie angeben, muss auf dem vcenter-server Root-Administratorenrechte haben. e. Klicken Sie auf Speichern. Integration mit XenServer. Sie können Control Center mit einem oder mehreren XenServer-Systemen integrieren. So richten Sie die Integration mit einem XenServer ein: a. Klicken Sie auf die Schaltfläche Hinzufügen auf der rechten Seite der Tabelle, und wählen Sie XenServer aus dem Menü. Ein Konfigurationsfenster wird sich öffnen. b. Geben Sie die Informationen des XenServers an. Name des XenServer-Systems im Control Center Hostname oder IP-Adresse des XenServer-Systems XenServer-Port (standardmäßig 443) c. Geben Sie die Zugangsdaten für die Authentifizierung am XenServer an. Sie können die Zugangsdaten für die Integration mit Active Directory oder andere Zugangsdaten verwenden. d. Klicken Sie auf Speichern. Wählen Sie den Reiter Zertifikate. Besorgen Sie alle nötigen Sicherheitszertifikate und laden Sie sie hoch. Außer dem Control Center-Zertifikate werden alle anderen Sicherheitszertifikate ausschließlich für die Verwaltung von ios-mobilgeräten benötigt. Control Center-Sicherheit. Sicherheitswarnungen Ihres Browsers können Sie verhindern, indem Sie ein SSL-Zertifikat hinzufügen, das entweder von Ihrem Unternehmen oder von einer externen Zertifizierungsstelle (CA) unterzeichnet ist. Kommunikations-Server. Das Kommunikationsserver-Zertifikat wird zur Sicherung der Kommunikation zwischen dem Kommunikationsserver und ios-mobilgeräten eingesetzt. Dieses SSL-Zertifikat kann entweder von Ihrem Unternehmen oder einer externen Zertifizierungsstelle unterzeichnet sein. Der Common Name des Zertifikats muss extrakt mit dem Domain-Namen oder der IP-Adresse übereinstimmen, die von mobilen Clients verwendet wird, um eine Verbindung zum Kommunikationsserver herzustellen. Er ist als externe MDM-Adresse in der Konfigurationsoberfläche der GravityZone-Appliance-Konsole konfiguriert. GravityZone: Installation und Einrichtung 22

28 Apple Push (MDM). Apple benötigt das Apple-MDM-Push-Zertifikat, um beim Versand von Push-Benachrichtigungen die Sicherheit der Kommunikation zwischen dem Kommunikationsserver und den Servern des Diensts "Apple Push Notifications" (APNs) sicherzustellen. Sie können Ihr Apple-MDM-Push-Zertifikat ganz leicht erhalten und importieren, indem Sie den Anweisungen auf der Seite Apple-MDM-Push-Zertifikat hinzufügen folgen. ios-mdm-identitäts- und Profilunterzeichnung. Das ios-mdm-identitäts- und -Profil-Signatur-Zertifikat wird vom Kommunikationsserver dazu benutzt, Identitätszertifikate und Konfigurationsprofile, die an mobile Geräte gesendet werden, zu unterzeichnen. Es muss ein Zwischen- oder Endentitätszertifikat sein, das entweder von Ihrem Unternehmen oder einer externen Zertifizierungsstelle unterzeichnet ist. ios-mdm-vertrauenskette. Die ios-mdm-vertrauenskette muss alle Zwischenzertifikate bis hin zum Root-Zertifikat Ihres Unternehmens oder bis zum von der externen Zertifizierungsstelle unterzeichneten Zwischenzertifikat enthalten. 2. Öffnen Sie das Menü Konfiguration und wählen Sie den Punkt Update. Laden Sie im Reiter Produkt-Update alle nötigen Installationspakete herunter, oder aktualisieren Sie sie. Im Reiter Update-Server können Sie die Bitdefender-Update-Einstellungen konfigurieren. Die Update-Einstellungen gelten für alle GravityZone-Produkte und -Komponenten sowie für Produkt- und Signatur-Updates. Wechseln Sie zum Reiter Infrastruktur, um einen kurzen Überblick über die installierten GravityZone-Appliances und die auf ihnen laufenden Rollen zu erhalten Control Center-Benutzer hinzufügen Sie können das erste GravityZone-Benutzerkonto während der Ersteinrichtung des Control Center nach der Installation der GravityZone-Appliance erstellen. Das erste Benutzerkonto für Control Center hat die Unternehmensadministrator-Rolle mit vollen Rechten über die Konfiguration des Control Center und die Netzwerkverwaltung. Von diesem Konto aus können Sie alle anderen Benutzerkonten erstellen, die Sie für die Verwaltung Ihres Unternehmensnetzwerks benötigen. Benutzerkonten werden auf der Seite Konten im Control Center verwaltet. Alle Benutzer mit dem Benutzer verwalten -Recht können auf die Seite Konten zugreifen. So fügen Sie einen Control Center-Benutzer hinzu: 1. Rufen Sie die Seite Konten auf. GravityZone: Installation und Einrichtung 23

29 2. Klicken Sie auf die Schaltfläche Hinzufügen auf der rechten Seite der Tabelle. Eine Konfigurationsseite wird geöffnet. 3. Geben Sie im Bereich Details die Benutzerdetails an. Sie können entweder einen Benutzer aus Active Directory hinzufügen (vorausgesetzt, dass eine Active-Directory-Integration konfiguriert wurde) oder einen benutzerdefinierten Benutzer anlegen. Um einen Benutzer aus Active Directory hinzuzufügen, klicken Sie auf Import aus Active Directory. Im Feld Benutzername können Sie dann das Benutzerkonto festlegen. Wenn Sie einen Benutzer aus Active Directory hinzufügen, werden die Benutzerinformationen aus Active Directoy importiert. Der Benutzer meldet sich an der Control Center mit dem Benutzerpasswort von Active Directory an. Standardmäßig wird die Control Center in festgelegten Intervallen automatisch mit Active Directory synchronisiert. Um sicherzustellen, dass die neuesten Änderungen in Active Directory auch in die Control Center importiert werden, klicken Sie auf die Schaltfläche Synchronisieren. Um einen benutzerdefinierten Benutzer anzulegen, deaktivieren Sie die Option Import aus Active Directory und geben Sie den Benutzernamen, die -Adresse, den vollen Namen und das Passwort des Benutzers an. Das Passwort muss mindestens einen Großbuchstaben, einen Kleinbuchstaben und eine Ziffer oder ein Sonderzeichen enthalten. Die -Adresse darf nur einmal vergeben werden. Sie können keine weiteren Benutzerkonten mit der gleichen -Adresse anlegen. 4. Konfigurieren Sie im Bereich Einstellungen und Rechte Folgendes: Zeitzone. Wählen Sie im Menü die Zeitzone für das Konto. Die Konsole zeigt die aktuelle Zeit entsprechend der ausgewählten Zeitzone. Sprache.Wählen Sie im Menü die Anzeigesprache für die Konsole aus. Rolle. Wählen Sie eine Rolle aus, die die Rechte des Benutzers festlegt: Unternehmensadministrator Unternehmensadministrator-Konten gewähren vollen Zugriff auf die Konfiguration des Control Center und alle Verwaltungsfunktionen der GravityZone-Sicherheitsdienste. Netzwerkadministrator Netzwerk-Administrator-Konten haben das Recht zur Verwaltung der GravityZone-Sicherheitsdienste, zur Überwachung von Funktionen und GravityZone: Installation und Einrichtung 24

30 Berichterstattung (Sicherheitsdienste installieren, Benutzerkonten erstellen, Berichte erstellen, Dashboard anpassen). Die Netzwerk-Administratorrechte können auf bestimmte Bereiche des Netzwerks oder bestimmte GravityZone-Sicherheitsdienste beschränkt werden. Netzwerk-Administratoren können die Konfigurationseinstellungen des Control Center nicht anzeigen oder bearbeiten. Berichterstatter Berichterstatterkonten bieten nur Zugriff auf Überwachungs- und Berichterstattungsfunktionen. Die Berichterstatterrechte können auf bestimmte Bereiche des Netzwerks oder bestimmte GravityZone-Sicherheitsdienste beschränkt werden. Berichterstatter können die Netzwerk- und Sicherheitskonfiguration nicht einsehen oder verändern. Benutzerdef. Vordefinierte Benutzerrollen beinhalten eine bestimmte Kombination aus Berechtigungen. Sollte eine vordefinierte Benutzerrolle Ihren Anforderungen nicht entsprechen, können Sie ein benutzerdefiniertes Konto mit genau den Rechten anlegen, die Sie benötigen. Rechte. Sie können GravityZone-Benutzerkonten die folgenden Benutzerrechte zuweisen: Netzwerke verwalten. Gewährt Administrationsrechte über die Netzwerksicherheitseinstellungen (Netzwerkinventar, Richtlinien, Aufgaben, Installationspakete, Quarantäne). Dieses Recht haben nur Netzwerkadministratoren. Berichte verwalten. Berichte anlegen, bearbeiten, löschen und das Dashboard verwalten. Lösung verwalten. Berechtigt zur Konfiguration von Einstellungen für Control Center (Mail-Server und Proxy-Einstellungen, Integration mit Active Directory und Virtualisierungsplattformen, Sicherheitszertifikate und GravityZone-Updates). Dieses Recht haben nur Unternehmensadministratoren. Benutzer verwalten. Benutzerkonten erstellen, bearbeiten oder löschen. Eigenes Unternehmen verwalten. Benutzer können ihren eigenen GravityZone-Lizenzschlüssel verwalten und die Einstellungen für ihr Unternehmensprofil bearbeiten. Dieses Recht haben nur Unternehmensadministratoren. Ziele wählen. Scrollen Sie im Konfigurationsbereich nach unten, um den Ziele-Bereich anzuzeigen. Sie können den Zugriff eines Benutzers auf bestimmte GravityZone-Sicherheitsdienste oder auf bestimmte Bereiche des Netzwerks beschränken. Wählen Sie für jeden verfügbaren Sicherheitsdienst die Netzwerkgruppen, auf die der Benutzer Zugriff haben soll. GravityZone: Installation und Einrichtung 25

31 Die Optionen für die Zielauswahl werden nicht für Benutzer mit dem Recht zur Lösungsverwaltung angezeigt. Diese haben standardmäßig Rechte für das gesamte Netzwerk und die Sicherheitsdienste. Wichtig Vergessen Sie nicht, jedes Mal, wenn Sie Änderungen an Ihrer Netzwerkstruktur vornehmen oder eine neue Integration mit einem anderen vcenter-server- oder XenServer-System einrichten, die Zugriffsrechte bestehender Benutzer zu überprüfen und gegebenenfalls anzupassen. 5. Klicken Sie auf Speichern, um den Benutzer hinzuzufügen. Das neue Konto erscheint in der Liste der Benutzerkonten. Control Center sendet dem Benutzer automatisch eine mit den Zugangsdaten, sofern die Mail-Server-Einstellungen korrekt konfiguriert wurden. GravityZone: Installation und Einrichtung 26

32 4. Sicherheitsdienste installieren Um Ihr Netzwerk mit Bitdefender zu schützen, müssen Sie die GravityZone-Sicherheitsdienste installieren. Um die GravityZone-Sicherheitsdienste zu installieren, benötigen Sie einen Control Center-Benutzer mit Administratorrechten für diejenigen Dienste, die Sie installieren müssen, und über das Netzwerk, das Sie verwalten. Außerdem benötigen Sie Administratorzugriffsrechte für die Netzwerkobjekte (Computer, virtuelle Maschinen, mobile Geräte). Die folgende Tabelle zeigt die Arten von Netzwerkobjekten, die durch die einzelnen Dienste geschützt werden: Dienstleistung Security for Endpoints Security for Virtualized Environments Security for Mobile Devices Netzwerkobjekte Computer (Arbeitsplatzrechner, Laptops und Server), auf denen Microsoft Windows y Mac OS X läuft Virtuelle Maschinen, auf denen Microsoft Windows oder Linux läuft, unter einer beliebigen Virtualisierungsplattform iphones, ipads und Android-Geräten 4.1. Security for Endpoints installieren Security for Endpoints eignet sich für Computer und Laptops auf Windows- und Mac-OS-X-Betriebssystemen sowie für Windows-Server. Um Ihre physischen Computer mit Security for Endpoints zu schützen, müssen Sie Endpoint Security (die Client-Software) auf jedem Computer installieren. Endpoint Security verwaltet den Schutz auf dem lokalen Computer. Zudem kommuniziert er mit dem Control Center, um Befehle des Administrators entgegenzunehmen und die Ergebnisse seiner Aktionen zu übermitteln. Sie können Endpoint Security mit einer der folgenden Rollen (verfügbar über den Installationsassistenten) installieren: 1. Endpunkt, wenn der entsprechende Computer ein regulärer Endpunkt im Netzwerk ist. 2. Endpoint Security Relay, wenn der entsprechende Computer von anderen Endpunkten im Netzwerk verwendet wird, um mit der Control Center zu kommunizieren. Die Endpoint Security Relay-Rolle installiert Endpoint Security zusammen mit einem Update-Server, über den alle anderen Clients im Netzwerk aktualisiert werden können. Endpunkte im gleichen Netzwerk können über Richtlinien so konfiguriert werden, dass sie mit der Control Center über einen oder mehrere Computer mit der Endpoint Security Relay-Rolle kommunizieren. Ist ein Endpoint Security Relay nicht verfügbar, wird so der nächst Sicherheitsdienste installieren 27

33 verfügbare berücksichtigt, um die Kommunikation des Computers mit der Control Center sicherzustellen. Sie können Endpoint Security auf Computern installieren indem Sie Installationspakete lokal ausführen oder über Control Center Installationsaufgaben aus der Ferne ausführen. Es ist wichtig, dass Sie die Anleitung sorgfältig lesen und befolgen, um die Installation richtig vorzubereiten. Endpoint Security verfügt über eine stark eingeschränkte Benutzeroberfläche. Über sie können Anwender den Sicherheitsstatus einsehen und grundlegende Sicherheitsaufgaben (Updates und Scans) ausführen, haben jedoch keinen Zugriff auf die Einstellungen. Die Anzeigesprache der Benutzeroberfläche auf geschützten Computern wird bei der Installation standardmäßig entsprechend der für Ihr Konto eingestellten Sprache festgelegt. Um die Benutzeroberfläche auf bestimmten Computern mit einer anderen Sprache einzurichten, können Sie ein Installationspaket erstellen und die bevorzugte Sprache in den Konfigurationsoptionen für dieses Paket festlegen. Weitere Informationen zur Erstellung von Installationspaketen finden Sie unter Endpoint Security Installationspakete erstellen (S. 29) Vor der Installation Bevor Sie mit der Installation beginnen, sollten Sie die folgenden Hinweise beachten, um einen reibungslosen Ablauf zu garantieren: 1. Stellen Sie sicher, dass die Computer die Mindestsystemanforderungen erfüllen. Bei manchen Computern kann es notwendig werden, das neueste Service Pack für das Betriebssystem zu installieren oder Speicherplatz zu schaffen. Legen Sie eine Liste mit den Computern an, die die notwendigen Anforderungen nicht erfüllen, damit Sie diese von der Verwaltung ausschließen können. 2. Entfernen Sie alle bereits installierten Anti-Malware-, Internet-Sicherheits- und Firewall-Lösungen von Ihren Computern (eine Deaktivierung ist nicht ausreichend). Wenn Endpoint Security gleichzeitig mit anderen Sicherheitslösungen auf einem Computer betrieben wird, kann dies die jeweilige Funktion stören und massive Probleme auf dem System verursachen. Viele der Sicherheitsprogramme, die nicht mit Endpoint Security kompatibel sind, werden bei der Installation automatisch erkannt und entfernt. Weitere Informationen und eine Übersicht über die Sicherheitslösungen, die erkannt werden, erhalten Sie in diesem Artikel in der Wissensdatenbank. Wichtig Um die Windows-Sicherheitsfunktionen (Windows Defender, Windows Firewall) müssen Sie sich nicht kümmern. Diese werden vor Beginn der Installation automatisch deaktiviert. Sicherheitsdienste installieren 28

34 3. Für die Installation benötigen Sie Administratorrechte und Zugriff auf das Internet. Sorgen Sie dafür, dass Sie alle nötigen Zugangsdaten für alle Computer zur Hand haben. 4. Die Computer müssen eine funktionierende Netzwerkverbindung zur Control Center-Appliance haben Lokale Installation Eine Möglichkeit, Endpoint Security auf einem Computer zu installieren ist es, ein Installationspaket lokal auf einem Computer auszuführen. Auf der Seite Netzwerk > Pakete können Sie auf Ihre Bedürfnisse zugeschnittene Installationspakete erstellen und verwalten. Das Netzwerk- und Pakete-Menü Nach der Installation des ersten Clients wird dieser dazu verwendet, um andere Computer über den Netzwerkerkennungsmechanismus im gleichen Netzwerk zu erkennen. Weitere Informationen zur Netzwerkerkennung finden Sie unter Wie die Netzwerkerkennung funktioniert (S. 39). Für die lokale Installation von Endpoint Security auf einem Computer gehen Sie folgendermaßen vor: 1. Sie können ein Installationspaket erstellen, das Ihren Anforderungen entspricht. Dieser Schritt muss nicht durchgeführt werden, falls unter Ihrem Benutzerkonto bereits ein Installationspaket für das Netzwerk erstellt worden ist. 2. Jetzt müssen Sie das Installationspaket herunterladen. 3. Im nächsten Schritt Führen Sie das Installationspaket aus. Endpoint Security Installationspakete erstellen So erstellen Sie ein Installationspaket für Endpoint Security: 1. Stellen Sie eine Verbindung zur Control Center her und melden Sie sich mit Ihrem Benutzerkonto an. 2. Gehen Sie zur Seite Netzwerk > Pakete. Sicherheitsdienste installieren 29

35 Die Paketübersicht 3. Klicken Sie auf die Schaltfläche Hinzufügen auf der rechten Seite der Tabelle, und wählen Sie Endpoint Security aus dem Menü. Ein Konfigurationsfenster wird sich öffnen. Erstellen von Endpoint Security-Paketen - Optionen Sicherheitsdienste installieren 30

36 4. Geben Sie einen aussagekräftigen Namen und eine Beschreibung für das zu erstellende Installationspaket ein. 5. Wählen Sie die Rolle des gewünschten Computers: Endpunkt. Wählen Sie diese Option aus, um das Paket für einen regulären Endpunkt zu erstellen. Endpoint Security Relay. Wählen Sie diese Option aus, um das Paket für einen Endpunkt mit der Endpoint Security Relay-Rolle zu erstellen. Endpoint Security Relay ist eine spezielle Rolle, die zusammen mit dem Endpoint Security einen Update-Server auf der Zielmaschine installiert, über den alle anderen Clients im Netzwerk aktualisiert werden können. Dadurch sinkt die benötigte Bandbreite zwischen den Clients und der GravityZone-Appliance. 6. Wählen Sie die Schutzmodule aus, die Sie installieren möchten. 7. Wählen Sie aus dem Feld Sprache die gewünschte Sprache für die Client-Oberfläche. 8. Wählen Sie Vor der Installation scannen, wenn Sie sichergehen möchten, dass die Computer sauber sind, bevor Sie Endpoint Security auf ihnen installieren. Ein Cloud-Schnell-Scan wird auf den entsprechenden Computern ausgeführt, bevor die Installation gestartet wird. 9. Endpoint Security wird im Standardinstallationsordner auf den ausgewählten Computern installiert. Wählen Sie Benutzerdefinierten Installationspfad verwenden, wenn Sie Endpoint Security in einem anderen Ordner installieren möchten. Geben Sie in diesem Fall den gewünschten Pfad in das entsprechende Feld ein. Verwenden Sie dabei Windows-Konventionen (zum Beispiel D:\Ordner). Wenn der angegebene Ordner nicht existiert, wird er während der Installation erstellt. 10. Bei Bedarf können Sie ein Passwort einrichten, um zu verhindern, dass Benutzer Ihren Schutz entfernen. Wählen Sie Deinstallationspasswort festlegen und geben Sie das gewünschte Passwort in die entsprechenden Felder ein. 11. Klicken Sie auf Weiter. 12. Wählen Sie je nach der Rolle des Installationspakets (Endpunkt oder Endpoint Security Relay), mit welcher Entität sich die Zielcomputer in regelmäßigen Abständen verbinden, um den Client zu aktualisieren: GravityZone-Appliance, für beide Rollen verfügbar. Wenn nötig, können Sie auch die Adressen des Kommunikationsservers und der lokalen Update-Server in den folgenden Feldern konfigurieren. Wenn Sie die lokale Update-Adresse ändern, müssen Sie eine der folgenden Syntaxen verwenden: Die hier festgelegte Update-Adresse wird nach der Installation vorübergehend genutzt. Sobald eine Richtlinie auf den Client angewendet wird, wird die Update-Adresse den Sicherheitsdienste installieren 31

37 Richtlinieneinstellungen entsprechend angepasst. Um sicherzustellen, das der Client sich auch weiterhin über dieselbe Update-Adresse aktualisiert, müssen Sie sie in den Richtlinieneinstellungen entsprechend konfigurieren. update_server_ip:port update_server_name:port Endpoint Security Relay - wenn Sie die Endpunkte mit einem in Ihrem Netzwerk installierten Endpoint Security Relay verbinden möchten. Alle Computer mit der Rolle Endpoint Security Relay, die in Ihrem Netzwerk gefunden wurden, werden in der unten angezeigten Tabelle aufgeführt. Wählen Sie den gewünschten Endpoint Security Relay. Verbundene Endpunkte kommunizieren mit dem Control Center ausschließlich über den angegebenen Endpoint Security Relay. Wichtig Port 7074 muss offen sein, damit die Installation über einen Endpoint Security Relay funktioniert. 13. Klicken Sie auf Speichern. Ab jetzt finden Sie das neue Installationspaket in der Liste der Pakete. Installationspakete herunterladen So laden Sie Installationspakete für Endpoint Security herunter: 1. Melden Sie sich über den Computer, auf dem Sie den Schutz installieren möchten, an der Control Center an. 2. Gehen Sie zur Seite Netzwerk > Pakete. 3. Wählen Sie das Endpoint Security-Installationspaket aus, das Sie herunterladen möchten. 4. Klicken Sie auf die Schaltfläche Herunterladen auf der rechten Seite der Tabelle und wählen Sie den Installer-Typ aus, den Sie verwenden möchten. Es gibt zwei Arten von Installationsdateien: Downloader. Der Downloader lädt zunächst das vollständige Installationskit von der Control Center-Appliance herunter und startet dann die Installation. Der Installer ist ein kleines Programm und kann sowohl auf 32-Bit- als auch auf 64-Bit-Systemen ausgeführt werden (und vereinfacht so die Verteilung). Installationspaket. Die vollständigen Installationskits sind größer, und sie müssen auf einem Betriebsyssystem des entsprechenden Typs ausgeführt werden. Verfügbare Installationspaket-Versionen: Windows OS: 32-Bit- und 64-Bit-Systeme Mac OS X: nur 64-Bit-Systeme Sicherheitsdienste installieren 32

38 Stellen Sie sicher, dass Sie die zum jeweiligen Computer passende Version wählen. 5. Speichern Sie die Datei auf dem Computer. Installationspakete ausführen Damit die Installation ordnungsgemäß funktioniert, muss das Installationspaket mit Administratorrechten oder unter einem Administratorkonto ausgeführt werden. 1. Stellen Sie eine Verbindung zur Control Center her und melden Sie sich an. 2. Speichern oder kopieren Sie die Installationsdatei auf dem Zielcomputer oder auf einer Netzwerkfreigabe, auf die von dem Computer aus zugegriffen werden kann. 3. Führen Sie das Installationspaket aus. 4. Folgen Sie den Instruktionen auf dem Bildschirm. Einige Minuten nachdem Endpoint Security installiert wurde, taucht der Computer als verwaltet im Control Center auf (Netzwerk-Seite) Remote-Installation Mit Control Center können Sie Endpoint Security über Installationsaufgaben aus der Ferne auf Active-Directory-Computern und auf anderen Computern, die im Netzwerk gefunden wurden, installieren. Nachdem Endpoint Security auf einem Computer installiert wurde, kann es einige Minuten dauern, bis die anderen Netzwerkcomputer in der Control Center angezeigt werden. Endpoint Security verfügt über einen automatischen Netzwerkerkennungsmechanismus, mit dem Computer gefunden werden können, die nicht im Active Directory sind. Die gefundenen Computer werden als nicht verwaltete Computer auf der Netzwerk-Seite angezeigt (im Bereich Computer unter Benutzerdefinierte Gruppen). Control Center entfernt Active-Directory-Computer automatisch von der Liste der gefundenen Computer. Damit die Netzwerkerkennung funktioniert, müssen Sie Endpoint Security bereits auf mindestens einem Computer im Netzwerk installiert haben. Dieser Computer wird dann eingesetzt, um das Netzwerk zu scannen und Endpoint Security auf den noch nicht geschützten Computern zu installieren. Weitere Informationen zur Netzwerkerkennung finden Sie unter Wie die Netzwerkerkennung funktioniert (S. 39). Anforderungen für die Endpoint Security-Ferninstallation Damit die Ferninstallation funktioniert, müssen die folgenden Punkte gegeben sein: Auf jedem Zielcomputer muss die Administrator-Netzwerkfreigabe admin$ aktiviert sein. Konfigurieren Sie jeden Zielarbeitsplatzrechner für die erweiterte Freigabe von Dateien. Sicherheitsdienste installieren 33

39 Schalten Sie vorübergehend die Benutzerkontensteuerung auf allen Computern mit Windows-Betriebsystemen, die diese Sicherheitsfunktion beinhalten (Windows Vista, Windows 7, Windows Server 2008 etc.) aus. Wenn die Computer Teil einer Domain sind, können Sie die Benutzerkontensteuerung aus der Ferne über eine Gruppenrichtlinie ausschalten. Deaktivieren oder schließen Sie etwaige Firewalls auf den Computern. Wenn die Computer Teil einer Domain sind, können Sie die Windows-Firewall aus der Ferne über eine Gruppenrichtlinie ausschalten. Durchführen von Endpoint Security-Ferninstallationsaufgaben So führen Sie eine Ferninstallationsaufgabe aus: 1. Stellen Sie eine Verbindung zur Control Center her und melden Sie sich an. 2. Gehen Sie zur Seite Netzwerk. 3. Wählen Sie Computer aus der Dienstauswahl. 4. Wählen Sie die gewünschte Netzwerkgruppe aus dem linken Fenster aus. Die Entitäten der ausgewählten Gruppe werden in der Tabelle im rechten Fenster angezeigt. Sie können optional auch Filter anwenden, um ausschließlich die nicht verwalteten Computer anzuzeigen. Klicken Sie auf die Filter-Schaltfläche und wählen Sie die folgenden Optionen: Nicht verwaltet aus der Kategorie Sicherheit und Alle Objekte rekursiv aus der Kategorie Tiefe. 5. Wählen Sie die Entitäten (Computer oder Gruppen von Computern) aus, auf denen Sie den Schutz installieren möchten. 6. Klicken Sie auf die Schaltfläche Aufgaben auf der rechten Seite der Tabelle, und wählen Sie Client installieren. Der Assistent Client installieren wird angezeigt. Sicherheitsdienste installieren 34

40 Installieren von Endpoint Security über das Aufgabenmenü 7. Konfigurieren Sie die Installationsoptionen: Planen Sie die Installation zu einem bestimmten Zeitpunkt: Jetzt - hiermit startet die Installation sofort. Geplant - hiermit legen Sie ein Intervall für die Wiederholung der Installation fest. Wählen Sie einfach das Intervall (stündlich, täglich oder wöchentlich), das Ihnen am besten passt. Wenn zum Beispiel bestimmte Operationen auf einer bestimmten Maschine nötig sind, bevor der Client installiert wird (z. B. Deinstallation anderer Software oder Neustart des Betriebssystems), können Sie die Installationsaufgabe für alle 2 Stunden planen. Die Aufgabe wird dann auf jeder entsprechenden Maschine alle 2 Stunden ausgeführt, bis die gesamte Installation abgeschlossen ist. Wählen Sie die Rolle, die der Client haben soll: Endpunkt. Wählen Sie diese Option aus, wenn Sie den Client auf einem regulären Endpunkt installieren möchten. Endpoint Security Relay. Wählen Sie diese Option aus, um den Client mit Endpoint Security Relay-Rolle auf dem Ziel-Computer zu installieren. Endpoint Security Sicherheitsdienste installieren 35

41 Relay ist eine spezielle Rolle, die zusammen mit dem Endpoint Security einen Update-Server auf der Zielmaschine installiert, über den alle anderen Clients im Netzwerk aktualisiert werden können. Dadurch sinkt die benötigte Bandbreite zwischen den Clients und der GravityZone-Appliance. Wählen Sie die Schutzmodule aus, die Sie installieren möchten. Bitte beachten Sie, dass für Server-Betriebssysteme nur der Malware-Schutz verfügbar ist. Wählen Sie aus dem Feld Sprache die gewünschte Sprache für die Client-Oberfläche. Wählen Sie Vor der Installation scannen, wenn Sie sichergehen möchten, dass die Computer sauber sind, bevor Sie Endpoint Security auf ihnen installieren. Ein Cloud-Schnell-Scan wird auf den entsprechenden Computern ausgeführt, bevor die Installation gestartet wird. Endpoint Security wird im Standardinstallationsordner auf den ausgewählten Computern installiert. Wählen Sie Benutzerdefinierten Installationspfad verwenden, wenn Sie Endpoint Security in einem anderen Ordner installieren möchten. Geben Sie in diesem Fall den gewünschten Pfad in das entsprechende Feld ein. Verwenden Sie dabei Windows-Konventionen (zum Beispiel D:\Ordner). Wenn der angegebene Ordner nicht existiert, wird er während der Installation erstellt. Während der automatischen Installation wird der Computer nach Malware durchsucht. In einigen Fällen kann es notwendig sein, einen Neustart durchzuführen, um die Entfernung der Malware abzuschließen. Wählen Sie Automatischer Neustart (falls nötig), um sicherzustellen, dass gefundene Malware vor der Installation vollständig entfernt wurde. Sonst könnte die Installation fehlschlagen. Bei Bedarf können Sie ein Passwort einrichten, um zu verhindern, dass Benutzer Ihren Schutz entfernen. Wählen Sie Deinstallationspasswort festlegen und geben Sie das gewünschte Passwort in die entsprechenden Felder ein. Klicken Sie auf Zusätzliche Ziele, wenn Sie den Client auf bestimmten Maschinen in Ihrem Netzwerk installieren möchten, die nicht im Netzwerkinventar angezeigt werden. Geben Sie die IP-Adressen oder die Hostnamen dieser Maschinen, durch Kommas getrennt, in das entsprechende Feld ein. Sie können so viele IP-Adressen wie nötig hinzufügen. Klicken Sie auf Weiter. Wählen Sie im Reiter Verbindung die Entität, über die die Clients kommunizieren sollen: GravityZone-Appliance. Wenn nötig, können Sie auch die Adressen des Kommunikationsservers und der lokalen Update-Server in den folgenden Feldern konfigurieren. Wenn Sie die lokale Update-Adresse ändern, müssen Sie eine der folgenden Syntaxen verwenden: Sicherheitsdienste installieren 36

42 Die hier festgelegte Update-Adresse wird nach der Installation vorübergehend genutzt. Sobald eine Richtlinie auf den Client angewendet wird, wird die Update-Adresse den Richtlinieneinstellungen entsprechend angepasst. Um sicherzustellen, das der Client sich auch weiterhin über dieselbe Update-Adresse aktualisiert, müssen Sie sie in den Richtlinieneinstellungen entsprechend konfigurieren. update_server_ip:port update_server_name:port Endpoint Security Relay - wenn Sie die Endpunkte mit einem in Ihrem Netzwerk installierten Endpoint Security Relay verbinden möchten. Alle Computer mit der Rolle Endpoint Security Relay, die in Ihrem Netzwerk gefunden wurden, werden in der unten angezeigten Tabelle aufgeführt. Wählen Sie den gewünschten Endpoint Security Relay. Verbundene Endpunkte kommunizieren mit dem Control Center ausschließlich über den angegebenen Endpoint Security Relay. Wichtig Port 7074 muss offen sein, damit die Installation über einen Endpoint Security Relay funktioniert. 8. Klicken Sie auf Weiter. 9. Geben Sie im Bereich Zugangsdaten-Manager die Administratorzugangsdaten an, die für die Fernauthentifizierung auf den ausgewählten Endpunkten benötigt werden. Sie können die erforderlichen Zugangsdaten hinzufügen, indem Sie den Benutzer und das Passwort der Zielbetriebssysteme eingeben. Sicherheitsdienste installieren 37

43 Wichtig Bei Windows-8.1-Systemen müssen Sie die Zugangsdaten des eingebauten Administratorkontos oder die eines Domänenadministratorkontos eingeben. Weiteres zu diesem Thema erfahren Sie in diesem Artikel. Wenn Sie noch keine Zugangsdaten ausgewählt haben, wird eine Warnmeldung angezeigt. Dieser Schritt ist für die Ferninstallation von Endpoint Security auf Computern unumgänglich. So fügen Sie erforderlichen OS-Zugangsdaten hinzu: a. Geben Sie in den entsprechenden Feldern den Namen und das Passwort eines Administratorkontos für jedes der Betriebssysteme ein. Sie können jedem Konto eine Beschreibung hinzufügen, um es später leichter identifizieren zu können. Wenn Computer in einer Domäne sind, reicht es aus, die Anmeldeinformationen des Domänenadministrators einzugeben. Verwenden Sie Windows-Konventionen, wenn Sie den Namen eines Domain-Benutzerkontos eingeben, z. B. oder domain\user). Um sicherzugehen, dass die eingegebenen Zugangsdaten funktionieren, geben Sie sie in beiden Ausdrucksweisen ein und domain\user). Die angegebenen Zugangsdaten werden automatisch im Zugangsdaten-Manager gespeichert, sodass Sie sie beim nächsten Mal nicht mehr eingeben müssen. b. Klicken Sie auf den Button Hinzufügen. Das Konto wird zu der Liste der Zugangsdaten hinzugefügt. Sicherheitsdienste installieren 38

44 c. Markieren Sie das Kästchen für das Konto, das Sie verwenden möchten. 10. Klicken Sie auf Speichern. Eine Bestätigungsmeldung wird angezeigt. Auf der Seite Netzwerk > Aufgaben können Sie Aufgaben anzeigen und verwalten Wie die Netzwerkerkennung funktioniert Neben der Integration mit Active Directory verfügt Security for Endpoints über automatische Netzwerkerkennungsmechanismen zur Erkennung von Arbeitsgruppen-Computern. Security for Endpoints nutzt den Microsoft-Computersuchdienst für die Netzwerkerkennung. Der Computersuchdienst ist eine Netzwerktechnologie, die auf Windows-basierten Computern zum Einsatz kommt, um immer aktuelle Listen von Domänen, Arbeitsgruppen und den Computern darin zu verwalten und diese Listen bei Bedarf an Client-Computer weiterzugeben. Computer, die über den Computersuchdienst im Netzwerk erkannt wurden, können durch Eingabe des Net View-Befehls im Eingabeaufforderungsfenster angezeigt werden. Der Net-View-Befehl Damit die Netzwerkerkennung funktioniert, müssen Sie Endpoint Security bereits auf mindestens einem Computer im Netzwerk installiert haben. Von diesem Computer aus wird das Netzwerk gescannt. Wichtig Control Center bezieht keine Netzwerkinformationen über Active Directory oder über die Netzwerkübersichtsfunktion in Windows Vista und höher. Die Netzwerkübersicht nutzt eine andere Technologie zur Netzwerkerkennung: das Link-Layer-Topology-Discovery-Protokoll (LLTD). Control Center übernimmt keine aktive Rolle bei der Ausführung des Computersuchdienstes. Endpoint Security fragt beim Computersuchdienst lediglich die Liste der aktuell im Netzwerk sichtbaren Arbeitsstationen und Server ab (die Suchliste) und leitet diese dann an die Control Center weiter. Die Control Center verarbeitet die Suchliste und fügt neu erkannte Computer zur der Liste der nicht verwalteten Computer hinzu. Bereits erkannte Computer werden nach einer Netzwerkerkennungsabfrage nicht gelöscht, daher müssen Computer, die sich nicht mehr länger im Netzwerk befinden, manuell ausgeschlossen und gelöscht werden. Sicherheitsdienste installieren 39

45 Die erste Abfrage nach der Suchliste wird vom ersten im Netzwerk installierten Endpoint Security durchgeführt. Falls Endpoint Security auf einem Arbeitsgruppen-Computer installiert wurde, werden in der Control Center nur die Computer dieser Arbeitsgruppe angezeigt. Falls Endpoint Security auf einem Domänen-Computer installiert wurde, werden in der Control Center nur die Computer dieser Domäne angezeigt. Computer aus anderen Domänen können erkannt werden, wenn eine Vertrauensstellung mit der Domäne besteht, in der Endpoint Security installiert ist. Nachfolgende Netzwerkerkennungsabfragen werden danach stündlich wiederholt. Bei jeder neuen Abfrage teilt die Control Center die verwalteten Computer in Sichtbarkeitsbereiche auf und bestimmt in jedem Bereich einen Endpoint Security zur Durchführung der Aufgabe. Ein Sichtbarkeitsbereich ist eine Gruppe von Computern, die sich gegenseitig erkennen. Normalerweise wird ein Sichtbarkeitsbereich anhand einer Arbeitsgruppe oder Domäne definiert, im Einzelfall hängt dies jedoch von der Netzwerktopologie und Konfiguration ab. Unter Umständen besteht ein Sichtbarkeitsbereich auch aus mehreren Domänen oder Arbeitsgruppen. Falls ein ausgewählter Endpoint Security die Abfrage nicht durchführt, wartet die Control Center auf die nächste geplante Abfrage, ohne einen anderen Endpoint Security für einen weiteren Versuch auszuwählen. Um das gesamte Netzwerk sichtbar zu machen, muss Endpoint Security auf mindestens einem Computer in jeder Arbeitsgruppe oder Domäne in Ihrem Netzwerk installiert sein. Im Idealfall sollte Endpoint Security auf mindestens einem Computer in jedem Subnetzwerk installiert sein. Weitere Informationen zum Microsoft-Computersuchdienst Der Computersuchdienst auf einen Blick: Funktioniert unabhängig von Active Directory. Läuft ausschließlich über IPv4-Netzwerken und funktioniert unabhängig innerhalb der Grenzen einer LAN-Gruppe (Arbeitsgruppe oder Domäne). Eine Suchliste wird für jede LAN-Gruppe erstellt und verwaltet. Nutzt für die Kommunikation zwischen den Knoten üblicherweise verbindungslose Server-Übertragungen. Nutzt NetBIOS über TCP/IP (NetBT). Benötigt NetBIOS-Namensauflösung. Es wird empfohlen im Netzwerk eine Windows-Internet-Name-Service-Infrastruktur (WINS) zu unterhalten. Ist standardmäßig nicht in Windows Server 2008 und 2008 R2 aktiviert. Weitere Informationen zum Computersuchdienst finden Sie in der Computer Browser Service Technical Reference im Microsoft Technet. Sicherheitsdienste installieren 40

46 Anforderungen für Netzwerkerkennung Um alle Computer (Server und Arbeitsplatzrechner) erfolgreich zu erkennen, die über das Control Center verwaltet werden sollen, ist Folgendes erforderlich: Die Computer müssen in einer Arbeitsgruppe oder Domäne zusammengefasst und über ein lokales IPv4-Netzwerk verbunden sein. Der Computersuchdienst funktioniert nicht über IPv6-Netzwerke. In jeder LAN-Gruppe (Arbeitsgruppe oder Domäne) müssen mehrere Computer den Computersuchdienst ausführen. Auch die primären Domänencontroller müssen den Dienst ausführen. NetBIOS über TCP/IP (NetBT) muss auf den Computern aktiviert sein. Die lokale Firewall muss NetBT-Verkehr zulassen. Die Freigabe von Dateien muss auf den Computern aktiviert sein. Die lokale Firewall muss die Freigabe von Dateien zulassen. Eine Windows-Internet-Name-Service-Infrastruktur (WINS) muss eingerichtet und funktionsfähig sein. Für Windows Vista und höher muss die Netzwerkerkennung aktiviert werden (Systemsteuerung > Netzwerk- und Freigabecenter > Erweiterte Freigabeeinstellungen ändern). Um diese Funktion aktivieren zu können, müssen zunächst die folgenden Dienste gestartet werden: DNS-Client Funktionssuche-Ressourcenveröffentlichung SSDP-Suche UPnP-Gerätehost In Umgebungen mit mehreren Domänen empfiehlt es sich, Vertrauensstellungen zwischen den Domänen einzurichten, damit die Computer auch auf Suchlisten aus anderen Domänen zugreifen können. Computer, über die Endpoint Security den Computersuchdienst abfragt, müssen in der Lage sein, NetBIOS-Namen aufzulösen. Der Mechanismus zur Netzwerkerkennung funktioniert auf allen unterstützten Betriebssystemen, einschließlich der Windows-Embedded-Versionen, vorausgesetzt, dass alle Anforderungen erfüllt werden. Sicherheitsdienste installieren 41

47 4.2. Security for Virtualized Environments installieren Mit Security for Virtualized Environments können Sie Windows- und Linux-basierte virtuelle Maschinen auf einer beliebigen Virtualisierungsplattform mithilfe von Technologien schützen, die speziell auf virtualisierte Umgebungen ausgelegt sind. Umfassende Informationen zu unterstützten Infrastrukturen und Anforderungen finden Sie unter Anforderungen für Security for Virtualized Environments (S. 6). Bevor Sie loslegen, müssen Sie die Zugangsdaten angeben, um eine Verbindung zur bestehenden vcenter-server-infrastruktur herzustellen. So installieren Sie Security for Virtualized Environments: 1. Security Server auf Hosts installieren. 2. Bitdefender Tools auf virtuellen Maschinen installieren Eine Verbindung zu vcenter Server herstellen Um Zugriff zur mit dem Control Center integrierten virtualisierten Infrastruktur zu haben, müssen Sie Ihre Benutzerzugangsdaten für jedes verfügbare vcenter-server-system angeben. Control Center stellt mithilfe Ihrer Zugangsdaten eine Verbindung zur virtualisierten Infrastruktur her und zeigt nur diejenigen Ressourcen an, auf die Sie Zugriff haben (wie in vcenter Server definiert). So geben Sie die Zugangsdaten an, die zur Verbindung mit den vcenter-server-systemen nötig sind: 1. Bewegen Sie den Mauszeiger auf Ihren Benutzernamen in der rechten oberen Ecke der Seite, und wählen Sie Zugangsdaten-Manager. Das Netzwerk- und Pakete-Menü 2. Gehen Sie zum Reiter Virtuelle Umgebung. 3. Geben Sie die nötigen Authentifizierungszugangsdaten an. a. Wählen Sie einen Server aus dem entsprechenden Menü. Sicherheitsdienste installieren 42

48 Wenn das Menü nicht verfügbar ist, wurde entweder noch keine Integration konfiguriert oder alle nötigen Zugangsdaten wurden bereits konfiguriert. b. Geben Sie Ihren Benutzernamen und Ihr Passwort und eine aussagekräftige Beschreibung ein. c. Klicken Sie auf den Button Hinzufügen. Die neuen Zugangsdaten werden in der Tabelle angezeigt. Wenn Sie Ihre Zugangsdaten zur Authentifizierung nicht angegeben haben, müssen Sie sie angeben, sobald Sie das Inventar irgendeines vcenter-server-systems durchsuchen. Wenn Sie Ihre Zugangsdaten angeben, werden sie im Zugangsdaten-Manager gespeichert, sodass Sie sie beim nächsten Mal nicht mehr eingeben müssen Security Server auf Hosts installieren Security Server ist eine virtuelle Maschine, die eigens für die Deduplizierung und Zentralisierung eines Großteils der Malware-Schutzfunktionen der Malware-Schutz-Clients da ist und als Scan-Server fungiert. So installieren Sie Security Server auf Hosts: In VMware-Umgebungen mit vshield Endpoint müssen Sie diese spezielle Appliance auf jedem Host installieren. Alle virtuellen Maschinen auf einem Host werden automatisch über vshield Endpoint mit der Instanz von Security Server, die auf diesem Host installiert ist, verbunden. In allen anderen Umgebungen müssen Sie Security Server auf einem oder mehreren Hosts installieren, um die entsprechende Anzahl an virtuellen Maschinen zu schützen. Dazu müssen Sie die Anzahl der geschützten virtuellen Maschinen sowie die für Security Server auf den Hosts zur Verfügung stehenden Ressourcen und die Netzwerkverbindung zwischen Security Server und den geschützten virtuellen Maschinen bedenken. Auf virtuellen Maschinen installierte Bitdefender Tools stellen über TCP/IP eine Verbindung zum Security Server her. Dazu verwenden sie die Informationen, die bei der Installation oder über eine Richtlinie vorgegeben werden. Wenn Control Center mit vcenter Server und XenServer integriert ist, können Sie Security Server automatisch vom Control Center aus auf Hosts installieren. Security Server-Pakete zur Einzelinstallation können Sie auch vom Control Center herunterladen. In VMware-Umgebungen mit vshield Endpoint können Sie Security Server nur über Installationsaufgaben auf Hosts installieren. Sicherheitsdienste installieren 43

49 Ferninstallationsaufgaben verwenden Mit Control Center können Sie über Installationsaufgaben Security Server aus der Ferne auf sichtbaren Hosts installieren. So installieren Sie Security Server aus der Ferne auf einem oder mehreren Hosts: 1. Gehen Sie zur Seite Netzwerk. 2. Wählen Sie aus dem Menü in der rechten oberen Ecke der Seite den Punkt Virtuelle Maschinen. 3. Durchsuchen Sie das VMware- oder Citrix-Inventar und markieren Sie die Kästchen der gewünschten Hosts oder Container (vcenter Server, XenServer oder Rechenzentrum). Um Zeit zu sparen, können Sie auch direkt den Root-Container wählen (VMware-Inventar oder Citrix-Inventar). Im Installationsassistenten können Sie Hosts einzeln auswählen. Sie können nicht Hosts von verschiedenen Ordnern gleichzeitig auswählen. 4. Klicken Sie auf die Schaltfläche Aufgaben auf der rechten Seite der Tabelle, und wählen Sie Security Server installieren aus dem Menü. Das Fenster Security Server-Installation wird angezeigt. Installieren von Security Server über das Aufgabenmenü 5. Wählen Sie den Host, auf dem Sie die Security Server-Instanzen installieren möchten. 6. Wählen Sie die gewünschten Konfigurationseinstellungen. Wichtig Wenn Sie bei der gleichzeitigen Installation mehrerer Instanzen von Security Server gemeinsame Einstellungen verwenden möchten, müssen die Hosts denselben Speicher benutzen, per DHCP-Server zugewiesene IP-Adressen haben und Teil desselben Netzwerks sein. Sicherheitsdienste installieren 44

50 7. Klicken Sie auf Weiter. 8. Geben Sie einen aussagekräftigen Namen für den Security Server ein. 9. Wählen Sie aus dem Menü Container installieren den Container, in dem Sie Security Server installieren möchten. 10. Wählen Sie den Ziel-Speicherort. 11. Wählen Sie die Art der Speicherzuweisung. Für die Installation der Appliance wird die klassische Speicherzuweisung empfohlen. Wichtig Wenn bei Verwendung der schlanken Speicherzuweisung der Speicherplatz knapp wird, hängt sich die Security Server auf, wodurch der Host nicht mehr geschützt ist. 12. Konfigurieren Sie die Speicher- und CPU-Ressourcenzuteilung je nach VM-Konsolidierungsrate auf dem Host. Wählen Sie Gering, Mittel oder Hoch, um die empfohlenen Einstellungen für die Ressourcenzuteilung zu laden, oder Manuell, um die Ressourcenzuteilung manuell zu konfigurieren. 13. Wenn Sie möchten, können Sie das Administratorpasswort für die Security Server-Konsole festlegen. Wenn Sie ein Administratorpasswort festlegen, setzt dieses das Standard-Root-Passwort ("sve") außer Kraft. 14. Legen Sie die Zeitzone der Appliance fest. 15. Wählen Sie die Netzwerkkonfigurationsart für das Bitdefender-Netzwerk. Die IP-Adresse des Security Server darf im Laufe der Zeit nicht geändert werden, da sie von Linux-Agenten zur Kommunikation verwendet wird. Wenn Sie DHCP wählen, konfigurieren Sie den DHCP-Server so, dass er eine IP-Adresse für die Appliance reserviert. Wenn Sie die Option "statisch" wählen, müssen Sie IP-Adresse, Subnetz-Maske, Gateway und DNS eingeben. 16. Wählen Sie das vshield-netzwerk und geben Sie die vshield-zugangsdaten ein. Die Standardbezeichnung für das vshield-netzwerk vmservice-vshield-pg. 17. Klicken Sie auf Speichern. Auf der Seite Netzwerk > Aufgaben können Sie Aufgaben anzeigen und verwalten. Installationspakete verwenden In allen virtualisierten Umgebungen, die nicht mit Control Center integriert sind, müssen Sie Security Server manuell mithilfe eines Installationspakets auf Hosts installieren. Das Security Server-Paket kann vom Control Center in mehreren verschiedenen Formaten heruntergeladen werden, die mit den gängigsten Virtualisierungsplattformen kompatibel sind. Sicherheitsdienste installieren 45

51 Installationspakete herunterladen So laden Sie Installationspakete für Security Server herunter: 1. Gehen Sie zur Seite Netzwerk > Pakete. Die Paketübersicht 2. Wählen Sie das Security Server-Paket. 3. Klicken Sie auf die Schaltfläche Herunterladen auf der rechten Seite der Tabelle, und wählen Sie den Pakettyp aus dem Menü. 4. Speichern Sie das gewählte Paket am gewünschten Speicherort. Installationspakete installieren Sobald sie das Installationspaket haben, können Sie es auf dem Host mithilfe eines beliebigen Installationstools für virtuelle Maschinen installieren. Richten Sie nach der Installation den Security Server wie folgt ein: 1. Greifen Sie über Ihre Virtualisierungsverwaltungs-Software (z. B. vsphere Client) auf die Appliance-Console zu. Alternativ können Sie auch über SSH eine Verbindung zur Appliance herstellen. 2. Melden Sie sich mit den Standardzugangsdaten an. Benutzername: root Passwort: sve 3. Führen Sie den Befehl sva-setup aus. 4. Konfigurieren Sie die "DHCP/statisch"-Einstellungen der Appliance. Wenn Sie auf dem DHCP-Server eine IP-Adresse für die Appliance reserviert haben, überspringen Sie diese Konfiguration, indem Sie die Enter-Taste drücken. Wenn Sie ein statisches Netzwerk konfigurieren, befolgen Sie die folgenden Schritte: a. Drücken Sie die Taste Y und anschließend die Enter-Taste. Sicherheitsdienste installieren 46

52 b. Geben Sie die Netzwerkeinstellungen ein: IP-Adresse, Netzwerkmaske, Gateway, DNS-Server. c. Drücken Sie die Taste Y und anschließend die Enter-Taste, um die Änderungen zu speichern. 5. Konfigurieren Sie die IP-Adresse der Security Console: Geben Sie die IP-Adresse der Control Center ein. 6. Konfigurieren Sie die IP-Adresse des Kommunikationsservers. Da die Rolle des Kommunikationsservers auf der virtuellen Maschine des Control Center läuft, müssen Sie Folgendes eingeben: Die IP-Adresse oder den Hostnamen der virtuellen Maschine des Control Center. Port 8443, im folgenden Format: 7. Konfigurieren Sie die Adresse des Update-Servers. Da der lokale Update-Server auf der COntrol-Center-Maschine läuft, müssen Sie die IP-Adresse oder den Host-Namen dieser Maschine eingeben. 8. Konfigurieren Sie den Port des Update-Servers: Wenn Sie über einen SSH-Client mit der Appliance verbunden sind, wird Ihre Sitzung sofort beendet, wenn Sie die Netzwerkeinstellungen ändern Bitdefender Tools auf virtuellen Maschinen installieren Bitdefender Tools ist die Komponente, die auf virtuellen Maschinen, die sie schützen möchten, installiert werden muss. In VMware-vSphere-Umgebungen kann Security for Virtualized Environments mit VMware vshield Endpoint integriert werden und so Windows-basierte virtuelle Maschinen ohne Agenten schützen. Alle virtuellen Maschinen auf einem Host werden automatisch über vshield Endpoint mit der Instanz von Security Server, die auf diesem Host installiert ist, verbunden. Wenn Sie möchten, können Sie Bitdefender Tools auf Windows-basierten virtuellen Maschinen installieren, um die dadurch verfügbaren zusätzlichen Funktionen zu nutzen. Ermöglicht Speicher- und Prozess-Scan-Aufgaben auf virtuellen Maschinen. Informiert den Benutzer über die gefundenen Infektionen und die daraufhin ausgeführten Aktionen. Remote-Installation In mit Control Center integrierten Umgebungen können Sie Bitdefender Tools aus der Ferne über Installationsaufgaben auf virtuellen Maschinen installieren. In VMware-Umgebungen werden für die Ferninstallation VMware Tools benötigt, während in Citrix-XenServer-Umgebungen Windows-Administratorfreigaben SSH benötigt werden. Sicherheitsdienste installieren 47

53 Anforderungen für die Bitdefender Tools-Ferninstallation Damit die Ferninstallation funktioniert, müssen die folgenden Punkte gegeben sein: 1. Vergewissern Sie sich, dass auf den virtuellen Maschinen ein unterstütztes Gast-Betriebssystem läuft. Auf manchen virtuellen Maschinen müssen Sie evtl. das derzeit aktuellste Service-Pack für das Betriebssystem installieren. 2. Bestehende Malware-Schutz-Software sollte von den virtuellen Maschinen deinstalliert (nicht bloß deaktiviert) werden. Die gleichzeitige Nutzung von Security for Virtualized Environments und anderen Sicherheitsprogrammen kann deren Funktion beeinträchtigen und massive Probleme auf dem System verursachen. 3. Zur Installation sind Administratorrechte erforderlich. Sorgen Sie dafür, dass Sie alle nötigen Zugangsdaten für alle virtuellen Maschinen zur Hand haben. 4. Die virtuellen Maschinen müssen eine funktionierende Netzwerkverbindung zur Control Center-Appliance haben. Ferninstallation von Bitdefender Tools durchführen So führen Sie eine Ferninstallationsaufgabe aus: 1. Gehen Sie zur Seite Netzwerk. 2. Wählen Sie Virtuelle Maschinen aus der Dienstauswahl. 3. Wählen Sie die gewünschte Gruppe aus dem linken Fenster. Alle virtuellen Maschinen in der ausgewählten Gruppe werden in der Tabelle im rechten Fenster angezeigt. Sie können optional auch Filter anwenden, um ausschließlich die nicht verwalteten virtuellen Maschinen anzuzeigen. Klicken Sie auf die Filter-Schaltfläche und wählen Sie die folgenden Optionen: Nicht verwaltet aus der Kategorie Sicherheit und Alle Objekte rekursiv aus der Kategorie Tiefe. 4. Wählen Sie die virtuellen Maschinen aus, auf denen Sie den Schutz installieren möchten. 5. Klicken Sie auf die Schaltfläche Aufgaben auf der rechten Seite der Tabelle, und wählen Sie Client installieren. Der Assistent Bitdefender Tools-Installation wird angezeigt. Sicherheitsdienste installieren 48

54 Installation von Bitdefender Tools über das Aufgabenmenü 6. Planen Sie die Installation zu einem bestimmten Zeitpunkt: Jetzt - hiermit startet die Installation sofort. Geplant - hiermit legen Sie ein Intervall für die Wiederholung der Installation fest. Wählen Sie einfach das Intervall (stündlich, täglich oder wöchentlich), das Ihnen am besten passt. Wenn zum Beispiel bestimmte Operationen auf einer bestimmten Maschine nötig sind, bevor der Client installiert wird (z. B. Deinstallation anderer Software oder Neustart des Betriebssystems), können Sie die Installationsaufgabe für alle 2 Stunden planen. Die Aufgabe wird dann auf jeder entsprechenden Maschine alle 2 Stunden ausgeführt, bis die gesamte Installation abgeschlossen ist. 7. Konfigurieren Sie die entsprechenden Einstellungen für Ihre Umgebung. 8. Wählen Sie unter Security Server-Zuweisung den Security Server, der die ausgewählten virtuellen Maschinen verwalten wird. Wählen Sie den Security Server aus der Liste der Security Server und klicken Sie anschließend auf die Schaltfläche der rechten Seite der Tabelle. Hinzufügen auf Wenn mehrere Security Server-Maschinen zur Verfügung stehen, können Sie mit den Pfeiltasten auf der rechten Seite der Tabelle ihre Priorität ordnen. 9. Klicken Sie auf Weiter. 10. Geben Sie im Bereich Zugangsdaten-Manager die Administratorzugangsdaten an, die für die Fernauthentifizierung auf den ausgewählten virtuellen Maschinen benötigt werden. Sicherheitsdienste installieren 49

55 Wichtig Bei Windows-8.1-Systemen müssen Sie die Zugangsdaten des eingebauten Administratorkontos oder die eines Domänenadministratorkontos eingeben. Weiteres zu diesem Thema erfahren Sie in diesem Artikel. Wenn Sie noch kein Administratorkonto ausgewählt haben, wird eine Warnmeldung angezeigt. Dieser Schritt ist zur Ferninstallation von Bitdefender Tools auf virtuellen Maschinen zwingend erforderlich. Wenn Sie die Zugangsdaten nicht schon im Zugangsdaten-Manager definiert haben, fügen Sie jetzt die benötigten Administratorkonten wie folgt hinzu: a. Geben Sie in die entsprechenden Felder den Namen und das Passwort eines Administratorkontos für jede der ausgewählten virtuellen Maschinen ein. Sie können jedem Konto eine Beschreibung hinzufügen, um es später leichter identifizieren zu können. Wenn virtuelle Maschinen in einer Domäne sind, reicht es aus, die Zugangsdaten des Domain-Administrators einzugeben. Verwenden Sie Windows-Konventionen, wenn Sie den Namen eines Domain-Benutzerkontos eingeben, z. B. oder domain\user). Um sicherzugehen, dass die eingegebenen Zugangsdaten funktionieren, geben Sie sie in beiden Ausdrucksweisen ein und domain\user). Bei Linux-basierten virtuellen Maschinen müssen Sie entweder die Zugangsdaten des root-kontos oder die eines anderen Kontos mit Administratorrechten angeben. Weitere Informationen finden Sie in diesem Artikel der Wissensdatenbank. Die angegebenen Zugangsdaten werden automatisch im Zugangsdaten-Manager gespeichert, sodass Sie sie beim nächsten Mal nicht mehr eingeben müssen. b. Klicken Sie auf den Button Hinzufügen. Die neuen Kontozugangsdaten werden hinzugefügt. c. Markieren Sie das Kästchen für die Konten, die Sie verwenden möchten. 11. Klicken Sie auf Speichern. Eine Bestätigungsmeldung wird angezeigt. Auf der Seite Netzwerk > Aufgaben können Sie Aufgaben anzeigen und verwalten. Lokale Installation In allen virtualisierten Umgebungen, die nicht mit Control Center integriert sind, müssen Sie Bitdefender Tools manuell mithilfe eines Installationspakets auf virtuellen Maschinen installieren. Sicherheitsdienste installieren 50

56 Auf der Seite Netzwerk > Pakete können Sie auf Ihre Bedürfnisse zugeschnittene Installationspakete erstellen und verwalten. Das Netzwerk- und Pakete-Menü Für die lokale Installation von Bitdefender Tools auf einer virtuellen Maschine gehen Sie folgendermaßen vor: 1. Sie können ein Installationspaket erstellen, das Ihren Anforderungen entspricht. Dieser Schritt muss nicht durchgeführt werden, falls unter Ihrem Benutzerkonto bereits ein Installationspaket für das Netzwerk erstellt worden ist. 2. Auf diese Maschine müssen Sie jetzt das Installationspaket herunterladen. 3. Im nächsten Schritt Führen Sie das Installationspaket aus. Bitdefender Tools-Installationspakete erstellen So erstellen Sie ein Bitdefender Tools-Installationspaket: 1. Stellen Sie eine Verbindung zur Control Center her, und melden Sie sich mit Ihrem Administratorkonto an. 2. Gehen Sie zur Seite Netzwerk > Pakete. Die Paketübersicht 3. Klicken Sie auf die Schaltfläche Hinzufügen auf der rechten Seite der Tabelle, und wählen Sie Bitdefender Tools aus dem Menü. Ein Konfigurationsfenster wird sich öffnen. Sicherheitsdienste installieren 51

57 Bitdefender Tools-Pakete erstellen 4. Geben Sie einen aussagekräftigen Namen und eine Beschreibung für das zu erstellende Installationspaket ein. 5. Konfigurieren Sie die Einstellungen nach Ihren Wünschen. 6. Wählen Sie den Security Server, mit dem die virtuellen Maschinen gescannt werden sollen: a. Klicken Sie auf das Feld Security Server. Die Liste der gefundenen Security Server wird angezeigt. b. Wählen Sie eine Entität. c. Klicken Sie auf die Schaltfläche Hinzufügen auf der rechten Seite der Tabelle. Der Security Server wird der Liste hinzugefügt. Alle gewünschten virtuellen Maschinen werden vom festgelegten Security Server gescannt. d. Wiederholen Sie diese Schritte, wenn Sie mehrere Security Server hinzufügen möchten, falls es mehrere gibt. In diesem Fall können Sie ihre Priorität konfigurieren, indem Sie auf die rechts von jeder Entität angezeigten Pfeile klicken. Sicherheitsdienste installieren 52

58 e. Um eine Entität aus der Liste zu entfernen, klicken Sie auf die entsprechende Schaltfläche 7. Klicken Sie auf Speichern. Löschen auf der rechten Seite der Tabelle. Ab jetzt finden Sie das neue benutzerdefinierte Installationspaket in der Liste der Pakete. Installationspakete herunterladen Sie können sich mit der Control Center verbinden, um Installationspakete von der virtuellen Maschine herunterzuladen, auf der Sie den Schutz installieren wollen. Alternativ können Sie die Installationspakete auf eine Netzwerkfreigabe herunterladen, auf die alle virtuellen Maschinen zugreifen können, auf denen Sie den Schutz installieren wollen. So laden Sie Installationspakete für Bitdefender Tools herunter: 1. Stellen Sie eine Verbindung zur Control Center her und melden Sie sich an. 2. Gehen Sie zur Seite Netzwerk > Pakete. 3. Wählen Sie das Bitdefender Tools-Installationspaket aus, das Sie herunterladen möchten. 4. Klicken Sie auf die Schaltfläche Herunterladen auf der rechten Seite der Tabelle, und wählen Sie die entsprechende Virtualisierungsplattform aus. 5. Speichern Sie die Datei lokal auf dem Computer oder auf einer Netzwerkfreigabe, auf die alle virtuellen Maschinen zugreifen können, auf denen Sie den Schutz installieren wollen. Installationspakete ausführen Damit die Installation ordnungsgemäß funktioniert, muss das Installationspaket mit Administratorrechten oder unter einem Administratorkonto ausgeführt werden. So installieren Sie Bitdefender Tools manuell auf einer Windows-basierten virtuellen Maschine: 1. Speichern oder kopieren Sie die Installationsdatei auf der gewünschten virtuellen Maschine oder auf einer Netzwerkfreigabe, auf die von dieser Maschine aus zugegriffen werden kann. 2. Führen Sie das Installationspaket aus. 3. Folgen Sie den Instruktionen auf dem Bildschirm. So installieren Sie Bitdefender Tools manuell auf einer Linux-basierten virtuellen Maschine: 1. Speichern oder kopieren Sie die Installationsdatei auf der gewünschten virtuellen Maschine oder auf einer Netzwerkfreigabe, auf die von dieser Maschine aus zugegriffen werden kann. Die heruntergeladene Datei heißt installer. 2. Erteilen Sie dem aktuellen Benutzer das Ausführen-Recht für die installer-datei. Sicherheitsdienste installieren 53

59 $ chmod u+x installer 3. Installer als Root-Benutzer ausführen. Das Skript lädt das Installationspaket von der Control Center-Appliance herunter und startet dann die Installation. $ sudo./installer Die Installation dauert normalerweise weniger als eine Minute. Einige Minuten nachdem Bitdefender Tools installiert wurde, taucht die virtuelle Maschine als verwaltet im Control Center auf (Netzwerk-Seite). Unterstützung von Zugriff-Scans auf virtuellen Linux-Maschinen Die Linux-Version der Bitdefender Tools enthält ein Modul für Zugriff-Scans, das auf bestimmten Linux-Distributionen und Kernel-Versionen funktioniert. Bitte lesen Sie die Systemanforderungen, um zu erfahren, ob Zugriff-Scans auf Ihrer/Ihren Linux-Maschine(n) möglich sind. Im nächsten Schritt lernen Sie, wie man das DazukoFS-Modul manuell kompiliert. Kompilieren Sie das DazukoFS-Modul manuell Gehen Sie wie unten beschrieben vor, um DazukoFS für die Kernel-Version des Systems zu kompilieren und laden Sie danach das Modul: 1. Laden Sie die geeigneten Kernel-Header herunter. Führen Sie auf Ubuntu-Systemen den folgenden Befehl aus: # sudo apt-get install linux-headers-'uname -r' Führen Sie auf RHEL/CentOS-Systemen den folgenden Befehl aus: # sudo yum install kernel-devel kernel-headers 2. Auf Ubuntu-Systemen benötigen Sie das Paket build-essential: # sudo apt-get install build-essential 3. Kopieren und extrahieren Sie den DazukoFS-Quellcode in einem Verzeichnis Ihrer Wahl: Sicherheitsdienste installieren 54

60 # mkdir temp # cd temp # cp /opt/bitdefender/share/src/dazukofs-source.tar.gz # tar -xzvf dazukofs-source.tar.gz # cd dazukofs Kompilieren Sie das Modul: # make 5. Installieren und laden Sie das Modul: # make dazukofs_install Einschränkungen Damit DazukoFS und Zugriff-Scans zusammen funktionieren, müssen die folgenden Voraussetzungen erfüllt sein. Vergewissern Sie sich das die folgenden Punkte auf Ihr Linux-System zutreffen und befolgen Sie die Anweisungen, um Probleme zu vermeiden. Die SELinux-Richtlinie muss deaktiviert oder auf tolerant gestellt sein. Sie können die Einstellungen der SELinux-Richtlinie einsehen und anpassen, indem Sie die Datei /etc/selinux/config bearbeiten. Bitdefender Tools ist ausschließlich mit der Version von DazukoFS kompatibel, die im Installationspaket enthalten ist. Wenn DazukoFS auf Ihrem System bereits installiert ist, muss es vor der Installation von Bitdefender Tools entfernt werden. DazukoFS unterstützt bestimmte Kernel-Versionen. Wenn das in Bitdefender Tools enthaltene DazukoFS-Paket nicht mit der Kernel-Version des Systems kompatibel ist, kann das Modul nicht geladen werden. Ist das der Fall, können Sie den Kernel auf die unterstützte Version aktualisieren oder das DazukoFS-Modul für Ihre Kernel-Version rekompilieren. Das DazukoFS-Paket befindet sich im Installationsverzeichnis von Bitdefender Tools: /opt/bitdefender/share/modules/dazukofs/dazukofs-modules.tar.gz Wenn Sie für Dateifreigaben dedizierte Server wie NFS, UNFSv3 oder Samba verwenden, müssen Sie die Dienste in der folgenden Reihenfolge starten: 1. Aktivieren Sie im Control Center Zugriff-Scans. 2. Starten Sie den Dienst für die Netzwerkfreigabe. Für NFS: Sicherheitsdienste installieren 55

61 # service nfs start Für UNFSv3: # service unfs3 start Für Samba: # service smbd start Wichtig Beim NFS-Dienst ist DazukoFS nur mit dem NFS-User-Server kompatibel Security for Mobile Devices installieren Security for Mobile Devices ist eine Lösung zur Verwaltung mobiler Geräte für iphones, ipads und Android-Geräte. Eine vollständige Liste der unterstützten Betriebssystemversionen finden Sie unter Systemanforderungen. Damit Sie Security for Mobile Devices vom Control Center aus verwalten können, müssen Sie Active-Directory-Benutzern oder benutzerdefinierten Benutzern Mobilgeräte hinzufügen und anschließend die App GravityZone Mobile Client auf den Geräten installieren. Nach der Einrichtung können Sie Verwaltungsaufgaben auf Mobilgeräten ausführen. Bevor Sie loslegen, sollten Sie eine öffentliche (externe) Adresse für den Kommunikationsserver konfigurieren. So installieren Sie Security for Mobile Devices: 1. Wenn Sie die Integration mit Active Directory nicht benutzen, müssen Sie Benutzer für Eigentümer mobiler Geräte erstellen. 2. Benutzern Geräte hinzufügen. 3. GravityZone Mobile Client auf Geräten installieren und aktivieren Externe Adresse für den Kommunikationsserver konfigurieren In der Standardeinrichtung von GravityZone können mobile Geräte nur verwaltet werden, wenn sie direkt mit dem Unternehmensnetzwerk verbunden sind (über WLAN oder VPN). Der Grund dafür ist, dass mobile Geräte bei der Registrierungen so konfiguriert werden, dass sie eine Verbindung zur lokalen Adresse der Kommunikationsserver-Appliance herstellen. Sicherheitsdienste installieren 56

62 Um mobile Geräte an einem beliebigen Ort über das Internet zu verwalten, müssen Sie eine öffentlich erreichbare Adresse für den Kommunikationsserver konfigurieren. Zur Verwaltung mobiler Geräte, die nicht mit dem Unternehmensnetzwerk verbunden sind, stehen Ihnen die folgenden Möglichkeiten zur Verfügung: Port-Weiterleitung im Unternehmens-Gateway für die Appliance konfigurieren, auf der die Kommunikationsserver-Rolle läuft. Einen zusätzlichen Netzwerkadapter zur Appliance, auf der die Kommunikationsserver-Rolle läuft, hinzufügen und ihm eine öffentliche IP-Adresse zuweisen. In beiden Fällen müssen Sie für den Kommunikationsserver die externe Adresse konfigurieren, die für die Verwaltung mobiler Geräte benutzt werden soll: 1. Greifen Sie über Ihre Virtualisierungsverwaltungs-Software (z. B. vsphere Client) auf die Appliance-Console zu. 2. Wählen Sie aus dem Hauptmenü Kommunikationsserver konfigurieren. Fenster "Anwendungsoptionen" 3. Wählen Sie Externe Adresse des MDM-Servers konfigurieren Sicherheitsdienste installieren 57

63 Fenster "Kommunikationsserver konfigurieren" 4. Geben Sie die externe Adresse ein. Verwenden Sie die folgende Syntax: Fenster für die Eingabe der externen Adresse des MDM-Servers Wenn Sie Port-Weiterleitung verwenden, müssen Sie erstens die öffentliche IP-Adresse oder den Domain-Namen und zweitens den auf dem Gateway offenen Port eingeben. Wenn Sie die öffentliche Adresse des Kommunikationsservers verwenden, müssen Sie erstens die öffentliche IP-Adresse oder oder den Domain-Namen und zweitens den Kommunikationsserver-Port angeben. Der Standard-Port ist Wählen Sie OK, um die Änderungen zu speichern Benutzerdefinierte Benutzer erstellen und organisieren In Situationen ohne Active Directory müssen Sie zunächst benutzerdefinierte Benutzer erstellen, um eine Möglichkeit zu haben, die Eigentümer mobiler Geräte zu Sicherheitsdienste installieren 58

64 identifizieren.angegebene Benutzer mobiler Geräte werden in keiner Weise mit dem Active Directory oder mit anderen im Control Center definierten Benutzern verknüpft. Benutzerdefinierte Benutzer erstellen So erstellen Sie einen benutzerdefinierten Benutzer: 1. Gehen Sie zur Seite Netzwerk. 2. Wählen Sie aus dem Menü in der rechten oberen Ecke der Seite den Punkt Mobile Geräte. 3. Wählen Sie im linken Fenster Benutzerdefinierte Gruppen. Netzwerk - Mobilgeräteübersicht - Benutzeransicht 4. Klicken Sie auf das Symbol Benutzer hinzufügen in der Symbolleiste. Ein Konfigurationsfenster wird sich öffnen. 5. Geben Sie die Informationen des gewünschten Benutzers an: Einen aussagekräftigen Benutzernamen (z. B. den vollen Namen des Benutzers) Die -Adresse des Benutzers Wichtig 6. Klicken Sie auf OK. Vergewissern Sie sich, dass die -Adresse gültig ist. Wenn Sie ein Gerät hinzufügen, erhält der Benutzer eine mit den Installationsanweisungen. Jede -Adresse kann nur zu einem Benutzer gehören. Benutzerdefinierte Benutzer organisieren So organisieren Sie benutzerdefinierte Benutzer: 1. Erstellen Sie benutzerdefinierte Gruppen. Sicherheitsdienste installieren 59

65 a. Wählen Sie im linken Fenster Benutzerdefinierte Gruppen, und klicken Sie auf das Symbol Gruppe hinzufügen in der Symbolleiste (über dem Fenster). b. Geben Sie einen aussagekräftigen Namen für die Gruppe ein, und klicken Sie auf OK Die neue Gruppe wird jetzt unter Benutzerdefinierte Gruppen angezeigt. 2. Verschieben Sie benutzerdefinierte Benutzer in entsprechende benutzerdefinierte Gruppen. a. Wählen Sie im rechten Fenster die Benutzer. b. Verschieben Sie Ihre Auswahl per Drag und Drop in die gewünschte Gruppe im linken Fenster Benutzern Geräte hinzufügen So fügen Sie einem Benutzer ein Gerät hinzu: 1. Gehen Sie zur Seite Netzwerk. 2. Wählen Sie aus dem Menü in der rechten oberen Ecke der Seite den Punkt Mobile Geräte. 3. Suchen Sie den Benutzer in den Active-Directory-Ordnern oder in benutzerdefinierten Gruppen. 4. Klicken Sie auf das Symbol Gerät hinzfügen in der Symbolleiste. Ein Konfigurationsfenster wird sich öffnen. Ein Mobilgerät für einen Benutzer hinzufügen 5. Geben Sie einen aussagekräftigen Namen für das Gerät ein. 6. Mit der Option Name automatisch konfigurieren wird der Gerätename automatisch generiert. Nach dem Hinzufügen erhält das Gerät einen generierten Namen. Sobald das Gerät aktiviert ist, wird es automatisch mithilfe der entsprechenden Hersteller- und Modell-Informationen umbenannt. Sicherheitsdienste installieren 60

66 7. Wählen Sie den Eigentümertyp des Geräts (geschäftlich/enterprise oder privat). 8. Wählen Sie die Option Aktivierungszugangsdaten anzeigen aus, nachdem Sie auf OK geklickt haben, wenn Sie den GravityZone Mobile Client auf dem Gerät des Benutzers installieren möchten. Informationen zur Aktivierung von Mobilgeräten 9. Klicken Sie auf OK. Es wird sofort eine an den Benutzer gesendet, die Installationsanweisungen und Aktivierungsdetails für das Gerät enthält. Die Aktivierungsdetails enthalten das Aktivierungs-Token und die Adresse des Kommunikationsservers (und den entsprechenden QR-Code). Sie können die Aktivierungsdetails eines Geräts jederzeit einsehen, indem Sie im Control Center auf seinen Namen klicken. Sie können auch einer Auswahl an Benutzern und Gruppen mobile Geräte hinzufügen. In diesem Fall können Sie im Konfigurationsfenster nur die Eigentümer der Geräte definieren. Mobile Geräte, die durch eine Mehrfachauswahl erstellt wurden, erhalten standardmäßig einen generischen Namen. Sobald ein Gerät registriert ist, ändert sich sein Name automatisch; ebenso die Hersteller- und Modell-Einträge. Sicherheitsdienste installieren 61

67 GravityZone Mobile Client auf Geräten installieren Die Anwendung GravityZone Mobile Client wird ausschließlich über den Apple App Store und Google Play vertrieben. So installieren Sie GravityZone Mobile Client auf einem Gerät: 1. Suchen Sie die Anwendungen im offiziellen App-Store. Link zu Google Play Link zum Apple App Store 2. Laden Sie die Anwendung herunter, und installieren Sie sie auf dem Gerät. 3. Starten Sie die Anwendung, und nehmen Sie die nötige Konfiguration vor: a. Tippen Sie auf Android-Geräten auf Aktivieren, um GravityZone Mobile Client als Geräteadministrator zu aktivieren. Lesen Sie die Informationen gründlich durch. b. Geben Sie das Aktivierungs-Token und die Adresse des Kommunikationsservers ein, oder scannen Sie den QR-Code in der ein. c. Tippen Sie auf Aktivieren. d. Auf ios-geräten werden Sie aufgefordert, das MDM-Profil zu installieren. Wenn ihr Gerät passwortgeschützt ist, werden Sie aufgefordert, das Passwort einzugeben. Folgen Sie den Anweisungen auf Ihrem Bildschirm, um die Profilinstallation abzuschließen. Sicherheitsdienste installieren 62

68 5. Erste Schritte Bitdefender GravityZone-Lösungen können über eine zentrale Verwaltungsplattform namens Control Center konfiguriert und verwaltet werden. Control Center hat eine Web-basierte Oberfläche, auf die Sie mit einem Benutzernamen und einem Passwort zugreifen können Benutzertypen in Control Center Control Center enthält mehrere vordefinierte Benutzerkontenrollen. Jede vordefinierte Rolle gewährt dem Benutzer bestimmte Rechte über das Control Center. Die Rechte jedes Benutzerkontos können auf bestimmte GravityZone-Sicherheitsdienste oder auf bestimmte Bereiche des Netzwerks beschränkt werden. Unternehmensadministrator Benutzer mit der Unternehmensadministrator-Rolle haben die vollen Rechte über die Einstellungen des Control Center und Netzwerksicherheitseinstellungen, darunter: Integration mit Active Directory Integration mit Virtualisierungsverwaltungstools(vCenter Server, XenServer) Mail-Server-Einstellungen Update-Einstellungen für GravityZone-Komponenten und Installationspakete Verwaltung von Sicherheitszertifikaten Verwaltung von Lizenzschlüsseln Benutzerverwaltung Netzwerksicherheitsverwaltung (Client-Installation, Richtlinien, Aufgaben, Quarantäne) Berichtverwaltung Netzwerkadministrator Netzwerk-Administratorkonten gewähren vollen Zugriff auf alle Verwaltungsfunktionen für GravityZone-Sicherheitsdienste, auch auf die Benutzerverwaltung. Netzwerk-Administratoren können die Einstellungen des Control Center nicht anzeigen oder bearbeiten. Berichterstatter Berichterstatter haben nur Zugriff auf Überwachungs- und Berichterstattungsfunktionen. Berichterstatter können die Netzwerk- und Sicherheitskonfiguration nicht einsehen oder verändern Verbinden mit dem Control Center Der Zugriff auf die Control Center erfolgt über Benutzerkonten. Sie erhalten Ihre Anmeldeinformationen per , sobald Ihr Konto angelegt wurde. Erste Schritte 63

69 Vorbereitende Maßnahmen: Internet Explorer 9+, Mozilla Firefox 14+, Google Chrome 15+, Safari 5+ Empfohlene Bildschirmauflösung: 1024x768 oder höher. Der Computer, von dem aus Sie eine Verbindung herstellen, muss im Netzwerk mit dem Control Center verbunden sein. So stellen Sie eine Verbindung zum Control Center her: 1. Geben Sie in die Adressleiste ihres Browsers IP-Adresse oder den DNS-Hostnamen der Control Center-Appliance ein (mit dem Präfix 2. Geben Sie Ihren Benutzernamen und Ihr Passwort ein. 3. Klicken Sie auf Anmelden. Sollten Sie Ihr Passwort vergessen haben, verwenden Sie den Link für die Passwortwiederherstellung, um ein neues Passwort anzufordern. Sie müssen die -Adresse Ihres Kontos angeben Control Center auf einen Blick Control Center ist so aufgebaut, dass Sie schnellen Zugriff auf alle Funktionen erhalten. Verwenden Sie die Menüleiste im oberen Bereich, um durch die Konsole zu navigieren. Welche Funktionen zur Verfügung stehen, hängt davon ab, welcher Benutzertyp auf die Konsole zugreift. Das Dashboard Erste Schritte 64

70 Übersicht über die Control Center Benutzer mit der Unternehmensadministrator-Rolle haben volle Konfigurationsrechte für das Control Center und die Netzwerk Sicherheitsseinstellungen. Benutzer mit der Administrator-Rolle haben Zugriff auf Netzwerksicherheitsfunktion wie die Benutzerverwaltung. Je nach ihrer Rolle können GravityZone-Administratoren auf folgende Bereiche aus der Menüleiste zugreifen: Dashboard Übersichtliche Diagramme anzeigen, die wichtige Sicherheitsinformationen über Ihr Netzwerk enthalten. Netzwerk Schutz installieren, Richtlinien zur Verwaltung von Sicherheitseinstellungen anwenden, Aufgaben aus der Ferne ausführen und Schnellberichte erstellen. Richtlinien Sicherheitsrichtlinien erstellen und verwalten. Berichte Sicherheitsberichte über verwaltete Clients erhalten. Quarantäne Dateien in Quarantäne per Fernzugriff verwalten. Konten Zugriff zum Control Center anderer Mitarbeiter der Unternehmens verwalten. Dieses Menü steht nur Benutzern zur Verfügung, die das Recht haben, Benutzer zu verwalten. Protokolle Das Benutzeraktivitätsprotokoll einsehen. Konfiguration Einstellungen des Control Center konfigurieren, z. B. Mail-Server, Integration mit Active Directory oder virtuellen Umgebungen und Sicherheitszertifikate. Dieses Menü steht nur Benutzern zur Verfügung, die das Recht haben, die Lösung zu verwalten. Außerdem erhalten Sie oben rechts in der Konsole über das Symbol schnellen Zugriff auf die Seite Benachrichtigungen. Benachrichtigungen Wenn Sie den Mauszeiger über den Benutzernamen in der rechten oberen Ecke der Konsole bewegen, erhalten Sie die folgenden Optionen: Erste Schritte 65

71 Mein Konto. Klicken Sie auf diese Option, um Ihre Benutzerkontoinformationen und -einstellungen zu bearbeiten. Zugangsdaten-Manager. Klicken Sie auf diese Option, um die für Ferninstallationsaufgaben nötigen Authentifizierungsdaten hinzuzufügen und zu verwalten. Abmelden. Klicken Sie auf diese Option, um sich bei Ihrem Konto abzumelden. In der rechten unteren Ecke der Konsole stehen die folgenden Links zur Verfügung: Hilfe und Support. Klicken Sie auf diese Schaltfläche, um Hilfe- und Support-Informationen zu erhalten. Hilfe-Modus. Klicken Sie auf diese Schaltfläche, um die Hilfefunktion zu aktivieren, mit der vergrößerbare Tooltipps für Control Center-Objekte angezeigt werden. Dadurch erhalten Sie nützliche Informationen zu den Funktionen des Control Center. Feedback. Klicken Sie auf diese Schaltfläche, um ein Formular anzuzeigen, in dem Sie uns Rückmeldung zu Ihren Erfahrungen mit GravityZone zusenden können Tabellendaten Tabellen kommen in der Konsole häufig zum Einsatz, um die Daten in einem übersichtlichen Format zu organisieren. Die Berichtsübersicht - Berichtstabelle Durch Tabellenseiten blättern Tabellen mit mehr als 10 Einträgen haben mehr als eine Seite. Standardmäßig werden nur 10 Einträge pro Seite angezeigt. Verwenden Sie die Navigationsschaltflächen am unteren Rand der Tabelle, um zwischen den Seiten zu wechseln. Sie können die Anzahl der Einträge, die pro Seite angezeigt werden, ändern, indem Sie eine andere Option aus dem Menü neben den Navigationsschaltflächen wählen. Nach bestimmten Einträgen suchen Über die Suchfelder unter den Spaltenüberschriften können Sie leicht bestimmte Einträge finden. Erste Schritte 66

72 Geben Sie den Suchbegriff in das entsprechende Feld ein. Passende Suchtreffer werden bereits während der Eingabe in der Tabelle angezeigt. Um den Inhalt der Tabelle wieder herzustellen, löschen Sie einfach die Suchfelder. Daten sortieren Sie können die Daten in der Tabelle nach dem Inhalt einer bestimmten Spalte sortieren, indem Sie auf die entsprechende Spaltenüberschrift klicken. Mit einem erneuten Klick auf die Spaltenüberschrift kehren Sie die Sortierreihenfolge um. Tabellendaten aktualisieren Um sicherzustellen, dass die aktuellsten Informationen angezeigt werden, klicken Sie im unteren linken Bereich der Tabelle auf Symbolleisten Aktualisieren. Im Control Center können Sie über Symbolleisten bestimmte Operationen ausführen, die zu dem Bereich gehören, indem Sie sich gerade befinden. Jede Symbolleiste besteht aus mehreren Symbolen, die meistens auf der rechten Seite der Tabelle angezeigt werden. Über die Symbolleiste im Bereich Berichte können Sie zum Beispiel die folgenden Aktionen ausführen: Neuen Bericht erstellen. Geplant erstellte Berichte herunterladen. Einen geplanten Bericht löschen. Die Berichtsübersicht - Symbolleisten Kontextmenü Die Symbolleistenbefehle stehen auch über das Kontextmenü zur Verfügung. Klicken Sie mit der rechten Maustaste auf den Bereich des Control Centers, den Sie gerade benutzen, und wählen Sie den gewünschten Befehl aus der Liste. Erste Schritte 67

73 Die Berichtsübersicht - Kontextmenü Dienstauswahl Als Administrator oder Berichterstatter können Sie die Control Center-Dienste einzeln verwalten. Wählen Sie den gewünschten Dienst aus dem Dienstmenü in der rechten oberen Ecke der Seite. Das Dienstmenü ist nur auf denjenigen Seiten vorhanden, auf denen es einen Sinn hat, Daten nacht Diensttyp zu filtern. Das Dienstmenü enthält die folgenden Optionen: Computer (Security for Endpoints) Virtuelle Maschinen (Security for Virtualized Environments) Mobilgeräte (Security for Mobile Devices) Es werden Ihnen nur diejenigen Dienste angezeigt, für die Ihnen der Administrator, der Ihren Benutzer zum Control Center hinzugefügt hat, Rechte erteilt hat Sicherheitsrichtlinien anwenden Nach der Installation kann der Bitdefender-Schutz über das Control Center mit Hilfe von Sicherheitsrichtlinien konfiguriert und verwaltet werden. Eine Richtlinie legt die Sicherheitseinstellungen fest, die auf bestimmten Netzwerkinventarobjekten (Computern, virtuellen Maschinen oder mobilen Geräten) angewendet werden sollen. Direkt nach der Installation wird den Clients eine Standardrichtlinie zugewiesen, die mit den empfohlenen Schutzeinstellungen vorkonfiguriert ist. Sie können die Sicherheitseinstellungen nach Belieben ändern und/oder zusätzliche Sicherheitsfunktionen konfigurieren, indem Sie benutzerdefinierte Richtlinien erstellen und zuweisen Richtlinien erstellen und konfigurieren Für jeden GravityZone-Sicherheitsdienst gibt es eine eigene Richtlinienvorlage, in der die Sicherheitseinstellungen für den entsprechenden Typ von Netzwerkobjekten festgelegt sind. Erste Schritte 68