Инсталляция и настройка
EPS Document Security

Подготовка

Материалы и оборудование, необходимое для развёртывания EndPoint Security Document Security:

    Сервер AD Учётная запись AD с правами администратора Check Point Appliance с установленной версией Gaia 77.10 или выше* Check Point Appliance с установленной специализированной версией Gaia 77*

В случае эмулирования Check Point Appliance Security Gateway:

    Для шлюза безопасности:
      Оперативная память        512 MB Процессор        1  Жёсткий диск        50GB Сетевые адаптеры        2
    Для системы управления Endpoint Security Document Security:
      Оперативная память        1GB Процессор        1 Жёсткий диск        150GB Сетевые адаптеры        1

Развёртывание и настройка Endpoint Security Server.

Из дистрибутива установите Gaia R77, как обычно (например, R77.30 take 204). В момент выбора функционала устройства выберите только сервер управления.  Убедитесь, что галочка Security Gateway не установлена.

После установки скачайте консоль Smart Dashboard. Не используйте другую консоль!
Если у вас уже установлена консоль другой версии Gaia – удалять её не требуется (на компьютере могут присутствовать консоли разных версий). Откройте установленную консоль и выберите закладку Firewall. Раскройте папку Check Point -> Network Objects и выберите для редактирования ваш сервер EPS.

НЕ нашли? Не то? Что вы ищете?
Включите Endpoint Policy Management в секции Management.

Обратите внимание, что  Endpoint Management Server использует порт 443 для соединений. GAIA Portal теперь доступен через  порт 4434. Включите Log Server на EPS. Сделайте Install Database. Установка EPS на этом завершена.

Настройка EPS для работы с DocSec.

Скачайте предложенные обновления для EPS. Перейдите на вкладку Deployment -> Organization Scanners. Нажмите Add Directory Scanner. Введите имя вашего домена в поле Domain Name. Остальные атрибуты должны появится автоматически, если вы правильно настроили DNS. Здесь же можно сконфигурировать несколько вещей, как то LDAP Path – если вам не нужна вся AD. Для POC лучше сканировать всю – для наглядности; Scan Interval – временной интервал, через которое будет повторятся сканирование; Username/Password – учётная запись должна иметь право чтения всех запрошенных папок каталога AD и контейнера удалённых объектов. Это сделано в связи с механикой работы сканера – для понимания, кто был удалён из базы и когда. После окончания работы сканера перейдите в закладку Policy и настройте необходимые для организации программные блейды. Вы можете скрыть или подключить блейды с помощью меню Tools -> Show/Hide Blades в Launch Menu. Для того, чтобы появилась возможность отправлять зашифрованные документы внешним пользователям необходимо настроить SMTP сервер. Это можно сделать через Launch Menu -> Manage -> Email Server Settings -> Configure Settings Введите адрес вашего сервера Exchange и вбейте адрес, с которого будет отправляться сообщения. Для того, чтобы продолжить настройку Security Docs необходимо выбрать название организации, которое будет доступно для внешних подключений и настроить ваш DNS. Это можно сделать через меню Policy -> “NewOrganization” configuration settings -> Edit. Помните, что время схождения после настройки DNS может достигать до 3 часов. Сохранитесь и сделайте Install Policy.

Установка Endpoint Security Client.

В консоли управления Endpoint перейдите в закладку Deployment В Software Deployment Rules нажмите Download под иконкой, соответствующей необходимой операционной системе. Выберите папку, куда будет сохранен. msi файл для установки на рабочие станции. Файл будет содержать только ядро системы, и не будет содержать ни одного программного блейда, но будет содержать необходимую информацию о сервере EPS. Далее необходимо сконфигурировать Deployment rule для всех необходимых машин. Создаём новое правило

Выбираем машину или группу машин для создания правил. Выбираем необходимые к установке блейды. Именуем правило и нажимаем Finish Сохраняем, инсталлируем политику. Забираем из папки, куда мы сохранили. msi файл и копируем его на все необходимые машины. Устанавливаем, ждём окончания установки. В меню Overview можно посмотреть прогресс инсталляции.  По окончанию инсталляции при запросе от Endpoint security перезагружаем машину. Установка клиента на машины завершена.

Конфигурирование политик организации и защиты документов.

Создание новой классификации происходит во вкладке Policy  отредактируйте Defined Classifications (Capsule Docs -> нажать 2 active classifications defined  -> Edit -> Create Classification) В данном окне можно выбрать действия, разрешённые с документом и проставить маркеры, которые будут отображаться в разных типах документов (последнее поле) В строчке правила Initial protection classification is Restricted можно настроить что будет является защитой по умолчанию и для каких групп пользователей. Сохраните необходимую конфигурацию и проинсталлируйте политику.

Установка ReverseProxy для EPS.

Установка патча для ReverseProxy

Capsule Docs Proxy инсталлируется поверх уже установленной Gaia R77.10/R77.20 с включённым блейдом Mobile Access. Реверс-прокси перенаправляет все запросы к Capsule Docs к  Endpoint Security Management серверу (в соответствии с URL  запроса к HTTPS).
Ссылка на патч находится в конце документа. Скопируйте патч на предустановленный сервер безопасности CP с установленным на нем  Mobile Access Blade (далее по тексту – CPMAB) в папку /reverse_proxy/ (вам потребуется ее создать). Рекомендуется использовать WinSCP (ссылка в конце документа)
Не забудьте выдать все необходимые разрешения. Откройте ssh подключение к CPMAB. Перейдите в созданную на прошлом этапе папку и запустите следующую команду для распаковки архива (здесь и далее вы должны находится в режиме expert командной строки ели не указанно другого):
tar - zxvf CapsuleDocsProxyR77_20.gz После распаковки выполните команду: ./UnixInstallScript Нажмите  y когда система попросит вас остановить все процессы на шлюзе:
Убедитесь, что интсалляция прошла успешно и нажмите y когда будет запрошена перезагрузка. Capsule Docs Proxy  по умолчанию выключена. Чтобы включить реверс-прокси выполните следующее: Откройте ssh-подключение к CPMAB (дождитесь включения устройства после перезагрузки). Наберите в командной строке: DocSecReverseProxy on Сконфигурируйте адрес своего  EndPointSecurity  сервера (далее EPS) отредактировав  файл vi $CVPNDIR/conf/includes/DocumentSecurity. location. conf

Раскомментируйте строку с адресом вашего  EPS CvpnEPSAddress и подставьте адрес вашего сервера.

Помните, что после любых изменений в этом файле необходимо выполнить команду  cvpnrestart Этап конфигурации завершён. Теперь вы можете делится зашифрованными файлами с внешними пользователями (в том числе – удалёнными мобильными устройствами пользователей, не включённых в AD)

Установка и настройка MAB + Capsule

Установите операционную систему Gaia R77.20 После завершения установки откройте консоль Smart Dashboard -> Firewall -> Network Objects -> Check Point

В появившемся меню слева выберите Topology  Get -> Interface

На каждом интерфейсе проверьте (если необходимо – поправьте) направления интерфейсов Internal/External. Отключите антиспуфинг! В этом же меню включите NAT

Нажмите ОК, затем Save & Install Policy.
Внимание! Обязательно в закладке фаервола должно быть хотя бы одно правило! Без этого инсталляция политик невозможна! После инсталляции включите MAB, следуйте инструкциям помощника конфигурации. Внимание! Обязательно проверьте, что в настройках портала указан внешний адрес вашего  устройства! По умолчанию там задан адрес самого устройства. Для проверки работоспособности портала включите Demo web application (world clock), Secure Container Mail и Outlook Web App. Остальные необходимые публикации будут заведены позже. Укажите там же адрес вашего Exchange сервера. Создайте новый домен (если необходимо). Проверьте возможность соединения кнопкой Connect. В следующем окне вбейте реально существующие в домене имя пользователя и его пароль. Проверьте, что доступ к базе AD работает корректно. Если необходимо – сразу добавьте пользователей или группы пользователей, которые будут иметь доступ к порталу. Если вы не уверены – этот шаг можно пропустить и добавить правила позже. Нажмите ОK и Finish. Перейдите справа в меню Platform Portal и сконфигурируйте доступ к web-порталу по порту 4434 для того, чтобы избежать конфликтов при обращении. Сохранитесь и проинсталлируйте политику. На этом развёртывание Mobile Access Blade завершено.

Настройка блейда для работы с клиентом Capsule Workspace (Mobile Enterprise)

Перейдите на закладку Mobile Access –> Authentication Выберите опцию Require client certificate when using Mobile Application

Сохранитесь и проинсталлируйте политику. Перейдите на Client Certificates. Выберите там шаблон Mobile Enterprise iOS with QR Code. Сконфигурируйте новый Exchange сервер

Выберите пользователя или группу пользователей, для которых необходимо сгенерировать пароль (QR-код). После этого, если все сконфигурировано правильно пользователю на почту должно прийти письмо с QR-кодом, отсканировав который он сможет получить пароль. В случае невозможности использования QR-кода в письме указан пароль прямым текстом. На смартфон пользователя скачайте приложение Capsule Workspace После ввода пароля следуйте инструкциям на экране. На этом настройка оборудования для работы Capsule Workspace завершена