How Can We Help?
Orientações para implementação do BitDefender GravityZone On-premise
SINTOMA:
Você precisa de orientações sobre como implementar o BitDefender GravityZone On-premise.
APLICA-SE À:
BitDefender GravityZone on-premise.
SOLUÇÃO:
ETAPAS DA IMPLEMENTAÇÃO
- Nota de copyright.
- Sobre as versões de teste do BitDefender GravityZone.
- Migrações a partir de versões antigas.
- Obtendo ajuda para instalação.
- Arquitetura da solução.
- Requerimentos do BitDefender GravityZone on-premise.
- Preparo de infra-estrutura requerido.
- Instalando e configurando o console on-premise.
- Instando licenças.
- Implementando agentes em ambientes físicos.
- Implementando agentes em ambientes virtualizados.
- Implementando agentes em dispositivos mobile.
- Lidando com problemas comuns.
NOTA DE COPYRIGHT
A Lnx-IT Informação e Tecnologia não autoriza a cópia, alteração, adaptação, redistribuição, deste artigo sem autorização prévia por escrito. Interessados em utilizar poderão nos contatar através de nossos telefones ou e-mail.
SOBRE AS VERSÕES DE TESTE DO BITDEFENDER GRAVITYZONE
São características das versões de teste:
- As versões de teste possuem 30 dias e não existem limitações.
- A versão de teste implementada pode ser ativada a qualquer tempo. Ela já é a versão que você irá implementar caso deseje adquirir o produto.
- Após a inserção da chave de licença, todos os endpoints farão download da mesma automaticamente. Nenhuma ação é necessária.
MIGRAÇÃO A PARTIR DE VERSÕES ANTIGAS
Caso você esteja migrando de uma versão antiga do BitDefender (Small Office Security, Client Security, Business Security ou Corporate Security) siga estes passos:
OBTENDO AJUDA PARA INSTALAÇÃO
A Lnx-IT oferece suporte técnico via e-mail, telefone ou assistência remota para clientes que estejam testando o BitDefender GravityZone:
ARQUITETURA DA SOLUÇÃO
A arquitetura do BitDefender GravityZone cloud edition possui as seguintes características:
CONSOLE DE WEB:
Console web on-premise é compatível com computadores e dispositivos mobile. Ela permite gerir computadores protegidos a partir de um único ponto, mesmo que eles estejam em sua rede LAN ou conectados a sua empresa através de VPN. A comunicação entre agentes e console é protegida por criptografia alta.
O BitDefender GravityZone on-premise é distribuído unicamente no formato de virtual appliance compatível com as seguintes plataformas:
- VMware vSphere 5.0 ou superior.
- VMware Horizon/View 5.x ou superior.
- VMware Workstation 8.0.6 ou superior.
- VMware Player 5.x ou superior.
- Citrix XenServer 5.5 ou superior.
- Citrix XenServer Desktop 5.0 ou superior.
- Citrix XenApp 6.5 ou superior.
- Citrix VDI-in-a-Box 5.x ou superior.
- Microsoft Hyper-V Server 2008 R2, 2012 ou 2012 R2.
- Red Hat Enterprise Virtualization 3.0 (incluindo o KVM Hypervisor)
- Oracle VM 3.0.
- Oracle VM VirtualBox 5.2, 5.1
- Nutanix Prism com AOS 5.5, 5.6 (Enterprise Edition).
- Nutanix Prism version 2018.01.31 (Community Edition).
BITDEFENDER ENDPOINT SECURITY TOOLS:
O BitDefender Endpoint Security Tools (BEST) é o agente unificado do BitDefender Gravityzone. Ele protege estações de trabalho Windows e MAC e servidores com Windows Server e Linux. O agente possui diversos módulos de segurança a saber:
- Antimalware (proteção com assinaturas atualizadas de hora em hora).
- Controle avançado de ameaças (ATC): proteção com inteligência artificial e machine learning na nuvem.
- Anti-exploit avançado.
- IDS e IPS.
- Antiphishing.
- Antivírus web.
- Filtro de conteúdo.
- Firewall.
- Controle de dispositivos.
- Relay: permite realizar instalações remotas e distribuir atualizações de vacinas e do agente na rede local.
- Proteção do Exchange: antimalware, antispam, antispoofing, controle de conteúdo e controle de anexos para servidores de correio Microsoft Exchange.
- Gestão de riscos: varre por vulnerabilidades e aponta possíveis formas de correção.
- Storage protection: protege storages que possuam suporte ao protocolo ICAP.
BITDEFENDER GRAVITYZONE MOBILE CLIENT:
BitDefender GravityZone Mobile Client é o agente do BitDefender GravityZone para dispositivos mobile, compatível com Android e IOS. Ele protege com antivírus e anti-phishing o sistema operacional, aplicativos, comunicações e navegação na Internet.
Ele está disponível para download na Google Play Store e Apple Store.
BitDefender GravityZone Security Server Virtual Appliance (SVA):
O BitDefender Security Server Virtual Appliance (SVA) é um virtual appliance para implementação de varredura de ambientes físicos e virtualizados de forma centralizada, o que permite reduzir a carga de CPU, memória e I/O em 30%.
ADDONS DO BITDEFENDER GRAVITYZONE:
BitDefender GravityZone possui os seguintes addons licenciados separadamente e por máquina que podem ser adquiridos a qualquer tempo para melhorar sua proteção.
- BitDefender patch management: permite atualizar sistemas operacionais Microsoft, aplicativos, utilitários, ferramentas e uma grande variedade de softwares de terceiros de forma automática.
- Criptografia de disco: permite encriptar o disco de notebooks e PCs de forma a proteger dados sensíveis contra roubo. A função protege computadores com Windows e MAC.
- Hyperdetect: proteção avançada contra malwares furtivos, ataques adaptativos e hackers com 21 camadas de proteção baseadas em inteligência artificial e machine learning.
- Sandbox Analyser: ferramenta que coleta arquivos suspeitos e envia para um portal de análise na nuvem baseado em machine learning. Ele bloqueia itens que constituem uma ameaça para seu ambiente.
- Hypervisor Introspection: o BitDefender Hypervisor Introspection protege ambientes Citrix com proteção em camada de hypervisor baseada na introspecção de memória.
- BitDefender for Amazon AWS: protege máquinas virtuais do Amazon EC2.
SERVIÇOS OFERECIDOS PELO CONSOLE ON-PREMISE DO GRAVITYZONE:
Você poderá fazer o deploy deste appliance em qualquer um destes hypervisors. O appliance possui as seguintes funções embarcadas:
- Servidor de comunicação: lida com a comunicação entre os agentes e o console. Ele opera na porta 8443 tcp.
- Servidor de updates: baixa vacinas do site oficial da BitDefender e distribui aos endpoints. Ele opera na pora 7074 tcp.
- Servidor de banco de dados: servidor que registra em banco de dados as configurações do console. BitDefender GravityZone usa um banco de dados não SQL chamado MongoDB que opera na porta 27017 tcp.
- Console web: console de gerenciamento web que permite a administração do produto. A console web atende conexões na porta 443 tcp.
- Security server: serviço de proteção de máquinas virtuais embutido no console. Ele protege máquinas virtuais usando a varredura centralizada.
COMO FUNCIONA A COMUNICAÇÃO:
A comunicação segue regras simples a saber:
Requerimentos do BitDefender GravityZone on-premise
Os requerimentos do BitDefender GravityZone Virtual Appliance podem ser vistos abaixo:
PREPARO DE INFRA-ESTRUTURA REQUERIDO
É necessário preparar sua infra-estrutura para trabalhar com a solução BitDefender GravityZone. Estes passos garantem que você tenha uma implementação correta do produto:
1. Libere no seu firewall ou proxy os sites, URLs e portas usados pelo BitDefender GravityZone:
2. O BitDefender GravityZone Virtual Appliance é o servidor e console de gerenciamento da solução BitDefender GravityZone. Esteja certo de reservar um endereço IP fixo para o mesmo e de ter criado um apontamento no servidor de DNS local nas zonas diretas e reversas.
3. Se você possui filiais interligadas via VPN ou redes isoladas, você irá precisar implementar o BitDefender Endpoint Security com o módulo Relay em cada uma destes locais. O relay é um servidor de updates que baixa as vacinas do site official do fabricante e disponibiliza na rede local, ele também permite a instalação remota de agentes através do console web nestas redes.
Esteja certo de reservar um endereço IP fixo para cada relay que você pretende implementar e de ter criado um apontamento de DNS no servidor de DNS local nas zonas diretas e reversas para cada relay.
4. Antes de instalar o relay, você deve preparar o sistema operacional para receber a instalação do BitDefender Endpoint Security Tools (BEST). Siga estes procedimentos:
5. Prepare as estações de trabalho e servidores que irão receber o BitDefender Endpoint Security Tools (BEST):
INSTALANDO E CONFIGURANDO O CONSOLE ON-PREMISE
O processo de instalação do BitDefender GravityZone Virtual Appliance (console on-premise) segue diversas etapas a saber:
1. Faça o download do BitDefender GravityZone Virtual Appliance:
2. Importe o BitDefender GravityZone Virtual Appliance em seu ambiente virtualizado:
Caso esteja importando em um ambiente com Oracle VM Virtualbox siga este artigo:
3. Realize a instalação do BitDefender GravityZone Virtual Appliance.
4. Terminada a instalação efetue o login no console de gerenciamento usando seu navegador:
https://IP-DO-BITDEFENDER-VIRTUAL-APPLIANCE
Onde:
- IP-DO-BITDEFENDER-VIRTUAL-APPLIANCE: É o endereço do BitDefender GravityZone Virtual Appliance.
Exemplo:
meu virtual appliance está no endereço 10.0.0.254. Então, meu URL será:
https://10.0.0.254
CONFIGURANDO O FUSO HORÁRIO
Logo depois de logar no appliance a primeira ação pós-instalação a ser feita é a configuração do fuso horário. Siga o procedimento abaixo:
5. Realize a integração do BitDefender GravityZone Virtual Appliance com seu servidor de correio.
6. Se sua empresa possua um servidor proxy autenticado, será necessário integrar o BitDefender GravityZone Virtual Appliance com o seu servidor proxy.
7. Caso você possua um ambiente de rede gerido pelo Microsoft Active Directory, realize a integração do BitDefender GravityZone Virtual Appliance com este.
8. Caso você possua um ambiente virtualizado com Vmware ESX(i) com Vmware vCenter realize a integração com vCenter:
9. Caso você possua uma ambiente virtualizado com Citrix XenServer realize a integração com Citrix XenServer.
10. Caso você possua um ambiente virtualizado com Hyper-V, bastará realizar o deploy do BitDefender Security Server Virtual Appliance (SVA), criar o pacote do BitDefender Endpoint Security Tools (BEST) especialmente apontado para o endereço IP do SVA e instalar em cada VM remotamente. Siga este procedimento:
12. Caso você necessite proteger dispositivos mobile com Apple IOS você necessitará abrir as portas do serviço ‘Apple Push Notification Service’ e configurar os certificados digitais requeridos pelo mesmo.
13. Se você possui uma licença do addon de proteção do Amazon Web Services (AWS) e possui uma infra-estrutura na nuvem que gostaria de proteger, siga estas instruções para implementar a proteção. BitDefender é capaz de proteger instâncias do Amazon EC2.
14. Caso você deseje integrar com VMware vShield, NSX ou NSX-T siga para o capítulo ‘Implementando agentes em ambientes virtualizados’.
15. BitDefender GravityZone Virtual Appliance possui um servidor de atualização embutido, garanta que você fez o download de todos os agentes e publicou a atualização. Este processo pode ser manual ou automatizado:
16. Para que você possa instalar agentes localmente ou remotamente será necessário criar os pacotes de instalação. Siga este procedimento para criar um pacote de instalação do BitDefender Endpoint Security para proteção de máquinas físicas com Windows, Linux e MAC.
Caso queira implementar o BitDefender Endpoint Security Relay em suas filiais ligadas por VPN, unidades ou redes isoladas, siga este procedimento:
17. Caso você possua ambientes com Microsoft Exchange será necessário criar os pacotes de instalação. Siga o procedimento abaixo para criar o pacote de instalação do BitDefender Endpoint Security para Exchange:
18. Clique no menu ‘Políticas‘ -> botão ‘Adicionar‘, realize as configurações de acordo com suas necessidades e pressione ‘Salvar‘. Consulte o documento abaixo para uma visão geral do processo:
19. Para aplicar a política a endpoints individuais ou grupos de computadores siga estas instruções:
INSTALANDO LICENÇAS
Se você adquiriu mais licenças ou tiver terminado o período de testes de 30 dias ou está renovando sua solução, será necessário instalar sua nova chave de licença.
Nota: em caso de chave expirada ou renovação, remova e instale a nova chave.
IMPLEMENTANDO AGENTES EM AMBIENTES FÍSICOS
A implementação do BitDefender Endpoint Security Tools nas máquinas físicas consiste dos seguintes passos:
1. Prepare os sistemas operacionais: Esteja certo de ter preparado o sistema operacional Microsoft Windows de máquinas físicas ou virtuais para receber uma instalação do BitDefender Endpoint Security Tools e os relays de sua rede (se existirem). O procedimento está disponível no link abaixo:
2. Instale o BitDefender Endpoint Security Tools nos ambientes com Windows remotamente, localmente ou via GPO ou ferramenta de deploy de terceiros:
3. Instale o BitDefender Endpoint Security no Linux: A instalação de máquinas físicas com Linux pode ser feita no local ou remotamente:
4. Instale o BitDefender Endpoint Security no MAC: A instalação de máquinas físicas com MAC pode ser feita no local ou remotamente (com limitações neste caso).
Para instalar no MAC você precisa habilitar o remote login e file sharing.
ENTENDENDO AS LIMITAÇÕES DA INSTALAÇÃO REMOTA NO MAC
A partir do macOS High Sierra (10.13) é possível instalar remotamente o BitDefender Endpoint Security Tools, porém é necessária uma aprovação por parte do usuário final para carregar as extensões do kernel. Até que o usuário aprove as extensões do kernel do Bitdefender, os módulos de proteção contra adulteração do Endpoint Security para Mac, controle de conteúdo e controle de dispositivos não funcionarão. Além disso, a interface do usuário do Endpoint Security for Mac mostrará um problema crítico. Veja maiores detalhes neste artigo.
Você pode pré-aprovar as extensões do kernel do Bitdefender e, assim, eliminar a intervenção do usuário, colocando na lista de permissões as extensões do Bitdefender usando uma ferramenta de Gerenciamento de Dispositivos Móveis, como o Jamf Pro. Para detalhes, consulte
IMPLEMENTAÇÃO EM AMBIENTES VIRTUALIZADOS
Existem dois dois tipos de proteção ambientes virtualizados:
ETAPAS DA IMPLEMENTAÇÃO CENTRALIZADA SIMPLES
Siga estes passos para implementar o BitDefender com proteção centralizada:
ETAPAS DA IMPLEMENTAÇÃO CENTRALIZADA SEM AGENTE
Siga estes passos para integrar o BitDefender GravityZone ao VMware vShield, NSX ou NSX-T.
IMPLEMENTANDO AGENTES EM DISPOSITIVOS MOBILE
Para implementar a proteção em dispositivos mobile você precisa entender os requerimentos, como funciona a comunicação e finalmente o processo de implementação. Estes itens são descritos abaixo:
1. REQUERIMENTOS DE HARDWARE, SISTEMA E REDE :
1. Confira os requerimentos da proteção de dispositivos mobile.
2. FUNCIONAMENTO DA COMUNICAÇÃO COM OS AGENTES
A proteção de dispositivos móveis usa notificações push para alertar os clientes móveis quando atualizações ou tarefas ou políticas estão disponíveis. As notificações push são enviadas pelo servidor de comunicação do BitDefender GravityZone através do serviço fornecido pelo fabricante do sistema operacional do dispositivo mobile.
Veja abaixo o esquema de comunicação que ilustra o funcionamento:
3. A COMUNICAÇÃO EM DISPOSITIVOS ANDROID
O serviço Google Cloud Messaging (GCM) é usado para comunicação em dispositivos Android. Para que o GCM funcione, os seguintes pré-requesitos são necessários:
- O Google Play Store deve estar instalado.
- Os dispositivos devem estar vinculados à uma conta Google.
- Para enviar notificações push, as seguintes portas TCP devem estar abertas: 5228, 5229 e 5230.
4. A COMUNICAÇÃO EM DISPOSITIVOS IOS
O serviço Apple Push Notifications service (APNs) é usado para comunicação nos dispositivos IOS.
Os dispositivos que utilizam APNs precisam de uma conexão direta com o servidor da Apple. Se um dispositivo não conseguir se conectar usando dados mobiles, ele tentará usar wi-fi se disponível. Se houver um servidor proxy na rede wi-fi, o dispositivo não poderá usar APNs, porque o APNs requer uma conexão direta e persistente de um dispositivo para outro.
- Porta TCP 5223 (usada por dispositivos para se comunicar com os servidores APNs).
- Porta TCP 2195 (usada para enviar notificações para as APNs).
- Porta TCP 2196 (usada pelo serviço de feedback APNs).
Os servidores APNs usam balanceamento de carga. Seus dispositivos nem sempre se conectam ao mesmo endereço IP público para notificações. Todo o bloco de endereço 17.0.0.0/8 é atribuído à Apple, portanto, é melhor permitir esse alcance nas configurações do seu firewall.
5. REALIZANDO A IMPLEMENTAÇÃO:
Siga as orientações abaixo para implementar a proteção de dispositivos com Android ou IOS:
LIDANDO COM PROBLEMAS COMUNS
Abaixo uma lista de artigos e questões mais comuns:
- Debugando problemas de conectividade e atualização com bitdefender gravityzone on-premise
- Debugando problemas de atualização a partir do BitDefender Endpoint Security Relay
- Debugando problemas de conectividade entre o vmware vcenter e o bitdefender gravityzone virtual appliance
- Minha aplicação é detectada pelo BitDefender como malware.
- Debugando através do console detecções incorretas do BitDefender Endpoint Security
- Debugando localmente detecções incorretas do BitDefender Endpoint Security
- Identificando porque um site foi bloqueado
- Criando regras de exceção de antimalware.
- Criando regras de exceção para extensões de arquivo
- Criando uma regra de exceção de antimalware para um processo
- Criando regras de exceção para o controle avançado de ameaças (ATC) e IDS
- Criando regras de exceção para o IDS
- Criando regras de exceção para o tráfego de internet
- Criando regras de exceção de antiphishing
- Criando regras de exceção para uma categoria do controle de acesso à web
- Importando ou exportando regras de exceção de antimalware
- Resolvendo problema de acesso com sites SSL com certificado digital expirado
- Como bloquear aplicativos com a lista negra de aplicativos
- Como bloquear aplicativos iniciados junto com sistema com a lista negra de aplicativos
- Como bloquear a internet por horário
- Como bloquear sites por categoria
- Ativando ou desativando o controle de acesso à web
- Criando regras de exceção para uma categoria do controle de acesso à web
- Ativando ou desativando o escaneamento HTTP
- Ativando ou desativando a varredura SSL
- Ativando ou desativando o antiphising
- Bloqueando redes sociais
- Identificando porque um site foi bloqueado
- Ativando ou desativando o controle de dispositivos
- Bloqueando dispositivos com controle de dispositivos
- Liberando certos dispositivos do controle de dispositivos
- Criando regras de exceção manual para dispositivos
- Criando uma tarefa de varredura agendada.
- Realizando um scan manual através do console de gerenciamento.
- Realizando uma varredura local usando o BitDefender Endpoint Security Tools
- Criando uma tarefa de scan agendado para um dispositivo NAS
- Desativando a varredura USB
- Habilitando ou desabilitando o controle avançado de ameaças (ATC)
- Desativando a varredura no acesso (on-access)
- Habilitando ou desabilitando o firewall
- Habilitando ou desabilitando o IDS (Intrusion Detection System)
- Habilitando ou desabilitando o IPS (Intrusion Prevention System)
- Ativando ou desativando a varredura SSL
- Ativando ou desativando o antiphising
- Ativando ou desativando o escaneamento HTTP
- Ativando ou desativando o controle de dispositivos
- Configurando a política de antimalware da proteção de Exchange
- Configurando a política de antispam da proteção de Exchange
- Configurando a política de filtragem de anexos da proteção de Exchange
- Configurando a política de filtro de conteúdo da proteção de Exchange
- Restaurando um item da quarentena localmente
- Restaurando um item da quarentena via console
- Tenho itens na minha quarentena. Corro algum risco?