Cylance Endpoint Security-Anforderungen
Anmelden an der Verwaltungskonsole
- Benutzerdefinierte Authentifizierung
- Erweiterte Authentifizierungsanmeldung
  - Mit der erweiterten Authentifizierung bei der Cylance Endpoint Security-Verwaltungskonsole anmelden
  - Generieren einer neuen SSO-Callback-URL
Installieren des BlackBerry Connectivity Node
Verknüpfung mit Ihrem Unternehmensverzeichnis
Einrichten von Administratoren
Hinzufügen von Benutzern und Geräten
Registrieren von CylancePROTECT Mobile- und CylanceGATEWAY-Benutzern
- Erstellen einer Registrierungsrichtlinie
- Unterstützte Variablen für Registrierungs-E-Mails
Einrichten von Zonen für die Verwaltung von CylancePROTECT Desktop und CylanceOPTICS
- Hinzufügen und Konfigurieren von Zonen
Einrichten von CylancePROTECT Desktop
Einrichten von CylancePROTECT Mobile
Einrichten von CylanceOPTICS
- Installieren des CylanceOPTICS-Agenten auf Geräten
  - Konfigurationsanforderungen für macOS 11.x und höher
  - Betriebssystembefehle für den CylanceOPTICS-Agenten
- Aktivieren und Konfigurieren von CylanceOPTICS
Einrichten von CylanceGATEWAY
Einrichten von CylanceAVERT
Verwalten von Updates für die CylancePROTECT Desktop- und CylanceOPTICS-Agenten
- Verwalten von Updates für die CylancePROTECT Desktop- und CylanceOPTICS-Agenten
Verbinden von Cylance Endpoint Security mit externen Diensten
- Integrieren von Cylance Endpoint Security mit Okta
  - Voraussetzungen für das Hinzufügen eines Okta-Connectors
  - Hinzufügen und Konfigurieren eines Okta-Connector
- Integrieren von Cylance Endpoint Security mit Mimecast
  - Voraussetzungen für das Hinzufügen eines Mimecast-Connectors
  - Hinzufügen und Konfigurieren eines Mimecast-Connectors
Anhang: Best Practices für die Bereitstellung von CylancePROTECT Desktop auf virtuellen Maschinen unter Windows

Parameter für die Gateway-Dienstrichtlinie

Wenn Sie

CylanceGATEWAY

auf Geräten konfigurieren, die mit einer EMM-Lösung wie

BlackBerry UEM

aktiviert werden, können Sie auch Optionen in Ihrer EMM-Lösung festlegen, die steuern, wie

CylanceGATEWAY

auf Geräten ausgeführt wird.

Element	Beschreibung
Allgemeine Informationen
Name	Dies ist der Regelname.
Beschreibung	Dies ist eine kurze Beschreibung des Zwecks der Regel.
Agentenkonfiguration
Ausführung von Gateway nur zulassen, wenn das Gerät von BlackBerry UEM oder Microsoft Intune verwaltet wird	Diese Einstellung legt fest, dass iOS -, Android - oder Chromebook -Geräte von BlackBerry UEM oder Microsoft Intune verwaltet werden müssen, bevor Benutzer CylanceGATEWAY verwenden können. Diese Funktion erfordert Folgendes: BlackBerry UEM : Der BlackBerry UEM -Connector wird dem Cylance Endpoint Security -Mandanten hinzugefügt und Apps werden von BlackBerry UEM gesendet. Intune : Der Microsoft Intune -Connector wird dem Cylance Endpoint Security -Mandanten hinzugefügt und Sie erstellen App-Konfigurationsrichtlinien, die die Gerätetypen und Intune-Benutzergruppen definieren, für die die Integration gilt. Weitere Informationen finden Sie Verbinden von Cylance Endpoint Security mit MDM-Lösungen, um zu überprüfen, ob Geräte verwaltet werden
Das Gateway darf nur auf mit MDM verwalteten Geräten Tunnel einrichten, auf denen es als verwaltetes VPN konfiguriert ist	Sie können festlegen, dass ein Gerät bei Mobile Device Management (MDM) für Ihr Unternehmen registriert ist, bei dem CylanceGATEWAY als VPN-Anbieter konfiguriert ist, bevor der CylanceGATEWAY -Arbeitsmodus einen Tunnel auf diesem Gerät erstellt. Diese Funktion wird von den folgenden Geräten unterstützt: CylanceGATEWAY -Agent für macOS 2.7 oder höher CylancePROTECT Mobile -App für iOS 2.14 oder höher
Gateway darf nur ausgeführt werden, wenn CylancePROTECT Desktop ebenfalls auf dem Gerät aktiviert ist	Diese Einstellung erfordert, dass CylancePROTECT Desktop für Benutzer über denselben Mandanten installiert und aktiviert wurde. Diese Funktion wird von den folgenden Geräten unterstützt: Windows -Geräte mit CylanceGATEWAY für Windows macOS -Geräte mit CylancePROTECT Desktop 3.0 oder höher und CylanceGATEWAY für macOS 2.0.17 oder höher. Wenn Sie diese Funktion für Geräte aktivieren, auf denen eine CylancePROTECT Desktop -Version vor 3.0 ausgeführt wird, funktioniert der Tunnel möglicherweise nicht wie erwartet.
Sicherheitsmodus	Sie können den Sicherheitsmodus für Ihre Benutzer aktivieren. Im Sicherheitsmodus blockiert CylanceGATEWAY den Zugriff von Anwendungen und Benutzern auf potenziell bösartige Ziele und erzwingt durch das Abfangen von DNS-Anforderungen eine Richtlinie für die zulässige Nutzung. Die CylanceGATEWAY -Clouddienste bewerten jede DNS-Abfrage anhand der konfigurierten ACL-Regeln und Netzwerkschutzeinstellungen (z. B. DNS-Tunneling und Zero-Day-Erkennung wie DGA, Phishing und Malware) und weisen den Agenten dann an, die Anfrage in Echtzeit zuzulassen oder zu blockieren. Wenn sie zulässig ist, wird die DNS-Anforderung normal über das Trägernetzwerk ausgeführt. Andernfalls setzt der CylanceGATEWAY -Agent die normale Reaktion außer Kraft, um den Zugriff zu verhindern. Wenn diese Option aktiviert ist, wird der Sicherheitsmodus automatisch aktiviert, wenn der Arbeitsmodus deaktiviert ist. Wenn diese Option für Windows -Geräte aktiviert ist, wird der Agent beim Starten in der Taskleiste minimiert. Durch die Aktivierung des Sicherheitsmodus wird der Benutzer nicht daran gehindert, den Agenten zu öffnen und den Arbeitsmodus zu aktivieren oder zu deaktivieren (wenn die Benutzerrichtlinie solche Vorgänge zulässt). Ereignisse im Sicherheitsmodus werden auf dem CylanceGATEWAY-Ereignisbildschirm und in der Ansicht „Warnungen“ angezeigt und an die SIEM-Lösung oder den Syslog-Server gesendet, sofern konfiguriert. Bei Aktivierung schützt der Sicherheitsmodus den gesamten DNS-Datenverkehr, der nicht den CylanceGATEWAY -Tunnel verwendet (z. B. lässt er zu, dass das Gateway nur auf MDM-verwalteten Geräten Tunnel einrichten kann, bei denen das Gateway als verwaltetes VPN, Per-App-Tunnel oder Split-Tunneling konfiguriert ist). Diese Funktion wird von den folgenden Geräten unterstützt: CylanceGATEWAY -Agent für Windows 2.8 oder höher. CylanceGATEWAY -Agent für macOS 2.7 oder höher. Diese Funktion wird nicht in Umgebungen unterstützt, die sicheres DNS mit DoT- (DNS-over-TLS) und DoH- (DNS-over-HTTPS) Protokollen verwenden. DNS-Abfragen, die mit DoT oder DoH gesendet wurden, können von CylanceGATEWAY nicht angezeigt werden. Sicherheitsmodus und CylanceGATEWAY -Agent für macOS : Auf macOS verwendet der CylanceGATEWAY -Agent eine Systemerweiterung, um den Sicherheitsmodus zu implementieren. Wenn Sie die Systemerweiterung „P7E3XMAM8G:com.blackberry.big3.gatewayfilter“ zu einer zulässigen Liste hinzufügen, kann sie automatisch ohne Benutzerinteraktion geladen werden, wenn der CylanceGATEWAY -Agent aktiviert wird. Andernfalls weisen Sie Ihre Benutzer an, die CylanceGATEWAY -Systemerweiterung zuzulassen, wenn sie während der Aktivierung dazu aufgefordert werden. Informationen zum Hinzufügen einer Systemerweiterung zu einer zulässigen Liste finden Sie in Ihrer macOS -Dokumentation. Weitere Anweisungen zur Aktivierung des CylanceGATEWAY -Agenten für den Sicherheitsmodus finden Sie im Benutzerhandbuch unter Aktivieren des Sicherheitsmodus im CylanceGATEWAY-Agenten. Sicherheitsmodus und Drittanbieter-VPNs : Wenn Ihre Umgebung für die Verwendung des Sicherheitsmodus und eines Drittanbieter-VPN konfiguriert ist, müssen Sie die DNS-Einstellungen des VPN überprüfen und ggf. anpassen, damit die DNS-Einstellungen nur die DNS-Abfragen für den Datenverkehr weiterleiten, der für die Verwendung des VPN-Tunnels definiert ist. Wenn Sie den Sicherheitsmodus aktivieren und die DNS-Einstellungen des VPN nicht überprüft werden, funktioniert das VPN möglicherweise nicht wie erwartet. Standardmäßig ist die Konfiguration für viele VPNs so konfiguriert, dass der gesamte DNS-Datenverkehr durch den VPN-Tunnel geleitet wird, wenn er aktiv ist.
Erzwingen der Einstellung „CylanceGATEWAY bei Anmeldung starten“	Diese Einstellung legt fest, ob der CylanceGATEWAY -Agent auf macOS - oder Windows -Geräten automatisch gestartet werden soll, wenn sich Benutzer anmelden. Diese Richtlinieneinstellung setzt die Einstellung „ CylanceGATEWAY bei Anmeldung starten“ außer Kraft. BlackBerry empfiehlt, dass Sie diese Option in der Gateway-Dienstrichtlinie aktivieren. Diese Funktion wird von den folgenden Geräten unterstützt: CylanceGATEWAY -Agent für macOS 2.7 oder höher CylanceGATEWAY -Agent für Windows 2.7 oder höher
CylanceGATEWAY automatisch starten, wenn sich der Benutzer anmeldet	Mit dieser Einstellung wird der CylanceGATEWAY -Agent automatisch gestartet, wenn sich Benutzer beim Gerät anmelden, aber Benutzer können den Agenten weiterhin auch manuell beenden. Wenn Sie sowohl diese Einstellung als auch „Arbeitsmodus automatisch aktivieren“ für Windows -Geräte aktivieren, wird der Agent beim Starten in der Taskleiste minimiert. Diese Einstellung ist nur gültig, wenn die Einstellung „Start von CylanceGATEWAY bei Anmeldung erzwingen“ aktiviert ist.
Erzwingen der Einstellung „Arbeitsmodus automatisch aktivieren“	Diese Einstellung legt fest, ob der CylanceGATEWAY -Agent auf macOS - oder Windows -Geräten die automatische Aktivierung des Arbeitsmodus erzwingen soll, wenn der Agent startet. Diese Richtlinieneinstellung setzt die Einstellung „Arbeitsmodus automatisch aktivieren“ im Agent außer Kraft. Diese Funktion wird von den folgenden Geräten unterstützt: CylanceGATEWAY -Agent für macOS 2.7 oder höher. CylanceGATEWAY -Agent für Windows 2.7 oder höher
Arbeitsmodus automatisch aktivieren	Mit dieser Einstellung wird der Arbeitsmodus automatisch aktiviert, wenn der CylanceGATEWAY -Agent gestartet wird. Benutzer können den Arbeitsmodus nach dem Start des Agenten dennoch manuell aktivieren und deaktivieren. Wenn Sie sowohl diese Einstellung als auch „ CylanceGATEWAY bei Benutzeranmeldung automatisch starten“ für Windows -Geräte aktivieren, wird der Agent beim Starten in der Taskleiste minimiert. Diese Einstellung ist nur gültig, wenn die Einstellung „Arbeitsmodus automatisch aktivieren“ aktiviert ist.
Tunnelverwendung
Per-App-Tunnel	Diese Einstellung legt fest, welche Apps Daten durch den Tunnel an CylanceGATEWAY -Clouddienste senden können. Mögliche Optionen: Wählen Sie Zulässige Apps aus, um die Apps anzugeben, die den Tunnel verwenden. Alle anderen Apps können den Tunnel nicht verwenden. System-Apps und Windows -DNS verwenden immer den Tunnel. Wenn Sie diese Option auswählen, werden alle festgelegten ACL-Regeln oder Netzwerk-Zugriffskontrollrichtlinien angewendet. Weitere Informationen zu ACL-Regeln und Richtlinien für die Netzwerkzugriffskontrolle finden Sie unter Netzwerkzugriffssteuerung. Wählen Sie Gesperrte Apps aus, um die Apps anzugeben, die den Tunnel nicht verwenden dürfen. Alle anderen Apps können den Tunnel verwenden. Klicken Sie auf und geben Sie den vollständigen Pfad oder einen Platzhalter in den Pfad für Desktop-Apps ein oder fügen Sie den Windows -Paketfamiliennamen (PFN) für Store-Apps hinzu. Es können maximal 200 App-Pfade oder PFNs kombiniert werden. Wenn Sie einen Platzhalter in den Pfad einfügen, beachten Sie Folgendes: Sie können nur einen Platzhalter pro Pfad verwenden. Das unterstützte Format ist \\ (z. B. %ProgramFiles%\`Folder_Name`\\`Application_Name`.exe) Platzhalter werden in den folgenden Fällen nicht unterstützt: Wird anstelle von Umgebungsvariablen verwendet Wird anstelle von Stammverzeichnissen im Pfad verwendet Wird für Teil-Verzeichnisnamen verwendet (z. B. „C:\Win\notepad.exe“) Wird in Namen von ausführbaren Dateien verwendet (z. B. „C:\Windows\.exe“) Platzhalter werden auf Windows -Geräten unterstützt, auf denen CylanceGATEWAY -Agent für Windows 2.7 oder höher ausgeführt wird. Diese Funktion wird von den folgenden Geräten unterstützt: CylanceGATEWAY für Windows 2.0.0.13 oder höher. Benutzer von Android - oder Chromebook -Geräten, auf denen die CylancePROTECT Mobile -App ausgeführt wird.
Apps zwingen, den Tunnel zu verwenden	Diese Einstellung erfordert, dass alle Verbindungen ohne Loopback den Tunnel verwenden müssen. Wenn Sie diese Option auswählen und Split-Tunneling aktiviert haben, wird der Tunnel für den gesamten Datenverkehr verwendet. Wenn Sie diese Option auf Windows -Geräten auswählen und Split-Tunneling aktiviert haben, funktionieren Verbindungen, die den Tunnel nicht verwenden, möglicherweise nicht wie erwartet. Diese Funktion wird von den folgenden Geräten unterstützt: Nicht verwaltete macOS -Geräte mit macOS 10.15 oder höher und CylanceGATEWAY für macOS 2.0.17 oder höher. Nicht verwaltete iOS -Geräte mit iOS 14.0 oder höher und CylancePROTECT Mobile -App 2.4.0.1731 oder höher. Windows -Geräte mit CylanceGATEWAY für Windows
Zulassen, dass Apps das lokale Netzwerk verwenden	Diese Einstellung ermöglicht, dass die Apps, die den Tunnel verwenden müssen, lokale Netzwerkziele erreichen können. Diese Funktion wird von den folgenden Geräten unterstützt: Nicht verwaltete macOS -Geräte mit macOS 10.15 oder höher und CylanceGATEWAY für macOS 2.0.17 oder höher. Nicht verwaltete iOS -Geräte mit iOS 14.2 oder höher und CylancePROTECT Mobile -App 2.4.0.1731 oder höher. Windows -Geräte mit CylanceGATEWAY für Windows 2.5 oder höher. Diese Einstellung ist nur gültig, wenn „Apps müssen den Tunnel verwenden“ aktiviert ist.
Netzwerkverkehr von eingeschränkten Apps blockieren	Diese Einstellung verhindert alle Netzwerkverbindungen ohne Loopback von Apps, die den Tunnel nicht verwenden können. Wenn Sie diese Einstellung nicht aktivieren, können die gesperrten Apps die Standardnetzwerkverbindung verwenden. Diese Funktion wird auf Geräten unterstützt, auf denen der CylanceGATEWAY für Windows -Agent ausgeführt wird.
Zulassen, dass andere Windows-Benutzer den Tunnel verwenden	Mit dieser Einstellung können alle Benutzer, die dasselbe Windows -Gerät nutzen, den Tunnel verwenden. Wenn Sie diese Option aktivieren, gelten alle Per-App-Tunnelkriterien. Wenn Sie diese Option nicht aktivieren, werden Apps, die von anderen Windows -Benutzern ausgeführt werden, als gesperrte Apps behandelt.
Eingehende Verbindungen zulassen	Mit dieser Einstellung werden eingehende TCP-Verbindungen und UDP-Datenflüsse von Schnittstellen ohne Tunnel und ohne Loopback zugelassen. CylanceGATEWAY leitet eingehende Verbindungen nie durch den Tunnel. Diese Funktion wird auf Geräten unterstützt, auf denen der CylanceGATEWAY für Windows -Agent ausgeführt wird.
Neuauthentifizierung für den Tunnel
Neuauthentifizierung für den Tunnel	Diese Einstellung legt fest, wie häufig Benutzer sich authentifizieren müssen, bevor sie einen Tunnel einrichten. Wenn Sie diese Funktion aktivieren, empfiehlt BlackBerry , dass Sie die Option „Erneute Verwendung der Authentifizierung zulassen“ festlegen, um den Zeitraum anzugeben, nach dem Benutzer sich erneut authentifizieren müssen. Diese Funktion wird von den folgenden Geräten unterstützt: CylanceGATEWAY für macOS 2.5 oder höher. CylanceGATEWAY für Windows 2.5 oder höher.
Erneute Verwendung der Authentifizierung zulassen	Bei Aktivierung gibt diese Einstellung einen Zeitraum an, nach dem Benutzer, die einen Tunnel authentifiziert und eingerichtet haben, erneut authentifiziert werden müssen. Der Zeitraum kann zwischen 5 Minuten und 365 Tagen nach der letzten Authentifizierung betragen. Wenn Sie beispielsweise den Zeitraum für die Zurücksetzung auf 10 Tage einstellen, müssen sich Benutzer 10 Tage nach ihrer ersten Authentifizierung erneut authentifizieren, bevor sie einen Tunnel einrichten können. Standardmäßig ist diese Einstellung deaktiviert. Wenn Sie die Option „Erneute Verwendung der Authentifizierung zulassen“ nicht aktivieren und keinen Zeitraum für die erneute Authentifizierung angeben, müssen sich Benutzer jedes Mal authentifizieren, wenn sie einen Tunnel einrichten. Diese Einstellung ist nur gültig, wenn „Neuauthentifizierung für den Tunnel“ aktiviert ist.
Übergangsfrist	Diese Einstellung ermöglicht es Benutzern, ohne Authentifizierung eine Verbindung zum Tunnel herzustellen, wenn die Verbindung zum Tunnel innerhalb von 2 Minuten nach dem Trennen der Verbindung hergestellt wird. Diese Option ist standardmäßig aktiviert, wenn Sie die Tunnel-Neuauthentifizierung aktivieren. Diese Einstellung ist nur gültig, wenn „Neuauthentifizierung für den Tunnel“ aktiviert ist.
Split-Tunneling
Split-Tunneling	Mit dieser Einstellung kann CylanceGATEWAY für den Datenverkehr zu öffentlichen Zielen umgangen werden. Sie können CIDR-Adressen oder FQDNs für Ziele eingeben, die durch den Tunnel geleitet werden müssen. Für eine verbesserte Benutzererfahrung aktualisiert die Verwaltungskonsole regelmäßig die FQDN-zu-IP-Adressauflösung. FQDN-Adressen unterstützen keine Platzhalter. Wenn Sie Split-Tunneling aktivieren, umgehen Verbindungen zu zulässigen öffentlichen Zielen den Tunnel und die CylanceGATEWAY -Clouddienste, wenn Sie nicht angeben, dass Verbindungen mit diesem Ziel den Tunnel verwenden müssen. Wenn Sie Split-Tunneling aktivieren und Split-DNS nicht aktivieren, werden alle DNS-Abfragen anhand der konfigurierten ACL-Regeln ausgewertet und Netzwerkzugriffskontrollen werden angewendet, bevor der Datenverkehr an das öffentliche Ziel weitergeleitet wird. Sie können CIDR-Adressen oder FQDNs für Ziele eingeben, die durch den Tunnel geleitet werden müssen. Wenn Sie Quell-IP-Pinning verwenden, müssen alle für Quell-IP-Pinning konfigurierten Ziele den Tunnel verwenden. Wenn Sie Änderungen an Tunneling-Einstellungen oder eingehenden Verbindungen vornehmen, müssen Benutzer den Arbeitsmodus im CylanceGATEWAY -Agenten deaktivieren und aktivieren, der auf Windows - und macOS -Geräten oder in der CylancePROTECT Mobile -App auf iOS -, Android und 64-Bit- Chromebook -Geräten installiert ist, damit die Änderungen wirksam werden.
Split-DNS	Wenn diese Einstellung aktiviert ist, können DNS-Suchen für die Domänen, die in der Konfiguration Privates Netzwerk > DNS > Forward-Lookup-Zone aufgeführt sind, über den Tunnel durchgeführt werden, in dem Netzwerkzugriffskontrollen angewendet werden. Alle anderen DNS-Suchen werden über das lokale DNS durchgeführt. Wenn Sie den Sicherheitsmodus aktiviert haben, wird der DNS-Datenverkehr, der den Gateway-Tunnel nicht verwendet, durch den Sicherheitsmodus geschützt. Split-DNS ist standardmäßig deaktiviert. Android - und 64-Bit- Chromebook -Geräte unterstützen kein Split-DNS-Tunneling und verwenden den Tunnel, auf den Zugriffskontrollen angewendet werden. Diese Einstellung ist nur gültig, wenn „Split-Tunneling“ aktiviert ist.

Section:

Konfigurieren der Gateway-Dienstoptionen