Parameter für die Gateway-Dienstrichtlinie
Wenn Sie
CylanceGATEWAY
auf Geräten konfigurieren, die mit einer EMM-Lösung wie BlackBerry UEM
aktiviert werden, können Sie auch Optionen in Ihrer EMM-Lösung festlegen, die steuern, wie CylanceGATEWAY
auf Geräten ausgeführt wird.Element | Beschreibung |
---|---|
Allgemeine Informationen | |
Name | Dies ist der Regelname. |
Beschreibung | Dies ist eine kurze Beschreibung des Zwecks der Regel. |
Agentenkonfiguration | |
Ausführung von Gateway nur zulassen, wenn das Gerät von BlackBerry UEM oder Microsoft Intune verwaltet wird | Diese Einstellung legt fest, dass iOS -, Android - oder Chromebook -Geräte von BlackBerry UEM oder Microsoft Intune verwaltet werden müssen, bevor Benutzer CylanceGATEWAY verwenden können.Diese Funktion erfordert Folgendes:
Weitere Informationen finden Sie Verbinden von Cylance Endpoint Security mit MDM-Lösungen, um zu überprüfen, ob Geräte verwaltet werden |
Das Gateway darf nur auf mit MDM verwalteten Geräten Tunnel einrichten, auf denen es als verwaltetes VPN konfiguriert ist | Sie können festlegen, dass ein Gerät bei Mobile Device Management (MDM) für Ihr Unternehmen registriert ist, bei dem CylanceGATEWAY als VPN-Anbieter konfiguriert ist, bevor der CylanceGATEWAY -Arbeitsmodus einen Tunnel auf diesem Gerät erstellt.Diese Funktion wird von den folgenden Geräten unterstützt:
|
Gateway darf nur ausgeführt werden, wenn CylancePROTECT Desktop ebenfalls auf dem Gerät aktiviert ist | Diese Einstellung erfordert, dass CylancePROTECT Desktop für Benutzer über denselben Mandanten installiert und aktiviert wurde. Diese Funktion wird von den folgenden Geräten unterstützt:
|
Sicherheitsmodus | Sie können den Sicherheitsmodus für Ihre Benutzer aktivieren. Im Sicherheitsmodus blockiert CylanceGATEWAY den Zugriff von Anwendungen und Benutzern auf potenziell bösartige Ziele und erzwingt durch das Abfangen von DNS-Anforderungen eine Richtlinie für die zulässige Nutzung. Die CylanceGATEWAY -Clouddienste bewerten jede DNS-Abfrage anhand der konfigurierten ACL-Regeln und Netzwerkschutzeinstellungen (z. B. DNS-Tunneling und Zero-Day-Erkennung wie DGA, Phishing und Malware) und weisen den Agenten dann an, die Anfrage in Echtzeit zuzulassen oder zu blockieren. Wenn sie zulässig ist, wird die DNS-Anforderung normal über das Trägernetzwerk ausgeführt. Andernfalls setzt der CylanceGATEWAY -Agent die normale Reaktion außer Kraft, um den Zugriff zu verhindern.Wenn diese Option aktiviert ist, wird der Sicherheitsmodus automatisch aktiviert, wenn der Arbeitsmodus deaktiviert ist. Wenn diese Option für Windows -Geräte aktiviert ist, wird der Agent beim Starten in der Taskleiste minimiert. Durch die Aktivierung des Sicherheitsmodus wird der Benutzer nicht daran gehindert, den Agenten zu öffnen und den Arbeitsmodus zu aktivieren oder zu deaktivieren (wenn die Benutzerrichtlinie solche Vorgänge zulässt).Ereignisse im Sicherheitsmodus werden auf dem CylanceGATEWAY-Ereignisbildschirm und in der Ansicht „Warnungen“ angezeigt und an die SIEM-Lösung oder den Syslog-Server gesendet, sofern konfiguriert. Bei Aktivierung schützt der Sicherheitsmodus den gesamten DNS-Datenverkehr, der nicht den CylanceGATEWAY -Tunnel verwendet (z. B. lässt er zu, dass das Gateway nur auf MDM-verwalteten Geräten Tunnel einrichten kann, bei denen das Gateway als verwaltetes VPN, Per-App-Tunnel oder Split-Tunneling konfiguriert ist).Diese Funktion wird von den folgenden Geräten unterstützt:
Diese Funktion wird nicht in Umgebungen unterstützt, die sicheres DNS mit DoT- (DNS-over-TLS) und DoH- (DNS-over-HTTPS) Protokollen verwenden. DNS-Abfragen, die mit DoT oder DoH gesendet wurden, können von CylanceGATEWAY nicht angezeigt werden.Sicherheitsmodus und : Auf CylanceGATEWAY -Agent für macOS macOS verwendet der CylanceGATEWAY -Agent eine Systemerweiterung, um den Sicherheitsmodus zu implementieren. Wenn Sie die Systemerweiterung „P7E3XMAM8G:com.blackberry.big3.gatewayfilter“ zu einer zulässigen Liste hinzufügen, kann sie automatisch ohne Benutzerinteraktion geladen werden, wenn der CylanceGATEWAY -Agent aktiviert wird. Andernfalls weisen Sie Ihre Benutzer an, die CylanceGATEWAY -Systemerweiterung zuzulassen, wenn sie während der Aktivierung dazu aufgefordert werden. Informationen zum Hinzufügen einer Systemerweiterung zu einer zulässigen Liste finden Sie in Ihrer macOS -Dokumentation. Weitere Anweisungen zur Aktivierung des CylanceGATEWAY -Agenten für den Sicherheitsmodus finden Sie im Benutzerhandbuch unter Aktivieren des Sicherheitsmodus im CylanceGATEWAY-Agenten.Sicherheitsmodus und Drittanbieter-VPNs : Wenn Ihre Umgebung für die Verwendung des Sicherheitsmodus und eines Drittanbieter-VPN konfiguriert ist, müssen Sie die DNS-Einstellungen des VPN überprüfen und ggf. anpassen, damit die DNS-Einstellungen nur die DNS-Abfragen für den Datenverkehr weiterleiten, der für die Verwendung des VPN-Tunnels definiert ist. Wenn Sie den Sicherheitsmodus aktivieren und die DNS-Einstellungen des VPN nicht überprüft werden, funktioniert das VPN möglicherweise nicht wie erwartet. Standardmäßig ist die Konfiguration für viele VPNs so konfiguriert, dass der gesamte DNS-Datenverkehr durch den VPN-Tunnel geleitet wird, wenn er aktiv ist. |
Erzwingen der Einstellung „CylanceGATEWAY bei Anmeldung starten“ | Diese Einstellung legt fest, ob der CylanceGATEWAY -Agent auf macOS - oder Windows -Geräten automatisch gestartet werden soll, wenn sich Benutzer anmelden. Diese Richtlinieneinstellung setzt die Einstellung „CylanceGATEWAY bei Anmeldung starten“ außer Kraft.BlackBerry empfiehlt, dass Sie diese Option in der Gateway-Dienstrichtlinie aktivieren.Diese Funktion wird von den folgenden Geräten unterstützt:
|
CylanceGATEWAY automatisch starten, wenn sich der Benutzer anmeldet | Mit dieser Einstellung wird der CylanceGATEWAY -Agent automatisch gestartet, wenn sich Benutzer beim Gerät anmelden, aber Benutzer können den Agenten weiterhin auch manuell beenden. Wenn Sie sowohl diese Einstellung als auch „Arbeitsmodus automatisch aktivieren“ für Windows -Geräte aktivieren, wird der Agent beim Starten in der Taskleiste minimiert.Diese Einstellung ist nur gültig, wenn die Einstellung „Start von CylanceGATEWAY bei Anmeldung erzwingen“ aktiviert ist. |
Erzwingen der Einstellung „Arbeitsmodus automatisch aktivieren“ | Diese Einstellung legt fest, ob der CylanceGATEWAY -Agent auf macOS - oder Windows -Geräten die automatische Aktivierung des Arbeitsmodus erzwingen soll, wenn der Agent startet. Diese Richtlinieneinstellung setzt die Einstellung „Arbeitsmodus automatisch aktivieren“ im Agent außer Kraft.Diese Funktion wird von den folgenden Geräten unterstützt:
|
Arbeitsmodus automatisch aktivieren | Mit dieser Einstellung wird der Arbeitsmodus automatisch aktiviert, wenn der CylanceGATEWAY -Agent gestartet wird. Benutzer können den Arbeitsmodus nach dem Start des Agenten dennoch manuell aktivieren und deaktivieren. Wenn Sie sowohl diese Einstellung als auch „CylanceGATEWAY bei Benutzeranmeldung automatisch starten“ für Windows -Geräte aktivieren, wird der Agent beim Starten in der Taskleiste minimiert.Diese Einstellung ist nur gültig, wenn die Einstellung „Arbeitsmodus automatisch aktivieren“ aktiviert ist. |
Tunnelverwendung | |
Per-App-Tunnel | Diese Einstellung legt fest, welche Apps Daten durch den Tunnel an CylanceGATEWAY -Clouddienste senden können. Sie können Per-App-Tunnel entweder mit einer Liste zulässiger Apps oder einer Liste eingeschränkter Apps konfigurieren. Wenn Sie beispielsweise die Option „Zulässige Apps“ auswählen und Apps angeben, die den Tunnel verwenden können, und dann die Option auf „Eingeschränkte Apps“ ändern, können die aufgeführten Apps den Tunnel nicht verwenden.Mögliche Optionen:
Diese Funktion wird von den folgenden Geräten unterstützt:
|
Apps zwingen, den Tunnel zu verwenden | Diese Einstellung erfordert, dass alle Verbindungen ohne Loopback den Tunnel verwenden müssen. Wenn Sie diese Option auswählen und Split-Tunneling aktiviert haben, wird der Tunnel für den gesamten Datenverkehr verwendet. Wenn Sie diese Option auf Windows -Geräten auswählen und Split-Tunneling aktiviert haben, funktionieren Verbindungen, die den Tunnel nicht verwenden, möglicherweise nicht wie erwartet. Diese Funktion wird von den folgenden Geräten unterstützt:
|
Zulassen, dass Apps das lokale Netzwerk verwenden | Diese Einstellung ermöglicht, dass die Apps, die den Tunnel verwenden müssen, lokale Netzwerkziele erreichen können. Diese Funktion wird von den folgenden Geräten unterstützt:
Diese Einstellung ist nur gültig, wenn „Apps müssen den Tunnel verwenden“ aktiviert ist. |
Netzwerkverkehr von eingeschränkten Apps blockieren | Diese Einstellung verhindert alle Netzwerkverbindungen ohne Loopback von Apps, die den Tunnel nicht verwenden können. Wenn Sie diese Einstellung nicht aktivieren, können die gesperrten Apps die Standardnetzwerkverbindung verwenden. Diese Funktion wird auf Geräten unterstützt, auf denen der CylanceGATEWAY für Windows -Agent ausgeführt wird. |
Zulassen, dass andere Windows-Benutzer den Tunnel verwenden | Mit dieser Einstellung können alle Benutzer, die dasselbe Windows -Gerät nutzen, den Tunnel verwenden. Wenn Sie diese Option aktivieren, gelten alle Per-App-Tunnelkriterien. Wenn Sie diese Option nicht aktivieren, werden Apps, die von anderen Windows -Benutzern ausgeführt werden, als gesperrte Apps behandelt. |
Eingehende Verbindungen zulassen | Mit dieser Einstellung werden eingehende TCP-Verbindungen und UDP-Datenflüsse von Schnittstellen ohne Tunnel und ohne Loopback zugelassen. CylanceGATEWAY leitet eingehende Verbindungen nie durch den Tunnel. Diese Funktion wird auf Geräten unterstützt, auf denen der CylanceGATEWAY für Windows -Agent ausgeführt wird. |
Neuauthentifizierung für den Tunnel | |
Neuauthentifizierung für den Tunnel | Diese Einstellung legt fest, wie häufig Benutzer sich authentifizieren müssen, bevor sie einen Tunnel einrichten. Wenn Sie diese Funktion aktivieren, empfiehlt BlackBerry , dass Sie die Option „Erneute Verwendung der Authentifizierung zulassen“ festlegen, um den Zeitraum anzugeben, nach dem Benutzer sich erneut authentifizieren müssen.Diese Funktion wird von den folgenden Geräten unterstützt:
|
Erneute Verwendung der Authentifizierung zulassen | Bei Aktivierung gibt diese Einstellung einen Zeitraum an, nach dem Benutzer, die einen Tunnel authentifiziert und eingerichtet haben, erneut authentifiziert werden müssen. Der Zeitraum kann zwischen 5 Minuten und 365 Tagen nach der letzten Authentifizierung betragen. Wenn Sie beispielsweise den Zeitraum für die Zurücksetzung auf 10 Tage einstellen, müssen sich Benutzer 10 Tage nach ihrer ersten Authentifizierung erneut authentifizieren, bevor sie einen Tunnel einrichten können. Standardmäßig ist diese Einstellung deaktiviert. Wenn Sie die Option „Erneute Verwendung der Authentifizierung zulassen“ nicht aktivieren und keinen Zeitraum für die erneute Authentifizierung angeben, müssen sich Benutzer jedes Mal authentifizieren, wenn sie einen Tunnel einrichten. Diese Einstellung ist nur gültig, wenn „Neuauthentifizierung für den Tunnel“ aktiviert ist. |
Übergangsfrist | Diese Einstellung ermöglicht es Benutzern, ohne Authentifizierung eine Verbindung zum Tunnel herzustellen, wenn die Verbindung zum Tunnel innerhalb von 2 Minuten nach dem Trennen der Verbindung hergestellt wird. Diese Option ist standardmäßig aktiviert, wenn Sie die Tunnel-Neuauthentifizierung aktivieren. Diese Einstellung ist nur gültig, wenn „Neuauthentifizierung für den Tunnel“ aktiviert ist. |
Split-Tunneling | |
Split-Tunneling | Mit dieser Einstellung kann CylanceGATEWAY für den Datenverkehr zu öffentlichen Zielen umgangen werden. Sie können CIDR-Adressen oder FQDNs für Ziele eingeben, die durch den Tunnel geleitet werden müssen. Für eine verbesserte Benutzererfahrung aktualisiert die Verwaltungskonsole regelmäßig die FQDN-zu-IP-Adressauflösung.FQDN-Adressen unterstützen keine Platzhalter. Wenn Sie Split-Tunneling aktivieren, umgehen Verbindungen zu zulässigen öffentlichen Zielen den Tunnel und die CylanceGATEWAY -Clouddienste, wenn Sie nicht angeben, dass Verbindungen mit diesem Ziel den Tunnel verwenden müssen. Wenn Sie Split-Tunneling aktivieren und Split-DNS nicht aktivieren, werden alle DNS-Abfragen anhand der konfigurierten ACL-Regeln ausgewertet und Netzwerkzugriffskontrollen werden angewendet, bevor der Datenverkehr an das öffentliche Ziel weitergeleitet wird. Sie können CIDR-Adressen oder FQDNs für Ziele eingeben, die durch den Tunnel geleitet werden müssen. Wenn Sie Quell-IP-Pinning verwenden, müssen alle für Quell-IP-Pinning konfigurierten Ziele den Tunnel verwenden.Wenn Sie Änderungen an Tunneling-Einstellungen oder eingehenden Verbindungen vornehmen, müssen Benutzer den Arbeitsmodus im CylanceGATEWAY -Agenten deaktivieren und aktivieren, der auf Windows - und macOS -Geräten oder in der CylancePROTECT Mobile -App auf iOS -, Android und 64-Bit-Chromebook -Geräten installiert ist, damit die Änderungen wirksam werden. |
Split-DNS | Wenn diese Einstellung aktiviert ist, können DNS-Suchen für die Domänen, die in der Konfiguration Privates Netzwerk > DNS > Forward-Lookup-Zone aufgeführt sind, über den Tunnel durchgeführt werden, in dem Netzwerkzugriffskontrollen angewendet werden. Alle anderen DNS-Suchen werden über das lokale DNS durchgeführt. Wenn Sie den Sicherheitsmodus aktiviert haben, wird der DNS-Datenverkehr, der den Gateway-Tunnel nicht verwendet, durch den Sicherheitsmodus geschützt. Split-DNS ist standardmäßig deaktiviert. Android - und 64-Bit-Chromebook -Geräte unterstützen kein Split-DNS-Tunneling und verwenden den Tunnel, auf den Zugriffskontrollen angewendet werden.Diese Einstellung ist nur gültig, wenn „Split-Tunneling“ aktiviert ist. |