Skip Navigation

Parameter für die Gateway-Dienstrichtlinie

Wenn Sie
CylanceGATEWAY
auf Geräten konfigurieren, die mit einer EMM-Lösung wie
BlackBerry UEM
aktiviert werden, können Sie auch Optionen in Ihrer EMM-Lösung festlegen, die steuern, wie
CylanceGATEWAY
auf Geräten ausgeführt wird.
Element
Beschreibung
Allgemeine Informationen
Name
Dies ist der Regelname.
Beschreibung
Dies ist eine kurze Beschreibung des Zwecks der Regel.
Agentenkonfiguration
Ausführung von Gateway nur zulassen, wenn das Gerät von
BlackBerry UEM
oder
Microsoft Intune
verwaltet wird
Diese Einstellung legt fest, dass
iOS
-,
Android
- oder
Chromebook
-Geräte von
BlackBerry UEM
oder
Microsoft Intune
verwaltet werden müssen, bevor Benutzer
CylanceGATEWAY
verwenden können.
Diese Funktion erfordert Folgendes:
  • BlackBerry UEM
    : Der
    BlackBerry UEM
    -Connector wird dem
    Cylance Endpoint Security
    -Mandanten hinzugefügt und Apps werden von
    BlackBerry UEM
    gesendet.
  • Intune
    : Der
    Microsoft Intune
    -Connector wird dem
    Cylance Endpoint Security
    -Mandanten hinzugefügt und Sie erstellen App-Konfigurationsrichtlinien, die die Gerätetypen und Intune-Benutzergruppen definieren, für die die Integration gilt.
Das Gateway darf nur auf mit MDM verwalteten Geräten Tunnel einrichten, auf denen es als verwaltetes VPN konfiguriert ist
Sie können festlegen, dass ein Gerät bei Mobile Device Management (MDM) für Ihr Unternehmen registriert ist, bei dem
CylanceGATEWAY
als VPN-Anbieter konfiguriert ist, bevor der
CylanceGATEWAY
-Arbeitsmodus einen Tunnel auf diesem Gerät erstellt.
Diese Funktion wird von den folgenden Geräten unterstützt:
  • CylanceGATEWAY
    -Agent für
    macOS
    2.7 oder höher
  • CylancePROTECT Mobile
    -App für
    iOS
    2.14 oder höher
Gateway darf nur ausgeführt werden, wenn
CylancePROTECT Desktop
ebenfalls auf dem Gerät aktiviert ist
Diese Einstellung erfordert, dass
CylancePROTECT Desktop
für Benutzer über denselben Mandanten installiert und aktiviert wurde. Diese Funktion wird von den folgenden Geräten unterstützt:
  • Windows
    -Geräte mit
    CylanceGATEWAY
    für
    Windows
  • macOS
    -Geräte mit
    CylancePROTECT Desktop
     3.0 oder höher und
    CylanceGATEWAY
    für
    macOS
     2.0.17 oder höher. Wenn Sie diese Funktion für Geräte aktivieren, auf denen eine
    CylancePROTECT Desktop
    -Version vor 3.0 ausgeführt wird, funktioniert der Tunnel möglicherweise nicht wie erwartet.
Sicherheitsmodus
Sie können den Sicherheitsmodus für Ihre Benutzer aktivieren. Im Sicherheitsmodus blockiert
CylanceGATEWAY
den Zugriff von Anwendungen und Benutzern auf potenziell bösartige Ziele und erzwingt durch das Abfangen von DNS-Anforderungen eine Richtlinie für die zulässige Nutzung. Die
CylanceGATEWAY
-Clouddienste bewerten jede DNS-Abfrage anhand der konfigurierten ACL-Regeln und Netzwerkschutzeinstellungen (z. B. DNS-Tunneling und Zero-Day-Erkennung wie DGA, Phishing und Malware) und weisen den Agenten dann an, die Anfrage in Echtzeit zuzulassen oder zu blockieren. Wenn sie zulässig ist, wird die DNS-Anforderung normal über das Trägernetzwerk ausgeführt. Andernfalls setzt der
CylanceGATEWAY
-Agent die normale Reaktion außer Kraft, um den Zugriff zu verhindern.
Wenn diese Option aktiviert ist, wird der Sicherheitsmodus automatisch aktiviert, wenn der Arbeitsmodus deaktiviert ist. Wenn diese Option für
Windows
-Geräte aktiviert ist, wird der Agent beim Starten in der Taskleiste minimiert. Durch die Aktivierung des Sicherheitsmodus wird der Benutzer nicht daran gehindert, den Agenten zu öffnen und den Arbeitsmodus zu aktivieren oder zu deaktivieren (wenn die Benutzerrichtlinie solche Vorgänge zulässt).
Ereignisse im Sicherheitsmodus werden auf dem CylanceGATEWAY-Ereignisbildschirm und in der Ansicht „Warnungen“ angezeigt und an die SIEM-Lösung oder den Syslog-Server gesendet, sofern konfiguriert.
Bei Aktivierung schützt der Sicherheitsmodus den gesamten DNS-Datenverkehr, der nicht den
CylanceGATEWAY
-Tunnel verwendet (z. B. lässt er zu, dass das Gateway nur auf MDM-verwalteten Geräten Tunnel einrichten kann, bei denen das Gateway als verwaltetes VPN, Per-App-Tunnel oder Split-Tunneling konfiguriert ist).
Diese Funktion wird von den folgenden Geräten unterstützt:
  • CylanceGATEWAY
    -Agent für
    Windows
    2.8 oder höher.
  • CylanceGATEWAY
    -Agent für
    macOS
    2.7 oder höher.
Diese Funktion wird nicht in Umgebungen unterstützt, die sicheres DNS mit DoT- (DNS-over-TLS) und DoH- (DNS-over-HTTPS) Protokollen verwenden. DNS-Abfragen, die mit DoT oder DoH gesendet wurden, können von
CylanceGATEWAY
nicht angezeigt werden.
Sicherheitsmodus und
CylanceGATEWAY
-Agent für
macOS
: Auf
macOS
verwendet der
CylanceGATEWAY
-Agent eine Systemerweiterung, um den Sicherheitsmodus zu implementieren. Wenn Sie die Systemerweiterung „P7E3XMAM8G:com.blackberry.big3.gatewayfilter“ zu einer zulässigen Liste hinzufügen, kann sie automatisch ohne Benutzerinteraktion geladen werden, wenn der
CylanceGATEWAY
-Agent aktiviert wird. Andernfalls weisen Sie Ihre Benutzer an, die
CylanceGATEWAY
-Systemerweiterung zuzulassen, wenn sie während der Aktivierung dazu aufgefordert werden. Informationen zum Hinzufügen einer Systemerweiterung zu einer zulässigen Liste finden Sie in Ihrer
macOS
-Dokumentation. Weitere Anweisungen zur Aktivierung des
CylanceGATEWAY
-Agenten für den Sicherheitsmodus finden Sie im Benutzerhandbuch unter Aktivieren des Sicherheitsmodus im CylanceGATEWAY-Agenten.
Sicherheitsmodus und Drittanbieter-VPNs
: Wenn Ihre Umgebung für die Verwendung des Sicherheitsmodus und eines Drittanbieter-VPN konfiguriert ist, müssen Sie die DNS-Einstellungen des VPN überprüfen und ggf. anpassen, damit die DNS-Einstellungen nur die DNS-Abfragen für den Datenverkehr weiterleiten, der für die Verwendung des VPN-Tunnels definiert ist. Wenn Sie den Sicherheitsmodus aktivieren und die DNS-Einstellungen des VPN nicht überprüft werden, funktioniert das VPN möglicherweise nicht wie erwartet. Standardmäßig ist die Konfiguration für viele VPNs so konfiguriert, dass der gesamte DNS-Datenverkehr durch den VPN-Tunnel geleitet wird, wenn er aktiv ist.
Erzwingen der Einstellung „CylanceGATEWAY bei Anmeldung starten“
Diese Einstellung legt fest, ob der
CylanceGATEWAY
-Agent auf
macOS
- oder
Windows
-Geräten automatisch gestartet werden soll, wenn sich Benutzer anmelden. Diese Richtlinieneinstellung setzt die Einstellung „
CylanceGATEWAY
bei Anmeldung starten“ außer Kraft.
BlackBerry
empfiehlt, dass Sie diese Option in der Gateway-Dienstrichtlinie aktivieren.
Diese Funktion wird von den folgenden Geräten unterstützt:
  • CylanceGATEWAY
    -Agent für
    macOS
    2.7 oder höher
  • CylanceGATEWAY
    -Agent für
    Windows
    2.7 oder höher
CylanceGATEWAY automatisch starten, wenn sich der Benutzer anmeldet
Mit dieser Einstellung wird der
CylanceGATEWAY
-Agent automatisch gestartet, wenn sich Benutzer beim Gerät anmelden, aber Benutzer können den Agenten weiterhin auch manuell beenden. Wenn Sie sowohl diese Einstellung als auch „Arbeitsmodus automatisch aktivieren“ für
Windows
-Geräte aktivieren, wird der Agent beim Starten in der Taskleiste minimiert.
Diese Einstellung ist nur gültig, wenn die Einstellung „Start von CylanceGATEWAY bei Anmeldung erzwingen“ aktiviert ist.
Erzwingen der Einstellung „Arbeitsmodus automatisch aktivieren“
Diese Einstellung legt fest, ob der
CylanceGATEWAY
-Agent auf
macOS
- oder
Windows
-Geräten die automatische Aktivierung des Arbeitsmodus erzwingen soll, wenn der Agent startet. Diese Richtlinieneinstellung setzt die Einstellung „Arbeitsmodus automatisch aktivieren“ im Agent außer Kraft.
Diese Funktion wird von den folgenden Geräten unterstützt:
  • CylanceGATEWAY
    -Agent für
    macOS
    2.7 oder höher.
  • CylanceGATEWAY
    -Agent für
    Windows
    2.7 oder höher
Arbeitsmodus automatisch aktivieren
Mit dieser Einstellung wird der Arbeitsmodus automatisch aktiviert, wenn der
CylanceGATEWAY
-Agent gestartet wird. Benutzer können den Arbeitsmodus nach dem Start des Agenten dennoch manuell aktivieren und deaktivieren. Wenn Sie sowohl diese Einstellung als auch „
CylanceGATEWAY
bei Benutzeranmeldung automatisch starten“ für
Windows
-Geräte aktivieren, wird der Agent beim Starten in der Taskleiste minimiert.
Diese Einstellung ist nur gültig, wenn die Einstellung „Arbeitsmodus automatisch aktivieren“ aktiviert ist.
Tunnelverwendung
Per-App-Tunnel
Diese Einstellung legt fest, welche Apps Daten durch den Tunnel an
CylanceGATEWAY
-Clouddienste senden können. Sie können Per-App-Tunnel entweder mit einer Liste zulässiger Apps oder einer Liste eingeschränkter Apps konfigurieren. Wenn Sie beispielsweise die Option „Zulässige Apps“ auswählen und Apps angeben, die den Tunnel verwenden können, und dann die Option auf „Eingeschränkte Apps“ ändern, können die aufgeführten Apps den Tunnel nicht verwenden.
Mögliche Optionen:
  • Wählen Sie
    Zulässige Apps
    aus, um die Apps anzugeben, die den Tunnel verwenden. Alle anderen Apps können den Tunnel nicht verwenden. System-Apps und
    Windows
    -DNS verwenden immer den Tunnel. Wenn Sie diese Option auswählen, werden alle festgelegten ACL-Regeln oder Netzwerk-Zugriffskontrollrichtlinien angewendet. Weitere Informationen zu ACL-Regeln und Richtlinien für die Netzwerkzugriffskontrolle finden Sie unter Netzwerkzugriffssteuerung.
  • Wählen Sie
    Gesperrte Apps
    aus, um die Apps anzugeben, die den Tunnel nicht verwenden dürfen. Alle anderen Apps können den Tunnel verwenden.
  • Klicken Sie auf Das Symbol „Hinzufügen“ und geben Sie den vollständigen Pfad oder einen Platzhalter in den Pfad für Desktop-Apps ein oder fügen Sie den
    Windows
    -Paketfamiliennamen (PFN) für Store-Apps hinzu. Es können maximal 200 App-Pfade oder PFNs kombiniert werden.
    Wenn Sie einen Platzhalter in den Pfad einfügen, beachten Sie Folgendes:
    • Sie können nur einen Platzhalter pro Pfad verwenden. Das unterstützte Format ist \*\ (z. B. %ProgramFiles%\
      Folder_Name
      \*\
      Application_Name
      .exe)
    • Platzhalter werden in den folgenden Fällen nicht unterstützt:
      • Wird anstelle von Umgebungsvariablen verwendet
      • Wird anstelle von Stammverzeichnissen im Pfad verwendet
      • Wird für Teil-Verzeichnisnamen verwendet (z. B. „C:\Win*\notepad.exe“)
      • Wird in Namen von ausführbaren Dateien verwendet (z. B. „C:\Windows\*.exe“)
    Platzhalter werden auf
    Windows
    -Geräten unterstützt, auf denen
    CylanceGATEWAY
    -Agent für
    Windows
    2.7 oder höher ausgeführt wird.
Diese Funktion wird von den folgenden Geräten unterstützt:
  • CylanceGATEWAY
    für
    Windows
    2.0.0.13 oder höher.
  • Benutzer von
    Android
    - oder
    Chromebook
    -Geräten, auf denen die
    CylancePROTECT Mobile
    -App ausgeführt wird.
Apps zwingen, den Tunnel zu verwenden
Diese Einstellung erfordert, dass alle Verbindungen ohne Loopback den Tunnel verwenden müssen. Wenn Sie diese Option auswählen und Split-Tunneling aktiviert haben, wird der Tunnel für den gesamten Datenverkehr verwendet. Wenn Sie diese Option auf
Windows
-Geräten auswählen und Split-Tunneling aktiviert haben, funktionieren Verbindungen, die den Tunnel nicht verwenden, möglicherweise nicht wie erwartet. Diese Funktion wird von den folgenden Geräten unterstützt:
  • Nicht verwaltete
    macOS
    -Geräte mit
    macOS
     10.15 oder höher und
    CylanceGATEWAY
    für
    macOS
     2.0.17 oder höher.
  • Nicht verwaltete
    iOS
    -Geräte mit
    iOS
     14.0 oder höher und
    CylancePROTECT Mobile
    -App 2.4.0.1731 oder höher.
  • Windows
    -Geräte mit
    CylanceGATEWAY
    für
    Windows
Zulassen, dass Apps das lokale Netzwerk verwenden
Diese Einstellung ermöglicht, dass die Apps, die den Tunnel verwenden müssen, lokale Netzwerkziele erreichen können. Diese Funktion wird von den folgenden Geräten unterstützt:
  • Nicht verwaltete
    macOS
    -Geräte mit
    macOS
     10.15 oder höher und
    CylanceGATEWAY
    für
    macOS
     2.0.17 oder höher.
  • Nicht verwaltete
    iOS
    -Geräte mit
    iOS
     14.2 oder höher und
    CylancePROTECT Mobile
    -App 2.4.0.1731 oder höher.
  • Windows
    -Geräte mit
    CylanceGATEWAY
    für
    Windows
     2.5 oder höher.
Diese Einstellung ist nur gültig, wenn „Apps müssen den Tunnel verwenden“ aktiviert ist.
Netzwerkverkehr von eingeschränkten Apps blockieren
Diese Einstellung verhindert alle Netzwerkverbindungen ohne Loopback von Apps, die den Tunnel nicht verwenden können. Wenn Sie diese Einstellung nicht aktivieren, können die gesperrten Apps die Standardnetzwerkverbindung verwenden. Diese Funktion wird auf Geräten unterstützt, auf denen der
CylanceGATEWAY
für
Windows
-Agent ausgeführt wird.
Zulassen, dass andere Windows-Benutzer den Tunnel verwenden
Mit dieser Einstellung können alle Benutzer, die dasselbe
Windows
-Gerät nutzen, den Tunnel verwenden. Wenn Sie diese Option aktivieren, gelten alle Per-App-Tunnelkriterien. Wenn Sie diese Option nicht aktivieren, werden Apps, die von anderen
Windows
-Benutzern ausgeführt werden, als gesperrte Apps behandelt.
Eingehende Verbindungen zulassen
Mit dieser Einstellung werden eingehende TCP-Verbindungen und UDP-Datenflüsse von Schnittstellen ohne Tunnel und ohne Loopback zugelassen.
CylanceGATEWAY
leitet eingehende Verbindungen nie durch den Tunnel. Diese Funktion wird auf Geräten unterstützt, auf denen der
CylanceGATEWAY
für
Windows
-Agent ausgeführt wird.
Neuauthentifizierung für den Tunnel
Neuauthentifizierung für den Tunnel
Diese Einstellung legt fest, wie häufig Benutzer sich authentifizieren müssen, bevor sie einen Tunnel einrichten.
Wenn Sie diese Funktion aktivieren, empfiehlt
BlackBerry
, dass Sie die Option „Erneute Verwendung der Authentifizierung zulassen“ festlegen, um den Zeitraum anzugeben, nach dem Benutzer sich erneut authentifizieren müssen.
Diese Funktion wird von den folgenden Geräten unterstützt:
  • CylanceGATEWAY
    für
    macOS
    2.5 oder höher.
  • CylanceGATEWAY
    für
    Windows
    2.5 oder höher.
Erneute Verwendung der Authentifizierung zulassen
Bei Aktivierung gibt diese Einstellung einen Zeitraum an, nach dem Benutzer, die einen Tunnel authentifiziert und eingerichtet haben, erneut authentifiziert werden müssen. Der Zeitraum kann zwischen 5 Minuten und 365 Tagen nach der letzten Authentifizierung betragen. Wenn Sie beispielsweise den Zeitraum für die Zurücksetzung auf 10 Tage einstellen, müssen sich Benutzer 10 Tage nach ihrer ersten Authentifizierung erneut authentifizieren, bevor sie einen Tunnel einrichten können. Standardmäßig ist diese Einstellung deaktiviert.
Wenn Sie die Option „Erneute Verwendung der Authentifizierung zulassen“ nicht aktivieren und keinen Zeitraum für die erneute Authentifizierung angeben, müssen sich Benutzer jedes Mal authentifizieren, wenn sie einen Tunnel einrichten.
Diese Einstellung ist nur gültig, wenn „Neuauthentifizierung für den Tunnel“ aktiviert ist.
Übergangsfrist
Diese Einstellung ermöglicht es Benutzern, ohne Authentifizierung eine Verbindung zum Tunnel herzustellen, wenn die Verbindung zum Tunnel innerhalb von 2 Minuten nach dem Trennen der Verbindung hergestellt wird. Diese Option ist standardmäßig aktiviert, wenn Sie die Tunnel-Neuauthentifizierung aktivieren.
Diese Einstellung ist nur gültig, wenn „Neuauthentifizierung für den Tunnel“ aktiviert ist.
Split-Tunneling
Split-Tunneling
Mit dieser Einstellung kann
CylanceGATEWAY
für den Datenverkehr zu öffentlichen Zielen umgangen werden. Sie können CIDR-Adressen oder FQDNs für Ziele eingeben, die durch den Tunnel geleitet werden müssen. Für eine verbesserte Benutzererfahrung aktualisiert die Verwaltungskonsole regelmäßig die FQDN-zu-IP-Adressauflösung.
FQDN-Adressen unterstützen keine Platzhalter.
Wenn Sie Split-Tunneling aktivieren, umgehen Verbindungen zu zulässigen öffentlichen Zielen den Tunnel und die
CylanceGATEWAY
-Clouddienste, wenn Sie nicht angeben, dass Verbindungen mit diesem Ziel den Tunnel verwenden müssen. Wenn Sie Split-Tunneling aktivieren und Split-DNS nicht aktivieren, werden alle DNS-Abfragen anhand der konfigurierten ACL-Regeln ausgewertet und Netzwerkzugriffskontrollen werden angewendet, bevor der Datenverkehr an das öffentliche Ziel weitergeleitet wird. Sie können CIDR-Adressen oder FQDNs für Ziele eingeben, die durch den Tunnel geleitet werden müssen. Wenn Sie Quell-IP-Pinning verwenden, müssen alle für Quell-IP-Pinning konfigurierten Ziele den Tunnel verwenden.
Wenn Sie Änderungen an Tunneling-Einstellungen oder eingehenden Verbindungen vornehmen, müssen Benutzer den Arbeitsmodus im
CylanceGATEWAY
-Agenten deaktivieren und aktivieren, der auf
Windows
- und
macOS
-Geräten oder in der
CylancePROTECT Mobile
-App auf
iOS
-,
Android
und 64-Bit-
Chromebook
-Geräten installiert ist, damit die Änderungen wirksam werden.
Split-DNS
Wenn diese Einstellung aktiviert ist, können DNS-Suchen für die Domänen, die in der Konfiguration Privates Netzwerk > DNS > Forward-Lookup-Zone aufgeführt sind, über den Tunnel durchgeführt werden, in dem Netzwerkzugriffskontrollen angewendet werden. Alle anderen DNS-Suchen werden über das lokale DNS durchgeführt. Wenn Sie den Sicherheitsmodus aktiviert haben, wird der DNS-Datenverkehr, der den Gateway-Tunnel nicht verwendet, durch den Sicherheitsmodus geschützt. Split-DNS ist standardmäßig deaktiviert.
Android
- und 64-Bit-
Chromebook
-Geräte unterstützen kein Split-DNS-Tunneling und verwenden den Tunnel, auf den Zugriffskontrollen angewendet werden.
Diese Einstellung ist nur gültig, wenn „Split-Tunneling“ aktiviert ist.