DGMC Setup

1.

DG Lab 211
DGMC Setup
Digital Guardian Presales, EMEA Region
2020-Q3
1

2.

DGMC Setup
DGServer-en.exe
2

3.

DG Binaries
Завантажте останню версію з спільного доступу < Binaries >
Confidential
3

4.

Run DGServer-en.exe
вміст пакета сервера
розпаковано...
Confidential
4

5.

DGMC Setup
Confidential
5

6.

DGMC Setup (2)
Confidential
6

7.

DGMC Setup (3)
Confidential
7

8.

DGMC Setup (4)
Confidential
8

9.

DGMC Setup (5)
Digital Guardian
9

10.

DGMC Setup (6)
Digital Guardian
10

11.

DGMC Setup ...completed!
Digital Guardian
11

12.

DGMC Database footprint
Confidential
12

13.

DG Database Owner
цей обліковий запис було створено під час
налаштування DG. Обов’язково зніміть
прапорець «Застосувати політику паролів»,
щоб запобігти збоям DG через
заблокований обліковий запис служби(uff)
Confidential
13

14.

DGMC Services & Processes
Confidential
14

15.

Application Events
Confidential
15

16.

DGMC Files & Folders
Confidential
16

17.

Діагностика ... teststart.aspx і services.aspx
Confidential
17

18.

Logon to the DGMC console
Відкрийте браузер і перейдіть до :
http://yourAddress/DigitalGuardian/
Логін за замовчуванням
Ім'я користувача: sysadmin
Пароль: verdasys1
Confidential
18

19.

DGMC Licensing
виберіть Імпорт файлу ліцензії
перейдіть до своєї ліцензії та додайте її до
системи
Confidential
19

20.

Turning on support for SSL
Confidential
20

21.

Turning on support for SSL
Confidential
21

22.

https://server-IP/DigitalGuardian/
Digital Guardian
22

23.

post DGMC setup
Initial Configuration
DGMC & Agent
23

24.

Конфігурація DGMC & Agent – огляд
1.
2.
DGMC Конфігурація
Загальна конфігурація
Сервер вмісту
Змініть параметри планувальника завдань
Правила завантаження
Політика фільтрів
Пакет політики DLP
Пакети звітів
Створіть динамічну групу машин і змініть параметри синхронізації
Налаштувати синхронізацію домену
Конфігурація агента
Файли ресурсів і налаштування
Використовується для централізованого керування різними аспектами поведінки
(домашнє обслуговування)
1.
агента
Пакет інсталятора агента
Використання MSI Packaging Tool
• Видобуток і модифікація файлу config.xml
Confidential
24

25.

Конфігурація DGMC: Загальні налаштування
Виберіть «Система» -> «Налаштування» -> «Конфігурація»
Загальні налаштування (ліва панель)
Прокрутіть униз і «редагуйте» цю сторінку, наступні
розділи
• Час простою: розширте значення
• Аналізатор статичних правил: якщо у вашій лабораторії немає
Linux або MacOSX, також придушуйте попередження на цих
пристроях
• Розгортання політики: установіть політику черги, якщо змінено
значення «так»
Виберіть Зберегти зміни
Confidential
25

26.

Confidential
26

27.

DGMC config: Content & Communication
Перейдіть до сервера вмісту
(ліва панель)
Перевірте, чи все зелене та
доступний сервер вмісту.
Якщо не додати проксі-сервер,
коли дозволено лише зв’язок через
проксі (ліва панель)
DG Content Server розміщує політики та звіти для
використання клієнтами.
Це простий початок установки PoC або
користувача. Використовуйте його якомога
більше!
Confidential
27

28.

Конфігурація DGMC: підписка на вміст
Перейдіть до
• Система -> Сервер вмісту > Керувати
Виберіть DLP – Windows –
Control Policy Pack
• виберіть Режим
автоматичного
завантаження
• натисніть Підписатися
Повторіть ці дії для
• Пакет політики FLT
• Пакет загальних звітів DLP
• Пакет звітів про політику
DLP
• Пакет довідкових звітів
Confidential
29

29.

Конфігурація DGMC: завантаження/імпорт вмісту
перейти до
• Система -> Сервер
вмісту -> Статус
виберіть Політики та
Звіти та завантажте
їх вручну
після завантаження –
знову виберіть усі
політики та звіти та
імпортуйте їх вручну
Confidential
30

30.

DGMC config: Dynamic Groups
navigate to
• System -> Enterprise -> Dynamic
Groups -> Custom Groups
agents and users are grouped
together based on different
criterias
all agents are automatically
joint the default groups
all agent or users could be part
of several other groups
policies are applied to the
Machine or User groups
Confidential
31

31.

DGMC config: Dynamic Groups
виберіть Дії -> Додати нову
динамічну групу
для цілей тестування давайте виберемо
лише кілька критеріїв
• Типи агентів -> Windows
Workstation
• наступна сторінка -> залишити за
замовчуванням, оскільки ми ще не
налаштували домен
• також на наступній сторінці ->
наразі ми нічого не додамо
• вкажіть ім’я та натисніть «Готово».
Confidential
32

32.

DGMC config: Dynamic Groups
перейдіть до System -> Enterprise -> Computers-> Custom Groups ->
відповідно до знімка екрана вище, «комп’ютери не знайдено» означає, що нам
потрібно налаштувати завдання «Dynamic Group Sync»...
Confidential
33

33.

Конфігурація DGMC: синхронізація динамічної групи
перейдіть до Система -> Завдання -> Планувальник завдань
виберіть «Динамічна групова синхронізація»
виберіть «Розклад роботи» та змініть значення з 6 годин на 10 хвилин
Confidential
34

34.

Конфігурація DGMC: Dynamic Group Sync -> Queue Now
виберіть символ плюса, щоб
негайно поставити завдання в
чергу...
Confidential
35

35.

Конфігурація DGMC: динамічні групи
перейдіть до System -> Enterprise -> Computers-> Custom Groups ->
на основі успішної синхронізації ваша група відобразить вашу агентську систему ...
однак лише після завершення лабораторної роботи та встановлення DG на кінцевій
точці ...
у наступних вправах для агентів ми також дізнаємося, як налаштувати вашу нову
групу, щоб прив’язати певні ресурси та конфігурації агента до всіх членів групи...
Confidential
36

36.

Синхронізація домену
перейдіть до System -> Enterprise > Network
натисніть на значок чарівної
палички, щоб зареєструвати новий
домен
Confidential
37

37.

Синхронізація
домену
заповніть необхідні
поля для завершення
реєстрації...
Confidential
38

38.

Domain Sync
перейдіть до Система -> Завдання -> Планувальник завдань ->
Синхронізація ldap
Confidential
39

39.

Синхронізація домену
перейдіть до System -> Enterprise -> Computers
після успішної синхронізації вміст вашого каталогу LDAP відобразиться в розділі Enterprise / Domains /
Synced
Confidential
40

40.

Конфігурація DGMC & Agent – частина 1 завершена
1.
DGMC Configuration
• General configuration
• Content Server
• Change the Job Scheduler settings
• Download Policies
• Filter Policy
• DLP Policy Pack
• Report Packs
• Create a dynamic machine group and change the sync settings
• Configure Domain Synchronization
2.
3.
Конфігурація агента
• Файли ресурсів і налаштування
• Використовується для централізованого керування різними аспектами поведінки агента
(домашнє обслуговування)
Пакет інсталятора агента
• Використання MSI Packaging Tool
• Вилучення та модифікація файлу config.xml
Confidential
41

41.

Agent Config
ahead of agent deployment
42

42.

Конфігурація агента: Resources X2
Перейдіть до
• Система -> Налаштування -> Ресурси
Ви знайдете два типи ресурсів :
• Файли ресурсів
• Прапори процесу -> Поведінка агента щодо певного
процесу, напр. не підключайте двигун AV
• Фільтр для видалення небажаних / надійних процесів /
файлів і папок з ОС
• Ресурси конфігурації
• Конфігурація агента та ввімкнення різних функцій, напр.
DLP, адаптивна перевірка …
Confidential
43

43.

Конфігурація агента: файл прапорів процесу
агент намагається підхопити
програми
Прапори процесу контролюють
поведінку агента для програм
доступні різні прапори
SK = Пропустити процес
NI = відсутність ін'єкції
NC = немає класифікації
ND = Немає властивостей документа
NV = Без стрибків
-> Докладніше про роботу з прапорцями
процесу див. у Посібнику з керування, Розділ
20
44

44.

Конфігурація агента: файл прапорів процесу
створити клон файлу ресурсів за
замовчуванням
додайте процеси всіх локальних програм,
пов’язаних із безпекою, у файл ... це
значно відрізнятиметься від одного
середовища до іншого (!)
Експортуйте позначку процесу для
повторного використання під час
створення власного пакета MSI агента ...
Confidential
45

45.

Конфігурація агента: зберігайте експортований файл prcsflgs.dat у
папці «dgrampup» для подальшого використання...
Confidential
46

46.

Конфігурація агента: клонування/перейменування
основних налаштувань
Створіть клон контейнера налаштувань «за замовчуванням» для «Windows Workstation»
Подбайте про те, щоб змінити призначення адреси сервера на вкладці зв’язку, щоб мати можливість
перейменувати/клонувати контейнер налаштувань...
Confidential
47

47.

Конфігурація агента: Основні налаштування /
Зв'язок
Скоротіть інтервали спілкування до 1 або 2 хвилин на користь більш швидкого реагування лабораторних
робіт
Налаштування для виробничого середовища, очевидно, відрізнятимуться, щоб зменшити накладні витрати
на зв’язок
Confidential
48

48.

Конфігурація агента: основні налаштування / збір
даних
Будьте стримані, змінюючи налаштування
збору даних. Деякі з цих параметрів можуть
виявити величезну кількість подій...
встановіть ні для підтримки
пізнішої лабораторної вправи
«класифікувати файл із XYZ nwshare»...
Confidential
подія відкриття файлу буде
корисною пізніше для створення
спеціальних правил. Однак
подайте заявку з аутентом!
49

49.

Конфігурація агента: основні налаштування /
журналювання та безпека
Будьте обережні: деякі з цих значень за замовчуванням потрібно змінити, щоб уникнути випадкового
блокування під час ранніх лабораторних робіт
Confidential
50

50.

Конфігурація агента: Основні налаштування /
Експорт
Будьте обережні: файл Core.XML, експортований із цього діалогового вікна, не слід використовувати з
інструментом MSI.
Натомість під час створення власного пакета MSI витягніть вбудований Core.XML для цієї мети... (докладно
описано в наступній лабораторній вправі)
Confidential
51

51.

Конфігурація агента: перевірка config.XML вручну
Переконайтеся, що
виділені частини
вимкнено, встановивши
значення 0 :
<isInvisibleOn>0</isInvisibleOn>
<isImmortalOn>0</isImmortalOn>
<isTamperResistOn>0</isTamperResistOn>
<isStealthOn>0</isStealthOn>
Confidential
52

52.

Конфігурація агента: спеціальна конфігурація
Використовується для точного
налаштування певних параметрів :
• Проксі-агент
• ACI (Адаптивна перевірка вмісту)
• Для старих агентів (<7.4.1)
потрібен плагін для браузера
Chrome
• тощо ...
Наразі жодних змін не потрібно
Confidential
53

53.

Конфігурація агента: адаптивна перевірка вмісту
(ACI)
Увімкнено за умовчанням
На даний момент жодних змін не потрібно
Confidential
54

54.

Увімкнено за умовчанням
На даний момент жодних змін не потрібно
Вимкнено за
умовчанням
Застосуйте зміни, щоб
увімкнути використання
в лабораторії
Confidential
55

55.

Конфігурація агента: Advanced Threat Prevention
(ATP)
Вимкнено за
умовчанням
Застосуйте зміни, щоб
увімкнути використання
в лабораторії
Confidential
56

56.

Конфігурація агента: DLP
Вимкнено за
умовчанням
Застосуйте зміни, щоб
увімкнути використання
в лабораторії
Confidential
57

57.

Конфігурація агента: прив’язка конфігурації до
користувачів і комп’ютерів
щоб набути чинності, конфігураційні файли та
контейнери налаштувань повинні бути
призначені (прив’язані) до групи Машин або
Користувача
перейдіть до System -> Enterprise -> Dynamic
Groups
редагувати групу Windows Workstation Default
• виберіть Ресурси
• змінити параметри, щоб вказувати на ваш файл
прапорів процесу
• залишити значення за замовчуванням для решти
Confidential
58

58.

Конфігурація агента: прив’язка конфігурації до
користувачів і комп’ютерів(2)
продовжуйте прокручувати вкладку
«Ресурси» ... і оновлюйте всі вказівники
за потреби
Примітка :
• Для «основних налаштувань», де кілька
налаштувань змінено, ми створили
резервну копію та клонували
модифікований «за замовчуванням
лабораторії», посилання на яке наведено
тут...
• Для інших файлів/контейнерів зміни були
мінімальними (вимкнути/увімкнути) ... і ми
можемо обійтися без клонування
Confidential
59

59.

Конфігурація агента: прив’язка конфігурації до
користувачів і комп’ютерів(3)
повторіть кроки призначення
для нової динамічної групи,
створеної під час попередньої
вправи...
Confidential
60

60.

Конфігурація DGMC & Agent – частина 2 завершена
1.
Конфігурація DGMC
• Загальна конфігурація
• Сервер вмісту
• Змініть параметри планувальника завдань
• Правила завантаження
• Політика фільтрів
• Пакет політики DLP
• Пакети звітів
• Створіть динамічну групу машин і змініть параметри синхронізації
• Налаштувати синхронізацію домену
2.
Конфігурація агента
• Файли ресурсів і налаштування
• Використовується для централізованого керування різними аспектами поведінки агента
(домашнє обслуговування)
3.
Пакет інсталятора агента
• Використання MSI Packaging Tool
• Вилучення та модифікація файлу config.xml
Confidential
61

61.

Agent Installer Package
ramping up various components for the installer
62

62.

Agent Installer Package
це спеціальний інсталяційний пакет MSI,
який ми створимо за допомогою
інструменту MSI та паралельних файлів
Confidential
63

63.

Пакет інсталятора агента: папка Client Rampup
Створіть папку «ramp-up» на жорсткому диску сервера та розмістіть у ній наступні файли
:
DGBaseAgent_vanilla7.5.0.0126.msi ... copied from the agent
unzipped cabinet (and renamed „vanilla“ for distinction)
prcsflgs.dat ... скопійовано з файлів ресурсів агента (або
експортовано шляхом перегляду в DGMC / Система /
Ресурси)
DgMsiTool.hta ... скопійовано з файлів ресурсів агента (або
експортовано шляхом перегляду в DGMC / Система / Ресурси)
DgServer.cer and CERTGUID.DAT ... наші сертифікати сервера DG,
скопійовані з програмних файлів сервера
цей файл потрібно розпакувати, а потім відредагувати
(інструкції на наступному слайді)
Config.XML
Confidential
64

64.

Пакет інсталятора агента: генерація Config.XML
за відсутності будь-якого Config.XML у папці ramup, запустіть інструмент DgMsiTool.hta
вкажіть на DGBaseAgent.msi та завантажте його до майстра...
відповідайте «так», щоб автоматично виявляти
файли поруч ´
файл Config.XML буде отримано як «вбудований».
витягніть його, натиснувши кнопку «Експорт», і збережіть у папці ramp-up
Confidential
65

65.

Пакет інсталятора агента: Edit Config.XML
відкрийте експортований Config.XML за допомогою
редактора
відредагуйте config.xml і змініть наступні параметри на
0
<isInvisibleOn>0</isInvisibleOn>
<isImmortalOn>0</isImmortalOn>
<isTamperResistOn>0</isTamperResistOn>
<isStealthOn>0</isStealthOn>
Confidential
66

66.

Пакет інсталятора агента: створення власного MSI
з нещодавно відредагованим Config.XML у папці rampup ще
раз запустіть інструмент DgMsiTool.hta
вкажіть на DGBaseAgent.msi та завантажте його до майстра...
відповідайте «так», щоб автоматично виявляти файли поруч
Confidential
67

67.

Пакет інсталятора агента: створення нового MSI
сертифікати сервера, файли
Config.XML і prcsflgs.dat
завантажено збоку
вкажіть назву сервера та ключ
видалення...
натисніть «Зберегти як» і введіть
нову назву файлу для вашого
пакета MSI...
Confidential
68

68.

Пакет інсталятора агента: створення нового MSI
приголомшливо!
Confidential
69

69.

Конфігурація DGMC & Agent – частина 3 завершена
1.
Конфігурація DGMC
• Загальна конфігурація
• Сервер вмісту
• Змініть параметри планувальника завдань
• Правила завантаження
• Політика фільтрів
• Пакет політики DLP
• Пакети звітів
• Створіть динамічну групу машин і змініть параметри синхронізації
• Налаштувати синхронізацію домену
2.
Конфігурація агента
• Файли ресурсів і налаштування
• Використовується для централізованого керування різними аспектами поведінки агента
(домашнє обслуговування)
3.
Пакет інсталятора агента
• Використання MSI Packaging Tool
• Вилучення та модифікація файлу config.xml
Confidential
70

70.

Розгортання агента
...
71

71.

Розгортання агента
Confidential
72

72.

Розгортання агента
Confidential
73

73.

Розгортання агента
Reboot
Confidential
74

74.

Розгортання агента
Confidential
75

75.

Підтвердження успішної реєстрації агента
Confidential
76

76.

Перевірка того, чи отримує Агент оновлення...
Перейдіть до System -> Enterprise -> Computers
Виберіть групу «всі агенти» та застосуйте пошук
Confidential
77

77.

Перевірте функції агента
Перейдіть до System -> Enterprise -> Computers
Виберіть групу «всі агенти» та застосуйте пошук
згідно зі знімком екрана нижче, у агента ввімкнено лише одну функцію (адаптивна
перевірка), що вказує на те, що нам все ще потрібно переконатися, що серверна
версія ресурсів і налаштувань застосована там...
Confidential
78

78.

Прив'язка ресурсів
перейдіть до System -> Enterprise ->
Dynamic Groups
виберіть групу «Windows Workstation
Default».
перейдіть на вкладку «Ресурси».
застосувати, як показано на ілюстрації
Будьте обережні: у робочому середовищі ви повинні
проявляти надзвичайну обережність під час застосування
змін до груп за замовчуванням!
Зазвичай ви спочатку застосовуєте зміни до спеціальної
групи нижчого рівня з меншою кількістю систем...
Confidential
79

79.

Натисніть синхронізацію динамічної групи
Confidential
80

80.

Перевірте функції агента
Щойно ресурси та налаштування сервера буде отримано агентом, ви побачите, що
ввімкнено кілька функцій...
Confidential
81

81.

Виконавши DG Lab 211...
Тепер ваша установка складається з 3 віртуальних машин :
контролер домену/сервер DNS
членський сервер / сервер SQL / DGMC + DCOMM + пакетний процесор + планувальник
клієнт Windows 10 / DG Agent
DG Labs 209 - eDLP Prework
DG Lab 210 - DGMC Server Prerequisites
AD / DNS
MSSQL /
DGMC
Win 10
DG Agent
DG Lab 230
DG Appliance
First Steps
NDLP
Discovery
DG Lab 211
DGMC Setup
DG Lab 212
DGMC First Steps
Confidential
82