教程篇(7.0) 04. FortiClient 部署 ❀ FortiClient EMS ❀ Fortinet 网络安全专家 NSE 5

在本课中，你将学习如何部署FortiClient，以及如何使用FortiClient EMS管理部署包。

通过展示FortiClient部署能力，你将能够准备Windows Active Directory (AD)服务器和终端，以及实现不同的部署类型。你还可以使用FortiClient EMS和MacOS部署各种类型的FortiClient终端。

通过展示FortiClient部署能力，你将能够准备Windows AD服务器和终端，以及实现不同的部署类型。

将FortiClient添加到EMS有两种方式：Windows AD和工作组。

　　AD设置为Windows终端提供集中管理和控制(组策略)。它通常用于大型设置，以实现公司策略，如资源使用和访问控制。

　　使用AD服务器时，可以将初始安装的FortiClient (Windows)部署到终端，但不能将初始安装的FortiClient (macOS)部署到终端。在终端上安装FortiClient for Windows或macOS，并将终端连接到FortiClient EMS后，可以通过AD服务器对FortiClient for Windows和macOS进行升级、移除、替换操作。

Windows工作组是局域网(LAN)上共享公共资源和职责的计算机的集合。作为一个点对点(P2P)网络设计，如果配置为这样做，每个工作组计算机都可以共享和访问资源。工作组是为小型局域网设计的。这种设置没有集中式服务器，LAN中的所有Windows终端都需要配置为单独的机器。

　　使用工作组时，不能将FortiClient的初始安装部署到端点。但在终端上安装FortiClient后，终端连接到FortiClient EMS后，可以通过工作组在终端上卸载和更新FortiClient。

通过FortiClient EMS部署FortiClient时，需要准备部署时使用的AD服务器，并在终端上部署FortiClient。在成功部署FortiClient之前，请确保已完成AD服务器的安装和准备工作。

　　注意不能通过FortiClient EMS将FortiClient的初始安装部署到终端(macOS和工作组计算机)。但在终端上安装FortiClient软件后，并将终端连接到FortiClient EMS，可以通过FortiClient EMS在终端上卸载和更新FortiClient软件。

在部署FortiClient之前，需要在每个Windows终端上启用和配置以下服务：

　　● 任务调度器：自动

　　● Windows安装程序：手动

　　● 远程注册表：自动

　　Windows防火墙必须允许入站连接的SMB-in和RPC通信。

　　部署AD组时，需要配置AD管理员帐号。对于非AD部署，安装程序URL可以与用户共享，用户可以手动下载并安装FortiClient。你可以在“管理安装程序”窗格中找到安装程序URL。

　　需要注意的是，在使用AD域服务器添加终端时，初始部署时FortiClient EMS会自动解析终端IP地址。FortiClient EMS支持在AD终端上部署FortiClient (Windows)组件，如果AD终端上没有安装FortiClient组件，也可以升级已有的FortiClient组件，前提是AD终端已经连接到EMS服务器。

　　你可以在任何AD客户端上执行gpresult.exe /H gpresult.html来验证将组策略推送到端点是否有问题。

通过AD服务器在Windows终端上部署FortiClient软件：通过AD服务器在FortiClient EMS中成功部署FortiClient软件，需要准备AD服务器，将AD服务器加入到FortiClient EMS中作为域，在FortiClient EMS中添加安装包，添加配置文件(包含安装包和已配置的FortiClient特性)，并将配置文件分配到AD域的某个分支中，以推送安装。通过监控FortiClient与网管的连接情况，验证部署是否成功。

　　不支持使用FortiClient EMS部署FortiClient (macOS)初始安装。你可以通过执行这上图显示的选项之一来部署FortiClient (macOS)的初始安装。在终端安装FortiClient (macOS)后，将FortiClient Telemetry和FortiClient EMS连接后，可以通过FortiClient EMS对FortiClient进行替换、升级和卸载操作。

　　当终端运行旧版本时，你也可以从FortiClient EMS部署FortiClient软件更新。当请求部署安装程序包时，FortiClient终端上会出现一个提示。提示提示用户选择升级选项：立即升级或稍后升级。如果选择“立即升级”，FortiClient将执行升级并自动重启计算机。选择“稍后升级”，用户可以指定开始升级的时间。默认为晚上8点。升级完成后，计算机会自动重启。

　　如果不勾选，则默认升级时间为晚上8点。在FortiClient EMS卸载以前的版本后，它会询问用户是现在重新启动还是以后重新启动。

你可以在FortiClient EMS上创建部署配置。管理员在部署FortiClient时可以选择不同的配置选项。你可以配置配置部署名称、选择终端组、安装或卸载FortiClient、选择部署安装程序。

　　EMS管理员在安装FortiClient时也可以选择启动时间。无人值守的安装选项限制用户更改安装时间表，如果需要，设备在没有警告的情况下重启。

　　“需要时重启”选项在需要时重启终端以安装FortiClient，“需要时重启”选项允许终端在没有提示的情况下重启，如果没有终端用户登录FortiClient。

　　“通知用户和让他们决定何时在用户登录时重新启动”选项通知终端用户，如果需要重新启动终端，并允许用户决定何时重新启动终端。禁用此选项可以在不通知用户的情况下重新启动终端。

　　用户名和密码允许你输入AD的管理凭证。凭据允许FortiClient EMS通过AD在终端上安装FortiClient。

　　你还可以使用“启用部署”选项启用或禁用部署。

　　当一个终端符合多个终端部署配置的条件时，两个因素决定了EMS应用于该终端的配置：

　　1. 只有在EMS侧启用部署配置后，EMS才会对终端应用部署配置。

　　2. 如果一个终端可以启用多个配置，FortiClient EMS将优先级最高的配置应用于该终端。

答案：A

现在你了解了FortiClient部署方法和类型。接下来，你将了解如何管理FortiClient安装程序和部署包。

通过使用部署包和安装程序，你将能够在FortiClient EMS中创建部署包、安装程序和管理。

你可以创建部署包来将FortiClient部署到终端。部署包包括FortiClient安装程序，它决定了终端上安装的FortiClient版本和补丁，以及终端上安装的FortiClient功能。

　　你还可以指定在终端的部署包中包含哪些FortiClient功能。你可以在部署包中包含一个功能，然后在配置文件中禁用该功能。因为该功能包含在部署包中，所以你可以稍后更新配置文件以在终端上启用该功能。

　　在FortiClient EMS中添加软件包后，将无法对软件包进行编辑。在FortiClient EMS系统外删除部署包并编辑部署包，再将编辑后的部署包添加到FortiClient EMS系统中。在添加包时，你可以选择安装程序类型、发布版本、补丁，并使FortiClient自动更新到最新版本，以及安装程序的名称和说明。

　　在“功能”部分，你可以选择启用零信任遥测(默认启用，不能禁用)选项；安全成功(SSL和IPSec VPN)；APT，以及其他安全功能，如反病毒保护、web过滤、SSO代理和基于云的恶意软件检测。

　　高级部分允许你启用自动注册、桌面快捷方式、安装程序ID和终端配置文件。Telemetry选项卡显示FortiClient EMS服务器的主机名和IP地址，该服务器将在终端上安装后管理FortiClient。

　　你可以在“部署和安装程序”窗格中查看部署包。你可以在“部署包”窗格中查看详细信息或删除包。

当管理员在EMS中创建FortiClient部署包时，他们会选择安装的安装类型和模块：

　　● 零信任遥测(默认选择，你还必须选择其他安全功能之一来创建包)

　　● 安全访问架构组件

　　● 漏洞扫描

　　● 高级持续威胁(APT)组件

　　● 额外的安全功能

　　上图显示了这些选项的影响。管理员可以使用FortiClient EMS配置文件禁用已安装的组件，但不能使用FortiClient EMS配置文件禁用已卸载的组件。

　　例如，如果管理员创建的FortiClient EMS安装程序中选择了APT组件，则在FortiClient上启用“沙箱检测”选项卡。管理员可以使用EMS配置文件禁用“沙箱检测”。但是，如果安装程序不包含APT组件，Sandbox Detection选项卡在FortiClient上被禁用，管理员不能使用EMS配置文件来启用Sandbox Detection。

默认情况下，当你选择安装程序文件时，将选择并启用零信任遥测功能。此设置将遥测组件安装到FortiClient。你还必须选择其他安全功能之一来创建包。

　　遥测技术提供了终端可见性，并确保所有架构组件——FortiGate、FortiAnalyzer、FortiClient EMS、管理AP、管理交换机和沙箱拥有一个统一的终端视图，以便提供跟踪和感知、法规执行和报告。

安全访问架构组件通过“远程访问”页签安装FortiClient。FortiClient提供灵活的VPN连接选项。同时支持SSL (secure sockets layer)和IPsec (internet protocol security) vpn。

　　如果在部署包中启用该功能，并在包含的终端配置文件中包含预配置的VPN隧道，则使用该部署包安装FortiClient的用户在初始安装FortiClient后，可以连续3天连接该预配置的VPN隧道。这对远程用户很有用，因为它允许他们连接到公司网络来激活他们的FortiClient许可证。如果用户在3天内没有激活其FortiClient许可证，则设备上所有的FortiClient功能(包括VPN)将停止运行。

　　注意，这是一个可选功能。

通过漏洞扫描功能，可以对FortiClient进行主机漏洞扫描。FortiClient通过漏洞扫描和可选的自动补丁来帮助组织减少攻击面。结合零信任访问原则，这种方法可以增强组织的卫生和安全态势。

　　在FortiClient EMS上，所有易受攻击的终端都很容易被识别出来，以便进行补救。该功能是可选的。

APT组件功能使FortiSandbox能够与FortiClient集成。通过与FortiSandbox集成并利用FortiGuard全球威胁情报，FortiClient可以防止高级恶意软件和漏洞被利用。

　　FortiClient集成了FortiSandbox，可以实时分析所有下载的文件到FortiClient终端。FortiClient和FortiSandbox全球用户通过FortiGuard威胁情报平台共享已知和未知恶意软件的信息。FortiGuard自动与FortiClient终端共享情报，以防范新出现的威胁。

附加安全功能选项启用恶意软件，web过滤，应用程序防火墙和单点登录移动代理。

　　恶意软件包括反病毒、反利用、可移动媒体访问、反勒索软件和基于云的恶意软件爆发检测。这些特性提供实时保护，以对抗各种威胁，如勒索软件利用或高风险文件类型从互联网和网络驱动器显示的文件系统活动。

　　Web过滤可以防御基于Web的攻击。

　　应用程序防火墙检查试图利用已知漏洞的入侵。

　　单点登录移动代理支持透明身份验证或单点登录功能。这个设置需要FortiAuthenticator。

你可以在FortiClient部署包中包含安装程序ID。FortiClient安装完成后，终端与FortiClient EMS对接，FortiClient EMS根据安装程序ID组分配规则对终端进行分组。你可以为每个部署包配置一个安装程序ID。在具有大量终端的环境中，你可能有多个安装程序ID，你希望在安装后在FortiClient EMS中使用这些ID自动对终端进行分组。由于可以只使用一个安装程序ID配置每个部署包，因此为每个安装 ID创建一个部署包可能效率很低。

　　相反，你可以在多个终端上使用相同的部署包，并在CLI中提供不同的安装程序ID，这取决于你希望FortiClient EMS将终端放置在哪个组中。当这些终端连接到FortiClient EMS时，FortiClient EMS会根据CLI提供的安装ID对其进行分组。该过程包括以下步骤：

　　1. 在FortiClient EMS中创建部署包。不要配置安装程序ID。

　　2. 创建安装程序ID组分配规则，以自动将终端移动到所需的组中。

　　3. 使用上图的CLI命令在终端上安装FortiClient。

　　假设你希望为组织中的人力资源、市场营销和办公室管理团队部署相同的部署包，但不同的安装程序ID。在此场景中，你将使用EMS创建一个部署包，其中不包含安装程序ID和每个终端组的安装程序ID组分配规则。然后，你可以使用部署包和CLI命令在终端上安装FortiClient，如图所示。

　　终端连接到FortiClient EMS后，FortiClient EMS会根据终端的安装ID自动将终端分组(如HR、marketing、office management)。

FortiClient EMS会自动与FDN连接，提供对FortiClient安装程序的访问，与FortiClient EMS配置文件一起使用。如果无法连接到FDN，请手动下载FortiClient安装程序，以便与FortiClient EMS配套使用。

　　你可以从Fortinet Support网站下载FortiClient EMS配套使用的安装程序。

　　在FortiClient EMS中添加FortiClient安装程序后，无法对其进行编辑。你可以在FortiClient EMS中删除安装程序，在FortiClient EMS外编辑安装程序。然后可以将编辑好的安装程序添加到FortiClient EMS。

你可以创建自定义的FortiClient安装程序，并将其添加到FortiClient EMS中。另外，如果无法连接到FDN，你可能需要手动下载FortiClient安装程序并将其添加到FortiClient EMS中。

　　可以选择Windows或Mac安装程序。Windows安装程序必须是MSI或ZIP文件，macOS必须是DMG文件。不能上传免费的VPN客户端安装程序。

　　将FortiClient安装程序添加到FortiClient EMS后，可以在“forclient installer”窗口中查看。默认情况下，这个页面首先列出来自FortiGuard的安装程序，然后是来自上传的安装程序。每个安装程序显示如下信息：

　　● 名称

　　● 版本

　　● 类型

答案：B

恭喜你！你已经完成了这一课。现在，你将回顾你在本课中涉及的目标。

通过掌握本课涉及的目标，你了解了部署类型、配置和包。

教程篇(7.0) 04. FortiClient 部署 ❀ FortiClient EMS ❀ Fortinet 网络安全专家 NSE 5相关推荐

教程篇(7.0) 04. FortiGate基础架构二层交换 ❀ Fortinet 网络安全专家 NSE 4
在本课中,你将学习如何在FortiGate上使用透明操作模式和二层交换. 本节课,你将学习这上图显示的主题. 通过展示理解和配置VLAN的能力,你将能够有效地将你的网络划分为更小的逻辑段. V ...
教程篇(7.0) 02. FortiGate安全安全架构 ❀ Fortinet 网络安全专家 NSE 4
在本课中,你将了解Fortinet安全架构. 通过展示在部署Fortinet安全架构.使用和扩展安全架构功能以及了解其拓扑结构方面的能力,你将能够在你的网络中有效地使用Fortinet安全架构. ...
教程篇(6.0) 02. 防火墙策略 ❀ FortiGate 安全 ❀ Fortinet 网络安全专家 NSE 4
在本课中,你将学习如何理解和应用防火墙策略来允许和拒绝通过 FortiGate 的流量.它的核心是防火墙,所以它对你的流量所做的几乎所有事情都与你的防火墙策略相关联. 在本次课程中,你将探讨以下主题: ...
教程篇(7.0) 09. FortiGate安全应用控制 ❀ Fortinet 网络安全专家 NSE 4
在本课中,你将学习如何监视和控制可能使用标准或非标准协议和端口的网络应用程序,而不仅仅是简单地阻止或允许协议.端口号或IP地址. 本节课,你将学习上图显示的主题. 通过展示应用控制基础知识,你将 ...
教程篇(7.0) 03. FortiGate安全防火墙策略 ❀ Fortinet 网络安全专家 NSE 4
在本课中你将了解防火墙策略,以及如何应用它们来允许和拒绝通过FortiGate的流量.FortiGate的核心是一个防火墙,所以它对你的流量所做的几乎所有事情都与你的防火墙策略相关联. 本节课你将 ...
教程篇(7.0) 08. FortiGate安全 Web过滤 ❀ Fortinet 网络安全专家 NSE 4
在本节课中,你将学习如何在FortiGate上配置web过滤来控制网络中的web流量. 本节课,你将学习上图显示的主题. 通过展示理解检测模式的能力,你将能够实现适当的检测模式,以支持所需的安全 ...
教程篇(6.0) 06. 证书操作 ❀ FortiGate 安全 ❀ Fortinet 网络安全专家 NSE 4
在本课中,你将了解FortiGate为什么使用数字证书,如何配置FortiGate以使用证书(包括使用证书检查加密流量的内容),以及FortiGate如何管理证书. 在本次课程中,你将探讨以下主题: ...
教程篇(6.0) 07. Web过滤 ❀ FortiGate 安全 ❀ Fortinet 网络安全专家 NSE 4
在本课中,你将学习如何在FortiGate上配置Web过滤,以控制网络中的Web流量. 在本次课程中,你将探讨以下主题: 检测模式 Web过滤基础附加的基于代理的web过滤功能 DNS过滤最佳实践 ...
教程篇(7.0) 08. FortiGate基础架构诊断 ❀ Fortinet 网络安全专家 NSE 4
在本节课中,你将学习如何使用诊断命令和工具. 本节课,你将学习上图显示的主题. 通过展示一般诊断能力,你将能够发现有关FortiGate状态的一般信息. 为了定义任何问题,首先必须知道网络的正 ...
教程篇(7.0) 05. FortiGate安全防火墙认证 ❀ Fortinet 网络安全专家 NSE 4
在本节中,你将学习如何在FortiGate的防火墙策略中使用身份验证. 本节课,你将学习上图显示的主题. 通过展示防火墙身份验证方法的能力,你将能够描述和识别FortiGate上可用的受支持的防 ...

教程篇(7.0) 04. FortiClient 部署 ❀ FortiClient EMS ❀ Fortinet 网络安全专家 NSE 5

教程篇(7.0) 04. FortiClient 部署 ❀ FortiClient EMS ❀ Fortinet 网络安全专家 NSE 5相关推荐

最新文章

热门文章