Una dintre caracteristicile principale pe care le oferă Bitdefender Endpoint Security Tools este posibilitatea de a fi instalat de la distanță pe endpoint-uri, proces numit implementare.

Pentru ca sarcina de instalare a soluției Bitdefender Endpoint Security Tools să se finalizeze cu succes pe sistemele vizate, este necesar să respectați următoarele cerințe preliminare de configurare:

1. Cerințe privind sistemul de operare
   • Asigurați-vă că endpoint-urile îndeplinesc cerințele minime de sistem, în conformitate cu Ghidul de instalare GravityZone. Pentru unele stații de lucru, se poate să fie necesară instalarea celui mai recent service pack disponibil sau eliberarea spațiului pe disc. Realizați o listă de stații de lucru care nu îndeplinesc cerințele necesare, pentru a le putea exclude din administrare.
   • La instalarea agentului prin intermediul unui releu Linux, trebuie respectate următoarele condiții suplimentare:
     • Endpoint-ul cu rol de Releu trebuie să aibă instalat pachetul Samba (smbclient) versiunea 4.1.0 sau mai recentă și să suporte binarul/comanda net, astfel încât să poată instala de la distanță agenți Windows.

       Notă: De regulă, binarul/comanda net este livrată împreună cu pachetele samba-client și/sau samba-common. Pe anumite distribuții Linux (precum CentOS 7.4), comanda net se instalează numai în cazul instalării versiunii complete a suitei Samba (Common + Client + Server). Asigurați-vă că pe endpoint-ul cu rol de Releu este disponibilă comanda net.

     • Endpoint-urile Windows vizate trebuie să aibă activate funcțiile Partajare administrativă (Administrative Share) și Partajare rețea (Network Share).
     • Stațiile de lucru țintă Linux și Mac trebuie să aibă funcția SSH activată și firewall-ul dezactivat.
2. Drepturi de administrator

   Pentru instalare aveți nevoie de drepturi de administrator. Asigurați-vă că aveți toate drepturile necesare la îndemănă, pentru toate calculatoarele.
   
   De asemenea, este necesar să definiți setările UAC (User Account Control) în funcție de configurația endpoint-ului vizat:

   • Pentru sistemele Windows 8.1 și 10, este necesar să dețineți drepturi depline de administrator (datele de autentificare ale contului integrat de administrator sau ale utilizatorului domeniului). Pentru informații suplimentare despre instalarea cu succes a BEST pe stațiile de lucru Windows 8.1 și 10, vă rugăm să consultați acest articol KB.
   • Pentru sistemele vizate care fac parte dintr-un grup de lucru, este necesar să dezactivați funcția UAC numai dacă utilizați alte date de autentificare cu drepturi de administrator, cu excepția contului integrat de Administrator al domeniului atunci când configurați sarcina de instalare de la distanță. Dacă sarcina de instalare este configurată pentru autentificare folosind contul integrat de administrator al domeniului (și setările UAC implicite ale contului nu au fost schimbate de politica de grup), aceasta se va executa fără a fi necesară modificarea setărilor UAC.
   • În cazul sistemelor vizate care fac parte dintr-un domeniu Active Directory, în plus față de recomandările anterioare, dacă administratorul dorește să configureze sarcina respectivă și să furnizeze datele de autentificare pentru instalare ale utilizatorilor care sunt membri ai grupului de securitate Administratori domeniu, se poate configura un GPO pentru a aplica acest grup de securitate cu următoarele setări:

     [Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options]

     Policy	Setting
     User Access Control: Behavior of the elevation prompt for administrators in Admin Approval Mode	Elevate without prompting
     User Access Control: Detect application installations and prompt for elevation	Disable
     User Access Control: Run all administrators in Admin Approval Mode	Enable

      
     
      

     Notă: Pentru a urma una dintre cele mai bune practici din domeniul securității, după finalizarea ciclului de instalare de la distanță, restabiliți setările la valorile implicite. Pentru configurările UAC implicite, consultați acest articol Microsoft.

   • Pentru sistemele Windows 7, 8 și 10, va trebui să dezactivați funcția UAC (User Account Control), după cum urmează:
     1. Accesați Start> Control Panel> User Accounts
     2. Selectați Change User Account Control Settings
     3. Setați UAC pe  Never Notify (renunțare la notificări) și apoi selectați OK
        
        
3. Cerințe de conectivitate

   Pe toate stațiile de lucru și serverele pe care doriți să le administrați, care necesită conectivitate prin rețea la aplicația GravityZone, este necesar să configurați firewall-ul astfel încât să permită accesul pentru următoarele porturi de comunicație utilizate de componentele de securitate:

   • 8443: portul de comunicare dintre consola GravityZone și Bitdefender Endpoint Security Tools. Trebuie permis accesul la acest port pe toate calculatoarele din rețea
   • 7074: portul de comunicare utilizat pentru instalarea de la distanță și actualizarea prin intermediul unui Releu.

     Notă: Aceste porturi nu trebuie utilizate de nicio altă aplicație instalată în rețea.

   Se recomandă să folosiți o adresă IP statică pentru serverul releu. Dacă nu setați un IP static, folosiți numele de gazdă al mașinii.

   Configurați fiecare stație de lucru astfel încât să nu folosească asistentul de partajare, după cum urmează:

   În Windows 7:

   1. Accesați  Start > Computer > Organize > Layout și selectați Menu bar.
   2. Clic pe Tools și accesați apoi Folder options... > View.
   3. Debifați caseta Use Sharing Wizard din lista de setări avansate.
   4. Faceți clic pe OK.

   În Windows 8 și 8.1:

   1. Accesați Computer > View > Options.
   2. În fereastra Folder options accesați fila View.
   3. Debifați caseta Use Sharing Wizard din lista de setări avansate.
   4. Faceți clic pe OK.

   În Windows 10:

   1. Accesați This PC > View > Options.
   2. Selectați fila View.
   3. Debifați caseta Use Sharing Wizard din lista de setări avansate.
   4. Faceți clic pe OK.
      
      
   • Asigurați-vă că este activat protocolul „File and Printer Sharing”. Acest serviciu utilizează porturile TCP 139 și 445, precum și porturile UDP 137 și 138. Pentru a verifica dacă este activat protocolul „File and Printer Sharing”:
     1. Accesați Start > Control Panel > Network and Sharing Center.
     2. Identificați conexiunea de rețea activă și faceți clic pe aceasta.
     3. Selectați Proprietăți.
        
        

     Notă Pentru realizarea cu succes a conexiunii: Dezactivați Firewall-ul Windows sau configurați-l pentru a permite traficul prin intermediul protocolului de Partajare fișiere și imprimante (File and Printer Sharing). Pentru a dezactiva Firewall-ul Windows, accesați Control Panel > Windows Firewall și selectați Off (dezactivare). Permiteți traficul ICMP (astfel încât să puteți efectua cu succes o comandă PING pe stația de lucru respectivă). Pentru a verifica dacă stațiile de lucru din rețea sunt configurate corect: Dați ping pe respectiva stație din rețea. Încercați să vă conectați la funcția Administrative share.

4. Dezinstalarea celorlalte soluții software de securitate

Dezinstalați (nu doar dezactivați) orice program antimalware, firewall sau software de securitate Internet existente pe calculatoare. Rularea simultană a agentului de securitate cu alte aplicații pe o stație de lucru poate afecta funcționarea acestora și poate cauza probleme majore de sistem.

Multe dintre programele de securitate incompatibile sunt detectate automat și eliminate în momentul instalării.

Pentru a afla mai multe și a verifica lista de soluții software de securitate detectate de Bitdefender Endpoint Security Tools pentru sistemele de operare Windows (Windows 7 / Windows Server 2008 R2 și versiuni mai noi), consultați acest articol KB.

Dacă doriți să instalați agentul de securitate pe un computer cu Bitdefender Antivirus for Mac 5.X, trebuie mai întâi să îl dezinstalați manual pe acesta din urmă. Pentru îndrumări, vă rugăm să consultați acest articol KB.

• Porturile de comunicare GravityZone