Paramètres de stratégie de service Gateway

Si vous configurez Gateway sur des terminaux activés avec une solution EMM telle que BlackBerry UEM, vous pouvez également spécifier des options dans votre solution EMM qui contrôlent le fonctionnement de Gateway sur les terminaux.

Élément

Description

Informations générales

Nom

Il s'agit du nom de la règle.

Description

Il s'agit d'une brève description de l'objectif de la règle.

Agent de configuration

Autoriser l'exécution de Gateway uniquement si le terminal est géré par BlackBerry UEM ou Microsoft Intune

Ce paramètre spécifie que les terminaux iOS, Android ou Chromebook doivent être gérés par BlackBerry UEM ou Microsoft Intune avant que les utilisateurs puissent utiliser Gateway.

Cette fonctionnalité requiert l'un des éléments suivants :
  • BlackBerry UEM: le connecteur BlackBerry UEM est ajouté au locataire Aurora Endpoint Security et les applications sont envoyées depuis BlackBerry UEM.
  • Intune: le connecteur Microsoft Intune est ajouté au locataire Aurora Endpoint Security et vous créez des stratégies de configuration d'applications qui définissent les types de terminaux et les groupes d'utilisateurs Intune auxquels s'applique l'intégration. 

Pour plus d'informations, reportez-vous à : Connexion de Aurora Endpoint Security aux solutions MDM pour vérifier si les terminaux sont gérés

Autoriser l'exécution de la passerelle uniquement si le terminal est géré par Microsoft Intune

Ce paramètre spécifie que les terminaux Windows doivent être gérés par Microsoft Intune et est associé à Entra ID avant que les utilisateurs puissent utiliser Gateway. Pour plus d'informations, reportez-vous à la section Connexion de Aurora Endpoint Security aux solutions MDM pour vérifier si les terminaux sont gérés et effectuez les tâches Intune.

Cette fonctionnalité est prise en charge sur l'agent Gateway pour Windows version 2.10 ou ultérieure.

Autoriser Gateway à établir des tunnels uniquement sur les terminaux gérés par MDM sur lesquels Gateway est configurée en tant que VPN géré

Vous pouvez exiger l'inscription d'un terminal dans Mobile Device Management (MDM) pour votre organisation avec Gateway configuré en tant que fournisseur VPN avant que le mode de travail de Gateway ne crée un tunnel sur ce terminal. 

Cette fonctionnalité est prise en charge sur les terminaux suivants :
  • Gateway Agent Gateway pour macOS 2.7 ou version ultérieure
  • Aurora Protect Mobile Application Aurora Protect Mobile pour iOS 2.14 ou version ultérieure

Autoriser l'exécution de Gateway uniquement si Aurora Protect Desktop est également activé sur le terminal.

Ce paramètre nécessite que les utilisateurs aient installé et activé Aurora Protect Desktop à partir du même locataire. Cette fonctionnalité est prise en charge sur les terminaux suivants :

  • Windows Terminaux Windows qui exécutent Gateway pour Windows
  • macOS Terminaux macOS qui exécutent Aurora Protect Desktop 3.0 ou version ultérieure et Gateway pour macOS 2.0.17 ou version ultérieure. Si vous activez cette fonctionnalité pour les terminaux qui exécutent une version de Aurora Protect Desktop antérieure à la version 3.0, le tunnel ne fonctionnera peut-être pas comme prévu.

Mode sans échec

Vous pouvez activer le mode sans échec pour vos utilisateurs. Grâce au mode sans échec, Gateway empêche les applications et les utilisateurs d'accéder à des destinations potentiellement malveillantes et met en application une stratégie d'utilisation acceptable (SUA) en interceptant les demandes DNS. Les services cloud Gateway évaluent chaque requête DNS par rapport aux règles ACL configurées et aux paramètres de protection réseau (par exemple, Tunnellisation DNS et détections Du jour zéro telles que Algorithme de génération de domaine (DGA), Hameçonnage et Programmes malveillants), puis demandent à l'agent d'autoriser ou de bloquer la demande en temps réel. En cas d'autorisation, la demande DNS est exécutée normalement sur le réseau porteur. Dans le cas contraire, l'agent Gateway remplace la réponse normale et empêche l'accès.

Lorsqu'il est activé, le mode sans échec prend automatiquement effet lorsque le mode de travail est désactivé. Lorsqu'il est activé pour les terminaux Windows, l'agent est réduit dans la barre d'état système lors de son lancement. L'activation du mode sans échec n'empêche pas les utilisateurs d'ouvrir l'agent, ni d'activer ou de désactiver le mode de travail (si la stratégie des utilisateurs autorise de telles opérations).

Les évènements du mode sans échec apparaissent sur l'écran Évènements CylanceGATEWAY et la vue Alertes, puis sont envoyés vers la solution SIEM ou le serveur syslog, si cette fonction est configurée.

Remarque : Lorsqu'il est activé, le mode sans échec protège l'ensemble du trafic DNS qui n'utilise pas le tunnel Gateway (par exemple, autoriser Gateway à établir des tunnels uniquement sur les terminaux gérés par MDM sur lesquels Gateway est configurée en tant que VPN géré, tunnel par application ou tunnellisation fractionnée).
Cette fonctionnalité est prise en charge sur les terminaux suivants :
  • Gateway Agent Gateway pour Windows 2.8 ou version ultérieure.
  • Gateway Agent Gateway pour macOS 2.7 ou version ultérieure.
Remarque : Cette fonctionnalité n'est pas prise en charge dans les environnements qui utilisent des protocoles DNS sécurisés avec DoT (DNS sur TLS) et DoH (DNS sur HTTPS). Les requêtes DNS envoyées à l'aide de DoT ou DoH ne peuvent pas être visualisées par Gateway

Mode sans échec et agent Gateway pour macOS : Sur macOS, l'agent Gateway utilise une extension système pour mettre en œuvre le mode sans échec. Si vous ajoutez l'extension système « P7E3XMAM8G:com.blackberry.big3.gatewayfilter » à une liste autorisée, elle peut se charger automatiquement sans intervention de l'utilisateur lorsque l'agent Gateway est activé. Sinon, demandez à vos utilisateurs d'autoriser l'extension système Gateway lorsqu'ils y sont invités au cours de l'activation. Pour en savoir plus sur l'ajout d'une extension système à une liste autorisée, consultez la documentation de votre macOS. Pour obtenir plus d'instructions sur l'activation de l'agent Gateway en vue d'utiliser le mode sans échec, consultez la section Activer le mode sans échec dans l'agent CylanceGATEWAY du guide de l'utilisateur.

Mode sans échec et VPN tiers : si votre environnement est configuré pour utiliser le mode sans échec et un VPN tiers, vous devez vérifier et, si nécessaire, ajuster les paramètres DNS du VPN pour vous assurer que les paramètres DNS acheminent uniquement les requêtes DNS pour le trafic défini afin d'utiliser le tunnel VPN. Si vous activez le mode sans échec et que les paramètres DNS du VPN ne sont pas examinés, le VPN risque de ne pas fonctionner comme prévu. Par défaut, la configuration de nombreux VPN consiste à acheminer tout le trafic DNS via le tunnel VPN lorsqu'il est actif.

Appliquer le paramètre Démarrer CylanceGATEWAY lorsque je me connecte

Ce paramètre spécifie s'il convient de forcer le démarrage automatique de l'agent Gateway sur les terminaux macOS ou Windows lorsque les utilisateurs se connectent. Ce paramètre de stratégie remplace le paramètre « Démarrer Gateway lorsque je me connecte » de l'agent.

Arctic Wolf vous recommande d'activer cette option dans la stratégie de service Gateway.

Cette fonctionnalité est prise en charge sur les terminaux suivants :

  • Gateway Agent Gateway pour macOS 2.7 ou version ultérieure
  • Gateway Agent Gateway pour Windows 2.7 ou version ultérieure  

Démarrer automatiquement CylanceGATEWAY lorsque l'utilisateur se connecte

Ce paramètre démarre automatiquement l'agent Gateway lorsque les utilisateurs se connectent au terminal, mais les utilisateurs peuvent toujours arrêter l'agent manuellement. Lorsque vous activez à la fois ce paramètre et l'option Activer le mode de travail automatiquement pour les terminaux Windows, l'agent est réduit dans la barre d'état système lorsqu'il démarre.

Ce paramètre n'est valide que si le paramètre Appliquer le paramètre Démarrer CylanceGATEWAY lorsque je me connecte est activé.

Appliquer le paramètre « Activer le Mode travail automatiquement »

Ce paramètre détermine s'il convient de forcer le démarrage automatique de l'agent Gateway sur les terminaux macOS ou Windows pour activer le mode de travail automatiquement au démarrage de l'agent. Ce paramètre de stratégie remplace le paramètre Activer le mode de travail automatiquement de l'agent.

Cette fonctionnalité est prise en charge sur les terminaux suivants :

  • Gateway Agent Gateway pour macOS 2.7 ou version ultérieure.
  • Gateway Agent Gateway pour Windows 2.7 ou version ultérieure  

Activer le mode de travail automatiquement

Ce paramètre active automatiquement le mode de travail au démarrage de l'agent Gateway, mais les utilisateurs peuvent toujours activer et désactiver manuellement le mode de travail après le démarrage de l'agent. Lorsque vous activez à la fois ce paramètre et l'option « Démarrer automatiquement Gateway lorsque l'utilisateur se connecte » pour les terminaux Windows, l'agent est réduit dans la barre d'état système lorsqu'il démarre.

Ce paramètre n'est valide que si le paramètre Appliquer le paramètre Activer le mode de travail automatiquement est activé.

Utilisation de tunnel

Tunnel par application

Ce paramètre spécifie les applications pouvant envoyer des données aux services cloud Gateway via le tunnel. Vous pouvez configurer un tunnel par application avec une liste d'applications autorisées ou d'applications restreintes. Par exemple, si vous sélectionnez l'option Applications autorisées et que vous spécifiez des applications pouvant utiliser le tunnel, puis que vous modifiez l'option sur Applications restreintes, les applications répertoriées ne peuvent pas utiliser le tunnel. 

Options possibles :

  • Sélectionnez Applications autorisées pour spécifier les applications qui utilisent le tunnel. Aucune autre application ne peut utiliser le tunnel. Les applications système et le DNS Windows utilisent toujours le tunnel. Si vous sélectionnez cette option, toutes les règles ACL ou stratégies de contrôle d'accès réseau définies sont appliquées. Pour plus d'informations sur les règles ACL et les stratégies de contrôle d'accès réseau, consultez Contrôler l'accès réseau.
  • Sélectionnez Applications interdites pour spécifier les applications ne pouvant pas utiliser le tunnel. Toutes les autres applications peuvent utiliser le tunnel.
  • Cliquez sur l'icône Ajouter et saisissez le chemin d'accès complet ou incluez un caractère générique dans le chemin d'accès aux applications de bureau, ou ajoutez le nom de famille du package (NFP) Windows pour les applications de la boutique. Vous pouvez spécifier un maximum combiné de 200 chemins d'accès aux applications ou NFP.
    Lorsque vous incluez un caractère générique dans le chemin d'accès, tenez compte des points suivants :
    • Vous ne pouvez inclure qu'un seul caractère générique par chemin d'accès. Le format pris en charge est le suivant : \*\ (par exemple, %ProgramFiles%\Nom_Dossier\*\Nom_Application.exe)
    • Les caractères génériques ne sont pas pris en charge dans les cas suivants :
      • Vous les utilisez à la place de variables d'environnement
      • Vous les utilisez à la place de répertoires racines dans le chemin d'accès
      • Vous les utilisez dans les noms de répertoire partiels (par exemple, « C:\Win*\notepad.exe »)
      • Vous les utilisez dans les noms de fichiers exécutables (par exemple, « C:\Windows\*.exe »)
    Les caractères génériques sont pris en charge sur les terminaux Windows qui exécutent l'agent Gateway pour Windows 2.7 ou version ultérieure.

Cette fonctionnalité est prise en charge sur les terminaux suivants :

  • Gateway pour Windows 2.0.0.13 ou version ultérieure.
  • Android Utilisateurs des terminaux Android ou Chromebook qui exécutent l'applicationAurora Protect Mobile.

Forcer les applications à utiliser le tunnel

Ce paramètre nécessite que toutes les connexions sans boucle utilisent le tunnel. Si vous sélectionnez cette option et que la tunnellisation fractionnée est activée, tout le trafic utilisera le tunnel. Sur les terminaux Windows, si vous sélectionnez cette option et que la tunnellisation fractionnée est activée, les connexions qui n'utilisent pas le tunnel risquent de ne pas fonctionner comme prévu. Cette fonctionnalité est prise en charge sur les terminaux suivants :

  • Terminaux non gérés macOS qui exécutent macOS 10.15 ou versions ultérieures et Gateway pour macOS 2.0.17 ou versions ultérieures.
  • Terminaux non gérés iOS qui exécutent iOS 14.0 ou versions ultérieures et Aurora Protect Mobile 2.4.0.1731 ou versions ultérieures.
  • Windows Terminaux Windows qui exécutent Gateway pour Windows

Autoriser les applications à utiliser le réseau local

Ce paramètre permet aux applications forcées d'utiliser le tunnel d'atteindre les destinations du réseau local. Cette fonctionnalité est prise en charge sur les terminaux suivants :

  • Terminaux non gérés macOS qui exécutent macOS 10.15 ou versions ultérieures et Gateway pour macOS 2.0.17 ou versions ultérieures.
  • Terminaux non gérés iOS qui exécutent iOS 14.2 ou versions ultérieures et application Aurora Protect Mobile 2.4.0.1731 ou versions ultérieures. 
  • Windows Terminaux Windows qui exécutent Gateway pour Windows 2.5 ou versions ultérieures.

Ce paramètre n'est valide que si l'option « Forcer les applications à utiliser le tunnel » est activée.

Bloquer le trafic réseau des applications limitées

Ce paramètre empêche toutes les connexions réseau sans boucle des applications qui ne peuvent pas utiliser le tunnel. Si vous ne sélectionnez pas ce paramètre, les applications interdites peuvent utiliser la connexion réseau par défaut. Cette fonctionnalité est prise en charge sur les terminaux qui exécutent Gateway pour l'agent Windows.

Autoriser les autres utilisateurs Windows à utiliser le tunnel

Ce paramètre permet à tous les utilisateurs qui utilisent le même terminal Windows d'utiliser le tunnel. Si vous sélectionnez cette option, tous les critères de tunnel par application s'appliquent. Si vous ne sélectionnez pas cette option, les applications exécutées par d'autres utilisateurs Windows sont traitées comme des applications interdites.

Autoriser les connexions entrantes

Ce paramètre autorise les connexions TCP entrantes et les flux UDP à partir d'interfaces sans tunnel et sans boucle. Gateway n'achemine jamais les connexions entrantes à travers le tunnel. Cette fonctionnalité est prise en charge sur les terminaux qui exécutent Gateway pour l'agent Windows.

Réauthentification du tunnel

Réauthentification du tunnel

Ce paramètre spécifie la fréquence à laquelle les utilisateurs doivent s'authentifier avant d'établir un tunnel.

Lorsque vous activez cette fonctionnalité, Arctic Wolf vous recommande de définir l'option Autoriser la réutilisation de l'authentification afin de spécifier la période après laquelle les utilisateurs doivent s'authentifier à nouveau.

Cette fonctionnalité est prise en charge sur les terminaux suivants :

  • Gateway pour macOS 2.5 ou version ultérieure.
  • Gateway pour Windows 2.5 ou version ultérieure.

Autoriser la réutilisation de l'authentification

Lorsqu'il est activé, ce paramètre spécifie une période de réutilisation après laquelle les utilisateurs qui se sont authentifiés et ont établi un tunnel doivent s'authentifier à nouveau. La période de réutilisation peut être définie entre 5 minutes et 365 jours à compter de la dernière authentification. Par exemple, si vous définissez la période de réinitialisation sur 10 jours, les utilisateurs doivent s'authentifier à nouveau 10 jours après leur première authentification avant de pouvoir établir un tunnel. Par défaut, ce paramètre est désactivé.

Remarque : Si vous n'activez pas l'option Autoriser la réutilisation de l'authentification et spécifiez une période de réutilisation, les utilisateurs doivent s'authentifier à chaque fois qu'ils établissent un tunnel.

Ce paramètre n'est valide que si « Réauthentification du tunnel » est activée.

Période de grâce

Ce paramètre permet aux utilisateurs de se reconnecter au tunnel sans s'authentifier si la connexion au tunnel est établie dans les 2 minutes suivant la déconnexion. Par défaut, cette option est activée lorsque vous activez la réauthentification du tunnel.

Ce paramètre n'est valide que si « Réauthentification du tunnel » est activée.

Tunnellisation fractionnée

Tunnellisation fractionnée
Ce paramètre permet au trafic vers les destinations publiques de contourner Gateway. Vous pouvez spécifier si la destination doit utiliser le tunnel ou ne peut pas utiliser le tunnel à l'aide des options suivantes :
  • Inclusif : Vous pouvez saisir des CIDR et des FQDN pour les destinations qui doivent traverser le tunnel. Pour améliorer l'expérience utilisateur, la console de gestion actualise régulièrement le FQDN en fonction de la résolution d'adresse IP.
    Remarque : Les adresses FQDN ne prennent pas en charge les caractères génériques.
  • Exclusif : Vous pouvez saisir les CIDR pour les destinations que vous ne souhaitez pas voir utiliser le tunnel. Vous pouvez utiliser cette option lorsque vous ne souhaitez exclure que quelques destinations de l'utilisation du tunnel. Tout le reste du trafic réseau utilisera le tunnel. Les FQDN ne sont pas pris en charge.
Important : Si vous avez configuré les deux options, seule l'option sélectionnée et affichée est appliquée au trafic réseau, mais tous les paramètres sont conservés pour vous permettre de passer facilement d'une option à l'autre.

Si vous activez la tunnellisation fractionnée, les connexions aux destinations publiques autorisées contournent le tunnel et les services cloud Gateway, sauf si vous spécifiez que les connexions à la destination doivent utiliser le tunnel. Si vous activez la tunnellisation fractionnée sans le DNS fractionné, toutes les requêtes DNS sont évaluées par rapport aux règles ACL configurées et les contrôles d'accès au réseau sont appliqués avant que le trafic ne soit acheminé vers la destination publique. Si vous utilisez l'lpinglage d'IP source, toutes les destinations configurées pour l'épinglage d'IP source doivent utiliser le tunnel.

Si vous apportez des modifications aux paramètres de tunnellisation ou aux connexions entrantes, les utilisateurs doivent désactiver puis activer le mode Travail dans l'agent Gateway installé sur les terminaux Windows et macOS ou dans l'application Aurora Protect Mobile sur les terminaux iOS, Android et Chromebook 64 bits pour que les modifications prennent effet.

DNS fractionné

Lorsqu'il est activé, ce paramètre permet d'effectuer des recherches DNS pour les domaines répertoriés dans la configuration Réseau privé > DNS > Zone de recherche directe via le tunnel où les contrôles d'accès au réseau sont appliqués. Toutes les autres recherches DNS sont effectuées à l'aide du DNS local. Si vous avez activé le mode sans échec, le trafic DNS qui n'utilise pas le tunnel Gateway est protégé par le mode sans échec. Le paramètre DNS fractionné est désactivé par défaut.

Android Les terminaux Android et Chromebook 64 bits ne prennent pas en charge le tunnel DNS fractionné et utilisent le tunnel où les contrôles d'accès sont appliqués.

Ce paramètre n'est valide que si l'option Tunnellisation fractionnée est activée.