목차/10. Threat Prevention·UserCheck

10Threat Prevention·UserCheckThreat Prevention·UserCheck

이 장은 위협 방지 정책의 위치와, 사용자에게 직접 말을 거는 UserCheck 를 함께 다룹니다. 특히 UserCheck는 게이트웨이에서 켜는 방법부터, 사용자에게 띄울 메시지(UserCheck Interaction) 객체를 만드는 법, 단말에 설치하는 UserCheck Client, 그리고 클라이언트가 게이트웨이를 찾아 신뢰를 맺는 여러 방식까지 원문이 다루는 모든 절차를 빠짐없이 풀어 둡니다.

Threat Prevention 정책

관리 서버에서도 봇·바이러스 등을 검사하는 Threat Prevention 정책 을 만들지만, 그 자세한 구성은 별도의 R82 Threat Prevention 관리자 가이드 에서 다룹니다(Threat Prevention 가이드). 정책 관리 기초에서 봤듯 Threat Prevention은 IPS·Anti-Bot·Anti-Virus·Threat Emulation·Threat Extraction·Zero Phishing 을 포함하며, Policy Package에 담겨 게이트웨이에 설치됩니다.

UserCheck — 사용자에게 직접 알리기

UserCheck 를 켜면, 관리자가 보안 정책에 만들어 둔 규칙에 따라 게이트웨이가 사용자에게 직접 메시지를 보내 위험한 인터넷 사용이나 규정에 어긋날 수 있는 행동을 알립니다. 이렇게 사용자가 스스로 보안 사고를 막고 조직의 보안 정책을 익히 게 돕습니다. UserCheck 객체를 만들어 Rule Base에서 사용자와 소통하고, 기록된 사용자 응답을 바탕으로 효과적인 정책을 다듬 을 수 있습니다.

UserCheck 기능을 지원하는 Software Blade는 다음과 같습니다.

  • Data Loss Prevention(DLP)
  • Access Control — Application Control, URL Filtering, Content Awareness
  • Threat Prevention — Anti-Bot, Anti-Virus, Threat Emulation, Threat Extraction, Zero Phishing

게이트웨이에서 UserCheck 구성

UserCheck는 게이트웨이 객체에서 직접 켜고 끕니다. 사용자가 게이트웨이에 원격으로 접속한다면, 게이트웨이의 내부 인터페이스(Topology 페이지)를 UserCheck 포털의 Main URL과 동일하게 맞춰 두어야 합니다.

게이트웨이에서 UserCheck를 구성하는 순서는 다음과 같습니다.

단계할 일
1게이트웨이 객체를 더블클릭하고 UserCheck 페이지로 가서 Enable UserCheck for active blades 가 선택되어 있는지 확인합니다.
2UserCheck Web Portal 섹션에서 Main URL 필드를 확인합니다 — 이 주소가 알림을 보여 주는 포털의 기본 URL 입니다. 제안된 Main URL을 그대로 쓰거나 다른 주소를 직접 입력합니다.
3(선택) Aliases 를 클릭해 다른 호스트명을 Main URL로 리디렉션 하는 별칭을 추가합니다(예: Usercheck.mycompany.com). 이 별칭들은 회사 DNS 서버에서 포털 IP로 해석 되어야 합니다.
4Certificate 섹션에서 Import 를 눌러 포털이 관리 서버에 인증할 때 쓰는 인증서 를 가져옵니다(아래 설명).
5Accessibility 섹션에서 Edit 를 눌러 포털에 접근할 수 있는 인터페이스 를 구성합니다(아래 설명).
6(선택) UserCheck Client 지원을 켜고 클라이언트 설치 파일을 내려받습니다(아래 설명).
7Mail Server 섹션에서 이메일 알림용 메일 서버 를 구성합니다(아래 설명).
8OK 를 클릭합니다.
9내부 인터페이스로 암호화된 트래픽이 흐른다면, Access Control 정책의 Firewall Layer 에 규칙을 추가합니다(아래 샘플 규칙).
10Access Control 정책을 설치합니다.

인증서(Certificate) 설정

기본적으로 포털은 Check Point 내부 인증 기관(ICA)의 인증서 를 씁니다. 그런데 사용자 브라우저가 Check Point를 신뢰하는 인증 기관으로 인식하지 못하면 경고가 뜰 수 있습니다. 이 경고를 막으려면 공인된 외부 기관에서 발급받은 인증서를 직접 import 하세요.

접근성(Accessibility) — 어느 인터페이스로 들어오는가

여기서 고른 옵션은 게이트웨이에 설정된 토폴로지를 기반 으로 하므로 토폴로지가 먼저 구성되어 있어야 합니다. 사용자가 다음 경로로 접속할 때 UserCheck 포털로 보내집니다.

  • Through all interfaces — 모든 인터페이스를 통해
  • Through internal interfaces(기본값) — 내부 인터페이스를 통해
    • 정의되지 않은 내부 인터페이스 포함
    • DMZ 내부 인터페이스 포함
    • VPN 암호화 인터페이스 포함(기본값) — 경로 기반(route-based) VPN 터널(VTI) 을 만드는 데 쓰는 인터페이스
  • According to the Firewall Policy누가 포털에 접근할 수 있는지를 정하는 규칙 이 따로 있을 때 선택합니다.

메일 서버(Mail Server)

메일 서버는 게이트웨이가 다른 방법으로 알릴 수 없는 사용자에게 이메일로 알림을 보낼 때 쓰입니다(서버가 그 사용자의 이메일 주소를 알고 있는 경우). 예를 들어 사용자가 보낸 메일이 규칙에 걸렸다면, 그 트래픽은 HTTP가 아니므로 게이트웨이가 사용자를 UserCheck 포털로 리디렉션할 수 없습니다. 이때 사용자에게 UserCheck Client 가 없으면 UserCheck가 이메일 알림을 보냅니다.

  • Use the default settings — 링크를 눌러 어떤 메일 서버가 설정돼 있는지 봅니다.
  • Use specific settings for this gateway — 기본 메일 서버 설정을 이 게이트웨이에 한해 덮어쓸 때 선택합니다.
  • Send emails using this mail server — 목록에서 메일 서버를 고르거나, New 로 새 메일 서버를 정의합니다.

암호화 트래픽용 샘플 규칙

내부 인터페이스로 암호화된 트래픽이 흐른다면, Access Control 정책의 Firewall Layer에 아래 같은 규칙을 추가합니다.

SourceDestinationVPNServices & ApplicationsAction
AnyUserCheck Client가 켜진 Security GatewayAnyUserCheckAccept

규칙을 추가했다면 Access Control 정책을 설치합니다.

UserCheck Interaction 객체 만들기

UserCheck Interaction 객체는 게이트웨이가 사용자와 소통하는 메시지 틀 입니다. 이 객체는 조직 보안에 위험할 수 있는 결정을 사용자가 내릴 때 돕고, 웹 애플리케이션·사이트에 대한 회사의 인터넷 정책을 실시간으로 공유 합니다. UserCheck가 켜져 있으면 사용자의 브라우저에 새 창 으로 메시지가 뜹니다.

UserCheck 페이지에는 기본 메시지가 들어 있고, 이를 편집·미리보기할 수 있습니다. 기본 객체를 보려면 SmartConsole에서 Security Policies > Access Control > Access Tools > UserCheck 로 갑니다. 필요에 따라 객체를 더 만들 수 있습니다.

UserCheck Interaction 객체를 만드는 순서는 다음과 같습니다.

단계할 일
1UserCheck 페이지에서 New 를 누르고 객체 유형을 고릅니다(아래 세 가지). 새 객체 창이 열립니다.
2Object Name(객체 이름)을 입력합니다.
3객체 창 메뉴 막대에서 편집 방식을 고릅니다 — Source(HTML 코드 직접 입력) 또는 Design(서식 버튼으로 텍스트 입력).
4(선택) Language 를 눌러 메시지에 쓸 언어를 하나 이상 고릅니다. 기본 언어는 영어입니다.
5메시지의 제목·부제·본문 텍스트를 입력합니다. Source 모드에서는 본문에 동적 필드나 사용자 입력 요소를 넣을 수 있습니다(아래 설명).
6(선택) Add logo 로 메시지에 그래픽을 넣습니다. 크기는 176 x 52 픽셀 이어야 합니다.
7(선택) 탐색 트리에서 Settings 를 눌러 추가 옵션을 구성합니다(아래 설명).
8OK 를 클릭합니다.
9Access Control 정책을 설치합니다.

세 가지 객체 유형

  • Ask요청을 계속할지 사용자에게 묻 는 메시지입니다. 계속하려면 사용자가 사유를 입력 해야 합니다.
  • Inform안내 메시지 를 보여 줍니다. 사용자는 애플리케이션으로 계속 진행하거나 요청을 취소할 수 있습니다.
  • Block — 메시지를 보여 주고 애플리케이션 요청을 차단 합니다.

동적 필드와 사용자 입력 요소

Source 모드 본문에서 다음을 넣을 수 있습니다.

  • Insert Field — Original URL, Source IP address 같은 동적 텍스트 입니다. Ask·Inform·Block 동작이 일어날 때 UserCheck 포털과 클라이언트가 이 변수를 실제 값으로 바꿔 보여 줍니다.
  • Insert User Input — Confirm 체크박스, Report Wrong Category 같은 사용자 입력용 특수 필드 입니다. 상단 도구막대의 Insert User Input 에서 해당 항목을 누릅니다.

Settings 옵션

Settings 에서 다음을 구성할 수 있습니다.

  • Languages — 사용자 브라우저의 언어가 정의되지 않았을 때 쓸 언어를 고릅니다.
  • Fallback Action(Ask·Inform 객체) — 사용자가 메시지를 볼 수 없을 때의 동작입니다.
    • Drop — 연결·트래픽을 버리고 내부 네트워크로 들이지 않습니다.
    • Accept — 연결·트래픽을 허용해 내부 네트워크로 들입니다.
  • Conditions(Ask 객체) — 메시지에 사용자 상호작용이 필요한 항목 을 넣을 수 있고, 사용자가 필요한 동작을 마쳐야만 트래픽이 허용됩니다. 다음 중 하나 또는 둘 다 선택합니다.
    • User accepted and selected the confirm checkbox — 사용자가 경고를 무시하고 계속하겠다는 뜻입니다. 메시지 페이지에서 Insert User Input 으로 Confirm Checkbox 요소를 넣었을 때 적용됩니다.
    • User entered the required textual input in the user input field — 사용자가 Threat Prevention 경고를 무시하는 사유를 직접 입력 해야 합니다. 메시지 페이지에서 Textual Input 요소를 넣었을 때 적용됩니다.
  • Redirect the user to an external portal — UserCheck 메시지를 보여 주지 않고 외부 UserCheck 포털로 사용자를 리디렉션 할 수 있습니다. External Portal 에 외부 포털 URL을 입력합니다. 이 URL은 사용자 이름·암호 같은 인증 정보를 받아 게이트웨이로 보내는 외부 시스템일 수 있습니다.
    • (선택) Add UserCheck Incident ID to the URL query 를 선택하면 URL 질의 끝에 사고 ID가 붙습니다.
    • URL template 필드는 XML 파일을 가리키며, 이 파일을 외부 포털에 두면 게이트웨이로 되돌려 보낼 수 있습니다.
    • pre-shared secret외부 포털을 게이트웨이에 인증 합니다.

UserCheck 이메일 알림을 일반 텍스트로 보내기

모든 이메일 클라이언트가 리치 텍스트나 HTML 형식 을 다룰 수 있는 것은 아닙니다. 이런 클라이언트까지 배려하려면, 게이트웨이가 HTML과 함께 이미지 없는 일반 텍스트(plain text) 알림도 보내도록 설정할 수 있습니다. 그러면 사용자의 이메일 클라이언트가 어느 형식을 보여 줄지 스스로 결정 합니다.

  1. 게이트웨이(클러스터라면 각 Cluster Member)의 명령줄에 접속합니다.
  2. Expert mode 로 로그인합니다.
  3. 설정 파일을 백업합니다.
   cp -v $FWDIR/conf/usrchkd.conf{,_BKP}
   
  1. 설정 파일을 엽니다.
   vi $FWDIR/conf/usrchkd.conf
   
  1. 해당 파라미터 값을 다음과 같이 바꿉니다.
   :send_emails_with_no_images (false)
   

   :send_emails_with_no_images (true)
   
  1. 파일을 저장하고 편집기를 빠져나갑니다.
  2. 새 설정을 읽어 들이도록 userchkd 프로세스를 종료합니다. 게이트웨이가 자동으로 이 프로세스를 다시 시작 합니다.
   killall userchkd
   

UserCheck Client — 브라우저 밖의 알림까지

UserCheck Client 는 단말 컴퓨터에 설치되어 게이트웨이와 통신하고 사용자에게 알림을 보여 줍니다. 특히 Skype, iTunes, 브라우저 추가 기능(라디오 툴바 등)처럼 웹 브라우저가 아닌 애플리케이션 의 알림을 보냅니다. 또 UserCheck 포털과 함께 동작해, 다음 같은 경우에 컴퓨터 자체에서 알림을 띄웁니다.

  • 웹 브라우저로는 알림을 보여 줄 수 없는 경우
  • UserCheck 엔진이 웹 브라우저에서 알림이 제대로 표시되지 않는다고 판단 한 경우

사고 알림은 시스템 트레이의 UserCheck Client에서 팝업 으로 뜨고, 사용자는 메시지의 옵션을 골라 실시간으로 응답합니다.

설치·구성 전체 흐름

  1. 게이트웨이 객체를 엽니다.
  2. 게이트웨이 객체에서 UserCheck와 UserCheck Client를 켭 니다(앞의 게이트웨이에서 UserCheck 구성 참고).
  3. 클라이언트가 게이트웨이와 통신하고 신뢰를 맺는 방식 을 구성합니다(아래 설명).
  4. 단말 컴퓨터에 UserCheck Client를 설치합니다.
  5. UserCheck Client를 게이트웨이에 연결합니다.
  6. 클라이언트가 알림을 잘 받는지 확인합니다 — 설정된 보안 정책을 위반하는 가장 단순한 동작 을 단말에서 해 봅니다.

UserCheck Client와 게이트웨이의 통신·신뢰

UserCheck Client가 있는 환경에서 게이트웨이는 클라이언트의 서버 역할 을 합니다. 각 클라이언트는 서버를 찾아내고(discover), 그 서버와 신뢰(trust)를 맺 어야 합니다.

신뢰를 맺을 때 클라이언트는 SSL 핸드셰이크 중 계산한 서버 지문(fingerprint)을 기대값과 비교 해 올바른 서버인지 확인합니다. 지문이 기대값과 다르면 클라이언트는 사용자에게 직접 서버가 맞는지 확인 하라고 요청합니다.

클라이언트가 서버를 찾아 신뢰하는 방법은 네 가지입니다. 각 방식의 특성을 비교하면 다음과 같습니다.

방식일회성 수동 신뢰 필요?게이트웨이 변경 후에도 작동?클라이언트가 서명 유지?AD 구성 필요?멀티사이트난이도권장 대상
File name based아니요아니요아니요매우 간단게이트웨이가 하나뿐인 구성
AD based아니요간단수정 가능한 AD가 있는 구성
DNS based일부(DNS 서버별)아니요간단AD가 없거나, 바꿀 수 없는 AD와 바꿀 수 있는 DNS가 있는 구성
Remote registry아니요보통원격 레지스트리를 다른 용도로도 쓰는 환경

1) 파일 이름 기반(File name based)

다른 방법을 구성하지 않은 기본(out-of-the-box) 상태 에서는, 포털에서 내려받은 모든 UserCheck Client 파일 이름에 포털 머신의 IP 주소 가 들어갑니다. 설치 중 클라이언트는 이 IP로 게이트웨이에 접속합니다. 단, 사용자가 Trust 를 눌러 서버를 수동으로 신뢰 해야 합니다.

가장 설정하기 쉽고 기본 상태로 바로 동작하므로, 관련 Software Blade가 켜진 게이트웨이가 하나뿐 일 때 쓰기 좋습니다.

동작 원리는 이렇습니다. 사용자가 클라이언트를 내려받으면 파일 이름에 게이트웨이 주소가 들어갑니다. 설치 중 클라이언트는 다른 탐색 방법(AD·DNS·로컬 레지스트리)이 구성돼 있는지 확인하고, 없으면서 게이트웨이에 닿을 수 있으면 그 게이트웨이를 서버로 씁니다. UserCheck Settings 창에서 연결한 서버가 파일 이름 속 게이트웨이와 같은지 볼 수 있습니다. 파일 이름은 쉽게 바뀔 수 있으므로, 사용자가 신뢰 데이터가 유효한지 직접 확인 해야 합니다.

MSI 이름 바꾸기

설치 전에 MSI 파일 이름을 직접 바꿔 클라이언트를 다른 게이트웨이에 연결 할 수 있습니다.

  1. 게이트웨이에 DNS 이름이 있는지 확인합니다.
  2. 다음 형식으로 MSI 이름을 바꿉니다. 여기서 GWname 은 게이트웨이의 DNS 이름입니다.
   

알림 포트 번호까지 넣으려면 다음 형식을 씁니다.

   

예:

   

2) Active Directory 기반(AD based)

클라이언트 컴퓨터가 Active Directory 도메인의 멤버 이고 그 도메인에 관리 권한이 있다면, Distributed Configuration 도구로 연결·신뢰 규칙을 구성할 수 있습니다. 이 도구에는 세 개의 창이 있습니다.

  • Welcome — 도구를 설명하고, AD 접근에 쓸 자격 증명 을 입력합니다.
  • Server configuration — 클라이언트가 위치에 따라 어느 게이트웨이에 연결할지 구성합니다.
  • Trusted Security Gateways — 게이트웨이들이 안전하다고 여기는 지문 목록 을 보고 바꿉니다.

클라이언트에 AD 기반 구성을 적용하는 순서입니다.

  1. 한 컴퓨터에 UserCheck Client MSI를 내려받아 설치합니다. 그 컴퓨터의 명령줄에서 AD 유틸리티로 구성 도구를 실행합니다. 예를 들어 Windows 7에서는 다음과 같습니다.
   "C:\Users\%USERNAME%\Local Settings\Application Data\Checkpoint\UserCheck\UserCheck.exe" -adtool
   

Check Point UserCheck - Distributed Configuration 도구가 열립니다. 2. Welcome 페이지에서 AD 관리자 자격 증명 을 입력합니다. 기본적으로 현재 AD 사용자 이름이 표시됩니다. 관리자 권한이 없으면 Change user 를 눌러 관리자 자격 증명을 입력합니다. 3. Server Configuration 페이지에서 Add 를 누릅니다. Identity Server Configuration 창이 열립니다. 4. Default 를 선택하고 Add 를 누릅니다. 5. 게이트웨이의 IP 주소 또는 FQDN 과 포트를 입력합니다. 6. OK 를 누릅니다. UserCheck Client용 AD 서버의 정체가 Active Directory에 기록되어 모든 클라이언트에 전달 됩니다.

서버 구성 규칙(Server Configuration Rules)

Distributed Configuration 도구에서 클라이언트를 Automatically discover the server 로 구성하면, 클라이언트는 규칙 목록을 가져와 위에서 아래로 자신과 맞는 규칙을 찾 습니다. 규칙이 맞으면 그 규칙에 표시된 서버를 지정된 우선순위에 따라 씁니다. 예시는 다음과 같이 해석됩니다.

  • 사용자가 192.168.0.1 - 192.168.0.255 에서 오면 US-GW1 에 연결을 시도하고, 안 되면 BAK-GS2 를 씁니다(우선순위가 더 높아 US-GW1이 없을 때만 쓰임).
  • 사용자가 AD 사이트 UK-SITE 에서 접속하면 UK-GW1 또는 UK-GW2우선순위가 같아 무작위로 하나에 연결합니다. 둘 다 안 되면 BAK-GS2 를 씁니다.
  • 규칙 1·2가 맞지 않으면 기본 규칙BAK-GS2 에 연결합니다(기본 규칙은 만나면 항상 일치).

Add·Edit·Remove 버튼으로 서버 연결 규칙을 바꿉니다.

신뢰된 게이트웨이(Trusted Gateways)

Trusted Gateways 창은 신뢰된 서버 목록 을 보여 줍니다 — 사용자가 이 서버에 연결할 때는 메시지가 뜨지 않습니다. 서버를 추가·편집·삭제할 수 있고, 서버에 연결할 수 있으면 이름과 지문을 가져올 수 있습니다. Server Trust Configuration 창에서 IP를 입력하고 Fetch Fingerprint 를 누르세요. 연결할 수 없으면 그 서버에 연결할 때 표시되는 것과 같은 이름·지문 을 직접 입력합니다.

3) DNS SRV 레코드 기반(DNS based)

DNS 서버에 서버 주소를 구성하는 방식입니다. 이때도 사용자가 Trust 를 눌러 서버를 수동으로 신뢰 해야 합니다.

클라이언트를 Automatic Discovery(기본값) 로 두면, 클라이언트는 게이트웨이 주소를 묻는 DNS SRV 질의 로 서버를 찾습니다(DNS 접미사는 자동으로 붙음). DNS 서버에서 그 주소를 구성하면 됩니다.

DNS 서버에서 구성하는 순서입니다.

  1. Start > All Programs > Administrative Tools > DNS 로 갑니다.
  2. Forward lookup zones 에서 해당 도메인을 선택합니다.
  3. _tcp 하위 도메인으로 갑니다.
  4. 마우스 오른쪽 클릭 후 Other new record 를 선택합니다.
  5. Service Location, Create Record 를 선택합니다.
  6. Service 필드에 CHECKPOINT_DLP 를 입력합니다.
  7. Port 번호를 443 으로 설정합니다.
  8. Host offering this server 에 게이트웨이의 IP 주소를 입력합니다.
  9. OK 를 누릅니다.

게이트웨이의 Load Sharing 을 구성하려면 우선순위가 같은 SRV 레코드를 여러 개 만들고, High Availability 를 구성하려면 우선순위가 다른 SRV 레코드를 여러 개 만듭니다.

DNS 기반 구성 문제 해결

DNS 기반 구성에 문제가 있을 때는 DNS 서버에 저장된 SRV 레코드 를 확인할 수 있습니다. 다음을 실행하세요.

C:\> nslookup
 > set type=srv
 > checkpoint_dlp._tcp

결과 예시는 다음과 같습니다.

C:\> nslookup
 > set type=srv
 > checkpoint_dlp._tcp
Server: dns.company.com
Address: 192.168.0.17
checkpoint_dlp._tcp.ad.company.com SRV service location:
          priority = 0
          weight = 0
          port = 443
          svr hostname = dlpserver.company.com
dlpserver.company.com internet address = 192.168.1.212
>

4) 원격 레지스트리(Remote Registry)

클라이언트의 모든 구성(서버 주소·신뢰 데이터)은 레지스트리 에 들어 있습니다. GPO 등 레지스트리를 원격으로 제어하는 시스템 으로 클라이언트 설치 전에 값을 미리 넣어 두면, 클라이언트가 설치 직후 바로 그 구성을 씁니다.

원격 레지스트리 옵션을 구성하는 순서입니다.

  1. 한 컴퓨터에 클라이언트를 설치합니다. 에이전트는 사용자 디렉터리에 설치되고 구성을 HKEY_CURRENT_USER 에 저장합니다.
  2. 구성된 모든 서버에 수동으로 연결해 지문을 확인하고, 지문 확인 대화 상자에서 Trust 를 누릅니다.
  3. Settings 창에서 클라이언트가 원하는 서버에 수동으로 연결 하도록 구성합니다.
  4. 다음 레지스트리 키를 내보냅니다.
    • 전체 트리:
     HKEY_CURRENT_USER\SOFTWARE\CheckPoint\UserCheck\Trusted Gateways
     
  • 다음 가지:
     

안의 키 Default GatewayDefaultGatewayEnabled 5. UserCheck Client를 설치하기 전에 내보낸 키를 단말 컴퓨터로 가져옵니다.

UserCheck Client 설치

클라이언트가 게이트웨이에 연결하도록 구성했다면, 사용자 컴퓨터에 클라이언트를 설치합니다. 먼저 게이트웨이에서 UserCheck Client MSI 파일을 다음 두 방법 중 하나로 가져옵니다.

방법 1 — SCP 클라이언트로 게이트웨이에서 내려받기

  1. 다음 디렉터리로 갑니다.
   
  1. 다음 파일을 내려받습니다.
   

방법 2 — SmartConsole의 게이트웨이 객체에서 내려받기

  1. 왼쪽 탐색 패널에서 Gateways & Servers 를 클릭합니다.
  2. 게이트웨이 객체를 더블클릭합니다.
  3. 왼쪽 트리에서 General Properties 를 클릭합니다.
  4. 다음 Software Blade 중 최소 하나 를 켭니다 — Data Loss Prevention, Access Control(Application Control·URL Filtering·Content Awareness), Threat Prevention(Anti-Bot·Anti-Virus·Threat Emulation·Threat Extraction·Zero Phishing).
  5. 왼쪽 트리에서 UserCheck 를 클릭합니다.
  6. UserCheck Client 섹션에서 Download Client 링크를 누릅니다.
  7. 기본 웹 브라우저에서 내려받기가 시작됩니다.

파일을 받았으면 원하는 MSI 대량 배포·설치 방법 으로 단말에 설치합니다. 예를 들어 설치 링크가 담긴 이메일 을 보내고, 사용자가 링크를 누르면 MSI가 자동으로 설치되게 할 수 있습니다.

UserCheck Client 제거

기본 제거 절차

  1. Start 메뉴 > Check Point > UserCheck 로 갑니다.
  2. Uninstall 바로 가기를 클릭합니다.
  3. 화면 지시를 따릅니다.
  4. 단말 컴퓨터를 재시작합니다.

수동 제거 절차

Start 메뉴에 Uninstall 바로 가기가 없다면 아래 두 절차 중 하나를 씁니다.

Windows Installer로 수동 제거

  1. UserCheck.exe 가 실행 중이 아닌지 확인합니다(작업 관리자 등으로). 실행 중이면 종료합니다.
  2. Windows 레지스트리 편집기에서 UserCheck Client GUID를 가져옵니다.
    • 레지스트리 편집기를 엽니다(Start 메뉴 → regedit 입력 → Registry Editor, 또는 Windows + Rregedit → Enter).
    • 다음으로 이동합니다.
     
  • PRODUCT_GUID 키를 오른쪽 클릭 후 Modify 를 누릅니다.
    • {<GUID>} 문자열 전체를 복사해 일반 텍스트 편집기에 붙여넣습니다.
    • 레지스트리 편집기에서 Cancel 을 누르고 편집기를 닫습니다.
  • 텍스트 편집기에서 필요한 구문을 준비합니다.
   %SystemRoot%\SysWOW64\msiexec.exe /x {<Windows 레지스트리에서 복사한 GUID>}
   

예시:

   C:\Windows\SysWOW64\msiexec.exe /x {AAD3D77A-7476-469F-ADF4-04424124E91D}
   

참고 자료: https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/msiexec 4. Windows 명령 프롬프트를 엽니다(Start 메뉴 → cmd, 또는 Windows + Rcmd → Enter). 5. 준비한 구문을 붙여넣고 Enter를 누릅니다. 6. 단말 컴퓨터를 재시작합니다.

단말에서 수동으로 삭제

  1. UserCheck.exe 가 실행 중이 아닌지 확인합니다. 실행 중이면 종료합니다.
  2. UserCheck 폴더를 삭제합니다.
  • 파일 관리자에서 다음으로 갑니다.
     
  • UserCheck 폴더를 삭제합니다.
  • Windows 레지스트리의 UserCheck 가지를 삭제합니다.
    • 레지스트리 편집기를 엽니다.
    • 다음으로 이동합니다.
     
  • 레지스트리를 백업 합니다(Microsoft 문서 "Windows registry information for advanced users" 참고).
    • UserCheck 가지를 오른쪽 클릭 후 Delete 하고 확인합니다.
    • 레지스트리 편집기를 닫습니다.
  • 단말 컴퓨터를 재시작합니다.

UserCheck Client를 게이트웨이에 연결하기

게이트웨이에서 DLP용 UserCheck 가 켜져 있으면, 사용자는 클라이언트 설치 뒤 사용자 이름과 암호를 입력 해야 합니다.

클라이언트를 처음 설치하면 트레이 아이콘이 연결되지 않음 을 나타내고, 게이트웨이에 연결되면 활성(active) 상태를 보여 줍니다. 처음 연결할 때 클라이언트는 게이트웨이 지문을 승인 하라고 사용자에게 요청합니다.

p.468
p.468

DLP용 UserCheck Client 설치를 사용자에게 안내하는 메시지 예시입니다.

Dear Users,
Our company has implemented a Data Loss Prevention automation to
protect our confidential data from unintentional leakage. Soon you
will be asked to verify the connection between a small client that
we will install on your computer and the computer that will send
you notifications.
This client will pop up notifications if you try to send a message
that contains protected data. It might let you to send the data
anyway, if you are sure that it does not violate our data-security
guidelines.
When the client is installed, you will see a window that asks if
you trust the DLP server. Check that the server is SERVER NAME and
then click Trust.
In the next window, enter your username and password, and then
click OK.

UserCheck와 Check Point 암호 인증

UserCheck를 Check Point 암호(Check Point Password) 로 인증하도록 켜는 방법입니다.

1) SmartConsole 구성

  1. 상단에서 Objects > Object Explorer 를 클릭합니다.
  2. 왼쪽 창에서 Users/Identities 만 선택합니다.
  3. 필요한 설정을 합니다.

사용자 객체가 이미 있다면 - 해당 User 객체를 더블클릭합니다. - 왼쪽에서 General 을 클릭합니다. - General properties 섹션에서 유효한 이메일 주소 가 설정돼 있는지 확인합니다. - OK 를 누릅니다.

사용자 객체가 아직 없다면 - 필요한 User Template 객체가 있는지 확인합니다. 없으면 상단 도구막대에서 New > Users/Identity > User Template 로 만들고 OK 를 누릅니다. - 상단 도구막대에서 New > Users/Identity > User 를 누릅니다. - 필요한 User Template을 선택하고 OK 를 누릅니다. - 다음을 구성합니다 — 상단에 객체 이름, General 페이지에 유효한 이메일 주소, Authentication 페이지의 Authentication Method에서 Check Point Password 선택 후 Set new password 로 암호 입력 후 OK. - OK 를 누릅니다. 4. Object Explorer 창을 닫습니다.

2) UserCheck Client 구성

  1. 단말의 알림 영역(시계 옆)에서 UserCheck Client 아이콘을 오른쪽 클릭합니다.
  2. Settings 를 클릭합니다.
  3. Advanced 를 클릭합니다.
  4. Authentication with Check Point user accounts defined internally in SmartConsole 를 선택합니다.

UserCheck Client 사용자 지원

사용자가 UserCheck Client 문제 해결에 도움이 필요하면, 로그를 보내 달라고 요청할 수 있습니다.

클라이언트가 로그를 생성하도록 구성

  1. UserCheck Client 트레이 아이콘을 오른쪽 클릭하고 Settings 를 선택합니다.
  2. Log to 를 누르고 로그를 저장할 경로 를 찾습니다.
  3. OK 를 누릅니다.
  4. 클라이언트가 게이트웨이에 연결되어 알림을 받는지 확인합니다.

단말에서 로그 보내기

  1. UserCheck Client 트레이 아이콘을 오른쪽 클릭하고 Status 를 선택합니다.
  2. Advanced 를 클릭합니다.
  3. Collect information for technical support 링크를 클릭합니다. 기본 이메일 클라이언트가 수집된 로그 압축 파일이 첨부된 채 열립니다.

UserCheck 포털 현지화·맞춤

UserCheck 포털의 현지화(localizing)와 맞춤(customizing)에 대한 자세한 내용은 sk83700을 보세요.

이 장의 UserCheck Client는 단말 측 도구이므로, 게이트웨이 쪽 소프트웨어 블레이드 설명은 Security Gateway 가이드의 UserCheck에서도 함께 다룹니다.