ESET Remote Administrator

Transkript

ESET
Remote
Administrator
Instalační Manuál
a Uživatelská příručka
chráníme vaše digitální světy
obsah
1..
Úvod........................................................... 4
2..
ERA – architektura klient / server................... 5
2.1.
ERA Server (ERAS)................................................5
2.1.1
2.1.2
2.1.3
2.1.4
2.1.5
2.1.6
2.1.7
Požadavky..............................................................5
Hierarchie ERAS v rozsáhlejších sítích.......................6
Instalace................................................................ 7
Protokoly............................................................... 7
Konfigurace............................................................ 7
Licenční klíče.......................................................... 7
Databáze & archivace informací...............................8
2.2. ERA Console (ERAC)..............................................8
3..
Další prvky ESET v síťovém prostředí.............. 9
3.1. Klientská řešení ESET............................................9
3.2. Konfigurační editor ESET.......................................9
3.2.1
3.2.2
Vrstvení konfigurací.............................................. 10
Klíčové položky nastavení...................................... 10
3.3. Lokální aktualizační server - Mirror........................ 11
4..
3.3.1
Provoz lokálního aktualizačního serveru ................. 11
3.3.2
3.3.3 Typy aktualizací.....................................................12
Aktivace a nastavení funkce Mirror v praxi...............12
ESET Remote Administrator Console v detailu.15
4.1. Přihlášení se k ERAS.............................................15
4.2. Hlavní okno ERAC................................................15
4.3 . Filtrace informací.................................................16
ESET Remote Administrator
Copyright © Eset, spol. s r. o. 2007
Eset software, spol. s r. o.
Meteor Centre Office Park
Sokolovská 100/94
180 00 Praha 8
Česká republika
Obchodní oddělení
[email protected]
tel.: +420 233 090 233
Technická podpora
[email protected]
tel.: +420 233 090 244
Všechna práva vyhrazena. Žádná část této
publikace nesmí být reprodukována žádným
prostředkem, ani distribuována jakýmkoli
způsobem bez předcházejícího písemného
povolení společnosti Eset, spol. s r. o.
Společnost Eset software, spol. s r. o. si vyhrazuje
právo změn programových produktů popsaných
v této publikaci bez předchozího upozornění.
V dokumentu použité názvy programových produktů,
firem apod. mohou být ochrannými známkami nebo
registrovanými ochrannými známkami příslušných
vlastníků.
REV.20080313-002
4.3.1 4.3.2 4.3.3 4.3.4
Skupiny.................................................................16
Filter.....................................................................16
Kontextové menu.................................................. 17
Pohledy ................................................................18
4.4 . Záložky ERAC......................................................18
4.4.1 4.4.2 4.4.3 4.4.4 4.4.5 4.4.6 4.4.7 4.4.8 4.4.9
4.4.10
O záložkách a klientech obecně..............................18
Replikace & informace na jednotlivých záložkách.....18
Záložka Clients......................................................19
Záložka Threat Log................................................. 21
Záložka Firewall Log.............................................. 22
Záložka Event Log................................................. 22
Záložka Scan Log.................................................. 22
Záložka Tasks........................................................ 23
Záložka Reports.................................................... 23
Záložka Remote Install.......................................... 25
4.5 . Nastavení ERA konzole........................................ 25
4.5.1 4.5.2 4.5.3 4.5.4 4.5.5 4.5.6 Záložka Connection.............................................. 25
Záložka Columns – Show / Hide............................. 25
Záložka Colors...................................................... 25
Záložka Paths....................................................... 25
Záložka Date / Time.............................................. 25
Záložka Other Settings.......................................... 25
4.6 . Nastavení ERA serveru prostřednictvím konzole.... 26
4.6.1 4.6.2 4.6.3 4.6.4 4.6.5 4.6.6 4.6.7 Záložka General.................................................... 26
Záložka Security.................................................... 26
Záložka Server Maintenance.................................. 27
Logging................................................................ 27
Replication........................................................... 27
Updates............................................................... 28
Other Settings...................................................... 29
5. Úlohy............................................................30
5.1 . Úloha typu Configuration.................................... 30
5.2 . Úloha typu On-Demand Scan............................... 30
5.3 . Úloha typu Update Now.......................................31
6. Instalace klientských řešení ESET..................... 32
6.1 . Parametry příkazové řádky klientských řešení
.
ESET.................................................................. 32
6.2 . Metody instalace................................................ 32
6.2.1 6.2.2 6.2.3 6.2.4 6.2.5 Přímá instalace s předdefinovanou XML
konfigurací........................................................... 32
Obecně o vzdálené instalaci .................................. 33
Push metoda vzdálené instalace............................ 34
Vzdálená instalace prostřednictvím logon
skriptu / e-mailu................................................... 37
Vzdálená instalace vlastní cestou........................... 39
6.3 . Agent einstaller.exe v detailech............................ 39
6.4 . Obrana před opakovanou instalací.......................40
6.5 . Chybové stavy během instalace............................40
6.5.1 7..
Diagnostika průběhu vzdálené instalace.................41
Praktické ukázky nasazení řešení ESET Remote
Administrator, Mirror serveru a klientských
řešení ESET................................................. 42
7.1 . Menší síť – 1x ERAS, 1x Mirror server...................... 42
7.1.1 7.1.2 7.1.3
7.1.4 7.1.5 Instalace ERA serveru............................................ 42
Instalace ERA konzole........................................... 42
Konfigurace funkce Mirror..................................... 42
Vzdálená instalace na stanice fyzicky ve firmě......... 43
Vzdálená instalace na notebooky fyzicky
mimo firmu.......................................................... 44
7.2 . Pobočková síť – 2x ERAS, 2x Mirror server............. 46
7.2.1 7.2.2 7.2.3 7.2.4 8..
Instalace na centrále.............................................46
Pobočka: Instalace ERA serveru............................. 47
Pobočka: Instalace HTTP Mirror serveru................. 47
Pobočka: Vzdálená instalace na klienty.................. 47
Tipy & triky.................................................48
8.1. Export a další využití současné XML konfigurace
klienta............................................................... 48
8.2. Nastavení aktualizace ze dvou zdrojů pro mobilní
zařízení.............................................................. 48
8.3 . Odstranění existujících profilů.............................. 49
8.4 . Nastavení plánovače úloh.................................... 50
8.5 . Uživatelské “custom” instalační balíky....................51
1. Úvod
ESET Remote Administrator je nástrojem, který je určen pro vzdálenou správu řešení ESET v síťovém prostředí. Díky
řešení ESET Remote Administrator (dále jen ERA) lze z jednoho místa sledovat činnost řešení ESET na jednotlivých
klientech (tedy na stanicích, serverech apod.), reagovat na vzniklé situace díky přítomnosti systému úloh a v
neposlední řadě provádět i vzdálené instalace řešení ESET.
ERA sám o sobě neřeší antivirovou, ani jinou formu ochrany před průnikem škodlivého kódu. Nasazení ERA je tak
podmíněno přítomností klientských nebo serverových řešení ESET NOD32 (typicky ESET NOD32 Antivirus nebo ESET
Smart Security běžící na stanicích).
Nasazení kompletního portfolia řešení ESET tak spočívá v:
• instalaci ERA serveru (ERAS),
• instalaci ERA konzole (ERAC),
• instalaci Mirror serveru,
• instalaci klientů (ESET NOD32 Antivirus, ESET Smart Security, ESET Server Edition apod.).
Na konci tohoto dokumentu se nacházejí praktické příklady nasazení řešení ESET.
V některých pasážích dokumentace mohou být použity systémové proměnné, vyjadřující přesné umístění složek / souborů:
%ProgramFiles% = typicky C:\Program Files
%ALLUSERSPROFILE% = typicky C:\Documents and Settings\All Users
Obrázek 1 Zjednodušené schéma sítě po nasazení řešení ESET pro klienty a ESET Remote Administrator. ERAS a MIRROR
SERVERmůže / nemusí být fyzicky na tomtéž stroji.
4
2. ERA – architektura klient / server
Po technické stránce se řešení ESET Remote Administrator skládá ze dvou částí, ERA Server (ERAS) a ERA Console
(ERAC). Počet současně běžících instancí ERAS a ERAC není v rámci licence omezen. Omezen je pouze počet
současně spravovaných klientů (viz. ERAS, licenční klíče).
2.1 ERA Server (ERAS)
Serverová část ERA funguje jako služba pod systémy na bázi Microsoft Windows NT (NT4, 2000, XP, 2003). Hlavní
úlohou ERAS je „sběr“ informací z klientů a naopak zasílání požadavků klientům. Požadavky (úlohy pro změnu
konfigurace, požadavky na vzdálenou instalaci atd.) pro klienty lze vytvářet prostřednictvím druhé části – ERA
Console (ERAC).
Ve výsledku je tak ERAS rozhraním mezi ERAC a klienty a místem, kde se veškeré informace zpracovávají, udržují,
popřípadě předávají ke klientům či ERAC.
2.1.1
Požadavky
ERAS funguje jako služba a je tedy nutná přítomnost operačního systému na bázi Microsoft Windows NT (NT4,
2000, XP, 2003). Serverová edice Microsoft Windows není nutností. Počítač na kterém ERAS poběží by měl být v
nonstop provozu a síťově dosažitelný pro:
• klienty (typicky stanice)
• PC s ERA konzolí
• ostatní ERAS při použití replikace
Následuje přehled síťové komunikace, která se může v souvislosti s ERAS vyskytnout. Na portech TCP 2221,
2222, 2223, 2224, 2846 poslouchá přímo proces era.exe. V dalších případech se komunikace vztahuje i na procesy
operačního systému (např. NetBIOS over TCP/IP).
Protokol
Port
Popis
TCP
2222 (ERAS poslouchá)
Komunikace mezi klienty a ERAS.
TCP
Komunikace mezi ERAC a ERAS.
TCP
Na tomto portu jsou standardně
poskytovány aktualizace skrze funkci Mirror
integrovanou v ERAS (HTTP komunikace).
Při využití všech funkcionalit může být síťové požadavky rozšířeny o toto:
Protokol
Port
Popis
TCP
Komunikace mezi agentem einstaller.exe a
ERAS během vzdálené instalace.
TCP
Replikace mezi ERAS..
TCP
139 (cílový port z pohledu ERAS)
Kopírování agenta einstaller.exe z ERAS
na klienta prostřednictvím share admin$
během push instalace.
UDP
„Name resolving“, během vzdálené instalace.
UDP
„Browsing“, během vzdálené instalace.
TCP
Přímý přístup ke sdíleným prostředkům
přes TCP/IP během vzdálené instalace
(alternativa k TCP 139).
Minimální HW konfigurace pro nasazení ERAS je zároveň doporučenou konfigurací pro použitý operační systém
Microsoft Windows.
5
2.1.2
Hierarchie ERAS v rozsáhlejších sítích
V rozsáhlejších sítích lze nasadit několik ERAS a vzdálenou instalaci klientů a jejich pozdější správu tak realizovat z
dostupnějších ERA serverů. Pro tento účel nabízí ERA server tzv. replikaci, kdy je možné veškeré ukládané informace
předávat i nadřízenému ERA serveru (tzv. „upper server“). Konfiguraci replikace lze realizovat prostřednictvím ERAC.
Praktickým příkladem použití replikace může být společnost, která má několik poboček. Nabízí se zde varianta
instalace ERA serveru na každou pobočku a jejich podřízení pod ERAS na centrále. Výhoda replikace bude
markantnější ve chvíli, kdy mezi centrálou a pobočkami budou „nataženy“ pomalé VPN linky. Administrátorovi na
centrále bude totiž ke kompletní správě stačit připojení k hlavnímu ERAS na centrále (na následujícím obrázku jde o
komunikaci označenou písmenem A). Nebude muset přistupovat ERA konzolí skrze pomalé VPN linky k jednotlivým
pobočkám (komunikace B, C, D, E). Tato nepohodlná komunikace zůstane administrátorovi skrytá díky fungující
replikaci mezi ERA servery.
V rámci nastavení replikace lze určit, které informace se mají předávat nadřazeným serverům automaticky ve
stanoveném intervalu a které až na požádání administrátora spravující nadřazený server. Replikace tak zvyšuje
nejen komfort, ale může šetřit i přenosovou kapacitu linky.
Zároveň se otevírá možnost přístupu několika osob s různými právy. Administrátor přistupující skrze ERAC na
ERAS praha2.firma.cz (komunikace E) bude mít možnost spravovat jen klienty, kteří se hlásí k praha2.firma.cz.
Administrátor připojený na praha.firma.cz (C) pak klienty hlásící se k praha.firma.cz, praha1.firma.cz, praha2.firma.
cz. Administrátor připojený k centrále (A) pak bude moci spravovat veškeré klienty na centrále i pobočkách.
Obrázek 2 Fungování replikace mezi pobočkami a centrálou společnosti.
6
2.1.3
Instalace
Instalace spočívá ve spuštění instalačního souboru. Během instalace bude požadováno zadání licenčního klíče, tedy souboru s
příponou .LIC. Při pokročilém režimu instalace lze definovat další parametry serveru, které lze změnit později prostřednictvím
ERAC (obvykle je není potřeba měnit). Výjimkou je specifikace názvu serveru. Název by měl odpovídat názvu v DNS, jménu
počítače, popřípadě IP adrese, pod kterou bude takto označený server viditelný. Tato informace se stane klíčovou především při
realizaci vzdálené instalace. Pokud nebude název serveru specifikován, doplní se automaticky hodnota systémové proměnné
%COMPUTERNAME% (název PC), což je většině případů dostačující.
Programové části ERAS se standardně instalují do složky
%ProgramFiles%\Eset\Eset Remote Administrator\Server
a proměnlivé části (protokoly, instalační balíčky, konfigurace atd.) do složky
%ALLUSERSPROFILE%\Data aplikací\Eset\Eset Remote Administrator\Server
2.1.4
Protokoly
ERAS nemá žádný vizuální výstup s výjimkou protokolu v podobě textového souboru. Tento se nachází ve složce
%ALLUSERSPROFILE%\Data aplikací\Eset\Eset Remote Administrator\Server\logs
Do protokolu (soubor era.log) jsou průběžně zapisovány události, ke kterým došlo během provozu ERAS, včetně
chybových stavů při pokusu o zavedení služby ERAS (například v souvislosti s chybou databáze nebo licenčního
klíče). Lze tak zjistit přesný důvod nezavedení se služby ERAS.
V nastavení ERAS (prostřednictvím ERAC) lze nastavit několik úrovní logování, včetně rotací protokolů a tím významně
omezit velikost nebo růst protokolů. Zároveň lze povolit zápis do aplikačního logu operačního systému
2.1.5
Konfigurace
ERAS lze částečně nastavit již při samotné instalaci (především v pokročilém režimu) nebo později prostřednictvím
ERA konzole, připojené k danému ERA serveru. V nouzi lze editovat přímo konfigurační soubory XML na serveru ve
složce
%ALLUSERSPROFILE%\Application Data\Eset\Eset Remote Administrator\Server\configuration
Z bezpečnostních důvodů je odděleno nastavení hesel a dalšího nastavení do samostatných XML souborů.
Případnou ztrátu hesel (např. pro přístup k ERA serveru) lze tak bez vedlejších efektů řešit odmazáním souboru era_
private.xml ve složce configuration.
2.1.6
Licenční klíče
Licenční klíč je soubor s příponou .LIC, strukturou připomíná XML, navíc je ale opatřen elektronickým podpisem.
Tento soubor je klíčový pro provoz ERAS, jelikož obsahuje mimo jiné tyto informace:
• jméno vlastníka licence,
• počet klientů, které je možno současně spravovat (počet licencí),
• datum expirace licence.
Může tak nastat několik stavů:
• LIC soubor není přítomen
ERAS poběží v režimu, ve kterém lze prostřednictvím ERAC spravovat maximálně 2 klienty (např. stanice) po časově
neomezenou dobu.
• LIC soubor je poškozen
Služba ERA serveru v tomto případě vůbec nenaběhne – o této skutečnosti bude veden záznam v protokolu era.log.
• LIC soubor je po expiraci
Pokud je datum expirace v LIC souboru starší, než aktuální, pak není možné navázat komunikaci mezi ERAC – ERAS.
ERAS ale nadále přijímá informace od klientů, brání jen jejich správě.
• LIC soubor je pro menší počet klientů, než je ve skutečnosti spravováno
Tento stav bude patrný během používání ERAC, kde bude správce na tuto skutečnost upozorněn a nebude možné
spravovat klienty, které jsou nad limitem zapsaným v licenčním klíči.
7
Licenční klíče je potřeba ukládat do složky
%ALLUSERSPROFILE%\Application Data\Eset\Eset Remote Administrator\Server\license
Při instalaci ERAS je licenční klíč nakopírován do složky automaticky. V případě rozšíření nebo update licence je ale
potřeba zajistit manuální aktualizaci licenčního klíče. V uvedené složce může být umístěno větší množství licenčních
souborů, ERAS si sám vybere ten nejvhodnější a jeden z .LIC souborů využije (podmínkou je pouze přípona .LIC). Pro
okamžité převzetí nových licenčních klíčů je nutný restart služby ERAS.
Existuje několik metod, jakým dopravit licenční klíč na ERAS:
• Nakopírováním do uvedené složky na ERA serveru (nutný restart ERAS služby).
• Využitím funkce v ERAC pro vzdálený import licenčního klíče na ERA server.
• Využitím funkce v ESS / EA pro import licenčních klíčů.
2.1.7
Databáze & archivace informací
ERAS je databázově jištěn komponentou MDAC (Microsoft Data Access Components), přičemž rozsáhlejší záznamy
jsou ukládány do samostatných souborů (složka storage).
Součástí ERAS jsou nástroje, které umožňují automatickou správu databáze a udržovaných informací, přičemž je lze
nastavit během pokročilého režimu instalace, popř. kdykoliv později pomocí ERAC. Údržba databáze vede k rychlejší
odezvě ERAS na případné databázové dotazy a nižšími nároky na volné místo pevného disku.
Doporučujeme ponechat minimálně standardní nastavení, kdy jsou automaticky odmazávány záznamy starší než 6
měsíců a v případě vytíženějších strojů s ERAS (několik stovek klientů a více) tuto hodnotu snížit.
Databáze je fyzicky uložena ve složce
%ALLUSERSPROFILE%\Application Data\Eset\Eset Remote Administrator\Server\database
a soubory vázané k záznamům v databázi v:
%ALLUSERSPROFILE%\Application Data\Eset\Eset Remote Administrator\Server\storage
Do složky storage, tedy do samostatných souborů se ukládají informace o klientech, kteří s ERAS komunikují. Jde
přitom o:
•
•
•
•
detaily klientů (XML konfigurace, Protection Status, Protection Features, System Information),
detaily protokolů (ze záložek Threat Log, Scan Log),
detaily úloh,
detaily naplánovaných reportů (nesouvisí přímo s komunikací mezi klientem a ERAS).
Pokud je složka storage umístěna pod souborovým systémem NTFS, lze uplatnit NTFS kompresi a tak výrazně zredukovat
její velikost při větším objemu informací.
2.2 ERA Console (ERAC)
ERAC je klientskou částí řešení ERA. ERAC se obvykle instaluje na stanici, ze které bude operovat správce sítě a
sledovat provoz řešení ESET na jednotlivých klientech. Pomocí ERA konzole se lze připojit k serverové části ERA – na
cílový port TCP 2223. Tuto komunikaci zajišťuje proces console.exe, obvykle ve složce:
%ProgramFiles%\Eset\Eset Remote Administrator\Console
ERAC může během instalace vyžadovat zadání jména ERA serveru, ke kterému se pak konzole dokáže automaticky
připojit při každém jejím startu. ERA konzoli je možné nastavit kdykoliv později.
ERAC lokálně ukládá pouze HTML výstupy z grafických protokolů, veškeré ostatní informace jsou zasílány v rámci
komunikace na portu TCP 2223 z ERAS.
8
3. Další prvky ESET v síťovém prostředí
3.1 Klientská řešení ESET
Klientským řešením lze označit samotné bezpečností produkty pro detekci škodlivého kódu na stanicích nebo
serverech. Jde o řešení ESET NOD32 Antivirus nebo ESET Smart Security.
Klienti navazují mimo jiné dva stěžejní komunikační kanály s:
• ERA serverem na portu TCP 2222 s cílem zaslat aktuální informace o dění (protokoly, aktuální konfiguraci, hlášení
o zachycení škodlivého kódu...), a zároveň od ERAS převzít požadavky, které tam pro daného klienta čekají
(požadavek na změnu konfigurace, provedení kontroly disku...).
• Aktualizačním serverem na definovaném portu (jde přitom o protokol HTTP nebo SMB). V dalších částech
dokumentace bude vysvětleno, že lze vytvořit lokální aktualizační server (Mirror), popřípadě využít
aktualizačních serverů společnosti ESET rozmístěných v síti internet.
Obrázek 3 Nejdůležitější komunikace mezi klienty, ERAS, ERAC a aktualizačními servery. ERAS a MIRROR SERVER může být v
provozu na totožném stroji.
3.2 Konfigurační editor ESET
Konfigurační editor ESET je významnou komponentou, která se využívá hned na několika místech, minimálně při
tvorbě:
• předdefinované konfigurace pro instalační balíčky,
• konfigurace, zasílané klientům prostřednictvím úloh,
• obecného konfiguračního souboru.
Konfigurační editor je součástí ERAC a fyzicky jde převážně o soubory cfgedit.*.
Konfigurační editor ESET umožňuje detailně nastavit většinu parametrů některých řešení ESET (především těch,
které se instalují na cílové stanice) a toto nastavení vyexportovat v XML formátu. XML podobu (např. v podobě .XML
souboru) pak lze využít na řadě míst (tvorba úloh v ERAC, lokální import konfigurace v ESET Smart Security atd.).
Pro konfigurační editor je velice důležitá šablona, podle níž je naplněna celá stromová struktura. Šablona je přímo
součástí cfgedit.exe.
Při používání konfiguračního editoru se nabízí otevření libovolného .XML souboru. Je potřeba se vyvarovat modifikaci či
přepsání souboru cfgedit.xml!
Pro kompletní funkcionalitu konfiguračního editoru jsou důležité i soubory eguiEpfw.dll, cfgeditLang.dll a eguiEpfwLang.dll.
9
3.2.1
Vrstvení konfigurací
Konfigurační editor ESET zapíše do XML výstupu pouze ty položky ze stromové struktury konfigurace, které mají v
editoru modrý symbol . Položky s šedým symbolem nebudou do výstupního XML zapsány.
Při uplatnění konfigurace na klientech se tak logicky provedou pouze ty operace, které byly zapsány v XML výstupu
(tedy pouze ty s ) a vše ostatní ( ) zůstane v původním stavu.Lze tak na klienty postupně uplatnit několik dílčích
konfigurací a přitom „nepoškodit“ dříve provedené změny.
Příkladem může být následující situace. V rámci této konfigurace bude na klientech nastaveno uživatelské jméno,
heslo a zakázáno použití proxy:
Druhá konfigurace uplatněná na klientech způsobí, že vše zůstane zachováno (včetně dříve zaslaného jména AV1234567 a hesla), avšak bude povoleno použití proxy a nastavena adresa a port proxy serveru.
3.2.2
Klíčové položky nastavení
Následuje přehled klíčových položek dostupných v konfiguračním editoru v souvislosti s klientským řešením ESET
Smart Security:
• Větev Kernel > Setup > Remote administrator
Zde lze povolit komunikaci klienta s ERA serverem (Connect to Remote Administrator server). Je potřeba
nadefinovat minimálně název nebo IP adresu ERA serveru (Server address). Interval komunikace (Interval
between connections to server) doporučujeme ponechat standardní - 5 minut. Pro testovací účely lze nastavit
hodnotu intervalu na 0 (komunikace bude zahájena každých 10 sekund). Pokud je nastaveno heslo (Password), je
potřeba nastavit shodné i na samotném ERA serveru (viz. kapitola o nastavení ERAS - volba Password for Clients).
Komunikace mezi klientem a ERAS bude v takovém případě šifrována.
• Větev Kernel > Setup > License keys
10
•
•
•
•
Na klientech není nutno žádné licenční klíče přidávat ani spravovat. Tato větev má význam u některých
serverových řešení.
Větev Kernel > Setup > Set parameters for ThreatSense reporting
Definuje chování služby ThreatSense.Net, která zajišťuje odesílání podezřelých souborů k analýze do laboratoří
společnosti ESET. Při nasazení v síti jsou stěžejní především volby Submit suspicious files a Enable submission of
anonymous statistical information. Těmito lze ThreatSense.Net zcela zakázat (Do not submit), popř. nastavit
režim, kdy nebude uživatel obtěžován dialogy pro potvrzení odeslání podezřelých souborů (Submit without
asking). Pokud je pro připojení k Internetu vyžadováno proxy, je pro správný chod ThreatSense.Net potřeba
nastavit též větev Kernel > Setup > Proxy server.
Větev Kernel > Setup > Protect setup parameters
Umožňuje uzamknout přístup do nastavení heslem. Toto heslo bude vyžadováno přímo na klientském řešení při
vstupu do jeho nastavení. Budoucí úpravy v nastavení skrze řešení ERA nebudou tímto heslem ovlivněny.
Větev Kernel > Setup > Scheduler/Planner
Plánovač úloh, ve kterém je možné nadefinovat např. pravidelnou antivirovou kontrolu disku apod.
Řešení ESET obsahují standardně několik předdefinovaných úloh (včetně pravidelné antivirové ochrany nejvýznamnějších
souborů a pravidelné automatické aktualizace) a ve většině případů tak není nutné přidávat nové ani upravovat stávající
úlohy.
Větev Update
V této části konfigurace lze nastavit jednotlivé aktualizační profily. Za normálních okolností stačí změnit
nastavení předdefinovaného profilu My profile a zaměřit se především na Update server, User name a Password.
Pokud Update server = AUTOSELECT, pak budou aktualizace vyhledávány na aktualizačních serverech společnosti
ESET. V tomto případě je nutné doplnit atributy User name a Password údaji získanými při zakoupení licence.
Pokud má být klient aktualizován z lokálního aktualizačního serveru (Mirror), jak jsou bližší informace uvedeny v
následující kapitole.
U mobilních zařízení lze využít dva profily, které zajišťují podle potřeby aktualizaci z lokálního Mirror serveru, popř. ze
serverů společnosti ESET. Více informací v závěru této dokumentace.
Další informace související s konfigurací lze najít v závěru této dokumentace.
3.3 Lokální aktualizační server - Mirror
Funkce Mirror umožňuje vytvoření lokálního aktualizačního serveru. Klienti pak nestahují aktualizace přímo z
internetových serverů společnosti ESET, ale přistupují k lokálnímu aktualizačnímu serveru ve stejné, nebo bližší
síti. Mezi výhody tohoto řešení patří především nižší objem přenesených dat a nižší nároky na přenosové pásmo
(aktualizace stahuje z internetu pouze Mirror server). Jediným možným úskalím se může stát výpadek Mirror
serveru v případě, že jde pro klienty o jedinou cestu stahování aktualizací.
POZOR! Výpadkem může být i stav, kdy programovou aktualizaci absolvovalo přímo řešení ESET Smart Security nebo
ESET NOD32 Antivirus s aktivní funkcí Mirror. Dokončení aktualizace může vyžadovat restart PC a dokud není proveden,
nebudou stahovány žádné aktualizace pro server, avšak ani pro klienty! NENÍ PROTO VHODNÉ NUTIT SERVEROVÉ
INSTALACE ŘEŠENÍ ESET DO AUTOMATICKÝCH PROGRAMOVÝCH AKTUALIZACÍ!
Funkce Mirror je dostupná:
• v řešení ESET Remote Administrator (fyzicky běží Mirror na straně ERAS, lze ji však spravovat skrze ERA konzoli),
• v řešení ESET Smart Security Business Edition nebo ESET NOD32 Antivirus Business Edition po vložení licenčního
klíče pro Business edici.
Je pouze na zvážení administrátora, kterou ze dvou nabízených variant uplatní.
Ve větších sítích lze vytvořit celou kaskádu lokálních aktualizačních serverů (např. v rámci poboček), podobně jako v
případě ERAS.
3.3.1
Provoz lokálního aktualizačního serveru
Server (může jít i o klasickou stanici) s Mirror serverem by měl být neustále v provozu a připojen k internetu, popř. k
nadřazenému Mirror serveru (kaskáda). Obecně lze aktualizační balíčky přijímat ve dvou formách:
1. prostřednictvím protokolu HTTP (preferovaná varianta),
2. prostřednictvím síťově sdíleného adresáře (SMB).
11
Aktualizační servery společnosti ESET fungují na protokolu HTTP s využitím autorizace a minimálně hlavní Mirror
server musí k těmto serverům přistupovat spolu s vyplněným uživatelským jménem (obvykle ve tvaru AV-xxx nebo E
AV-xxx) a heslem.
Přímo řešení ESET s funkcí Mirror nabízejí integrovaný HTTP web server (varianta 1).
V případě použití integrovaného HTTP web serveru (bez autorizace) je potřeba zajistit, že tento nebude dostupný z jiné sítě,
než pro kterou je zakoupena licence. Jmenovaný typ serveru nesmí být v žádném případě dostupný z internetu.
Integrovaný HTTP web server poslouchá standardně na portu TCP 2221. Pozor, zda na zmiňovaném portu neposlouchá jiná
aplikace!
V případě potřeby je možné použít jakýkoliv jiný HTTP server. Zároveň pak lze nastavit případnou autorizaci jménem
/ heslem (v případě Apache Web Server jde o .htaccess metodu), kterou řešení ESET podporuje.
Pří použití druhé metody (síťově sdílený adresář) je potřeba složku s aktualizačními balíčky síťově sdílet pro čtení.
Klienti se pak musí k tomuto sdílení autorizovat jménem a heslem uživatele, který má k danému sdílení přístup.
Klientská řešení ESET fungují pod účtem SYSTEM a mají tak zcela odlišná síťová práva než právě přihlášený uživatel.
Autorizace jménem / heslem uživatele je tak nutností i v případě, že síťově sdílený adresář je dostupný pro “everyone” a s
přístupem nemá problém ani právě přihlášený uživatel. Podobná je situace s definováním síťové cesty ve tvaru UNC vs X:\.
Nedoporučujeme definovat cesty ve tvaru DISK:\ !!!
V této souvislosti (varianta 2) doporučujeme založit na Mirror serveru uživatele přímo určeného pro tento účel
(např. noduser) a přes něj se autorizovat ze všech klientů. Tento uživatel by měl mít nastaveno právo ke čtení síťově
sdílené složky s aktualizačními balíčky.
Při autorizaci k síťově sdílené složce je potřeba uživatelské jméno definovat v celém tvaru WORKGROUP\User, popř.
DOMAIN\User
Kromě případné autorizace je potřeba na klientech přenastavit i zdroj, ze kterého bude řešení ESET aktualizace
čerpat. Může tak jít o URL adresu k lokálnímu serveru ve tvaru
http://nazev_Mirror_serveru:port
popř. o UNC síťovou cestu se syntaxí
\\nazev_Mirror_serveru\nazev_sdileni
3.3.2
Typy aktualizací
Kromě pravidelné virové aktualizace, kdy je součástí i aktualizace jádra řešení ESET, dochází velice zřídka i k tzv.
programové aktualizaci řešení ESET. Programová aktualizace obvykle přidává novou funkcionalitu řešení ESET a ve
většině případů vyžaduje restart klienta (celého PC) 1. Pokud je v síti nasazen a využíván Mirror server, logicky musí
takovou aktualizaci stáhnout právě tento server.
Mirror server nabízí funkci, která dokáže zakázat stažení programových aktualizací z aktualizačních serverů ESET
(popř. z nadřazeného Mirror serveru) a tedy i jejich distribuci na klienty. Distribuci programové aktualizace lze
kdykoliv vynutit manuálně na povel administrátora (např. v momentě, kdy je zřejmé, že s novou verzí nebude žádný
problém vůči jiným používaným aplikacím).
Tato funkcionalita je smysluplná z důvodu, že řešení ESET dokážou stahovat a používat virové aktualizace i
přes existenci nové programové aktualizace. Stav, kdy se na stanici nenachází poslední programová verze a je
využita poslední verze virové databáze, nemusí znamenat méně kvalitní ochranu před škodlivými kódy. Přesto
doporučujeme dříve nebo později vždy na poslední programovou aktualizaci přejít.
3.3.3 Aktivace a nastavení funkce Mirror v praxi
Pokud je používán Mirror integrovaný přímo do řešení ESET Remote Administrator (součást Business Edition), stačí
se k danému ERAS připojit prostřednictvím ERA konzole a postupovat následovně:
• zvolit menu Tools > Server Options... > záložka Updates,
• jako Update server nastavit AUTOSELECT (aktualizace ze serverů společnosti ESET), popř. URL / UNC cestu k
nadřazenému Mirror serveru,
• nastavit interval (Update interval) aktualizací (doporučujeme 60 minut),
1 V minulosti byl programovou aktualizací proveden automatický upgrade všech klientů z verze NOD32 1.0 na
NOD32 2.0. Následně pak přechod z 2.0 na 2.5 a později i na 2.7.
12
• nastavit uživatelské jméno (Update user name) a heslo (Update password). V případě varianty AUTOSELECT jde o
jméno / heslo získané při zakoupení licence. V jiných případech jde o jméno / heslo, kterým se bude autorizovat k
nadřazenému Mirror serveru.
• Povolit volbu Create update mirror a nastavit adresář pro ukládání aktualizací. Standardně jde o relativní cestu
k adresáři “mirror\”, který bude při povolení Provide update files via internal HTTP server nabízen skrze protokol
HTTP na portu uvedeném v HTTP server port (standardně 2221).
• Autorizaci (Authentication) nastavit na NONE2.
• V záložce Other Settings > Edit Advanced Settings... a větvi ERA Server > Setup > Mirror > Create mirror for the
selected program components vybrat komponenty, které mají být stahovány (měly by být vybrány všechny
komponenty v takových jazykových verzích, které se reálně na klientech v síti nacházejí).
Mirror je součástí i samotného řešení ESET Smart Security Business Edition nebo ESET NOD32 Antivirus Business
Edition. Je na zvážení administrátora, zda použije tento Mirror server nebo Mirror server implementovaný do řešení
ESET Remote Administrator.
Pro aktivaci a provoz Mirror serveru v řešení ESET Smart Security nebo ESET NOD32 Antivirus je potřeba postupovat
následovně:
• nainstalovat ESET Smart Security nebo ESET NOD32 Antivirus,
• v nastavení řešení ESET zvolit menu Ostatní > Licence a přidat licenční klíč pro Business edici. Tímto se stane
funkce Mirror dostupnou.
• V nastavení řešení ESET zvolit menu Update > Advanced update setup (Setup...) > záložka Mirror.
• Povolit volbu Create update mirror a ideálně i Provide update files via internal HTTP server.
• Nastavit adresář pro ukládání aktualizací (Folder to store mirrored files).
• Jméno a heslo (User name, Password) slouží jako autorizace do výše uvedeného adresáře. Ve většině případů není
tyto atributy nutné vyplňovat.
2 Více informací o autorizaci se nachází v kapitole o nastavení ERA serveru..
13
• Autorizaci (Authentication) nastavit na NONE3.
• Ve spodní části vybrat komponenty4, které mají být stahovány (měly by být vybrány všechny komponenty v
takových jazykových verzích, které se reálně na klientech v síti nacházejí).
Pro plnou funkcionalitu Mirror je vhodné povolit stahování a zrcadlení programových aktualizací (komponent).
V opačném případě bude aktualizována pouze virová databáze a nikoliv celý program! V případě nasazení funkce
Mirror, jakožto součásti ESET Remote Administrator, lze toto nastavit prostřednictvím ERAC, menu Tools -> Server
Options... -> záložka Other Settings -> tlačítko Edit Advanced Settings... -> větev ESET Remote Administrator ->
ERA Server -> Setup -> Mirror. Vždy je potřeba povolit ty jazykové verze komponent, které se nacházejí na klientech.
3 Více informací o autorizaci se nachází v kapitole o nastavení ERA serveru.
4 V době tvorby této dokumentace neproběhla žádná programová aktualizace, tudíž nebyly dostupné ani žádné
programové komponenty k výběru.
14
ESET Remote Administrator Console v detailu
4.1 Přihlášení se k ERAS
Drtivá většina funkci ERA konzole bude dostupná až po přihlášení se k ERA serveru. Před prvním přihlášením k ERAS
je tak potřeba nadefinovat název ERAS, popř. jeho IP adresu:
menu File > Edit Connections... (Tools > Console Options... > záložka Connection)
Tlačítkem Add/Remove... lze přidávat jména nových ERA serverů, nebo upravovat stávající. V roletě Select connection
pak stačí vybrat požadovaný ERAS a stisknout Connect.
Další volby:
• Connect to selected server on the console startup
Konzole se po startu automaticky připojí k vybranému ERAS.
• Show message when connection fails
Při chybě během komunikace bude zobrazen varovný dialog.
Při přihlášení k ERAS bude vyžadováno heslo. Standardně není na straně ERAS nastaveno žádné heslo a z
bezpečnostních důvodů doporučujeme toto změnit volbou v menu
File > Change Password... > tlačítko Change... v řádku Password for Console
Při zadávání hesla během přihlašování lze zvolit Remember password pro zapamatování hesla (je potřeba zvážit
bezpečnostní rizika). Naopak volbou File > Clear Cached Passwords... lze tato „zapamatovaná“ hesla smazat.
Jakmile je komunikace navázána, v záhlaví okna konzole se zobrazí Connected [název_serveru].
4.2 Hlavní okno ERAC
Obrázek 4
Základní okno ESET Remote Administrator Console.
Stav komunikace ERAC vs ERAS je mimo jiné signalizován na stavovém řádku vpravo dole (1). Potřebná data z
ERAS načítá konzole pravidelně (standardně každou minutu, viz. Console Options...), přičemž o průběhu načítání
informují další části stavového řádku.
Stiskem klávesy F5 lze kdykoliv vynutit aktualizaci zobrazených dat (refresh).
15
Data jsou roztříděny do několika záložek (2) podle jejich významu. Ve většině případů lze data (5) třídit vzestupně
/ sestupně kliknutím na záhlaví s názvem atributu a zároveň lze metodou drag & drop měnit pořadí jednotlivých
sloupců. V případě rozsáhlých výstupů lze omezit množství současně zobrazených řádků (Items to show) a listovat
po stránkách. Volba View mode omezuje výpis co do množství sloupců (atributů). Více v části o filtraci informací.
Horní část (4) nabývá většího smyslu při provozování tzv. replikace. Vždy se zde nacházejí souhrnné informace o
ERAS, ke kterému je právě konzole připojena, avšak i informace o případných podřazených ERA serverech. Pomocí
filtru v části 4 lze pak ovlivnit rozsah zobrazených informací v části 5:
•
•
•
Use All Servers
V části 5 budou informace ze všech ERAS.
Use Only Checked Servers
V části 5 budou informace pouze z vybraných ERAS.
Exclude Checked Servers
V části 5 budou informace pouze z nevybraných ERAS.
Sloupce v části 4:
•
•
•
•
•
•
•
Server Name
Název serveru.
Clients
Celkové množství klientů, které se k danému ERAS hlásí.
Oldest Version
Číslo nejstarší verze (virová databáze), která se nachází mezi klienty daného ERAS.
Least Recent Connection
Nejdelší prodleva od posledního připojení k ERA serveru některého z jeho klientů.
Last Threat Alerts
Celkové množství aktuálních incidentů (souvisí s atributem Last Threat Alert v části 5).
Last Firewall Alerts
Total number of firewall alerts (see Last Firewall Alert in the section 5).
Last Event
Celkové množství aktuálních údálostí (souvisí s atributem Last Event v části 5).
Pravým tlačítkem myši v části 4 lze vyvolat kontextovou nabídku a volbou Connect to This Server se připojit napřímo k
vybranému ERAS.
Další záznamy v části 4 vznikají automaticky při povolené replikaci.
Nejvýznamnější funkce ERAC jsou dostupné jak z menu, tak z nástrojové lišty (3).
Poslední částí je pak filtr (6) – více v části o filtraci informací.
4.3 Filtrace informací
ERAC nabízí několik nástrojů a funkcí, které usnadní správu většího množství klientů či událostí.
4.3.1 Skupiny
Jednotlivé klienty lze libovolně zařazovat do skupin pomocí menu Edit > Groups v menu konzole. Zařazování do
skupin lze výhodně uplatit při filtraci či tvoření úloh, jelikož uvedené činnosti lze aplikovat pro celé skupiny zároveň.
Skupiny jsou nezávislé pro každý ERAS a nedochází k jejich replikaci. K dispozici je i funkce Synchronize with Active
Directory, která dokáže klienty rozdělit do skupin v případě, že souhlasí názvy klientů s objekty typu „computer“ na
straně AD a tyto jsou zařazeny v AD do skupin5.
4.3.2 Filtr
Pomocí filtru lze zobrazit jen ty záznamy, které administrátora zajímají. Filtr lze zpřístupnit volbou View > Show/Hide
Filter Pane v menu konzole.
Aktivace filtru se provádí zatržením Use Filter a zahájení filtrování tlačítkem Apply Changes. Pokud není nastaveno
jinak v menu Tools > Console Options..., provádí se automatická aktualizace výstupních údajů (nová filtrace) při
libovolné změně v nastavení filtru.
5 Podmínkou je, aby se ERA server nacházel fyzicky na serveru s aktivní službou Active Directory. Synchronizace
probíhá jednorázově při stisku Synchronize with Active Directory.
16
V první části Computer filter criteria lze filtrovat ERA servery / klienty a to několika způsoby:
•
•
•
•
Only clients (using whole word)
Do výstupu zahrne jen klienty, jejichž název odpovídá přesně zadanému řetězci.
Only clients beginning like
Do výstupu zahrne jen klienty, jejichž název začíná zadaným řetězcem.
Only clients like
Do výstupu zahrne jen klienty, jejichž název obsahuje zadaný řetězec.
Exclude clients (using whole word), Exclude clients beginning like, Exclude clients like
Tyto volby vyjadřují negaci výše uvedených variant.
Do pole Primary server, Computer name, Client name, MAC Address se zapisují samotné řetězce, přičemž v dotazu vůči
databázi jsou uplatněny pouze vyplněná pole, mezi nimiž je použit logický operátor AND.
V další části se lze omezit na filtraci v souvislosti se skupinami (Groups):
•
•
Clients in Groups
V tomto případě budou vybrány pouze klienti, patřící do definovaných skupin.
Clients in other Groups or N/A
Do výstupu budou zařazeny pouze klienti, kteří se nacházejí v jiných, než vybraných skupinách, popřípadě nejsou
do skupin zařazeny vůbec. Pokud se klient nachází v některé z vybraných skupin, ale zároveň i ve skupině, která
uvedena není, pak bude do výstupu zařazen i tento.
• Clients in no Groups
Tuto podmínku splňují klienti bez zařazení do skupin.
Další nastavení filtru je odlišné v závislosti na aktivní záložce, ale většinou jde o variantu časového filtru, který
umožňuje omezit výstup pouze na záznamy, které vznikly během určité doby.
4.3.3 Kontextové menu
Prostřednictvím pravého tlačítka myši ve výpisech záznamů lze aplikovat další funkce pro efektivní výpis záznamů.
Jde především o:
• Select by 'aaa'
Dojde k označení pouze těch záznamů, které obsahují řetězec aaa ve stejném atributu (sloupci), na kterém bylo
vyvoláno kontextové menu. Za řetězec aaa je automaticky dosazena hodnota buňky, na které bylo kontextové
menu vyvoláno.
• Inverse selection
Provede inverzní selekci záznamů.
• Hide selected
Skryje vybrané záznamy.
• Hide unselected
Skryje záznamy, které nejsou vybrány.
Dvě posledně jmenované možnosti lze vhodně využít po aplikaci předchozích. Filtry nastavené prostřednictvím
kontextového menu lze zrušit volbou v menu View > Cropped View, popřípadě ikonou
na nástrojové liště konzole.
Alternativní cestou je stisk klávesy F5 pro obnovení (refresh) informací.
Příklad použití:
• Chceme zobrazit pouze ty stanice, na kterých došlo k nějaké virové události:
V záložce Clients proto stiskneme pravé tlačítko myši na jakékoliv prázdné buňce Last Virus Alert a z kontextového
menu zvolíme Select by ‘ ‘. V kontextovém menu vyvoláme funkci Hide selected.
• Chceme zobrazit jen virová hlášení klienta Josef a Karel.
V záložce Alert Log stiskneme pravé tlačítko myši na jakékoliv buňce s textem „Josef “ ve sloupci Client Name.
V kontextovém menu vybereme Select by ‚Josef‘. Nyní podržíme klávesu CTRL a podobným způsobem (pravým
tlačítkem a následně Select by ‘Karel’) označíme “Karel”. Stiskneme pravé tlačítko myši a z kontextového menu
zvolíme Hide unselected. Klávesu CTRL můžeme pustit.
Zároveň lze spolu s myší využít klávesu CTRL pro označení / odznačení určitých záznamů, stejně tak klávesu SHIFT
pro označení / odznačení skupiny záznamů.
Filtraci lze vhodně využít například při tvorbě nových úloh pouze pro specifické (vybrané) klienty. Možnosti uplatnění jsou
velice široké.
17
Pohledy
Na záložce Clients lze nastavit rozsah zobrazených sloupců (atributů) v roletce View mode. Při Full View Mode jsou
zobrazeny všechny, při Minimal View Mode jen základní. Tyto režimy jsou pevně dané. Naopak režim Custom View Mode
odpovídá nastavení v menu Tools > Console Options..., záložka Columns – Show/Hide.
4.4 Záložky ERAC
4.4.1 O záložkách a klientech obecně
Většina informací se ve výsledku vždy váže k některému z přihlášených klientů. Každý přihlášený klient k ERAS je tak
jednoznačně identifikován spojením následujících atributů:
Computer Name (název klienta) + MAC Address (MAC adresa) + Primary Server6
Chování ERAS při některých operacích v síti (přejmenování PC...) lze v této souvislosti definovat v rozšířeném
nastavení ERAS. Lze tak zabránit zbytečnému založení nového klienta v záložce Clients např. v momentě, kdy je
na stanice změněn její název - computer name (např. v souvislosti s fyzickým přesunem PC do jiné kanceláře) a
zachována MAC adresa.
Klienti (tedy stanice nebo servery s instalovaným řešením ESET), kteří se k RAS přihlásili prvně, jsou ve stavu Yes u
atributu New User (lze nastavit v ERAS), což je mimo jiné graficky vyjádřeno hvězdičkou v pravé horním části ikony
malého monitoru. Tato vlastnost slouží pouze pro snazší orientaci administrátora, že se v seznamu nachází klient,
který doposud „neprošel rukou“ administrátora. Atribut může sloužit na jiné rozlišení dle uvážení administrátora.
Jakmile administrátor prostřednictvím ERAC daného klienta vhodně nastaví (přiřadí do skupiny apod.), může ho
pomocí pravého tlačítka myši a výběrem funkce Set/Reset Flags > Reset „New“ Flag zařadit mezi „již nastavené“. Ikona
daného klienta se pak změní na následující (a atribut New User na No):
Atribut Comment je volitelný ve všech záložkách. Slouží pro zadání libovolného textu administrátora (např. “kancelář
č.129”).
U časových hodnot lze v nastavení ERAC zvolit mezi relativním (“před 2 dny”) či absolutním zobrazením (20.5.2007).
Ve většině případů lze data v záložkách třídit vzestupně / sestupně kliknutím na záhlaví s názvem atributu a zároveň
lze metodou drag & drop měnit pořadí jednotlivých sloupců.
Poklepáním myší na určité hodnoty se lze přemístit do jiné záložky s upřesňujícími informacemi. Například při
poklepání na hodnotu ve sloupci Last Threat Alert lze docílit přesunu do záložky Threat Log, kde budou automaticky
vyfiltrovány pouze záznamy, související s daným klientem. Poklepáním na hodnoty v jiných sloupcích lze pak vyvolat
dialog, kde jsou o daném klientovi i informace, které by se do tabulkového výpisu stěží vešly.
4.4.2 Replikace & informace na jednotlivých záložkách
Pokud je konzole připojena k ERAS, k němuž se v rámci replikace připojují podřízené ERAS a zároveň jde o replikaci,
kdy nejsou automaticky přenášeny veškeré informace, pak může dojit k situaci, kdy konzole nenabízí k nahlédnutí
veškeré informace replikovaných klientů.
Chybět přitom mohou:
• Podrobnější protokoly k incidentům (záložka Threat Log).
• Podrobnější protokoly o on-demand skenování (záložka Scan Log).
• Detailní XML podoby současné konfigurace a stavu klientů (záložka Clients, sloupec Configuration, Protection
Status, Protection Features, System Information).
Na dialozích, kde tyto informace schází se v takových případech nachází tlačítko Request, po jehož stisku dojde
k vyžádání chybějících informací u podřízeného ERA serveru. Jelikož proces replikace zahajuje podřízený ERAS,
chybějící informace se přenesou max. do stanoveného časového intervalu replikace.
6 Ve starších verzích ERA probíhala identifikace klienta dle atributů Computer Name + Primary Server..
18
Obrázek 5 Tlačítkem Request lze zažádat podřízeny ERA server o poskytnutí chybějících informací.
4.4.3 Záložka Clients
Na této záložce lze najít základní informace o jednotlivých klientech.
Atribut
Computer Name
Význam
Pod tímto názvem bude klient vystupovat v aplikaci ERA. Pokud jde o nového klienta,
tato hodnota je shodná s hodnotou Computer Name. Client Name lze ale kdykoliv bez
vedlejších efektů změnit.
Název stanice / serveru (hostname).
MAC Address
MAC adresa (síťové karty).
Primary Server
Název ERA serveru se kterým klient přímo komunikuje.
Domain
Název domény / skupiny, ve které se klient nachází (nesouvisí se skupinami vedenými v
ERAS).
IP
IP adresa
Product Name
Název řešení ESET.
Product Version
Verze řešení ESET.
Last Connected
Čas posledního kontaktu klienta s ERAS. K tomuto termínu jsou aktuální další informace z
daného klienta s vyjímkou některých případů, kdy je použita replikace.
Protection Status
Text
Souhrnná informace o stavu řešení ESET na klientovi.
Threat DB Version
Verze virové aktualizace.
Last Threat Alert
Poslední incident.
Last Firewall Alert
Poslední poplach firewallu.
Last Event Warning
Poslední chybová událost.
Client Name
19
Last Files Scanned
Počet kontrolovaných souborů při posledním on-demand testu.
Last Files Infected
Počet infikovaných souborů při posledním on-demand testu.
Last Files Cleaned
Počet vyléčených (odstraněných) souborů při posledním on-demand testu.
Last Scan Date
Čas posledního on-demand testu.
Restart Request
Je vyžadován restart klienta (např. při programové aktualizaci)?
Restart Request
Date
Moment, od kterého je vyžadován restart klienta.
Product Last Started
Poslední start řešení ESET.
Product Install Date
Datum instalace řešení ESET.
Mobile User
Klientům s tímto příznakem bude automaticky zaslána úloha typu “update now” vždy, když
klient naváže prvotní komunikaci s ERAS (vhodné nastavení pro mobilní zaměstnance a
jejich notebooky).
New User
Více v části věnované obecně klientům.
OS Name
Název operačního systému.
OS Platform
OS platforma (Windows / Linux...).
HW Platform
32-bit / 64-bit
Configuration
Klient zasílá na ERAS i podobu konfigurace ve formátu XML. V tomto atributu je uveden
pouze čas, ze kterého konfigurace pochází (pokud pomineme možnou replikaci, pak jde
zároveň o čas, kdy byla konfigurace naposledy změněna).
Protection Status
Souhrnný stav řešení ESET. Analogický shodné s atributem Configuration.
Protection Features
Stav jednotlivých komponent řešení ESET. Analogicky shodné s atributem Configuration.
System Information
Informace o verzích jednotlivých komponent řešení ESET. Analogicky shodné s atributem
Configuration.
Některé hodnoty jsou spíše informativního charakteru a v době, kdy na ně administrátor nahlíží, nemusí být aktuální
(typická situace: v 7:00 došlo k chybě při aktualizaci, v 8:00 již proběhla bez problémů). Jedná se např. o hodnoty ve sloupci
Last Threat Alert, Last Event. Jakmile je administrátor s událostmi seznámen a považuje je za neaktuální, může na daný
řádek klepnout pravým tlačítkem myši a z kontextového menu zvolit volbu Clear “Last” Info > Clear “Last Threat Alert” Info,
popř. Clear “Last” Info > Clear “Last Event” Info. Tím odstraní informaci o posledním incidentu / události.
Obrázek 6 Neaktuální události ze sloupců Last Threat Alert a Last Event lze snadno odstranit.
20
Obrázek 7 Detailní informace o klientovi.
Na záložce Clients jsou velice rozsáhlé i možnosti při poklepání myší na libovolného klienta:
• záložka General
Významově shodné s atributy na záložce Clients. Zde lze definovat Client Name, tedy název, pod kterým bude
klient veden v ERA a nepovinný komentář.
• záložka Member Of Groups
Klient je členem uvedených skupin. Blíže v kapitole o filtraci informací.
• záložka Tasks
Úlohy, které souvisí s daným klientem. Blíže v kapitole o úlohách.
• záložka Configuration
Zde se nabízí možnost prohlédnout, popř. vyexportovat stávající konfiguraci klienta do souboru ve formátu XML.
Zároveň se nabízí varianta, kdy je stávající konfigurace využita jako šablona pro tvorbu nové / upravené XML
podoby konfigurace. Blíže v kapitole o úlohách.
• záložka Protection Status
Souhrnný stav řešení ESET. V některých případech jde o „interaktivní“ stavy, kdy je možné reagovat přímo bez
manuální definice nové úlohy, která by problém vyřešila.
• záložka Protection Features
Stav jednotlivých komponent řešení ESET.
• záložka System Information
Bližší informace o nainstalovaném řešení, o verzích jednotlivých komponent apod.
4.4.4 Záložka Threat Log
Tato záložka obsahuje podrobnější informace o jednotlivých incidentech.
Atribut
Threat Id
Client Name
Primary Server
Date Received
Význam
ID záznamu v tabulce databáze.
Název klienta, na němž incident nastal.
Čas přijetí incidentu na ERAS.
21
Date Occurred
Level
Scanner
Object
Name
Threat
Action
User
Čas vzniku incidentu na klientovi.
Úroveň incidentu.
Název komponenty řešení ESET, která incident zaznamenal.
Typ objektu.
Obvykle adresář, ve kterém byla infekce zachycena.
Obvykle název zachyceného škodlivého kódu.
Akce, která byla s daným objektem provedena.
Jméno uživatele, který byl v době incidentu přihlášen ke klientovi.
Information
4.4.5 Záložka Firewall Log
Zde jsou k dispozici záznamy z klientských firewallů.
Atribut
Význam
Firewall Id
Client Name
Název klienta, na němž událost nastala.
Primary Server
Date Received
Čas přijetí události na ERAS.
Date Occurred
Čas vzniku události na klientovi.
Level
Úroveň události
Event
Popis události
Source
Zdrojová IP adresa.
Target
Cílová IP adresa.
Protocol
Protokol, kterého se událost týká.
Rule
Pravidlo, kterého se událost týká.
Application
Aplikace, které se událost týká.
User
Jméno uživatele, který byl v době události přihlášen ke klientovi.
4.4.6 Záložka Event Log
V této záložce se nacházejí všechny ostatní události.
Atribut
Význam
Event Id
Client Name
Název klienta, na němž událost nastala.
Primary Server
Date Received
Čas přijetí události na ERAS.
Date Occurred
Čas vzniku události na klientovi.
Level
Úroveň události.
Plugin
Název komponenty řešení ESET, která událost zaznamenala.
Event
Popis události.
User
Jméno uživatele, který byl v době události přihlášen ke klientovi.
4.4.7 Záložka Scan Log
V této záložce se nacházejí výsledky jednorázových kontrol disků (on-demand skener), které byly vyvolány vzdáleně,
lokálně přímo na stanici, nebo prostřednictvím úlohy v plánovači.
Atribut
Význam
Scan Id
Client Name
Název klienta, na němž kontrola proběhla.
Primary Server
Date Received
Čas přijetí výsledku na ERAS.
22
Date Occurred
Čas vzniku výsledku na klientovi.
Scanned Targets
Cíle kontroly.
Scanned
Počet zkontrolovaných objektů.
Infected
Počet infikovaných objektů.
Cleaned
Počet odstraněných objektů (léčením, smazáním).
Status
Verdikt kontroly.
User
Jméno uživatele, který byl v době kontroly přihlášen ke klientovi.
4.4.8 Záložka Tasks
Význam této záložky je popsán v části věnované úlohám. Pokud jde o jednotlivé atributy, pak:
Atribut
Význam
Task Id
State
Stav úlohy (Active = stále se uplatňuje, Finished = klienti úlohu převzali).
Type
Informuje o typu úlohy.
Name
Název úlohy.
Description
Popis úlohy.
Date Received
Čas přijetí úlohy na ERAS.
Comment
Nepovinný komentář.
4.4.9
Záložka Reports
Funkce na této záložce umožňují generování rozličných grafických i tabulkových výstupů. Tyto mohou následně
sloužit pro další zpracování (možnost výstupu do CSV formátu), popř. lze využít přímo nástroje ERA a nechat
veškeré grafy i grafiku na něm. V takovém případě je pak výstup ve formátu HTML (+ obrázky ve formátu PNG).
Jednotlivé varianty grafického vzhledu lze vybírat v části Report > Style.
V ERA je několik předdefinovaných šablon, podle nichž je výstup generován (Report > Type):
• Top Threats
Přehled nejvíce hlášeného malware.
• Top Clients with most Threats
Přehled klientů, na kterých byl zaznamenán největší počet incidentů.
• Threats Progress
Vývoj počtu incidentů v čase.
• Threats Comparative Progress
Vývoj počtu incidentů u vybraného malware (pomocí filtru) v čase vůči celkovému hlášenému množství.
• Threats By Scanner
Poměr hlášených incidentů jednotlivými částmi řešení ESET.
• Threats By Object
Poměr incidentů dle přístupových míst, ze kterých se pokusil malware o průnik (emaily, soubory, boot sektory).
• Combined Top Clients / Top Threats
Kombinace výše uvedených typů.
• Combined Top Threats / Threats Progress
• Combined Top Threats / Threats Comparative Progress
• Clients Report, Threats Report, Events Report, Scans Report, Tasks Report
Klasický výpis tak jak je k vidění v záložkách Clients, Alert Log, Event Log, Scan Log nebo Tasks.
• Comprehensive Report
Souhrn následujících typů:
23
o
o
o
Combined Top Clients / Top Threats
Combined Top Threats / Threats Comparative Progress
Threats Progress
V části Filter lze přesněji určit, jakých klientů (Target Clients), popřípadě malware (Virus) se bude report týkat.
Další detaily lze nastavit tlačítkem Additional Settings, jedná se především o údaje v hlavičce a typech použitých
grafů. Zároveň lze odsud vyfiltrovat klienty dle stavu některých atributů a vybrat formát výstupního souboru
(HTML, CSV).
V záložce Interval lze definovat časový úsek, pro který se bude report generovat:
• Current
Do reportu budou zařazeny pouze události, které se uskutečnily ve vedle vybraném období - myšleno ve stejném,
jako nyní (př.: pokud bude report vytvářen ve středu a bude nastaveno Current Week, pak budou zařazeny
události za neděli, pondělí, úterý, středu) .
• Completed
Do reportu budou zařazeny pouze události, které se uskutečnily ve vedle vybraném, avšak uzavřeném období
(například za celý měsíc srpen, celý týden – neděle až další sobota ). Pokud je aktivní parametr Add also the
current period, budou k výše vybranému období přidány i události od posledního uzavřeného období do
současnosti.
Příklad použití:
Chceme vytvořit report týkající se událostí za poslední kalendářní týden, tedy od neděle do následující soboty.
Report budeme generovat ve středu následujícího týdne (po sobotě).
V záložce Reports / Interval, zvolíme variantu Completed a nastavíme 1 Weeks. Odstraníme Add also the current
period. V záložce Reports / Scheduler nastavíme Frequency na Weekly a vybereme Wednesday. Ostatní lze
nastavit dle požadavků administrátora.
• From / To
Umožňuje přesně definovat období pro generovaný report.
Záložka Scheduler slouží k nastavení automatického vytváření definovaného reportu ve zvoleném čase nebo intervalech
(část Frequency).
Do kolonky Run at je potřeba vepsat čas, kdy se provede generace reportu a v části and store the Result to – tlačítko Select
Target... uvést způsob, jakým se bude report exportovat. Report lze odeslat prostřednictvím e-mailu na zvolenou
adresu, popřípadě vyexportovat do adresáře. Report lze takto vyexportovat například do adresáře, který je přístupný
prostřednictvím intranetu. O reporty se tak mohou dělit zaměstnanci společnosti.
K odesílání vygenerovaných reportů e-mailem je potřeba správně nastavit SMTP server a adresu odesílatele dle
kapitoly (více v části o nastavení ERAS).
V části Range lze definovat časové období, ve kterém bude generování reportů aktivní. Přitom lze definovat počet
generování (End after), popřípadě datum konce generování (End by).
Tlačítka Save a Save as slouží k uložení nastavení definovaného reportu do šablony (template). Při tvorbě nové šablony
je potřeba stisknout Save as a šabloně přiřadit název.
V horní části okna konzole jsou k vidění názvy již vytvořených šablon a vedle nich informace o časech / intervalech,
během kterých dochází ke generování reportů dle nastavení šablon. Tlačítkem Generate Now ať už ve spodní části,
nebo v kontextovém menu (po stisku pravého tlačítka myši na vybrané šabloně) lze generování provést okamžitě bez
ohledu na plánování.
Již vygenerované reporty jsou k vidění v záložce Generated Reports. Pomocí kontextového menu lze nad reporty vytvářet
další operace.
Oblíbené šablony lze umístit do levého okna Favorites a v budoucnu tak mít možnost rychlého generování reportů
na základě oblíbených šablon. Do oblíbených lze šablonu přesunout volbou Add to Favorites v kontextovém menu
vyvolaném na seznamu naplánovaných šablon.
4.4.10
Záložka Remote Install
Tato záložka nabízí možnosti týkající se vzdálené instalace řešení ESET na jednotlivé klienty. Bližší informace lze
najít v samostatná kapitole věnované vzdálené instalaci.
4.5 Nastavení ERA konzole
ERA konzoli lze konfigurovat prostřednictvím menu Tools / Console Options...
24
4.5.1 Záložka Connection
Souvisí s připojením ERA konzole k ERA serveru. Detailněji popsáno na začátku kapitoly o ERAC.
4.5.2 Záložka Columns – Show / Hide
Zde lze definovat, jaké atributy se mají zobrazovat v jednotlivých záložkách konzole. V případě záložky Clients jde o
zobrazené informace při režimu (View mode) Custom View Mode. Ostatní režimy jsou pevně předdefinovány.
4.5.3 Záložka Colors
Zde lze definovat barevné odlišení různých událostí a často i v několika úrovních. Lze tak např. odlišit klienty, které
mají mírně starší virovou (Clients: Previous Version) databázi a klienty s velice starou databází (Clients: Older Versions or
N/A).
4.5.4 Záložka Paths
Zde lze uvést adresář, do kterého si bude konzole lokálně ukládat reporty stažené z ERAS. Standardně jde o složku:
%ALLUSERSPROFILE%\Application Data\Eset\Eset Remote Administrator\Console\reports
4.5.5 Záložka Date / Time
Určuje způsob zobrazení časových údajů:
•
•
•
•
Absolute
Konzole bude zobrazovat čas absolutní (např. 14:30:00).
Relative
Konzole bude zobrazovat relativní čas (např. „2 weeks ago“ – před dvěma týdny).
Regional
Dle regionálního nastavení (přebráno z nastavení Windows).
Recalculate UTC time to your local time (use local time)
Pokud je tato volba zaškrtnuta, budou časy přepočítány do místního času. V opačném případě budou časy
přepočítány do GMT - UTC.
4.5.6 Záložka Other Settings
• Filter settings > Auto Apply Changes
Pokud je tato volba aktivní, bude filtr na jednotlivých záložkách konzole automaticky generovat nový výstup při
každé změně v podmínkách filtru. V opačném případě proběhne filtrace dle podmínek až po stisku tlačítka Apply
Changes.
• Remote administrator updates
Zde lze nastavit, jak často bude přímo konzole kontrolovat, zda neexistuje novější verze řešení ESET Remote
Administrator. Doporučujeme ponechat volbu Monthly (měsíčně). V případě existence novější verze bude
administrátor informován po spuštění ERA konzole.
• Other settings > Use automatic refresh
Automatické obnovování výstupů na jednotlivých záložkách (data z ERAS) ve zvoleném intervalu.
• Other settings > Empty console recycle bins at application exit
Odstraní položky z interního koše konzole při ukončení konzole. Ten lze využít v záložce Reports tab.
• Show gridlines
Jednotlivé buňky záložek budou odděleny čárou.
• Prefer showing Client as "Server/Name" instead of "Server/Computer/MAC"
Ovlivňuje způsob zobrazení informací o klientech v některých dialozích (např. při tvorbě úlohy). Tato volba má
pouze vizuální dopad.
• Use systray icon
ERA konzole se bude prezentovat ikonou na liště Windows.
• Show on taskbar when minimized
Pokud bude minimalizováno okno ERA konzole, bude obnovení okna dostupné z lišty Windows (taskbar).
• Use highlighted systray icon when problematic clients found
Společně s tlačítkem Edit lze definovat události, při kterých dojde ke změně barvy malé ikony ERA konzole na liště
Windows (obvykle vedle hodin).
Nabízí se varianta, kdy bude ERA konzole připojena z PC administátora k ERA serveru nonstop. V takovém případě
doporučujeme povolit volbu Show on taskbar when minimized a konzoli nechat při nepoužívání zminimalizovanou. Jakmile
se objeví na klientech problém, ikona v systray (oblast malých ikon – obvykle vedle hodin) zčervená a stane se tak signálem
pro administrátora. Zároveň je potřeba povolit a vhodně nastavit volbu Use highlighted systray icon when problematic
clients found, tedy události, při kterých ke změně barvy dojde.
25
•
•
•
•
Show all groups in filter panes
Ovlivňuje způsob filtrace dle skupin.
Tutorial messages
Zakáže (Disable All) / povolí (Enable All) zobrazení informativních zpráv.
Warn if the server license is about to expire in X days
Pokud je povoleno, konzole bude správce informovat X dní před vypršením platnosti licence.
Warn if there is only X% free clients left in the server license
Pokud je povoleno, konzole bude správce informovat v okamžiku, kdy zbývá méně než X% volných licencí (licence
je vázána na množství spravovaných klientů).
4.6 Nastavení ERA serveru prostřednictvím konzole
ERA server lze pohodlně konfigurovat přímo přes ERA konzoli, která je k danému serveru připojena - menu Tools >
Server Options...
4.6.1 Záložka General
Zde se nacházejí především obecné informace o ERAS, informace o použitém licenčním klíči (License information) a v
neposlední řadě i statistické informace o běhu ERAS.
Tlačítkem Renew License... lze vzdáleně na ERA server dopravit nový licenční klíč v podobě .LIC souboru a tím
zabránit případné expiraci licence. Licenčním klíčům je věnována samostatná kapitola (instalace ERAS).
4.6.2 Záložka Security
Řešení ESET označená verzí 3.x (ESET Smart Security apod.) nabízejí možnost autorizace heslem při komunikaci
klient vs ERAS (komunikace na protokolu TCP, port 2222), přičemž ve výsledku je taková komunikace šifrovaná.
U starších verzí (označených jako 2.x) toto není možné. Aby byla zajištěna zpětná kompatibilita pro starší verze, lze
nastavit režim Enable unauthenticed access for Clients.
Z velké části tak slouží záložka „Security“ k nastavení kompromisu pro společné použití klientských řešení verze 2.x a
3.x.
•
•
•
•
•
•
•
Password for Console
Nastavení hesla pro přístup k tomuto ERAS prostřednictvím konzole.
Password for Clients (Eset Security Products)
Nastavení hesla pro přístup klientů k tomuto ERAS.
Password for Replication
Nastavení hesla pro přístup podřízených ERAS k tomuto ERAS v rámci replikace.
Password for Eset Remote Installer (Agent)
Nastavení hesla pro přístup agenta k tomuto ERAS. Souvisí se vzdálenou instalací.
Enable unauthenticated access for Clients (Eset Security Products)
Povolí přístup k tomuto ERAS i těm klientům, kteří mají žádné nebo špatné heslo (případ, kdy heslo nesouhlasí s
Password for Clients).
Enable unauthenticated access for Replication
Povolí přístup k tomuto ERAS i těm podřazeným ERAS, které mají žádné nebo špatné heslo pro replikaci.
Enable unauthenticated access for Eset Remote Installer (Agent)
Povolí přístup k tomuto ERAS i těm agentům, kteří mají žádné nebo špatné heslo pro zpětnou komunikaci.
Pokud je autorizace na straně klientů i ERAS nastavena a spravují se pouze řešení ESET verze 3.x, lze volbu Enable
unauthenticed access for Clients vypnout.
4.6.3 Záložka Server Maintenance
Správné nastavení na této záložce dokáže zajistit, že databáze na straně ERA serveru bude automaticky udržována
v optimálním stavu. Při standardním nastavení jsou automaticky odstraňovány záznamy starší šesti měsíců,
přičemž každých 15 dní je uplatněna funkce „compact & repair”.
Přehled jednotlivých voleb:
•
•
26
Only keep the latest X threats for each client
Ponechat pouze posledních X incidentů pro každého klienta.
Only keep the latest X firewall logs for each client
Ponechat pouze posledních X záznamů týkajících se firewallu pro každého klienta.
•
•
•
•
•
•
•
Only keep the latest X events for each client
Ponechat pouze posledních X událostí pro každého klienta.
Only keep the latest X scan logs for each client
Ponechat pouze posledních X protokolů o skenování pro každého klienta.
Delete clients not connected for the last X months (days)
Odstranit klienty, kteří se nepřipojili k ERAS více než X měsíců (dní).
Delete threat logs older than X months (days)
Smazat incidenty starší než X měsíců (dní).
Delete firewall logs older than X months (days)
Smazat záznamy týkající se firewallu starší než X měsíců (dní).
Delete event logs older than X months (days)
Smazat události starší než X měsíců (dní).
Delete scan logs older than X months (days)
Smazat protokoly o skenování starší než X měsíců (dní).
4.6.4 Logging
ERAS vytváří během chodu protokol (Log filename) o činnosti s nastavitelnou úrovní detailů (Log verbosity). V případě
textového výstupu (Log to text file) lze zajistit rotování protokolu při velikost větší než X MB (Rotate when greater than
X MB) a mazání protokolů starších než X dní (Delete rotated logs older than X days).
Část Log to OS application log zajistí zápis informací do systémového protokolu událostí (v Ovládacích panelech
Windows).
Funkce Database Debug Log by měla za normálních okolností zůstat zcela vypnutá.
Textový protokol je standardně umístěn v souboru
%ALLUSERSPROFILE%\Application Data\Eset\Eset Remote Administrator\Server\logs\era.log
V části Log to text file doporučujeme ponechat Log verbosity na úrovni Level 2 – Above + Session Errors a zvyšovat ji až při
případných problémech a po konzultaci s technickou podporou ESET.
4.6.5 Replication
Význam a funkce replikace již byl zmíněn v rámci popisu serverové části řešení ESET Remote Administrator (využívá
se v rozsáhlejších sítích při instalaci několika ERA serverů, např. na jednotlivé pobočky společnosti).
Dialog s nastavení replikace je rozdělen do dvou částí.
• Replication „to“ settings
• Replication „from“ settings
Část Replication „to“ settings je potřeba nastavit pro podřízené ERA servery. U takových ERAS musí být povolena volba
Enable „to“ replication a uvedena IP adresa nebo název nadřízeného ERA serveru (Upper server), na který se budou data
replikovat.
Část Replication „from“ replication je důležitá pro nadřízené ERA servery, které přijímají data od podřízených ERAS,
popř. je předávají k dalším nadřízeným. U takových ERAS musí být povolena volba Enable „from“ replication a
definovány názvy podřízených ERA serverů (při jejich větším počtu je lze oddělit čárkou).
Pro ERA servery, které se nacházejí „uprostřed“ hierarchie (tj. mají pod sebou podřazené servery a nad sebou
nadřazené) musí mít povoleny obě části.
Všechny tyto situace dokonale popisuje následující příklad. Béžová PC představují jednotlivé ERA servery. Pod
každým serverem je uveden název ERAS (v praxi může jít i pouhý název daného PC – computername, bez určení
domény) a část dialogu replikace včetně potřebného nastavení.
27
Další nastavení již pouze ovlivňuje chování replikace:
• Replicate threat log, Replicate firewall log, Replicate event log, Replicate scan log
Vždy dochází k replikaci informací, které jsou na záložkách Clients, Threat Log, Firewall Log, Event Log, Scan Log,
Tasks vypisovány do sloupců na jednotlivých řádcích. Kromě toho ale existují informace, které nejsou uschovány
fyzicky přímo v databázi, ale zvlášť na bázi samostatných textových souborů (se strukturou textových nebo XML
souborů). Právě tyto volby ovlivňují, zda se mají v rámci replikace přenášet i tyto pomocné informace.
• Automatically replicate threat log details, Automatically replicate scan log details, Automatically replicate client details
To jestli se tyto pomocné informace (souvisí s předchozím bodem) mají přenášet v rámci replikace zcela
automaticky a nebo až na vyžádání administrátora (viz. význam tlačítek Request) rozhodují tyto volby.
Nabízí se otázka, proč se řeší automatická replikace vs replikace na vyžádání pouze u podrobnějších logů a klientských
konfigurací. Právě tyto informace mohou být v některých případech velice rozsáhlé a zároveň nemusí být stěžejní.
Dokonalým příkladem může být protokol o skenování pevného disku C:, kdy je povoleno protokolování všech souborů (tedy i
neinfikovaných). Pokud i přesto potřebuje administrátor do takových informací nahlédnout, nabízí se volba Request.
4.6.6 Updates
Přes tuto záložku lze spravovat nastavení funkce Mirror integrované do prostředí ESET Remote Administrator (resp.
ERAS). Jde tak o alternativu k funkci Mirror přímo v řešení ESET Smart Security Business Edition a ESET NOD32
Antivirus Business Edition.
• Update server
UNC cesta nebo URL adresa aktualizačního serveru. Ve většině případů stačí ponechat hodnotu AUTOSELECT,
která zajistí automatický výběr aktualizačního serveru společnosti ESET.
• Update interval
Četnost aktualizací v minutách (doporučujeme ponechat 60 minut).
• Update user name
Uživatelské jméno pro autorizaci k serveru.
• Update password
Uživatelské heslo pro autorizaci k serveru.
28
•
•
Update now
Vyvolá proces aktualizace okamžitě.
Create update mirror
Pokud je povoleno, do adresáře Folder to store mirrored files budou ukládány aktualizace pro ostatní klienty v síti,
přičemž povolením Provide update files via internal HTTP server budou nabízeny skrze interní web server (protokol
HTTP) na uvedeném portu (HTTP server port - standardně 2221).
• Authentication
Umožňuje nastavit způsob autorizace klientů vůči ERA serveru. Volba NONE umožní připojení libovolného
klienta k HTTP serveru. Metodou Basic lze zabezpečit autorizaci využívající kódování base64. Metoda NTLM je
komplexnější metodou autorizace. Při autorizaci se na ERA serveru ověřuje existence uživatelského účtu, který je
na straně klienta nastaven v podobě uživatelského jména / hesla pro přístup k aktualizačnímu serveru.
Pro správnou funkčnost Mirror je potřeba v rozšířeném nastavení určit, které komponenty se mají z aktualizačního
serveru stahovat, včetně určení jazykových verzí. Je nutné, aby Mirror server dokonale pokryl potřeby všech
klientských řešení ESET.
4.6.7 Other Settings
• SMTP settings (Server, Sender address, Username, Password)
Některé činnosti v ESET Remote Administrator vyžadují nastavení SMTP serveru. SMTP server je nutný v případě
vzdálené instalace prostřednictvím elektronické pošty a při generování reportů, které mají být odesílány ve formě
e-mailu.
• Allow new client
Pokud není tato volba povolena, přehled klientů na záložce Clients je považován za konečný a i v případě
komunikace dalších (nových) klientů s ERAS nebude takový klient na záložku doplněn.
• Automatically reset „New“ flag by new clients
Pokud je volba aktivní, automaticky je odstraněn příznak New u prvně přihlášených klientů k ERAS. Více v
kapitole o záložce Clients.
• Ports (Console, Client, Replication port of this server, Eset Remote Installer)
Určuje porty, na kterých bude ERAS „poslouchat“ a čekat na komunikaci navázanou:
- konzolí (Console, standardně TCP 2223),
- klientem (Client, standardně TCP 2222),
- replikačním procesem (Replication port, standardně TCP 2846),
- agentem při vzdálené instalaci (Eset Remote Installer, standardně TCP 2224).
• Enable ThreatSense.Net data forwarding to ESET servers
Pokud je povoleno, ERAS bude přeposílat podezřelé soubory a statistické informace z klientů na servery ESET. V
některých případech nelze zajistit, aby tyto informace odcházely do společnosti ESET přímo z klientů.
• Edit Advanced Settings...
Jmenované tlačítko vyvolá konfigurační editor ESET, kde je možné definovat další nastavení ERAS
29
5. Úlohy
Prostřednictvím produktu ESET Remote Administrator lze klientům zasílat tzv. úlohy. Tyto se zrealizují v momentě,
kdy stanice naváže s ERA serverem komunikaci (TCP, port 2222) v pravidelném intervalu 5 minut
Momentálně jsou dostupné tři druhy úloh:
• Configuration – úloha pro změnu konfigurace klienta,
• On-Demand Scan – úloha pro vykonání on-demand kontroly,
• Update Now – úloha pro vynucení aktualizace.
Průvodce vytvářením úlohy lze vyvolat z ERA konzole kombinací kláves CTRL-N, z menu File / New Task..., přes lištu s
ikonami, nebo z kontextového menu u konkrétní stanice (v posledním jmenovaném případě může být vynecháno
několik úvodních dialogů – pro kompletní nastavení doporučujeme preferovat jiné metody vyvolání průvodce).
Obrázek 8 ERA nabízí tři druhy úloh.
5.1 Úloha typu Configuration
Při vyvolání tohoto typu úlohy je potřeba v prvním kroku vytvořit (tlačítko Create...), popř. vybrat existující (Select...)
XML soubor s konfigurací, kterou chceme na vzdálených klientech aplikovat
Konfigurace ve formátu XML jsou vzájemně kompatibilní bez ohledu na jejich původ. Lze tak uplatnit např. konfiguraci
přidruženou k instalačnímu balíku, vyžádanou z klientského řešení, popř. ručně vyexportovanou lokálně (např. z řešení ESET
Smart Security).
Nastavení konfigurace probíhá prostřednictvím konfiguračního editoru, který je popsán v samostatné kapitole.
Doporučujeme se zaměřit především na barevné odlišení malých symbolů před každým atributem – mají velký
význam. Načtenou konfiguraci si je možné prohlédnout (tlačítko View), popř. upravit (tlačítko Edit).
Tlačítko Create from Template... (vytvořit ze šablony) umožňuje načíst již existující XML konfiguraci a použít ji jako
podklad pro novou konfiguraci. Načtená šablona zůstane i v případě provedení změn v neměnném stavu.
V dalším kroku je potřeba vybrat klienty (samostatně, na úrovni skupin nebo serverů), na kterých se má XML
konfigurace aplikovat (ty, co jsou v části „Selected items“). Tlačítkem Add Special... a následně Add lze do tohoto
seznamu přemístit aktuálně zobrazené klienty ze záložky Clients (volba Add clients loaded in the Clients pane),
popřípadě pouze označené klienty (Only selected).
V závěrečném kroku lze úlohu pojmenovat (Name), popř. doplnit popisek (Description). Tyto údaje slouží pouze pro
pozdější snazší orientaci administrátora na záložce Tasks. Zároveň je možné vykonání úlohy odložit (Apply task after),
popř. zajistit, aby se ze záložky Tasks automaticky odmazala jakmile bude úspěšně dopravena na cílové klienty
(Delete tasks automaticaly by cleanup if successfully completed).
30
5.2 Úloha typu On-Demand Scan
Při vyvolání tohoto typu úlohy je nejprve nutné specifikovat, jakých klientů se bude úloha týkat (z technických
důvodů rozděleno samostatně pro verzi 2.x a 3.x a řešení pro Linux).
Pokud administrátor nastaví vlastnosti pro “On-demand Scan task for Windows NOD32” i “On-demand Scan task for
Windows Eset Security Product”, pak lze tutéž úlohu uplatnit pro starší i novější verze klientských řešení ESET zároveň.
Volbou “Exclude this section from On-Demand Scan” lze toto potlačit.
V případě klientského řešení na verzi 2.x je potřeba nastavit On-demand Scan task for Windows NOD32 a pokračovat
takto:
• Vybrat název profilu, který se při skenování uplatní na straně klienta (Profile name) – ručně lze definovat vlastní
název, jenž se nenachází v seznamu.
• Vybrat disky, kterých se má kontrola týkat (Drives to scan).
• V případě potřeby doplnit, popř. pozměnit konfiguraci profilu, vybraného v prvním bodě (tlačítko Edit).
• Pokračovat tlačítkem Další a vybrat klienty, na které bude test aplikován.
• Dokončit průvodce (shodné s úlohou pro změnu konfigurace).
On-demand skenování na straně klienta proběhne s tím, že se uplatní nastavení vybraného profilu na daných klientech +
nastavení připojené XML konfigurace (tlačítko Edit). Ke změně nastavení profilu na klientovi dochází jen DOČASNĚ v rámci
dané kontroly.
Volba Scan without cleaning je adekvátní tlačítkům Detekce (volba Scan without cleaning povolena) / Léčení (volba Scan
without cleaning zakázána) v modulu NOD32 řešení ESET NOD32 pro Windows 2.x. V praxi je rozdíl následující:
• Scan without cleaning povoleno: kontrola proběhne v režimu, kdy je vytvořen pouze protokol a s případnou infekcí
není nijak naloženo.
• Scan without cleaning zakázáno: kontrola proběhne s přihlédnutím na nastavení akcí, které se mají uplatnit při
nalezení léčitelné a neléčitelné infekce.
Pokud se na klientech nachází řešení ve verzi 3.x (ESET Smart Security, ESET NOD32 Antivirus), pak lze vybrat
variantu On-demand Scan task for Windows Eset Security Product a pokračovat následovně:
• Vybrat název profilu, který se při skenování uplatní na straně klienta (Profile name) – ručně lze definovat vlastní
název, jenž se nenachází v seznamu.
• Vybrat oblasti skenování, kterých se má kontrola týkat (Drives to scan), popř. definovat vlastní cesty (Add path).
• Pokračovat tlačítkem Další a vybrat klienty, na které bude test aplikován.
5.3 Úloha typu Update Now
Při vyvolání tohoto typu úlohy je nejprve nutné specifikovat, jakých klientů se bude úloha týkat (z technických
důvodů rozděleno samostatně pro verzi 2.x a 3.x a řešení pro Linux).
Pokud administrátor nastaví vlastnosti pro “Update Now task for Windows NOD32” i “Update Now task for Windows Eset
Security Product”, pak lze tutéž úlohu uplatnit pro starší i novější verze klientských řešení ESET zároveň. Volbou “Exclude
this section from Update Task” lze toto potlačit.
Následující kroky jsou víceméně shodné:
• Vybrat název profilu, který se při aktualizaci uplatní na straně klienta (Profile name a přepínač Specify profile name)
– ručně lze definovat vlastní název, jenž se nenachází v seznamu. Obvykle není potřeba profil definovat (ponechat
neaktivní volbu Specify profile name).
• Pokračovat tlačítkem Další.
Klientská řešení ESET (ESET NOD32 Antivirus, ESET Smart Security...) jsou standardně vybavena funkcí pro pravidelnou
automatickou aktualizaci. Úloha typu Update Now je tak pouze doplňkovou a jednorázovou funkcí.
31
6. Instalace klientských řešení ESET
Tato kapitola bude věnována instalaci (ať už přímé či vzdálené) klientských řešení ESET pro operační systémy
Microsoft Windows.
Doporučujeme vzdálenou instalaci využívat pouze k instalaci řešení ESET na stanice a nikoliv servery i když je to technicky
možné.
6.1 Parametry příkazové řádky klientských řešení ESET
Existuje řada parametrů, kterými lze průběh instalace ovlivnit. Tyto parametry lze použít během přímé instalace,
kdy je administrátor fyzicky přítomen u takových stanic, avšak i v případě vzdálené instalace. Pak jsou tyto
parametry určeny předem během tvorby instalačních balíčků a během instalace jsou na stanici vnuceny
automaticky.
Parametry ESET Smart Security a ESET NOD32 Antivirus - tyto lze zapisovat za instalační .MSI soubor (např.
ea_nt64_ENU.msi /qn):
•
•
•
•
•
•
/qn
Tichý režim instalace bez zobrazení dialogových oken.
/qb!
Uživatel nemá možnost instalaci ovlivnit, avšak její průběh je znázorněn “progressbarem” (stav instalace v %).
REBOOT="ReallySuppress"
Zakáže restart PC po dokončení instalace.
REBOOT="Force"
Vynutí restart PC po dokončení instalace.
REBOOTPROMPT =""
Na provedení restartu po dokončení instalace se dotáže (nemůže být použito dohromady s /qn).
ADMINCFG=”path_to_xml_file”
Při instalaci bude použito XML nastavení řešení ESET z definovaného souboru. Při vzdálené instalaci není potřeba
tento parametr používat. Instalační balík obsahuje vlastní XML konfiguraci, která bude automaticky při instalaci
vnucena.
Parametry pro starší řešení ESET NOD32 pro Windows ve verzi 2.x - tyto lze zapisovat za soubor SETUP.EXE, který lze
spolu s ostatními získat extrakcí instalačního souboru (např. setup.exe /silentmode):
• /SILENTMODE
Tichý režim instalace bez zobrazení dialogových oken.
• /FORCEOLD
Případnou reinstalaci provede i v případě, že právě instalovaná verze bude starší než stávající.
• /CFG=” path_to_xml_file”
Při instalaci bude použito XML nastavení řešení ESET z definovaného souboru. Při vzdálené instalaci není potřeba
tento parametr používat. Instalační balík obsahuje vlastní XML konfiguraci, která bude automaticky při instalaci
vnucena.
• /REBOOT
Vynutí restart PC po dokončení instalace.
• /SHOWRESTART
Na provedení restartu po dokončení instalace se dotáže.
• /INSTMFC
Doinstaluje potřebné MFC knihovny na operační systém Microsoft Windows 9x. Parametr může být použít vždy, i
když jsou MFC knihovny k dispozici.
6.2 Metody instalace
6.2.1 Přímá instalace s předdefinovanou XML konfigurací
Při tomto způsobu je klientské řešení ESET instalováno za fyzické přítomnosti administrátora u stanice. Tento
způsob instalace nevyžaduje žádnou větší přípravu a je vhodný především v malých počítačových sítích, popř. tam,
kde není k dispozici produkt pro centrální správu – ESET Remote Administrator.
I tuto „manuální“ práci lze částečně zpříjemnit tím, že klientské řešení ESET bude po instalaci nastaveno podle
předem dané XML konfigurace. Bez dalších úprav tak bude rovnou nastaven např. aktualizační server (jméno /
heslo, cesta k Mirror serveru...), tichý režim, pravidelná kontrola pevného disku atd.
32
Použití XML konfigurace je odlišné pro verze 3.x a 2.x řešení ESET:
• Verze 3.x: Z webových stránek ESET stáhneme instalační soubor (např. ess_nt32_enu.msi). Do adresáře se staženým
MSI balíčkem dokopírujeme XML konfiguraci z konfiguračního editoru ESET pod názvem cfg.xml. Při zahájení
instalace (spuštění MSI balíčku) bude automaticky převzato nastavení z cfg.xml. V případě, že by se konfigurační
XML jmenoval odlišně, popř. byl umístěn v jiné složce, lze použít parametr ADMINCFG=”cesta_k_xml_souboru”
(např. ess_nt32_enu.msi ADMINCFG=”\\server\xml\settings.xml” pro použití konfigurace ze síťového disku).
• Verze 2.x: Z webových stránek ESET stáhneme instalační soubor (např. ndntczst.exe). Stažený soubor rozbalíme
pomocí aplikace WinRAR. Vznikne tak adresář s řadou souborů, v němž bude figurovat i setup.exe. Do tohoto
adresáře umístíme XML konfiguraci pojmenovanou jako nod32.xml. Při zahájení instalace (spuštění setup.exe) bude
automaticky převzato nastavení z nod32.xml. V případě, že by se konfigurační XML jmenoval odlišně, popř. byl
umístěn v jiné složce, lze použít parametr /cfg=”cesta_k_xml_souboru”
(např. setup.exe /cfg=”\\server\xml\settings.xml” pro použití konfigurace ze síťového disku).
Při tomto způsobu instalace lze využít i další parametry uvedené v předchozí kapitole.
6.2.2 Obecně o vzdálené instalaci
Řešení ESET Remote Administrator nabízí několik metod vzdálené instalace. Lze též hovořit o způsobu distribuce
instalačního balíku na cílovou stanici:
• vzdálená push instalace,
• vzdálená instalace prostřednictvím logon skriptu,
• vzdálená instalace prostřednictvím e-mailu.
Není se ale potřeba omezovat pouze na nástroje ERA v případě použití jiných řešení pro vzdálenou instalaci (např.
instalace MSI balíčaků v rámci doménových politik, LANDesk...). Ve výsledku jde pouze o způsob, jakým bude
dopraven instalační soubor (popř. agent) na stanici a jakým způsobem bude zajištěno jeho spuštění s právy
administrátora. Je tak nakonec možné, že bude pro vzdálenou instalaci použitelná i metoda “přímé instalace”
popsána v předchozí části.
Vzdálené instalaci prostřednictvím ESET Remote Administrator se skládá z těchto kroků:
• tvorba instalačního balíku s názvem X,
• distribuce instalačního balíku X na stanice (push, logon skript, e-mail, externí řešení).
Tvorba instalačních balíků se realizuje skrze ERAC, avšak fyzicky jsou “balíky” ve většině případů uloženy přímo na
ERA serveru, konkrétně v:
%ALLUSERSPROFILE%\Data aplikací\Eset\Eset Remote Administrator\Server\packages
Tvorba instalačních balíků v prostředí ERA konzole je zajištěna tlačítkem Packages... v záložce Remote Install.
33
Obrázek 9 Dialog pro tvorbu instalačních balíčků.
Každý instalační balík je identifikován názvem (Name, na obrázku v části 1). Další části dialogu souvisí s obsahem
balíku, jenž bude automaticky uplatněn v momentě, kdy se daný balík podaří některou z cest dopravit na stanici.
Obsahem balíku jsou/je tedy:
• instalační soubory (2) klientského řešení ESET,
• konfigurační XML soubor pro klientské řešení ESET (3),
• parametry příkazové řádky pro klientské řešení ESET (4).
Roletka Type v části 1 pak značně rozšiřuje možnosti ERA. Kromě vzdálené instalace lze zajistit i vzdálenou
deinstalaci (Uninstall Eset Security Products and NOD32 version 2) klientských řešení ESET, popř. vzdáleně instalovat
zcela externí aplikace (Custom package).
Z technických důvodů je rozdělena instalace starších řešení ESET (2.x) a 3.x do dvou samostatných typů. Ze stejného důvodu
jsou rozděleny balíky i v adresáři packages na ERAS.
Custom package nabízí široké možnosti využití, včetně deinstalace konkurečních bezpečnostních řešení (při použití vhodné
dávky příkazů).
Ke každému balíku automaticky vzniká tzv. ESET Remote Installer, tj. agent, jehož úkolem je zajistit hladký průběh
instalace a komunikaci mezi cílovou stanicí a ERAS. Po technické stránce jde o krátký soubor einstaller.exe, v němž
je pevně zapsán název ERA serveru, název a typ instalačního balíku, ke kterému se váže. Přesný význam agenta je
zmíněn v následujících kapitolách.
6.2.3 Push metoda vzdálené instalace
Při použití této metody vzdálené instalace dochází k okamžitému “natlačení” klientského řešení ESET na cílovou
stanici. Stanice tak musí být v danou chvíli v provozu a musí být splněny tyto podmínky na straně klienta (další jsou
v úvodní kapitole o ERAS):
34
•
•
•
•
•
provoz klienta sítě Microsoft (vlastnost síťového adaptéru),
provoz služby sdílení souborů (vlastnost síťového adaptéru),
výjimka na provoz služby sdílení souborů na případném firewallu,
provoz služeb (services): Remote Registry Service, Remote Service Manager, Server,
znalost přihlašovacího jména / hesla uživatele s právy administrátora na cílových stanicích (ideální je znalost
jména / hesla doménového administrátora).
Průběh push instalace je následující:
1) V ERAC je potřeba zvolit volbu Install... (záložka Remote Install).
2)V levé části dialogu vybereme stanice, na které chceme metodou push nainstalovat klientské řešení ESET a tyto
přesuneme do pravé části (metodou drag & drop).
3)V roletce Package vybereme název instalačního balíku, který má být metodou push dopraven a nainstalován na
cílovou stanici.
4)V pravé části označíme stanice, na které má být vzdálená instalace uplatněna.
5)Stiskneme tlačítko Install (tlačítkem Get Info si lze ověřit současnou situaci na vybraných klientech).
6)Ve většině případů budeme nyní dotázáni na jméno / heslo účtu, pod kterým bude instalace provedena (musí jít o
účet, který má na cílové stanici práva administrátora, tj. ideálně účet doménového administrátora).
35
7) O dalším průběhu instalace jsme informováni textovou zprávou a stavovým indikátorem. Ve skutečnosti dochází
k následujícím činnostem.
8)ERAS zasílá na cílovou stanici prostřednictvím sdílení admin$ agenta – einstaller.exe
9)Agent se zavádí jako služba pod definovaným účtem v bodě 6.
10) Agent navazuje zpětnou komunikaci s ERAS a na portu TCP 2224 zahajuje stahování instalačního balíku,
k němuž se agent váže.
36
11) Agent tento balík instaluje pod účtem definovaným v bodě 6 a bere přitom ohled na XML konfiguraci a
parametry příkazové řádky.
12) Jakmile je instalace dokončena, agent na tuto skutečnost taktéž upozorňuje. Některá řešení ESET mohou
vyžadovat restart PC. Toto je taktéž ve zprávě zohledněno.
V dialogu push instalace je možné vyvolat pravým tlačítkem myši kontextové menu:
• Get Info
Tato funkce zjistí současný stav řešení ESET na vybraných stanicích (opět bude potřeba zadat jméno / heslo
administrátora). Po technické stránce je opět použito sdílení admin$.
• Uninstall
Opačný postup instalace, kdy se agent pokusí vzdáleně řešení ESET odinstalovat. V režimu Uninstall není brán
ohled na vybraný instalační balík v roletce Package.
• Diagnostics
Zjistí dostupnost klienta a služeb, které mohou být využity při vzdálené instalaci. Více v kapitole “Diagnostika
průběhu vzdálené instalace”.
• Remove Installer Leftovers
Na cílových klientech odregistruje agenty (einstaller.exe) ze správce služeb a odstraní je z disku. Pokud je tato
činnost úspěšná, dojde zároveň k odstranění “značky” bránící opakované instalaci daného balíku (více v kapitole
“Obrana před opakovanou instalací”).
• Logon...
Dialog pro zadání jména / hesla administrátora se v případě potřeby zobrazí automaticky (bod 6). Tímto lze
zobrazení dialogu vynutit okamžitě a k vybraným stanicím se přihlásit.
• Logoff
Odhlášení se od vybraných stanic.
• Add Client...
Touto volbou lze přidávat manuálně jednotlivé klienty (stanice) zadáním jejich IP adresy nebo názvu. Nabízí se
možnost přidání několika klientů současně.
6.2.4 Vzdálená instalace prostřednictvím logon skriptu / e-mailu
Tyto metody vzdálené instalace jsou velmi podobné. Liší se pouze ve způsobu, jakým je na cílovou stanici dopraven
agent einstaller.exe. Řešení ESET Remote Administrator nabízí „dopravu“ skrze logon skript nebo e-mail, popř.
dovoluje získat einstaller.exe a použít ho vlastní cestou (blíže v další kapitole).
Zatímco logon skript se spouští automaticky při každém přihlášení uživatele (tedy proběhne automaticky i případná
instalace řešení ESET), v případě e-mailu je potřeba zásahu uživatele, který musí pro zahájení instalace spustit
einstaller.exe v příloze. Pokud je tentýž einstaller.exe spouštěn opakovaně, nedojde k opakované instalaci řešení
ESET. Více v kapitole „Obrana před opakovanou instalací“.
Řádek “volající” einstaller.exe z logon skriptu lze vložit libovolným textovým editorem. Stejně tak einstaller.exe lze zaslat v
příloze e-mailu libovolným poštovním klientem. V těchto případech je nutné pouze získat soubor einstaller.exe ze správného
instalačního balíku. Není tak nutností použít níže popsané postupy.
Při spuštění einstaller.exe není nezbytně nutné, aby měl přihlášený uživatel práva administrátora. Agent dokáže jméno /
heslo / doménu administrátora převzít z ERAS. Více na konci této kapitoly.
Vložení řádku (cesty k einstaller.exe) do logon skriptu:
• Na záložce Remote Install stiskneme tlačítko Export.... Vybereme typ balíku (Type) a název balíku (Package),
který má být instalován.
• Tlačítkem ... u řádku Folder vybereme adresář, kam bude einstaller.exe umístěn a tento následně nabízen v rámci
sítě.
• V řádku Share je potřeba ověřit správnost síťové cesty, popř. ji pozměnit.
• Tlačítkem ... v řádku Script Folder vybereme adresář, kde se logon skript nachází, popř. ještě upravíme masku
37
(Files).
• Ve spodní části označíme soubor, kam má být řádek volající einstaller.exe vložen.
• Stiskneme Export to Logon Script – tímto se řádek vloží.
• Umístění řádku lze změnit tlačítkem Edit v jednoduchém interním editoru a změny uložit tlačítkem Save.
Obrázek 10 Dialog Export Installer to Folder / Logon Script.
Vložení agenta (einstaller.exe) do přílohy e-mailu:
• Na záložce Remote Install stiskneme tlačítko E-mail.... Vybereme typ balíku (Type) a název balíku (Package), který
má být instalován.
• Tlačítkem To... vybereme e-mailové adresy cílových stanic z adresář7 (popř. je nadefinujeme ručně).
• V řádku Subject nastavíme předmět e-mailové zprávy.
• Do pole Body vložíme text těla zprávy.
• Tlačítkem Send zprávu odešleme8.
Obrázek 11 Dialog Send Eset Installer Via E-mail.
7 ERA konzole načte adresář z aplikace Microsoft Outlook a to pouze za předpokladu, že je na PC s ERAC využíván.
8 Při této operaci je použito nastavení SMTP na straně ERA serveru.
38
Během samotného průběhu vzdálené instalace dochází ke zpětné komunikace s ERAS a agent (einstaller.exe) přebírá
nastavení ze záložky Remote Install – Set Default Logon for E-mail and Logon Script.
Tlačítkem Logon... je potřeba předem nastavit jméno / heslo (doménu) účtu, pod kterým bude instalace balíku
provedena. Musí jít o účet s právy administrátora z pohledu koncových stanic. Ideální je tak účet doménového
administrátora.
Hodnoty zadané po stisku tlačítka Logon... se zapomenou s každým restartem služby ERAS.
6.2.5 Vzdálená instalace vlastní cestou
Využívat k instalaci přímo nástroje integrované v ESET Remote Administrátor není nutností. Vždy jde jen o způsob,
jakým bude agent (einstaller.exe) dopraven a spuštěn na cílové stanici.
Při spuštění einstaller.exe není nezbytně nutné, aby měl přihlášený uživatel práva administrátora. Agent dokáže jméno /
heslo / doménu administrátora převzít z ERAS. Více na konci této kapitoly.
einstaller.exe lze získat následovně:
• Na záložce Remote Install stiskneme tlačítko Export.... Vybereme typ balíku (Type) a název balíku (Package),
který má být instalován.
• Tlačítkem ... u řádku Folder vybereme adresář, kam bude einstaller.exe vyexportován.
• Stiskneme tlačítko Export to Folder..
• Využijeme einstaller.exe dle potřeb.
Pokud lze zajistit administrátorská práva během spouštění einstaller.exe, lze jako metodu vzdálené instalace uplatnit i
“přimou metodu instalace s předdefinovanou XML konfigurací”. Stačí jen použít parametr /qn (verze 3.x) nebo /silentmode
(verze 2.x).
Během samotného průběhu vzdálené instalace dochází ke zpětné komunikace s ERAS a agent (einstaller.exe) přebírá
nastavení ze záložky Remote Install – Set Default Logon for E-mail and Logon Script.
Tlačítkem Logon... je potřeba předem nastavit jméno / heslo (doménu) účtu, pod kterým bude instalace balíku
provedena. Musí jít o účet s právy administrátora z pohledu koncových stanic. Ideální je tak účet doménového
administrátora.
A jaký je průběh vzdálené instalace, kdy je agent einstaller.exe spuštěn manuálně na cílové stanici?
• Agent einstaller.exe zašle požadavek na ERAS (TCP 2224).
• ERAS zahájí v podstatě push instalaci provázaného balíku (zašle ho skrze share admin$)9.
• Je zahájena instalace balíku s přidruženou XML konfigurací, parametry příkazové řádky pod účtem, který byl
definován na straně ERAS tlačítkem Logon...
6.3 Agent einstaller.exe v detailech
Ke každému balíku automaticky vzniká tzv. ESET Remote Installer, tj. agent, jehož úkolem je zajistit hladký průběh
instalace a komunikaci mezi cílovou stanicí a ERAS (cílový port TCP 2224). Po technické stránce jde o krátký soubor
einstaller.exe, v němž je pevně zapsán
• název ERA serveru (+IP adresa ERAS),
• název a typ instalačního balíku.
Vzdálená instalace s využitím einstaller.exe tak probíhá dvoufázově. Nejprve je na cílovou stanici dopraven právě
9 Agent v tento okamžik čeká na odpověď ERAS (posílá balík skrze share admin$). Pokud k odpovědi nedojde
(timeout), pokusí se o stažení instalačního balíku přímo agent (přímé TCP/IP spojení na portu 2224). V takovém
případě není přeneseno jméno / heslo administrátora definované tlačítkem Logon... na straně ERAS a dochází k
pokusu o instalaci pod aktuálně přihlášeným uživatelem. Při instalace na systémech Microsoft Windows 9x / Me
dochází rovnou k přímému navázání TCP/IP spojení ze strany agenta.
39
krátký einstaller.exe (okolo 200 kB) a pokud jsou splněny veškeré podmínky, až poté je z ERAS agentem vyžádán celý
instalační balík o velikosti několika MB.
Veškerou činnost protokoluje einstaller.exe do souboru %TEMP%\einstaller.log a pokud je to technicky možné, tak i
zpětně na ERA server (cílový port TCP 2224).
Pokud je einstaller.exe spuštěn na stanici s operačním systémem Microsoft Windows NT4 / 2000 / XP / Vista, průběh
je následující:
1. einstaller.exe kontaktuje ERAS na portu TCP 2224 a přebírá jméno / heslo definované na straně ERAS (během push
instalace, nebo tlačítkem Logon...).
2. ERAS toto bere jako signál pro zaslání instalačního balíku skrze admin$.
3. Čekající einstaller.exe přebírá tento balík a zahájí jeho instalaci pod definovaným účtem s využitím
předdefinovaných parametrů příkazové řádky a XML konfigurace.
Pokud jsou oprávnění zadaného účtu (resp. jména / hesla) nedostatečná, popř. údaje uvedeny chybně (tj. dojde
k timeoutu při čekání na balík v bodě 3), pokusí se einstaller.exe provést instalaci pod účtem právě přihlášeného
uživatele (za předpokladu, že má práva administrátora). Instalační balík pak stahuje přímo einstaller.exe po
protokolu TCP/IP (port 2224).
Pokud je einstaller.exe spuštěn na stanici s operačním systémem Microsoft Windows 95 / 98 / Me, kde neexistují
žádné rozdíly v oprávnění účtů, je instalační balík rovnou stažen procesem einstaller.exe a instalován pod
přihlášeným uživatelem.
6.4 Obrana před opakovanou instalací
Jakmile agent úspěšně zprostředkuje proces vzdálené instalace, zapíše na cílovou stanici „značku“, která zabrání
opakované instalaci shodného instalačního balíku. „Značka“ je zapsána do registrů, konkrétně do větve
HKEY_LOCAL_MACHINE\Software\Eset\Eset Remote Installer
Jakmile souhlasí typ balíku a název balíku zapsaný v einstaller.exe (agent) s údaji v uvedené větvi registrů, einstaller.exe
instalaci nevykoná. Je tak zabráněno opakované reinstalaci na cílovou stanici při opakovaném spuštění einstaller.exe.
Při push instalaci je tato větev v registrech ignorována.
Další úroveň obrany před opakovanou instalací zajišťuje samotný ERA server a k vyhodnocení tak dochází v
momentě, kdy agent navazuje zpětnou komunikaci s ERAS (TCP 2224). Pokud je k cílové stanici veden chybový
záznam, popř. záznam o úspěšné instalaci, který souvisí se shodným názvem a typem balíku, bude opakovaná
instalace taktéž odmítnuta.
Agent v takovém případě hlásí chybu (prostřednictvím protokolu %TEMP%\einstaller.log):
Status 20001: Eset Installer was told to quit by the server ‘X:2224’.
Aby ERAS nebránil opakované instalaci, je potřeba odstranit související záznamy v záložce Remote Install. Toho lze
docílit pravým tlačítkem myši a volbou Clear z kontextového menu.
6.5 Chybové stavy během instalace
Při vzdálené instalaci mohou chyby vznikat ve dvou fázích:
40
• při dopravě samotného agenta einstaller.exe na cílovou stanici,
• při zavedení služby einstaller.exe a samotném procesu instalace.
Ve fázi přenosu agenta einstaller.exe na cílovou stanici (typicky při push instalaci) může dojít k chybovým stavům,
které jsou opatřeny SC a GLE kódem. Příkladem např.:
Could not set up IPC connection to target computer (SC error code 6, GLE error code 1326)
Zatímco SC kódy jsou spíše interní záležitostí pro snazší dohledání problému v kódu, pro uživatele jsou zajímavé GLE
kódy. Jde o klasické „Win32 Error Codes“, jejichž soupis lze najít například na stránkách:
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/debug/base/system_error_codes.asp
V tomto konkrétním případě znamená GLE chyba 1326 to, že bylo zadáno neznámé uživatelské jméno / heslo účtu,
pod kterým má vzdálená instalace proběhnout.
Zcela základní je GLE chyba 5 – Access Denied. Za touto chybou může stát minimálně:
• Firewall na straně stanice, který nemá povolenu výjimku pro sdílení souborů a tiskáren.
• Zakázána služba Server, popř. sdílení souborů a tiskáren na síťovém adaptéru.
• Klientské stanice Windows XP mimo doménu (policy)10.
Pokud jde o chyby ve fázi, kde je již agent einstaller.exe dopraven na cílovou stanici, pak jsou zaznamenány do protokolu
%TEMP%\einstaller.log přímo na stanici a nejvýznamnější též zpětně zaslány na ERA server (TCP 2224). To samozřejmě
pouze v případě, že problém není zrovna v komunikaci mezi stanicí a ERAS.
V uvedené fázi se často zobrazují hlášení typu:
Eset Installer was told to quit by the server ‘X:2224’.
Eset Installer could not connect to server X.
První hlášení je popsáno v kapitole o ochraně před opakovanou instalací. V druhém případě pak jde o obecný problém,
kdy se není proces einstaller.exe schopen zpětně připojit k ERAS (firewall?).
6.5.1 Diagnostika průběhu vzdálené instalace
V dialogu pro Push instalaci (záložka Remote Install > tlačítko Install...) se nabízí tlačítko Diagnostics, které prověří
veškeré procedury, které jsou nutné pro úspěšnou vzdálenou instalaci. Lze tak ještě před samotnou vzdálenou
instalací odhalit případné problémy, popř. si nechat upřesnit “místo”, kde k problému dochází.
Obrázek 12 Diagnostika dokáže předem odhalit možné problémy.
10 Obecně nebude vzdálená instalace na stanice mimo doménu příliš pohodlná. V případě Windows XP je např.
potřeba zakázat volbu Použít zjednodušené sdílení souborů v Ovládacích Panelech / Možnosti složky.
41
7. Praktické ukázky nasazení řešení ESET Remote Administrator,
Mirror serveru a klientských řešení ESET
7.1 Menší síť – 1x ERAS, 1x Mirror server
Předpokládejme, že veškeré stanice a notebooky (dále jen klienti) se nacházejí v doméně, přičemž na klientech
jsou v provozu operační systémy Microsoft Windows 2000 / XP / Vista. Od serveru pojmenovaného jako GHOST se
očekává nonstop provoz a je přitom jedno, zda jde o Windows edici workstation/professional nebo server (zároveň
nezáleží, zda jde/nejde o Active Directory Server). Zároveň předpokládejme, že notebooky jsou v době instalace
řešení ESET mimo firemní síť. Celkové schéma sítě pak může vypadat následovně:
Obrázek 13 Schéma jednoduché firemní sítě.
7.1.1 Instalace ERA serveru
Na server GHOST nainstalujeme ERA server. Během instalace bude potřeba vložit pouze licenční klíč, tj. soubor s
příponou .LIC, který zabezpečí chod ERAS na smluvené období. Po instalaci ERAS dojde k automatickému spuštění
služby ERA serveru. O případné činnosti ERAS se lze přesvědčit v protokolu:
%ALLUSERSPROFILE%\Data aplikací\Eset\Eset Remote Administrator\Server\logs\era.log
7.1.2 Instalace ERA konzole
Na PC / notebook administrátora (na schématu vlevo dole) nainstalujeme aplikaci ESET Remote Administrator
Console. Na konci instalace můžeme rovnou uvést název ERA serveru (nebo IP adresu), ke kterému se bude konzole
standardně hlásit. V našem případě tak uvedeme název GHOST.
Po instalaci můžeme ERAC prvně spustit a vyzkoušet funkčnost připojení k ERAS (více informací v kapitole Připojení
se k ERAS). Standardně není potřeba zadávat heslo, avšak doporučujeme ho do budoucna nastavit.
7.1.3
Konfigurace funkce Mirror
Prostřednictvím ERA konzole lze na straně ERA serveru zároveň aktivovat funkci Mirror pro vytvoření lokálního
42
aktualizačního serveru. Postup je následující:
• Připojit se konzolí k ERA serveru.
• V menu Tools > Server Options... vybrat záložku Updates.
• Zde nastavit Update server (Choose automatically), Update interval (ponechat 60 minut), Update user name
(zadat uživ. jméno licence, obvykle začíná znaky EAV-), Update password (tlačítkem Set Password... nastavit
heslo dodané k licenčnímu jménu).
• Dále povolit Create update mirror, složku pro tvorbu Mirror ponechat, taktéž i HTTP server port (obvykle 2221) a
autorizaci (NONE).
• V záložce Other Settings zvolit tlačítko Edit Advanced Settings... a ve větvi ERA Server > Setup > Mirror > Create
mirror for the selected program components vybrat (tlačítko Edit v pravé části editoru) veškeré komponenty pro
jazykovou verzi řešení ESET, která bude instalována na klienty (tj. obvykle vše spadající do “czech”).
• Okamžité vytvoření Mirroru lze zajistit stiskem tlačítka Update now v záložce Updates.
7.1.4 Vzdálená instalace na stanice fyzicky ve firmě
Za předpokladu, že jsou stanice v provozu, nabízí se jako vhodná metoda tzv. push instalace. Ještě před její aplikací
bude nutné stáhnout ze stránek ESET instalační soubor řešení ESET Smart Security (.MSI soubor) a následně vytvořit
instalační balík:
• Pomocí konzole ERA se připojíme k ERAS GHOST a na záložce Remote Install stiskneme tlačítko Packages...
• Tlačítkem Add... se dostaneme na další dialog, kde pomocí ... v horní části vložíme dříve stažený MSI instalační
soubor ESET Smart Security.
• Tlačítkem Create vložíme instalační soubor do vytvářeného balíku (může to chvilku trvat, jelikož definovaný MSI
soubor musí být dopraven na ERA server).
• Na hlavním dialogu Installation Packages Editor pokračujeme stiskem tlačítka Edit, čímž zajistíme připojení XML
konfigurace, která se později uplatní při použití tohoto instalačního balíku.
• V konfiguračním editoru se zaměříme především na následující větve:
• ESET Smart Security > Kernel > Setup > Remote administration, kde by mělo být nastavení podobné obrázku (název
serveru může být definován IP adresou):
43
• ESET Smart Security > Update > My profile > Setup, kde je potřeba nasměrovat stanice na Mirror server GHOST (lze
definovat i jeho IP adresou):
• Toto je nutné minimum pro fungování stanic, resp. řešení ESET Smart Security dle požadavků. Můžeme tak
nastavení uložit stiskem tlačítka Konzole v pravé části editoru.
• Na dialogu Installation Packages Editor stiskneme tlačítko Close, přičemž se konzole zeptá na název balíku. Zadejme
např. stanice. Tímto je instalační balík vytvořen.
• Nyní můžeme přejit k samotnému procesu push instalace: stiskneme tak tlačítko Install... (záložka Remote Install)
a postupujeme dle obecných instrukcích v předchozích kapitolách. Důležité je, aby byl vybrán balík stanice jak
ukazuje obrázek:
(stačí v levé části dialogu vybrat cílové stanice, přesunout do pravé části, označit je a vzdálenou push instalaci
zahájit tlačítkem Install. Popř. současný stav ověřit tlačítkem Get Info)
7.1.5 Vzdálená instalace na notebooky fyzicky mimo firmu
Notebooky budou vyžadovat odlišný způsob vzdálené instalace, jelikož jsou fyzicky mimo firmu. Nabízí se tak
instalace skrze logon skript voláním agenta einstaller.exe. Postup je následující:
• Pomocí konzole ERA se připojíme k ERAS GHOST a na záložce Remote Install stiskneme tlačítko Packages...
• V části Name vybereme instalační balík stanice.
• Stiskneme tlačítko Edit a změníme dříve vytvořenou XML konfiguraci. Tento krok provádíme z důvodu, že
notebooky mají být schopné automatické aktualizace jak z Mirror serveru GHOST (pokud budou fyzicky ve
firemní síti), tak i z serverů ESET (pokud budou mimo firemní síť).
• Nalistujeme větev ESET Smart Security > Update > My profile,přičemž na My profile klikneme pravým tlačítkem myši a
z kontextového menu vybereme New profile...
• Nový profil nazveme jako notebook dle obrázku:
44
• a nastavení uložíme tlačítkem OK. Ve stromové struktuře tak kromě profilu My profile vidíme i notebook. Právě do
větve notebook se přemístíme a 3 atributy nastavíme dle obrázku:
• Volba AUTOSELECT se postará o aktualizaci přímo ze serverů ESET, přičemž taková aktualizace vyžaduje
autorizaci prostřednictvím uživatelského jména / hesla (je tedy nutné zadat údaje získané při zakoupení licence).
• Nastavení nyní uložíme tlačítkem Konzole v pravé části konfiguračního editoru.
• V okně Installation Packages Editor stiskneme tlačítko Save as... a upravený instalační balík uložíme pod název
notebooky.
• Okno Installation Packages Editor uzavřeme tlačítkem Close.
• Nyní je potřeba vložit agenta einstaller.exe balíku notebooky do logon skriptu. Postupovat lze například takto:
• V záložce Remote Install zvolíme tlačítko Export...
• V části Package nového okna vybereme instalační balík notebooky a tlačítkem ... vybereme adresář, kam bude
einstaller.exe umístěn. Tento adresář by měl být síťově dostupný při připojení notebooků do firemní sítě (resp.
domény). Řekněme, že jde o adresář definovaný ve formě UNC cesty jako \\GHOST\share
• Stiskneme tlačítko Export to Folder a následně Close.
• Na záložce Remote Install nyní stiskneme tlačítko Logon... a nastavíme jméno a heslo (+doménu) administrátora
domény, tedy účet, pod kterým vzdálená instalace proběhne.
• Nastavení uložíme a pomocí běžného konfiguračního editoru zajistíme spouštění příkazu \\GHOST\share\
einstaller.exe z logon skriptu.
• Nyní již je potřeba pouze doufat v brzké připojení notebooků do domény...
45
7.2 Pobočková síť – 2x ERAS, 2x Mirror server
Vycházejme z předchozího modelu, avšak přidejme jednu pobočku s několika klienty a serverem LITTLE. Řekněme,
že se mezi centrálou a pobočkou nachází velice pomalá datová linka (VPN). V takovém případě se vysloveně
nabízí instalace Mirror serveru taktéž na server pobočky (LITTLE) a pro komfort administrátora a nižší množství
přenesených dat i instalace druhého ERA serveru.
Obrázek 14 Schéma firemní sítě s centrálou a pobočkou.
7.2.1 Instalace na centrále
Postup instalace ERAS, ERAC a klientů na centrále se od předchozího případu neliší. Změna nastává pouze v
nastavení ERA serveru (GHOST), kde je potřeba povolit část Replicate „from“ settings (prostřednictvím ERAC v menu
Tools > Server Options... > Replication) a nadefinovat název (Allowed servers) podřazeného ERA serveru. V našem
případě je to LITTLE.
46
7.2.2 Pobočka: Instalace ERA serveru
Analogicky můžeme postupovat dle instalace ERA serveru z předchozího případu. Opět je ale potřeba povolit a
nastavit replikaci prostřednictvím ERA konzole. Tentokrát je potřeba povolit volbu Enable “to” replication (menu Tools
> Server Options... > Replication) a definovat název nadřízeného ERA serveru. Zřejmě nejednodušší bude definovat
přímo IP adresu nadřízeného ERA serveru11,v našem případě IP adresu serveru GHOST..
7.2.3 Pobočka: Instalace HTTP Mirror serveru
Analogicky můžeme postupovat dle instalace Mirror serveru z předchozího případu. Změna nastává v místě, kde je
• definován zdroj, ze kterého budou aktualizace stahovány,
• definováno uživatelské jméno a heslo.
Ze schématu je patrné, že zdrojem aktualizací pro pobočku nebudou servery ESET, nýbrž nadřazený Mirror server
na centrále (tj. GHOST). Většinou tak bude potřeba zdroj aktualizací definovat následující URL adresou: http://
ghost:2221 (popř. http://IP_adresa_ghost:2221).
Uživatelské jméno / heslo není potřeba definovat vůbec, jelikož integrovaný HTTP web server v řešení ESET
nevyžaduje standardně žádnou autorizaci.
7.2.4 Pobočka: Vzdálená instalace na klienty
Opět lze postupovat podobně jako na centrále, ovšem veškerou činnost je vhodné provádět prostřednictvím ERAC
připojené přímo k ERA serveru pobočky (LITTLE)12.
11 Tímto se vyhneme případným problémům s překladem názvů na IP adresy mezi pobočkami (v závislosti na
konfiguraci DNS).
12 V opačném případě by se instalační balíky musely dopravovat skrze pomalou VPN linku a celý komfort obsluhy
by prudce klesl.
47
8. Tipy & triky
8.1 Export a další využití současné XML konfigurace klienta
Prostřednictvím konzole ERA lze na záložce Clients vybrat libovolného klienta a v kontextovém menu (klepnutím
pravým tlačítkem myši) zvolit Configuration... Tlačítkem Save As... lze následně konfiguraci daného klienta
vyexportovat do XML souboru13.Takto získaný XML soubor s konfigurací lze dále využít:
• Při vzdálené instalaci, kde lze XML soubor použít jako „šablonu“ předdefinované konfigurace. Při tvorbě takového
balíku tak nevytváříme novou konfiguraci, ale tlačítkem Select... přiřadíme jmenovaný XML soubor.
• Při vytváření úlohy typu Configuration, kdy lze vybrané klienty dodatečně nastavit dle jmenovaného XML souboru
(opět využijeme tlačítka Select... a nevytváříme novou konfiguraci).
Nabízí se tak postup, kdy administrátor nainstaluje řešení ESET pouze na jednu vybranou stanici, konfiguraci provede přímo
v klientském rozhraní a jakmile je vše ideálně nastaveno, provede export konfigurace do souboru .XML. Tento pak využije
při vzdálené instalaci dalších stanic. Tento postup může být též užitečný při ladění pravidel firewallu, pokud bude později
nastaven v režimu “policy-based”.
8.2 Nastavení aktualizace ze dvou zdrojů pro mobilní zařízení
V případě mobilních zařízení lze uplatnit aktualizaci ze dvou různých zdrojů. Notebook může být nastaven například
tak, že v případě selhání aktualizace z firemního Mirror serveru (notebook je fyzicky mimo firemní LAN síť) proběhne
aktualizace přímo ze serverů společnosti ESET. Po technické stránce je nutné:
• vytvořit dva aktualizační profily, přičemž jeden bude stahovat aktualizace z Mirror serveru (dále bude takový
profil prezentován pod názvem LAN) a druhý přímo ze serverů ESET (INET),
• vytvořit nebo upravit úlohu pro aktualizaci v plánovači úloh.
Nastavení lze pochopitelně provést lokálně přímo na daném notebooku, avšak lze ho uplatnit i vzdáleně
prostřednictvím konfiguračního editoru ESET. Toto nastavení lze vnutit již při vzdálené instalaci nebo kdykoliv
později prostřednictvím úlohy typu Configuration.
V konfiguračním editoru lze nové aktualizační profily vytvářet z kontextového menu po kliknutí na větev
„Aktualizace“ pravým tlačítkem myši.
Výsledek úprav by měl vypadat následovně (jde pouze o ilustrativní příklad, skutečnost se může výrazně lišit).
13 XML soubor s konfigurací lze získat i jinými způsoby. Např. přímo z řešení ESET Smart Security, kde je export XML
konfigurace taktéž nabízen.
48
Profil LAN se bude pokoušet o aktualizaci z http://server:2221 (firemní Mirror server), zatímco INET ze serveru ESET
(hodnota AUTOSELECT). Nyní je ještě potřeba nastavit, aby byly tyto profily volány automaticky prostřednictvím
plánovače úloh. Toho lze docílit ve větvi Eset Smart Security > Kernel > Setup > Scheduler/Planner (popř. NOD32 version 2 >
General > Setup / Scheduler/Planner) – tlačítko Edit.
Novou úlohu vytvoříme stiskem tlačítka Přidat. Následně je potřeba nastavit minimálně typ úlohy na Aktualizace,
název úlohy (např. „kombinovaná aktualizace“), interval aktualizace (doporučujeme opakovaně každou hodinu) a
zcela na konci i název primárního a sekundárního profilu.
Jelikož požadujeme, aby se notebook nejprve pokusil o aktualizaci z firemního Mirror serveru, primárním bude
název LAN (uvedeme jako hodnotu pro „Primární profil“) a sekundárním INET. Profil INET bude použit pouze při
selhání aktualizace prostřednictvím profilu LAN.
V praxi doporučujeme využít možnosti vyexportovat současnou XML konfiguraci klienta (více v předchozí kapitole) a výše
uvedené úpravy provádět na exportovaném XML. Lze se tak vyvarovat duplicitám v plánovači úloh a nevyužitých profilů.
8.3 Odstranění existujících profilů
Nedopatřením může dojít k tomu, že se na klientech vyskytnou nevyužité, nebo duplicitní profily (ať už pro
kontrolu disku nebo aktualizaci). Pokud je chceme vzdáleně odstranit na více klientech a přitom nesjednotit ostatní
specifické nastavení, lze postupovat například takto:
• V záložce Clients poklepeme myší na jeden z problémových klientů.
• Vybereme záložku Configuration, zatrhneme Then Run ESET Configuration Editor to edit the file a User the downloaded
configuration in the new configuration task a následně stiskneme New Task.
• V průvodci novou úlohou typu Configuration stiskneme Edit.
• V konfiguračním editoru stiskneme Ctrl+D (odznačení všech položek - tímto nesjednotíme ostatní specifické
nastavení).
• Pravým tlačítkem klepneme na profil, který chceme zrušit a z kontextového menu zvolíme Mark profile for deletion.
Tímto je profil označen ke smazání a jakmile bude tato úloha aplikována na cílové klienty, bude profil odstraněn.
49
• Lze tak pokračovat stiskem tlačítka Console v konfiguračním editoru a uložit nastavení.
• V dalších krocích průvodce je potřeba vybrat cílové klienty, na které bude konfigurace uplatněna a průvodce
dokončit.
8.4 Nastavení plánovače úloh
Vzdáleně lze úlohy v plánovači spravovat skrze konfigurační editor ESET - větev Eset Smart Security > Kernel > Setup >
Scheduler/Planner (popř. NOD32 version 2 > General > Setup / Scheduler/Planner) – tlačítko Edit.
Pokud je potřeba pouze přidat novou úlohu, lze vycházet z nové (prázdné) XML konfigurace. Pokud je potřeba
upravit nebo odstranit existující úlohy, je potřeba:
• vycházet z vyexportované XML konfigurace daného klienta,
• nebo znát ID úloh, které chceme upravit / smazat.
V případě, že vycházíme s vyexportované XML konfigurace, může dialog vypadat následovně:
Každá úloha je jednoznačně identifikována atributem ID (tzv. primární klíč), přičemž výrobcem předdefinované
úlohy mají ID čistě decimální (1, 2, 3...). Administrátorem definované úlohy mají ID hexadecimální (např. 4AE13D6C),
přičemž hodnota ID je přidělena náhodně a automaticky při zakládání nové úlohy.
50
Zatrhávací pole před každým řádkem určuje, zda je úloha aktivní, tj. zda ji klient využívá.
Význam tlačítek:
•
•
•
•
•
•
Add – přidá novou úlohu.
Edit – upraví vybranou úlohu.
Change ID – upraví ID vybrané úlohy.
Details – souhrn informací o vybrané úloze.
Mark for deletion – takto označená úloha bude při použití této XML konfigurace odstraněna z cílového klienta.
Remove from list – tímto tlačítkem bude vybraná úloha vymazána ze seznamu. Použitím tohoto tlačítka nedojde k
odstranění dané úlohy z cílového klienta. Úloha bude pouze odstraněna z editované XML konfigurace.
Jelikož jsou hodnoty atributu ID generovány náhodně (při definování nových úloh), může dojít ke komplikacím, pokud
bude administrátor významově tutéž úlohu přidávat v několika etapách. Příklad: v síti je 40 PC, administrátor přidá úlohu
ABC (získá ID např. 4A2B8CA5). Dalších 10 PC se dokoupí, administrátor přidá opět úlohu ABC (získá ID např. 8D5A6D1B).
Posléze se rozhodne na všech 50 PC úlohu ABC změnit. Vyexportuje tak XML konfiguraci z jedné z prvních 40 stanic, upraví
ji a zasílá v rámci úlohy Configuration všem 50 stanicím. Zde nastává zmiňovaná komplikace. Významově tatéž úloha má
dvě různá ID (4A2B8CA5, 8D5A6D1B), takže úprava vede k tomu, že na prvních 40 PC proběhne vše korektně, avšak na
zbývajících 10 PC dochází k vytvoření nové úlohy a vzniká duplicita úloh (na stanici má úloha ABC ID 8D5A6D1B, avšak
zaslaná XML konfigurace prezentuje úlohu ABC s ID 4A2B8CA5). Tomuto chování lze zabránit právě tlačítkem Upravit ID,
kdy lze při tvorbě významově shodných úloh nastavit společné ID.
8.5 Uživatelské “custom” instalační balíky
V dialogu pro tvorbu instalačních balíků lze narazit na pojem Custom package. Díky Custom package má administrátor
možnost vytvořit vlastní balík, který bude obsahovat libovolné soubory (tlačítko Add File), přičemž jeden z nich musí
být označen ke spuštění (Package Entry File).
Distribuce na cílové klienty pak probíhá shodně jako při vzdálené instalaci samotného řešení ESET, přičemž na
klientovi je balík rozbalen a spuštěn dříve vybraný soubor v části Package Entry File.
Tento typ balíku může vhodně posloužit pro odinstalaci původního bezpečnostního software.
51

ESET Remote Administrator

Transkript

Podobné dokumenty

ESET Remote Administrator

ESET Simple Letter

STUDIJNÍ MATERIÁL PRO TECHNICKOU CERTIFIKACI ESET

Untitled - ESET Centrum technické podpory

Sport na Ašsku