ESET Remote Administrator

Transkript

ESET
Remote
Administrator
Uživatelská příručka
chráníme vaše digitální světy
obsah
1. Přehled řešení ........................................4
1.1
Architektura řešení........................................................ 4
1.1.1
ERAS Server (ERAS).................................................4
1.1.2
ERA Konzole (ERAC)................................................4
2. Instalace ERA Server a ERA Console..........5
2.1
Požadavky..................................................................... 5
2.1.1
Požadavky na hardware..........................................5
2.1.2
Povolené porty.......................................................5
2.2 Postup instalace v základním prostředí............................ 5
2.2.1
Náčrt prostředí (struktura sítě)................................5
2.2.2
Příprava instalace...................................................6
2.2.3
Instalace................................................................6
2.2.3.1
Instalace ERA serveru..............................................6
2.2.3.2 Instalace ERA konzole.............................................6
2.2.3.3 Konfigurace funkce Mirror.......................................6
2.2.3.4 Podpora databází ERA serverem.............................. 7
2.2.3.4.1 Základní předpoklady.............................................. 7
2.2.3.4.2 Nastavení spojení k databázi................................... 7
2.2.3.4.3 Existence předchozí databáze.................................. 7
2.2.3.5 Vzdálená instalace na stanice fyzicky ve firmě...........8
2.2.3.6 Vzdálená instalace na notebooky fyzicky mimo firmy.8
2.3 Scénář – instalace v Enterprise prostředí .......................... 8
2.3.1
Náčrt prostředí (struktura sítě)................................8
2.3.3
Instalace................................................................8
2.3.3.1
Instalace na centrále...............................................8
2.3.3.2 Pobočka: Instalace ERA serveru...............................8
2.3.3.3 Pobočka:Instalace HTTP Mirror serveru....................8
2.3.3.4 Pobočka: Vzdálená instalace na klientech.................9
2.3.4
Další předpoklady pro Enterprise prostředí...............9
3. Práce s ERAC........................................ 10
ESET Remote Administrator
Copyright © ESET, spol. s r. o.
ESET software spol. s r. o.
Meteor Centre Office Park
Sokolovská 100/94
180 00 Praha 8
Obchodní oddělení
[email protected]
tel.: 233 090 233
Technická podpora
[email protected]
tel.: 233 090 244
Všechna práva vyhrazena. Žádná část této publikace nesmí
být reprodukována žádným prostředkem, ani distribuována
jakýmkoliv způsobem bez předchozího písemného povolení
společnosti ESET software, spol. s r. o.
Společnost ESET software spol. s r. o. si vyhrazuje právo změny
programových produktů popsaných v této publikaci bez
předchozího upozornění.
V dokumentu použité názvy programových produktů, firem
apod. mohou být ochrannými známkami nebo registrovanými
ochrannými známkami jejich příslušných vlastníků.
REV.20090305‑005
3.1 Přihlášení se k ERAS......................................................10
3.2 Hlavní okno ERAC.........................................................10
3.3 Filtrace informací...........................................................11
3.3.1
Skupiny................................................................. 11
3.3.2
Filtr....................................................................... 11
3.3.3
Kontextové menu.................................................. 11
3.4 Záložky ERAC................................................................ 12
3.4.1
O záložkách a klientech obecně..............................12
3.4.2
Replikace & informace na jednotlivých záložkách.....13
3.4.3
Záložka Clients......................................................13
3.4.4
Záložka Threat Log.................................................14
3.4.5
Záložka Firewall Log...............................................15
3.4.6
Záložka Event Log..................................................15
3.4.7
Záložka Scan Log...................................................15
3.4.8
Záložka Tasks.........................................................15
3.4.9
Záložka Reports.....................................................15
3.4.10
Záložka Remote Install...........................................15
3.5 Nastavení ERA konzole.................................................. 16
3.5.1
Záložka Connection...............................................16
3.5.2
Záložka Columns – Show / Hide..............................16
3.5.3
Záložka Colors.......................................................16
3.5.4
Záložka Paths........................................................16
3.5.5
Záložka Date / Time...............................................16
3.5.6
Záložka Other Settings...........................................16
3.6 Režimy zobrazení.......................................................... 17
3.7 Konfigurační editor....................................................... 17
3.7.1
Vrstvení konfigurací............................................... 17
3.7.2
Klíčové položky nastavení.......................................18
4. Instalace klientských řešení................... 19
4.1 Přímá instalace............................................................. 19
4.2 Vzdálená instalace........................................................ 19
4.2.1
Požadavky............................................................ 20
4.2.2
Příprava prostředí.................................................. 21
4.2.3
Push instalace....................................................... 21
4.2.4
Logon / email instalace.......................................... 22
4.2.5
Instalace vlastní cestou......................................... 23
4.2.6
Obrana před opakovanou instalací........................ 24
4.3 Instalace v Enterprise prostředí......................................25
4.3.1
Instalace přes Group Policy.................................... 25
5. Správa klientů...................................... 25
5.1
5.2
5.3
5.4
5.5
Úlohy...........................................................................25
5.1.1
Konfigurační úloha............................................... 25
5.1.2
On – demand kontrola.......................................... 26
5.1.3
Aktualizační úloha................................................ 26
Skupiny (Groups).......................................................... 26
5.2.1
Synchronizace s Active Directory............................ 27
5.2.2
Filtrování.............................................................. 28
Policies....................................................................... 28
5.3.1
Základní principy a fungování................................ 28
5.3.2
Vytvoření policy.................................................... 28
5.3.3
Virtuální policy..................................................... 29
5.3.4
Funkce a význam policies v stromové struktuře ...... 29
5.3.5
Prohlížení policies................................................. 29
5.3.6
Přidělování policies klientům.................................30
5.3.6.1
Default Primary Clients Policy................................30
5.3.6.2 Manuální přidělení................................................30
5.3.6.3 Policy Rules..........................................................30
5.3.7
Smazání policy.......................................................31
5.3.8
Speciální nastavení................................................31
5.3.9
Scénář použití....................................................... 32
5.3.9.1
Každý server je samostatně spravovaný a policies se
řeší lokálně........................................................... 32
5.3.9.2 Každý server je samostatně spravovaný, policies
se řeší lokálně, ale dědí se Default Parent policy z
nadřazeného serveru ............................................ 32
5.3.9.3 Použití dědění z různých policies nadřazeného serveru
32
5.3.9.4 Přiřazování policies jen z nadřazeného serveru ....... 33
5.3.9.5 Použití policy rules................................................ 33
5.3.9.6 Použití lokálních skupin ........................................ 33
Notifikace ....................................................................33
5.4.1
Notification Manager............................................ 33
5.4.1.1 Posílání notifikací prostřednictvím SNMP TRAP............ 37
5.4.2
Vytvoření pravidla................................................. 37
Podrobné informace z klientských stanic.........................38
6. Reporty............................................... 39
7. Nastavení ESET Remote Administrator
Serveru (ERAS).....................................40
7.1 Bezpečnost.................................................................. 40
7.2 Správa databází........................................................... 40
7.3 Mirror.......................................................................... 41
7.3.1
Provoz lokálního aktualizačního serveru.................41
7.3.2
Typy aktualizací.................................................... 42
7.3.3
Aktivace a nastavení funkce Mirror v praxi.............. 42
7.3.4
Mirror pro klienty NOD32 verze 2............................ 43
7.4 Replikace.................................................................... 44
7.6 Správa licencí.............................................................. 45
7.7 Rozšířené nastavení..................................................... 45
7.8 Další nastavení............................................................ 46
7.8.1
Nastavení SMTP....................................................46
7.8.2
7.8.3
7.8.4
Nastavení Portů....................................................46
Noví klienti...........................................................46
ThreatSense. Net..................................................46
8. Troubleshooting.................................... 47
8.1 FAQ.............................................................................47
8.1.1
Není možné nainstalovat ESET Remote Administrator
na Windows server 2000 a 2003............................. 47
8.1.2
Co znamená chybový kód GLE?.............................. 47
8.2 Nejčastější chybové kódy...............................................47
8.2.1
Chybové kódy při vzdálené instalaci ESET Smart
Security nebo ESET NOD32 Antivirus pomocí ESET
Remote Administrator.......................................... 47
8.2.2
Nejčastější chybové kódy z protokolu era.log.......... 47
8.3 Jak odhalit problém s ERAS?.......................................... 48
9. Rady & tipy........................................... 48
9.1
9.2
9.3
9.4
9.5
Plánovač úloh.............................................................. 48
Odstranění existujících profilů....................................... 50
Export a další využití současné XML konfigurace klienta.. 50
Nastavení aktualizace ze dvou zdrojů pro mobilní zařízení.50
Instalace produktů třetích stran prostřednictvím ERA....... 51
1. Přehled řešení
ESET Remote Administrator je nástrojem, který je určen
pro vzdálenou správu řešení ESET v síťovém prostředí.
Díky řešení ESET Remote Administrator (dále jen ERA) je
možné z jednoho místa sledovat činnost řešení ESET na
jednotlivých klientech (na stanicích, serverech apod.),
reagovat na vzniklé situace díky přítomnosti systému
úloh a v neposlední řadě provádět i vzdálené instalace
řešení ESET.
ERA sám o sebe neřeší antivirovou, ani jinou formu
ochrany před průnikem škodlivého kódu. Nasazení
ERA je tak podmíněné přítomností klientských nebo
serverových řešení ESET NOD32 (typicky ESET NOD32
Antivirus nebo ESET Smart Security běžící na stanicích).
Nasazení kompletního portfolia řešení ESET tak spočívá
v:
• instalaci ERA serveru (ERAS),
• instalaci ERA konzole (ERAC),
• instalaci klientů (ESET NOD32 Antivirus, ESET Smart
Security, ESET Security apod.).
Poznámka: V některých pasážích dokumentace můžou být
použité systémové proměnné, vyjadřující přesné umístění
složek /souborů: %ProgramFiles% = typicky C:\Program Files
%ALLUSERSPROFILE% = typicky C:\Documents and Settings\
All Users
1.1
Architektura řešení
Po technické stránce se řešení ESET Remote
Administrator skládá z dvou častí, ERA Server (ERAS) a
ERA Console (ERAC). Počet současně běžících instalací
ERAS a ERAC není v rámci licence omezený. Omezený
je jen počet současně spravovaných klientů (viz. ERAS,
licenční klíče).
1.1.1
ERAS Server (ERAS)
Serverová část ERA funguje jako služba pod systémy
na báze Microsoft Windows NT (NT4, 2000, XP, 2003,
Vista, 2008). Hlavní úlohou ERAS je „sběr“ informací
z klientů a naopak zasílání požadavků klientům.
Požadavky (úlohy pro změnu konfigurace, požadavky na
vzdálenou instalaci atd.) pro klienty je možné vytvářet
prostřednictvím druhé části – ERA Console (ERAC).
Ve výsledku je tak ERAS rozhraním mezi ERAC, klienty a
místem, kde se všechny informace zpracovávají, udržují,
popřípadě odevzdávají ke klientům či ERAC.
1.1.2 ERA Konzole (ERAC)
ERAC je klientskou částí řešení ERA. ERAC se obvykle
instaluje na stanici, z které bude operovat správce sítě a
sledovat nabídku řešení ESET na jednotlivých klientech.
Pomocí ERA konzole se je možné připojit k serverové
4
části ERA – na cílový port TCP 2223. Tuto komunikaci
zajišťuje proces console.exe, obvykle ve složce:
%ProgramFiles%\Eset\Eset Remote Administrator\Console
ERAC může v průběhu instalace vyžadovat zadání
jména ERA serveru, ke kterému se potom konzola
dokáže automaticky připojit při každém jeho startu.
ERA konzolu je možné nastavit kdykoliv později.
ERAC lokálně ukládá jen HTML výstupy z generovaných
reportů, jakékoliv ostatní informace jsou zasílané v
rámci komunikace na portu TCP 2223 z ERAS.
2. Instalace ERA Server a ERA
Console
2.1
Pro správné fungování všech součástí ERA je potřebné,
aby byly uvedené porty povolené.
Požadavky
ERAS funguje jako služba – je nutná přítomnost
operačního systému na bázi Microsoft Windows
2000/ XP/2003/Vista/2008. Serverová edice Microsoft
Windows není nutností. Počítač, na kterém bude ERAS
provozovaný, by měl být v nonstop provozu a síťově
dostupný pro:
• klienty (typicky pracovní stanice)
• PC s ERA konzolí
• ostatní ERAS pro použití replikace
Zatížení systému je minimální, avšak závisí od počtu
klientů, použité databázi ERAS, úrovně logování apod.
Minimální HW konfigurace pro nasazení ERAS je
zároveň doporučenou konfigurací pro použitý operační
systém Microsoft Windows.
2.1.2 Povolené porty
V následující tabulce je přehled síťové komunikace, která
se může v souvislosti s ERAS vyskytnout. Na portě TCP
2221 poslouchá proces EHttpSrv.exe a na portech TCP
2222, 2223, 2224, 2846 poslouchá přímo proces era.exe.
V dalších případech se komunikace vztahuje na procesy
operačního systému (např. NetBIOS over TCP/IP).
TCP
2221 (ERAS poslouchá)
TCP
TCP
Změny je možné uskutečnit přes menu Tools > Server
Options... Pokud chcete změnit port 2221, vyberte
záložku Updates a změňte hodnotu HTTP server port.
Porty 2222, 2223, 2224 a 2846 je možné změnit v záložce
Other settings v sekci Ports.
Přednastavené porty 2222, 2223, 2224 a 2846 je možné
změnit i při pokročilé instalaci ERAS.
2.1.1 Požadavky na hardware
Protokol Port
Přednastavené porty 2221, 2222, 2223, 2224 a 2846 je
možné změnit, např. v případě, že dané porty jsou už
využívané pro komunikaci jiné aplikace.
Popis
Na tomto portu jsou
standardně poskytovány
aktualizace přes funkci Mirror
integrovanou v ERAS (HTTP
komunikace)
Komunikace mezi klienty a
ERAS
Komunikace mezi ERAC a
ERAS
2.2
Postup instalace v základním prostředí
2.2.1 Náčrt prostředí (struktura sítě)
Základní firemní prostředí je tvořené jednou firemní sítí
LAN, počítá se s nasazením jednoho ERAS a jednoho
Mirror serveru. Mirror server může vytvářet ERAS nebo
ESET NOD32 Antivirus 3.0 Business Edition/ESET Smart
Security Business Edition.
Předpokládejme, že všechny stanice a notebooky (dále
jen klienti) se nacházejí v doméně, přičemž na klientech
jsou v provozu operační systémy Microsoft Windows
2000/XP/ Vista. Od serveru pojmenovaného jako GHOST
se očekává nonstop provoz, přitom není důležité, či se
jedná o edici Windows workstation, professional nebo
server (zároveň nezáleží, zda se jedná nebo nejedná o
Active Directory Server). Taktéž předpokládejme, že
notebooky jsou v době instalace řešení ESET mimo
firemní síť. Celkové schéma sítě potom může vypadat
následovně.
Při využití všech funkcionalit (instalace, replikace)
můžou být síťové požadavky rozšířené o:
Protokol Port
Popis
Komunikace mezi agentem
einstaller.exe a ERAS v průběhu
vzdálené instalace.
Replikace mezi ERAS.
TCP
TCP
TCP
Kopírování agenta einstaller.
139 (cílový port z pohledu exe z ERAS na klienta
ERAS)
prostřednictvím share admin v
průběhu push instalace.
UDP
UDP
TCP
137 (cílový port z pohledu
ERAS)
138 (cílový port z pohledu
ERAS)
445 (cílový port z
pohledu ERAS)
„Name resolving“ v průběhu
„Browsing“ v průběhu
Přímý přístup ke sdíleným
prostředkům přes TCP/IP v
průběhu vzdálené instalace
(alternativa k TCP 139).
Obrázek 2.1
5
2.2.2 Příprava instalace
Před instalací je nutné stáhnout si ze stránek k ESET
následující instalační balíčky.
Součástí ESET Remote Administrator:
ESET Remote Administrator – Server
ESET Remote Administrator – Console
Klientské řešení ESET:
ESET Smart Security
ESET NOD32 Antivirus 4.0
Stahujeme ta klientská řešení, která mají být
nainstalovaná na pracovních stanicích.
2.2.3 Instalace
Po instalaci ERAS dojde k automatickému zpuštění
služby ERA serveru. O případné činnosti ERAS je možné
se přesvědčit v protokole:
%ALLUSERSPROFILE%\Application Data\ESET\ESET Remote
Administrator\Server\logs\era.log
2.2.3.2 Instalace ERA konzole
Na PC nebo notebook administrátora (na schématu
vlevo dole) nainstalujeme aplikaci ESET Remote
Administrator Console. Na konci pokročilé instalace
můžeme uvést název ERA serveru (nebo IP adresu), ke
kterému se bude konzole standartně hlásit. V našem
případě tak uvedeme název GHOST.
Po instalaci můžeme ERAC později spustit a vyzkoušet
funkčnost připojení k ERAS. Standartně není potřebné
zadávat heslo (standartně je heslo prázdné), avšak
doporučujeme ho pro následující provoz nastavit.
Nastavení je dostupné přes ERAC > File > Change
Password…, jedná se o Password for Console.
2.2.3.1 Instalace ERA serveru
Na server GHOST nainstalujeme ERA server. Na výběr
jsou 2 typy instalace – typická a pokročilá.
Pokud zvolíme typickou instalaci, program bude
požadovat vložení licenčního klíče – souboru s
příponou .LIC, který zabezpečí chod ERAS na smluvené
období. Dále nás instalační program vyzve na zadání
parametrů aktualizace (uživatelského jména/hesla
a aktualizačního serveru), je však možné je později
nastavit v programu.
Po zvolení pokročilé instalace bude instalátor požadovat
nastavení dalších parametrů programu, které je možné
dodatečně měnit pomocí ERAC, obvykle to však není
potřebné. Výjimkou je specifikace názvu serveru.
Název by měl zodpovídat názvu v DNS, menu počítače,
popřípadě IP adrese, pod kterou bude takto označený
server viditelný. Tato informace se stane klíčovou
především při realizaci vzdálení instalace. Pokud nebude
název serveru specifikovaný, doplní se automaticky
hodnota systémové proměnné %COMPUTERNAME%
(název PC), což je ve většině případů postačující.
Důležitý je též výběr databáze, kterou bude ERAS
používat pro ukládání dat. Více v části Podpora databází
ERA serverem.
Programové časti ERAS se standardně instalují do
složky:
%ProgramFiles%\ESET\ESET Remote Administrator\Server
a proměnlivé časti (protokoly, instalační balíčky,
konfigurace atd.) do složky:
%ALLUSERSPROFILE%\Application Data \ESET\ESET Remote
Administrator\Server
6
Administrátor má možnost definovat heslo pro
plnohodnotný přístup a taktéž heslo jen pro zobrazení
konfiguraci ERAS (read-only přístup).
2.2.3.3 Konfigurace funkce Mirror
Prostřednictvím ERA konzole je možné na straně ERA
serveru aktivovat funkci Mirror pro vytvoření lokálního
aktualizačního serveru. Z tohoto serveru následně
můžou být aktualizované klientské stanice nacházející
se v síti. Vytvořením mirroru zabráníte zvýšenému
objemu dát přenášeného přes Vaše internetové
připojení.
Postup nastavení mirroru:
1. Připojit se konzolou k ERA serveru.
2. V menu Tools > Server Options... vybrat záložku
Updates.
3. Tu nastavit Update server (Choose automatically),
Update interval (ponechat 60 minut), Update
user name (zadat uživatelské jméno, které Vám
bylo zaslané při koupi produktu, obvykle v tvaru
EAV-1234567), Update password (tlačítkem
Set Password... nastavit heslo dodané spolu s
uživatelským jménem).
4.Dále povolit Create update mirror, adresář pro
vytváření Mirror ponechat, taktéž i HTTP server port
(standardně 2221) a autorizaci (NONE).
5.V záložce Other Settings zvolit tlačítko Edit
Advanced Settings... a ve větvi ERA Server > Setup
> Mirror > Create mirror for the selected program
components vybrat (tlačítko Edit v pravé časti
editoru) všechny komponenty pro jazykovou verzi
řešení ESET, která bude instalovaná na klientech.
Doporučujeme vybrat jen programové komponenty
pro příslušnou jazykovou verzi, kterou plánujete
používat.
6.Okamžité vytvoření Mirroru je možné zajistit
stisknutím tlačítka Update now v záložce Updates.
Pro podrobnější nastavení funkce Mirror doporučujeme
přečíst kapitolu 7. Server Management, část Mirror.
2.2.3.4Podpora databází ERA serverem
Na ukládání dat je standardně používaná databáze typu
Microsoft Access (Jet Database). ERAS verze 3 podporuje
použití i následujících databází:
•
•
•
Microsoft SQL Server
MySQL
Oracle
Volba databáze se uskutečňuje při pokročilé instalaci
ERA serveru. Po instalaci už není možné změnit verzi
používané databázi.
2.2.3.4.1
Základní předpoklady
V první řadě je nutné manuálně vytvořit databázi
na databázovém serveru. V případě použití MySQL
umí instalátor vytvořit novou prázdnou databázi i
automaticky, s názvem ESETRADB.
Přednastavenou volbou je automatické vytvoření
obsahu databáze instalátorem. Administrátor taktéž
může vytvořit obsah databáze manuálně, pomocí
tlačítka Export Scripts. V tomto případě musí
zaškrtávací políčko Create tables in the new database
automatically zůstat prázdné.
2.2.3.4.2 Nastavení spojení k databázi
Po vytvoření nové databáze je potřebné specifikovat
připojení k databázovému serveru. V zásadě je to možné
uskutečnit dvěma způsoby:
1. pomocí DSN (data source name)
DSN je možné vytvořit manuálně pomocí ODBC
administrátora (tlačítko Start > Zpustit > odbcad32.
exe)
Příklad DSN spojení:
DSN=ERASqlServer
2. přímou pomocí úplného řetězce definujícího spojení
Je potřebné definovat všechny potřebné parametry
spojení – ovládač, jméno serveru a jméno databáze.
Příklad úplného řetězce definujícího spojení pro MS
SQL Server:
Driver={SQL Server};Server=hostname;Database=ESETRA
DB
Obrázek 2.2
Příklad úplného řetězce definujícího spojení pro
Oracle Server:
Driver={Oracle in instantclient10_1};dbq=hostname:1521/
ESETRADB
Příklad úplného řetězce definujícího spojení pro
MySQL Server:
Driver={MySQL ODBC 3.51 Driver};Server=hostname;Data
base=ESETRADB
Dále je pro správné připojení nutné nastavit uživatelské
jméno v políčku User Name spolu s heslem přes tlačítko
Set Password. U Oracle a MS SQL Server je též potřebné
uvést název Schema name (u MS SQL server je to
obvykle jméno uživatele).
Spojení s databázovým serverem je možné ověřit
pomocí tlačítka Test Connection.
2.2.3.4.3 Existence předchozí databáze
V případě, že tabulky v databázi už existují, instalátor
na tuto skutečnost upozorní. Obsah existující tabulky
je možné přepsat použitím volby Overwrite (obsah
existujících tabulek bude smazaný a přepíše se jejich
struktura). Po zvolení Ignore zůstanou tabulky
nezměněné
Poznámka: Při této možnosti může za určitých okolností
dojít k problémům s konzistencí databáze, zejména pokud byly
tabulky poškozené nebo nejsou shodné se současnou verzí.
Volba Cancel zruší instalaci ERAS a nabídku zkontrolování
databáze manuálně.
7
2.2.3.5 Vzdálená instalace na stanice fyzicky ve firmě
2.3.3 Instalace
Za předpokladu, že jsou stanice v provozu, nabídne
se jako vhodná metoda tzv. push instalace. Ještě
před jeho aplikací bude nutné stáhnout si ze stránek
ESET instalační soubor řešení ESET Smart Security
nebo ESET NOD32 Antivirus (.MSI soubor) a následně
vytvořit instalační balík. K balíku je možné vytvořit
XML konfiguraci, která se při použití tohoto balíku
automaticky uplatní.
2.3.3.1 Instalace na centrále
Podrobnější informace o vzdálené push instalaci jsou v
kapitole 4. Instalace klientských řešení.
2.2.3.6Vzdálená instalace na notebooky fyzicky mimo firmy
Notebooky budou vyžadovat odlišný způsob vzdálené
instalace, pokud jsou fyzicky mimo firmu – není možné
instalovat okamžitě, až v čase, když se notebooky
připojí od domény. Nabídne se tak instalace přes logon
skript voláním agenta einstaller.exe.
Postup instalace ERAS, ERAC a klientů na centrále se
od předcházejícího případu neliší. Změna nastává jen v
nastavení ERA serveru (GHOST), kde je potřebné povolit
část Replicate „from“ settings (prostřednictvím ERAC
v menu Tools > Server Options... > Replication) a
nadefinovat název (Allowed servers) podřazeného ERA
serveru. V našem případě je to LITTLE.
Pokud administrátor nastavil heslo pro replikaci na
nadřazeným ERA serveru (Tools > Server Options…
> Security > Password for replication), tak je
nutné se tímto heslem z podřazeného ERA serveru
autentifikovat.
Podrobnější informace o vzdálené instalaci pomocí
logon skriptu jsou v kapitole 4. Instalace klientských
řešení.
2.3
Scénář – instalace v Enterprise prostředí
2.3.1 Náčrt prostředí (struktura sítě)
Vycházíme z předcházejícího modelu, přidáme však
jednu pobočku s několika klienty a serverem LITTLE.
Řekněme, že se mezi centrálou a pobočkou nachází
velmi pomalá datová linka (VPN). V takovém případě
se vysloveně nabízí instalace Mirror serveru taktéž na
server pobočky (LITTLE) a pro komfort administrátora a
nižší množství přenesených dat i instalací druhého ERA
serveru.
Obrázek 2.4
2.3.3.2 Pobočka: Instalace ERA serveru
Analogicky můžeme postupovat podle instalace ERA
serveru z předcházejícího případu. Opět je ale potřebné
povolit a nastavit replikaci prostřednictvím ERA
konzole. Tentokrát je potřebné povolit volbu Enable
“to” replication (menu Tools > Server Options... >
Replication) a definovat název nadřazeného ERA
serveru. Zřejmě nejjednodušší bude definovat přímo IP
adresu nadřazeného ERA serveru1 , v našem případě IP
adresu serveru GHOST.
Obrázek 2.5
2.3.3.3 Pobočka:Instalace HTTP Mirror serveru
Obrázek 2.3
Analogicky můžeme postupovat podle instalace Mirror
serveru z předcházejícího případu. Změna nastává v
místě, kde je
• definovaný zdroj, ze kterého budou aktualizace
stahované
• definované uživatelské jméno a heslo.
Ze schématu je zjevné, že zdrojem aktualizace pro
pobočku nebudou servery ESET, ale nadřazený Mirror
1
8
Tímto sa vyhneme případným problémům s překladem názvů na
IP adresy mezi pobočkami (v závislosti na konfiguráci DNS).
server na centrále (tj. GHOST). Většinou tak bude
potřebné zdroj aktualizace definovat následující URL
adresou:
http://ghost:2221 (příp. http://IP_adresa_ghost:2221).
Uživatelské jméno / heslo není potřebné definovat vůbec,
jelikož je integrovaný HTTP web server v řešení ESET
standardně nevyžaduje žádnou autorizaci.
Víc informací ohledně ERA Mirror v kapitole 7.3 Mirror.
2.3.3.4 Pobočka: Vzdálená instalace na klientech
Replikace tak zvyšuje nejen komfort, ale může šetřit i
přenosovou kapacitu linky.
Zároveň se otvírá možnost přístupu několika osob s
různými právy. Administrátor přistupuje přes ERAC na
ERAS praha2.firma.cz (komunikace E) bude mít možnost
spravovat jen klienty, kteří se hlásí k praha2.firma cz.
Administrátor připojený na praha.firma.cz (C) potom
klienty hlásících se k praha.firma.cz, praha1.firma.cz,
praha2.firma.cz. Administrátor připojený k centrále (A)
potom bude moct spravovat všechny klienty na centrále
i pobočkách.
Opět je možné postupovat podobně jako na
centrále, ale všechnu činnost je vhodné vykonávat
prostřednictvím ERAC připojené přímo k ERA serveru
pobočky (LITTLE) 2.
2.3.4 Další předpoklady pro Enterprise prostředí
V rozsáhlejších sítích je možné nasadit několik ERAS
a vzdálenou instalaci klientů a jejich další správu
tak realizovat z dostupnějších ERA serverů. Pro
tento účel umožňuje ERA server už zmiňovanou tzv.
replikaci, kdy je možné všechny ukládané informace
předávat i nadřazenému ERA serveru (tzv. „upper
server“). Konfiguraci replikace je možné realizovat
prostřednictvím ERAC.
Praktickému příkladu použití replikace může být
společnost, která má několik poboček. Nabízí se tak
varianta instalace ERA serveru na každou pobočku
a jejich podřazenost vůči ERAS na centrále. Výhoda
replikace bude markantnější ve chvíli, kdy mezi
centrálou a pobočkami budou „natáhnuté“ pomalé
VPN linky. Administrátorovi na centrále bude totiž ke
kompletní správě stačit připojení k hlavnímu ERAS na
centrále (na následujícím obrázku jde o komunikaci
označenou písmenem A). Nebude muset přistupovat
ERA konzolí přes pomalé VPN linky k jednotlivým
pobočkám (komunikace B, C, D, E). Tato nepohodlná
komunikace zůstane administrátorovi skrytá díky
fungující replikací mezi ERA servery.
Obrázek 2.6
V rámci nastavení replikace je možné určit, které
informace se mají předávat nadřazeným serverem
automaticky ve stanoveném intervale, a které až na
požádání administrátora spravujícího nadřazený server.
2
V opačném případě by se instalační balíky museli dopravoavat přes
pomalou VPN linku a celý komfort obsluhy by prudce klesl.
9
3. Práce s ERAC
3.1
Přihlášení se k ERAS
3.2
Hlavní okno ERAC
Většina funkcí ERA konzole bude dostupná až po
přihlášení se k ERA serveru. Před prvním přihlášením
k ERAS je tak potřebné nadefinovat název ERAS, popř.
jeho IP adresu:
menu File > Edit Connections... (Tools > Console
Options... > záložka Connection)
Tlačítkem Add/Remove... je možné přidávat jména
nových ERA serverů, nebo upravovat existující. V roletě
Select connection následně stačí vybrat požadovaný
ERAS a stlačit Connect.
Další volby:
• Connect to selected server on the console startup
Konzola se po startu automaticky připojí k vybranému
ERAS.
• Show message when connection fails
Při chybě v průběhu komunikace bude zobrazen varovný
dialog.
Při přihlášení k ERAS bude vyžadované heslo.
Standardně není na straně ERAS nastavené žádné heslo
a z bezpečnostních důvodů doporučujeme toto změnit
volbou v menu
File > Change Password... > tlačítkem Change... v
řádku Password for Console
Při zadávaní hesla v průběhu přihlašování je možné
zvolit Remember password pro zapamatování hesla
(je potřebné zvážit bezpečnostní rizika). Naopak
volbou File > Clear Cached Passwords... je možné tyto
„zapamatovaná“ hesla změnit.
Jako náhle je komunikace navázána, v záhlaví okna
konzole se zobrazí Connected [název_serveru].
K ERAS je možné se přihlásit i přes menu File > Connect.
Při přihlašování je potřebné si zvolit, zda se přihlásíme
jako Administrator nebo jako Read-only uživatel.
Obrázek 3.1 Základní okno ESET Remote Administrator Console
Stav komunikace ERAC vs. ERAS je mimo jiného
signalizovaný v stavovém řádku vpravo dole (1).
Potřebná data z ERAS načítá konzole pravidelně
(standardně každou minutu, viz. Console Options...),
přičemž o průběhu načítání informují další části
stavového řádku.
Stlačením klávesy F5 je možné kdykoliv vynutit
aktualizaci zobrazených dat (refresh).
Data jsou roztříděné do několika záložek (2) podle
jejich významu. Ve většině případů je možné data
(5) třídit vzestupně / sestupně kliknutím na záhlaví
s názvem atribut a zároveň je možné metodou drag
& drop měnit pořadí jednotlivých sloupců. V případě
rozsáhlých výstupů je možné omezit množství současně
zobrazených řádků (Items to show) a listovat po
stránkách. Volba View mode omezuje výpis co do
množství sloupců (atributů). Více v časti o filtraci
informací.
Horní část (4) nabývá většího smyslu při provozování
tzv. replikace. Vždy se tu nacházejí souhrnné informace
o ERAS, ke kterému je právě konzola připojená, avšak
i informace o případných podřazených ERA serverech.
Pomocí filtru v časti (4) je možné ovlivnit rozsah
zobrazených informací v časti (5):
• Use All Servers
V části (5) budou informace ze všech ERAS.
• Use Only Checked Servers
V části (5) budou informace jen z vybraných ERAS.
• Exclude Checked Servers
V části (5) budou informace jen z nevybraných ERAS.
Sloupce v části (4):
• Server Name
Název serveru.
• Clients
Celkové množstvo klientů, které se k danému ERAS
hlásí. Resp. celkové množství klientů v databáze
daného ERAS.
10
• Virus Signature DB Range
Čísla verzí (virové databáze), která se nachází mezi
klienty daného ERAS.
• Least Recent Connection
Nejdelší doba od posledního připojení k ERA serveru
některého z jeho klientů.
• Last Threat Alerts
Celkové množství aktuálních událostí (souvisí s
atributem Last Threat Alert v části (5)).
• Last Event Warnings
Celkové množstvo aktuálních událostí personálního
firewallu (souvisí s atributem Last Firewall Alert v
části (5)).
• Last Event Warnings
Celkové množstvo aktuálních událostí (souvisí s
atributem Last Event v části (5)).
Do výstupu zahrňte jen klienty, jejich název odpovídá
přesně zadanému řetězci.
• Only clients beginning like (?,*)
Do výstupu zahrňte jen klienty, jejich název začíná
zadaným řetězcem.
• Only clients like (?,*)
Do výstupu zahrňte jen klienty, jejich název obsahuje
zadaný řetězec.
• Exclude clients (using whole word), Exclude clients
beginning like (?,*), Exclude clients like (?,*)
Tyto volby vyjadřují negaci výše uvedených variant.
Pravým tlačítkem myši v části (4) je možné vyvolat
kontextovou nabídku a volbou Connect to This Server
se připojit přímo k vybranému ERAS.
V další části se je možné omezit na filtraci v souvislosti
se skupinami (Groups):
Další záznamy v časti 4 vznikají automaticky při
povolené replikaci.
Nejvýznamnější funkce ERAC jsou dostupné jak z menu,
tak i z nástrojové listy (3).
Poslední částí je filtr (6) – víc v části o filtraci informací.
3.3
Filtrace informací
ERAC nabídka několika nástrojů a funkcí, které ulehčí
správu většího množství klientů či událostí.
3.3.1 Skupiny
Jednotlivý klienti se můžou zařazovat do libovolných
skupin pomocí menu Tools > Groups Editor v menu
konzole. Zařazování do skupin je možné výhodně
uplatnit při filtraci či tvoření úloh.
Detailnější informace v kapitole 5.2 Skupiny (Groups).
3.3.2 Filtr
Pomocí filtru je možné zobrazit jen ty záznamy, které
administrátora zajímají. Filtr je možné zpřístupnit
volbou View > Show/Hide Filter Pane v menu konzole.
Aktivace filtru se provádí zaškrtnutím Use Filter
a zpuštěním filtrování tlačítkem Apply Changes.
Pokud není nastavené jinak v menu Tools > Console
Options..., provádí se automatická aktualizace
výstupních údajů (nová filtrace) při libovolné změně
v nastavení filtru. V části Computer filter criteria
nadefinujeme požadované kritéria vyhledávání Primary
server, Client name, Computer name a MAC address.
V první části Computer filter criteria je možné filtrovat
ERA servery / klienty a to několika způsoby:
• Only clients (using whole word)
Do pole Primary server, Computer name, Client name,
MAC Address se zapisují samotné řetězce, přičemž v
požadavku vůči databázi jsou uplatněné jen vyplněná
pole, mezi nimi je použitý logický operátor AND.
• Clients in Groups
V tomto případě budou vybráni jen klienti, patřící do
definovaných skupin.
• Clients in other Groups or N/A
Do výstupu budou zařazeni jen klienti, kteří se
nacházejí v jiných, než vybraných skupinách,
popřípadě nejsou do skupin zařazení vůbec. Pokud
se klient nachází v některé z vybraných skupin, ale
zároveň i v skupině, která není uvedená, potom bude
o výstupu zařazený i tento.
• Clients in no Groups
Tuto podmínkou splňují klienti bez zařazení do
skupin.
Posledním filtrem je filtrování na základě existujících
problémů, zobrazované jsou tedy jen stanice se
zvoleným typem problému. Po aktivování Only
show problems se pomocí tlačítka Edit dostaneme k
seznamu problémů. Po označení problémů a aktivování
filtru budou v konzole zobrazení jen klienti s daným
problémem.
Všechny změny, které jsme v nastavení filtrování
vykonali, se aplikují tlačítkem Apply changes.
Alternativně, zrušení jejich platnosti a návrat do
přednastaveného stavu docílíme tlačítkem Reset.
Nastavení automatického uplatňování filtru je dostupné
přes Tools > Console Options > Other Settings > Auto
apply changes.
3.3.3 Kontextové menu
Prostřednictvím pravého tlačítka myši ve výpisech
záznamů je možné aplikovat další funkce pro efektivní
výpis záznamů. Jde především o:
• Select by ‘aaa’
Dojde k označení jen těch záznamů, které obsahují
řetězec aaa ve stejném atributu (sloupci), na kterém
bylo vyvolané kontextové menu. Za řetězec aaa je
11
automaticky dosazená hodnota buňky, na které bylo
kontextové menu vyvolané.
• Inverse selection
Provede inverzní výběr záznamu.
• Hide selected
Skryje vybrané záznamy.
• Hide unselected
Skryje záznamy, které nejsou vybrané.
Dvě posledně jmenované možnosti je možné vhodně
využít po předchozích aplikacích. Filtry nastavené
prostřednictvím kontextového menu je možné zrušit
volbou v menu View > Cropped View, popřípadě ikonou
na nástrojové liště konzole. Alternativní cestou je
stlačení klávesy F5 pro obnovení (refresh) informací.
Příklad použití:
• Chceme zobrazit jen ty stanice, na kterých došlo k
nějaké virové události:
V záložce Clients proto zmáčkneme pravé tlačítko
myši na kterékoliv prázdné buňce IB a z kontextového
menu zvolíme Select by ‘ ‘. V kontextovém menu
vyvoláme funkci Hide selected.
• Chceme zobrazit jen virové hlášení klienta Jozef a
Karel.
V záložce Alert Log zmáčkneme pravé tlačítko myši
na kterékoliv buňce s textem „Jozef “ v sloupci Client
Name. V kontextovém menu vybereme Select by
‚Jozef‘. Nyní podržíme klávesu CTRL a podobným
způsobem (pravým tlačítkem a následně Select
by ‘Karel’) označíme “Karel”. Zmáčkneme pravé
tlačítko myši a z kontextového menu zvolíme Hide
unselected. Klávesu CTRL můžeme pustit.
Zároveň je možné spolu s myší využít klávesu CTRL
pro označení / odznačení určitých záznamů, stejně
tak klávesu SHIFT pro označení / odznačení skupiny
záznamů.
Poznámka: Filtraci je možné vhodně využít například
při tvorbě nových úloh jen pro specifické (vybrané) klienty.
Možnosti uplatnění jsou velmi široké.
Pohledy
Na záložce Clients je možné nastavit rozsah
zobrazených sloupců (atributů) v roletě View mode. Při
Full View Mode jsou zobrazené všechny, při Minimal
View Mode jen základní. Tyto režimy jsou pevně dané.
Naopak režim Custom View Mode odpovídá nastavení v
menu Tools > Console Options..., záložka Columns –
Show/Hide.
3.4
Záložky ERAC
3.4.1 O záložkách a klientech obecně
Většina informací se ve výsledku vždy váže k některému
z přihlášených klientů. Každý přihlášený klient k ERAS je
3
12
Ve starších verzích ERA proběhla identifikace klienta podle
atributů Computer Name + Primary Server.
tak jednoznačně identifikovaný spojením následujících
atributů:
Computer Name (název klienta) + MAC Address (MAC adresa)
+ Primary Server3
Chovaní ERAS při některých operacích v síti
(přejmenování PC...) je možné v této souvislosti
definovat v rozšířeným nastavení ERAS. Lze tak zabránit
zbytečnému založení nového klienta v záložce Clients
např. v momentě, když je na stanici změněný její název computer name (např. v souvislosti s fyzickým přesunem
PC do jiné kanceláře) a zachovaná MAC adresa.
Klienti (stanice anebo servery s instalovaným řešením
ESET), kteří se k RAS přihlásili poprvé jsou ve stavu Yes
u atributů New User (je možné nastavit v ERAS), což je
mimo jiné graficky vyjádřené hvězdičkou v pravé horní
časti ikony malého monitoru. Tato vlastnost slouží
jen pro jednodušší orientaci administrátora, že se v
seznamu nachází klient, který doposud „neprošel rukou“
administrátora. Atribut může sloužit na jiné rozlišení
podle uvážení administrátora.
Obrázek 3.2
Jakmile administrátor prostřednictvím ERAC daného
klienta vhodně nastaví (přiřadí do skupiny apod.), může
ho pomocí pravého tlačítka myši a výběrem funkce
Set/Reset Flags > Reset „New“ Flag zařadit mezi
„už nastavené“. Ikona daného klienta se tak změní na
následující (a atribut New User na No):
Obrázek 3.3
Poznámka: Atribut Comment je volitelný ve všech
záložkách. Slouží pro zadání libovolného textu administrátora
(např. “kancelář č. 129”). U časových hodnot je možné
v nastavení ERAC zvolit mezi relativním (“před 2 dny”),
absolutním (20.5.2008) a systémovým zobrazením (Regional
settings).
Ve většině případů je možné data v záložkách třídit
vzestupně / sestupně kliknutím na záhlaví s názvem
atributu a zároveň je možné metodou drag & drop měnit
pořadí jednotlivých sloupců.
Poklepáním myší na určité hodnoty se je možné
přemístit do jiné záložky s upřesňujícím informacemi.
Například při poklepaní na hodnotu ve sloupci Last
Threat Alert je možné docílit přesun do záložky Threat
Log, kde budou automaticky vyfiltrované jen záznamy,
související s daným klientem. Poklepáním na hodnoty v
jiných sloupcích je tak možné vyvolat dialog, kde jsou o
daném klientovi i informace, které by se do tabulkového
výpisu těžko vešly.
3.4.2 Replikace & informace na jednotlivých záložkách
Pokud je konzola připojená k ERAS, k němu se v rámci
replikace připojují podřazené ERAS a zároveň jde o
replikaci, kdy nejsou automaticky přenášené všechny
informace, potom může dojít k situaci, kdy konzole
nenabízí k nahlédnutí všechny informace replikovaných
klientů.
Chybět přitom můžou:
• Podrobnější protokoly k incidentům (záložka Threat
Log).
• Podrobnější protokoly o on-demand skenovaní
(záložka Scan Log).
• Detailní XML podoba současné konfigurace a stavu
klientů (záložka Clients, sloupec Configuration,
Protection Status, Protection Features, System
Information).
Taktéž chybějí informace z programu SysInspector, který je
součástí nových produktů společnosti ESET: ESET NOD32
Antivirus 3.0, ESET Smart Security a také ERAS.
Na dialozích, kde tyto informace chybějí se v těchto
případech nachází tlačítko Request, po jeho stlačení
dojde k vyžádání chybějících informací u podřazeného
ERA serveru. Přestože proces replikace zahajuje
podřazený ERAS, chybějící informace se přenesou max. do
stanoveného časového intervalu replikace.
Atribut
Computer Name
MAC Address
Primary Server
Domain
IP
Product Name
Product Version
Policy name
Last Connected
Protection Status Text
Virus Signature DB
Last Threat Alert
Last Firewall Alert
Last Event Warning
Last Files Scanned
Last Files Infected
Last Files Cleaned
Last Scan Date
Restart Request
Restart Request Date
Product Last Started
Product Install Date
Mobile User
New Client
OS Name
OS Platform
HW Platform
Configuration
Protection Status
Protection Features
Obrázek 3.4 Tlačítkem Request je možné zažádat podřazení ERA
server o poskytnutí chybějících informací.
System Information
3.4.3 Záložka Clients
Na této záložce je možné najít základní informace o
jednotlivých klientech.
SysInspector
Custom info
Význam
Název stanice / serveru (hostname).
MAC adresa (síťové karty).
Název ERA serveru, se kterým klient
přímo komunikuje.
Název domény / skupiny, v které
se klient nachází (nesouvisí se
skupinami vedenými v ERAS).
IP adresa
Název řešení ESET.
Verze řešení ESET.
Jméno policy, která je uplatňovaná na
klienta.
Čas posledního kontaktu klienta s
ERAS. K tomuto termínu jsou aktuální
další informace z daného klienta s
výnimkou některých případů, kdy je
použitá replikace.
Souhrnná informace o stavu řešení
ESET na klientovi.
Verze virové aktualizace.
Poslední incident.
Poslední poplach firewallu. Zobrazené
jsou incidenty od úrovně Warning.
Poslední chybová událost.
Počet kontrolovaných souborů při
posledním on-demand testu.
Počet infikovaných souborů při
posledním on-demand testu.
Počet vyléčených (odstraněných) souborů při posledním on-demand testu.
Čas posledního on-demand testu.
Je vyžadovaný restart klienta (např.
při programové aktualizaci).
Moment, od kterého je vyžadovaný
restart klienta.
Poslední start řešení ESET.
Datum instalace řešení ESET.
Klientům s tímto příznakem bude
automaticky zaslaná úloha typu
“update now” vždy, když klient
naváže první komunikaci s ERAS
(vhodné nastavení pro mobilní
zaměstnance a jejich notebooky).
Víc v části věnované obecně klientům.
Název operačního systému.
OS platforma (Windows / Linux...).
32‑bit / 64‑bit
Klient zasílá na ERAS podobu
konfigurace ve formátu XML. V tomto
atributu je uvedený čas, z kterého
konfigurace pochází
Souhrnný stav řešení ESET. Analogicky shodné s atributem Configuration.
Stav jednotlivých komponentů řešení
ESET. Analogicky shodné s atributem
configuration.
Klient zasílá na ERAS systémové
informace. V tomto atributu je uvedený
čas, z kterého informace pocházejí.
Stav načítání systémových informací
z programu ESET SysInspector
(zobrazuje se jen při klientech s verzí
obsahující tento nástroj).
Administrátorem specifikované informace, které definoval tak, aby se
zobrazovali
13
Atribut
Comment
Význam
Administrátor může k danému
klientovi napsat komentář
Poznámka: Některé hodnoty jsou jen informativního
charakteru a v době, kdy se na ně administrátor dívá, nemusejí
být aktuální (typická situace: v 7:00 došlo k chybě při
aktualizaci, v 8:00 už proběhla bez problémů). Jedná se např.
o hodnoty ve sloupci Last Threat Alert, Last Event. Jakmile
je administrátor s událostmi seznámený a považuje je za
neaktuální, může na daný řádek kliknout pravým tlačítkem
myši a z kontextového menu zvolit volbu Clear “Last” Info
> Clear “Last Threat Alert” Info, popř. Clear “Last” Info >
Clear “Last Event” Info. Tím odstraní informaci o posledním
incidentu / události.
Obrázek 3.5 Neaktuální událost ze sloupců Last Threat Alert a
Last Event jde lehko odstranit.
• záložka Member Of Groups
Klient je členem uvedených skupin. Blíže v kapitole o
filtraci informací.
• záložka Tasks
Úlohy, které souvisí s daným klientem. Blíže v kapitole
o úlohách.
• záložka Configuration
Zde se nabízí možnost prohlédnout, popř.
vyexportovat existující konfiguraci klienta do souboru
ve formátu XML. Zároveň se nabízí varianta, kdy je
existující konfigurace využitá jako šablona pro tvorbu
nové / upravené XML podoby konfigurace. Blíže v
kapitole o úlohách.
• záložka Protection Status
Souhrnný stav řešení ESET. V některých případech jde
o „interaktivní“ stavy, kdy je možné reagovat přímo
bez manuální definice nové úlohy, která by problém
vyřešila.
• záložka Protection Features
Stav jednotlivých komponentů řešení ESET.
• záložka System Information
Bližší informace o nainstalovaném řešení, o verzích
jednotlivých komponentů apod.
• záložka SysInspector
Získání podrobných informací o běžících a zpuštěných
procesech.
3.4.4 Záložka Threat Log
Tato záložka obsahuje podrobnější informace o
jednotlivých incidentech.
Atribut
Client Name
Computer Name
MAC Address
Primary Server
Date Received
Date Occurred
Level
Scanner
Object
Name
Threat
Action
User
Obrázek 3.6 Detailní informace o klientovi.
Na záložce Clients jsou velmi rozsáhlé i možnosti při
poklepání myší na libovolného klienta:
• záložka General
Významově shodné s atributy na záložce Clients.
Zde je možné definovat Client Name, tedy název,
pod kterým bude klient vedený v ERA a nepovinný
komentář.
14
Information
Details
Význam
Název klienta, na kterém incident
nastal.
přímo komunikuje.
Čas přijetí incidentu na ERAS.
Čas vzniku incidentu na klientovi.
Úroveň incidentu.
Název komponentu řešení ESET, který
incident zaznamenal.
Typ objektu.
Obvykle adresář, v kterém byla
infekce zachycená.
Obvykle název zachyceného
škodlivého kódu.
Akce, která byla s daným objektem
provedená.
Jméno Uživatele, který byl identifikovaný
při výskytu události.
Informace ohledem detekované
infiltrace
Stav načítaní logu z klienta
3.4.5 Záložka Firewall Log
3.4.7 Záložka Scan Log
zde jsou k dispozici záznamy z klientských firewallů.
V této záložce se nacházejí výsledky jednorázových
kontrol disku (on-demand skener), které byli
vyvolané vzdáleně, lokálně přímo na stanici, nebo
prostřednictvím úlohy v plánovači.
Atribut
Client Name
Computer Name
MAC Address
Primary Server
Date Received
Date Occurred
Level
Event
Source
Target
Protocol
Rule
Application
User
Význam
Název klienta, na kterém událost
nastala.
přímo komunikuje.
Čas přijetí události na ERAS.
Čas vzniku události na klientovi.
Úroveň události
Popis události
Zdrojová IP adresa.
Cílová IP adresa.
Protokol, který se událost týká.
Pravidlo, které se událost týká.
Aplikace, které se událost týká.
Jméno Uživatele, který byl identifikovaný
při výskytu události.
3.4.6 Záložka Event Log
V této záložce se nacházejí všechny ostatní události.
Atribut
Client Name
Computer Name
MAC Address
Primary Server
Date Received
Date Occurred
Level
Plugin
Event
User
Význam
Název klienta, na kterém událost
nastala.
přímo komunikuje.
Čas přijetí události na ERAS.
Čas vzniku události na klientovi.
Úroveň události
Název komponentu řešení ESET, který
událost zaznamenal.
Popis události.
Jméno Uživatele, který bol
identifikovaný při výskytu události.
Atribut
Client Name
Computer Name
MAC Address
Primary Server
Date Received
Date Occurred
Scanned Targets
Scanned
Infected
Cleaned
Status
User
Type
Scanner
Details
Význam
Název klienta, na kterém kontrola
proběhla.
Název ERA serveru, s kterým klient
přímo komunikuje.
Čas přijetí výsledku na ERAS.
Čas vzniku výsledku na klientovi.
Cíle kontroly.
Počet zkontrolovaných objektů.
Počet infikovaných objektů.
Počet odstraněných objektů (léčením,
smazáním).
Verdikt kontroly.
Jméno uživatele, který byl
identifikovaný při výskytu události.
Typ uživatele
Druh skeneru
Stav načítání logu z klienta
3.4.8 Záložka Tasks
Význam této záložky je popsaný v části věnované
úlohám. Pokud jde o jednotlivé atributy, tak:
Atribut
State
Type
Name
Description
Date to deploy
Date Received
Details
Comment
Význam
Stav úlohy (Active = stále se uplatňuje, Finished = klienti úlohu převzali).
Informuje o typu úlohy.
Název úlohy.
Popis úlohy.
Čas vykonání úlohy
Čas přijetí úlohy na ERAS.
Stav načítání logu o úloze
Administrátor může k danému
klientovi napsat komentár
3.4.9 Záložka Reports
Záložka obsahuje funkce prostřednictvím, kterých může
být archivované dění na síti za určité časové období.
Funkce na této záložce umožňují generování různých
grafických i tabulkových výstupů. Bližší informace o
vytváření reportů najdete v kapitole 6. Reporty.
3.4.10Záložka Remote Install
Tato záložka nabízí možnosti týkající se vzdálené
instalace řešení ESET na jednotlivých klientech. Bližší
informace je možné najít v samostatné kapitole 4.2
Vzdálená instalace.
15
3.5
Nastavení ERA konzole
ERA konzolu je možné konfigurovat prostřednictvím
menu Tools / Console Options...
3.5.1 Záložka Connection
Souvisí s připojením ERA konzole k ERA serveru.
Detailnější popis na začátku kapitoly o ERAC.
3.5.2 Záložka Columns – Show / Hide
Zde je možné definovat, jaké atributy se mají zobrazovat
v jednotlivých záložkách konzole. V případě záložky
Clients jde o zobrazené informace při režimu (View
mode) Custom View Mode. Ostatní režimy jsou pevně
předdefinované.
3.5.3 Záložka Colors
Zde je možné definovat barevné odlišení různých
událostí, často i v několika úrovních a definovat
podbarvení řádku na základě specifikovaných problémů
(Conditional Highlighting) Je tak možné např. odlišit
klienty, kteří mají mírně starší virovou (Clients: Previous
Version) databázi a klienty s velmi starou databázi
(Clients: Older Versions or N/A).
3.5.4 Záložka Paths
Zde je možné uvést adresář, do kterého si bude konzole
lokálně ukládat reporty stáhnuté z ERAS. Standardně
jde o složku:
%ALLUSERSPROFILE%\Application Data\Eset\Eset Remote
Administrator\Console\reports
3.5.5 Záložka Date / Time
Určuje způsob zobrazení časových údajů:
• Absolute
Konzola bude zobrazovat čas absolutní (např.
14:30:00).
• Relative
Konzola bude zobrazovat relativní čas (např. „2 weeks
ago“ – před dvěma týdny).
• Regional
Podle regionálního nastavení (přebrané z nastavení
Windows).
• Recalculate UTC time to your local time (use local
time)
Pokud je tato volba zaškrtnutá, budou časy
přepočítané do místního času. V opačném případě
budou časy přepočítané do GMT - UTC.
3.5.6 Záložka Other Settings
• Filter settings > Auto Apply Changes
Pokud je tato volba aktivní, bude filtr na jednotlivých
záložkách konzole automaticky generovat nový
výstup při každé změně v podmínkách filtru. V
16
opačném případě proběhne filtrace podle podmínek
až po stlačení tlačítka Apply Changes.
• Remote Administrator updates
Tady je možné nastavit, jak často bude přímo konzola
kontrolovat, zda neexistuje novější verze řešení ESET
Remote Administrator. Doporučujeme ponechat
volbu Monthly (měsíčně). V případě existence novější
verze bude administrátor informovaný po spuštění
ERA konzole.
• Other settings > Use automatic refresh
Automatické obnovování výstupu na jednotlivých
záložkách (data z ERAS) ve zvoleném intervalu.
• Other settings > Empty console recycle bins at
application exit
Odstraní položky z interního koše konzole při
ukončení konzole. Ten je možné využít v záložce
Reports.
• Show gridlines
Jednotlivé buňky záložek budou oddělené čárou.
• Prefer showing Client as “Server/Name” instead of
“Server/Computer/MAC”
Ovlivňuje způsob zobrazení informací o klientech
v některých dialozích (např. při tvorbě úlohy). Tato
volba má jen vizuální dopad.
• Use systray icon
ERA konzola se bude prezentovat ikonou na liště
Windows.
• Show on taskbar when minimized
Pokud bude minimalizované okno ERA konzole, bude
obnovení okna dostupné z lišty Windows (taskbar).
• Use highlighted systray icon when problematic
clients found
Společně s tlačítkem Edit je možné definovat události,
při kterých dojde ke změně barvy malé ikony ERA
konzole na liště Windows (obvykle vedle hodin).
Nabízí se varianta, kdy bude ERA konzola připojená z
PC administrátora k ERA serveru nonstop. V takovém
případě doporučujeme vypnout volbu Show on taskbar
when minimized a konzolu nechat při nepoužívaní
minimalizovanou. Jakmile se objeví na klientech
problém, ikona v systray (oblast malých ikon – obvykle
vedle hodin) zčervená a stane se tak signálem pro
administrátora. Zároveň je potřebné povolit a vhodně
nastavit volbu Use highlighted systray icon when
problematic clients found, teda události, při kterých
ke změně barvy dojde. Avšak ERA konzola se odpojí
každých 15 dní, pokud je na ERA serveru aktivovaná
možnost komprimace Databáze (Tools > Server
Options > Server Maintenance > Compact and repair
scheduler).
• Show all groups in filter panes
Ovlivňuje způsob filtrace podle skupin.
• Tutorial messages
Zakáže (Disable All) / povolí (Enable All) zobrazení
informativních zpráv.
3.6
Režimy zobrazení
ERA Console umožňuje pracovat ve dvou režimech
zobrazení:
• Administrátorský režim
• Read-only režim (jen pro čtení)
Administrátorský režim ERAC umožňuje plný přístup
k funkcionalitám a nastavením ERAS, a k administraci
klientských řešení ESET pomocí ERAS.
Read-only režim je určený k prohlížení stavu klientských
řešení ESET připojujících se k ERAS. Nedovoluje
vytvářet žádné typy úloh určených pro klientské
stanice, instalační balíčky a ani k instalaci řešení ESET.
Nepřístupný je také License manager, Policy manager a
Notification manager. Je možné měnit nastavení ERAC a
vytvářet reporty.
Režim zobrazení se volí při každém startu konzole,
přes roletové menu Access, přičemž heslo k ERAS je
možné nastavit nezávisle pro oba režimy zobrazení.
To je užitečné, pokud chceme některým uživatelům
zabezpečit plný přístup k ERAS a jiným přístup jen pro
čtení. Heslo je nastavitelné přes položku menu Tools >
Server Options > záložka Security > tlačítka Password
for Console (Administrator Access) a (Read-Only
Access).
3.7
Pro kompletní funkcionalitu konfiguračního editoru
jsou důležité i soubory eguiEpfw.dll, cfgeditLang.dll,
eguiEpfwLang.dll a eset.chm.
3.7.1 Vrstvení konfigurací
Konfigurační editor ESET zapíše do XML výstupu jen ty
položky ze stromové struktury konfigurace, které mají v
editoru modrý symbol . Položky se šedým symbolem
nebudou do výstupního XML zapsané.
Při uplatnění konfigurace na klientech se tak logicky
převedou jen ty operace, které byly zapsané v XML
výstupe (teda jen ty s ) a všechny ostatní ( )
zůstanou v původním stavu.
Je možné tak na klientech postupně uplatnit několik
samostatných konfigurací a přitom „nepoškodit“ dříve
provedené změny.
Příkladem může být následující situace. V rámci této
konfigurace bude na klientech nastavené uživatelské
jméno, heslo a zakázané použití proxy:
Konfigurační editor
Konfigurační editor ESET je významným komponentem,
který se využívá hned na několika místech, minimálně
při tvorbě:
• předdefinované konfigurace pro instalační balíčky,
• konfigurace, zasílaný klientům prostřednictvím úloh,
• obecného konfiguračního souboru.
Konfigurační editor je součástí ERAC a fyzicky jde
převážně o soubory cfgedit.*.
Konfigurační editor ESET umožňuje detailně nastavit
většinu parametrů některých řešení ESET (především
těch, které se instalují na cílové stanice) a toto nastavení
vyexportovat do XML formátu. XML podobu (např. v
podobě .XML souboru) je následně možné využít na
mnohých místech (tvorba úloh v ERAC, lokální import
konfigurace v ESET Smart Security atd.).
Obrázek 3.7
Druhá konfigurace uplatněná na klientech způsobí, že
všechno zůstane zachované (včetně dříve zaslaného
jména AV-1234567 a hesla), avšak bude povolené použití
proxy a nastavení adresy a portu proxy serveru.
Pro konfigurační editor je velmi důležitá šablona,
podle něj je naplněná celá stromová struktura.
Šablona je přímou součástí cfgedit.exe. Z tohoto
důvodu doporučujeme mít ERA Server a ERA Konzolu
aktualizovanou.
Při používaní konfiguračního editoru je možnost
otevření libovolného .XML souboru. Je potřebné se
vyvarovat modifikaci či přepsání souboru cfgedit.xml!
17
without asking). Pokud je pro připojení k Internetu
vyžadovaný proxy, je pro správný chod ThreatSense.
Net potřeba nastavit také větev Kernel > Setup >
Proxy server.
Při výchozím nastavení klientské produkty přeposílají
podezřelé soubor ERA Serveru a ten je dále přeposílá
na analýzu. Je nutné mít nastavený v ERAS proxy
server v Tools > Server Options > Other Settings
> Edit Advanced Settings > ERA Server > Setup >
Proxy server
• Větev Kernel > Setup > Protect setup parameters
Umožňuje uzamknout přístup do nastavení heslem.
Toto heslo bude vyžadované přímo na klientském
řešení při vstupu do jeho nastavení. Budoucí úpravy v
nastaveních přes řešení ERA nebudou tímto heslem
ovlivněné.
Obrázek 3.8
3.7.2 Klíčové položky nastavení
Následuje přehled klíčových položek dostupných
v konfiguračním editoru v souvislosti s klientským
řešením ESET Smart Security:
• Větev Kernel > Setup > Remote administrator
Zde je možné povolit komunikaci klienta s ERA
serverem (Connect to Remote Administrator
server). Je potřebné nadefinovat minimálně název
nebo IP adresu ERA serveru (Server address). Interval
komunikace (Interval between connections to
server) doporučujeme ponechat standardní - 5
minut. Pro testovací účely je možné nastavit hodnotu
intervalu na 0 (komunikace bude uskutečněná
každých 10 sekund). Pokud je nastavené heslo
(Password), je potřebné nastavit shodné i na
samotném ERA serveru (viz. kapitola o nastavení
ERAS – volba Password for Clients). Komunikace
mezi klientem a ERAS bude v takovém případě
šifrovaná. Detailnější informace ohledně nastavování
hesel najdete v kapitole 7.1 Bezpečnost.
• Větev Kernel > Setup > License keys
Na klientech není nutné žádné licenční klíče přidávat
ani spravovat. Tato větev má význam u některých
serverových řešení.
• Větev Kernel > Setup > Set parameters for
ThreatSense reporting
Definuje chování služby ThreatSense.Net, která
zajišťuje odesílání podezřelých souborů k analýze
do laboratoří společnosti ESET. Při nasazení v síti
jsou hlavní především volby Submit suspicious files
a Enable submission of anonymous statistical
information. Těmito je možné ThreatSense.Net
úplně zakázat (Do not submit), popř. nastavit
režim, když nebude uživatel obtěžovaný dialogy pro
potvrzení odesílání podezřelých souborů (Submit
18
• Větev Kernel > Setup > Scheduler/Planner
Plánovač úloh, v kterém je možné nadefinovat např.
pravidelnou antivirovou kontrolu disku apod.
Poznámka: Řešení ESET obsahují standardně několik
předdefinovaných úloh (včetně pravidelné antivirové ochrany
nejvýznamnějších souborů a pravidelné automatické
aktualizace) a ve většině případů tak není nutné přidávat nové
ani upravovat existující.
• Větev Update
V této části konfigurace je možné nastavit jednotlivé
aktualizační profily. Za normálních okolností stačí
změnit nastavení předdefinovaného profilu My
profile a zaměřit se především na Update server,
User name a Password. Pokud Update server =
AUTOSELECT, potom budou aktualizace vyhledávané
na aktualizačních serverech společnosti ESET. V
tomto případě je nutné doplnit atributy User name
a Password údaji získanými při zakoupení licence.
Pokud má být klient aktualizovaný z lokálního
aktualizačního serveru (Mirror), tak bližší informace
jsou uvedené v následující kapitole. Detailnější
informace ohledně plánovače najdete v kapitole 9.1
Plánovač úloh.
Poznámka: U mobilních zařízení je možné využít dva profily,
které zajišťují podle potřeby aktualizaci z lokálního Mirror
serveru, popř. ze serverů společnosti ESET. Víc informací v
závěru této dokumentace.
4. Instalace klientských řešení
Tato kapitola je věnovaná instalaci klientských řešení
ESET na stanice s operačním systémem Microsoft
Windows. Instalace může být vykonaná přímo na
stanici, nebo více způsoby z ERA serveru. Podívejme se i
na další alternativní způsoby vzdálené instalace.
4.2 Vzdálená instalace
Poznámka: Doporučujeme vzdálenou instalaci využívat jen
na instalaci řešení ESET na stanice a ne na servery i pokud je
to technicky možné.
• Vzdálená push instalace,
• Vzdálená instalace prostřednictvím logon skriptu,
• Vzdálená instalace prostřednictvím e-mailu.
4.1
Vzdálená instalace prostřednictvím ESET Remote
Administrator se skládá z těchto kroků:
Přímá instalace
Při tomto způsobu je klientské řešení ESET instalované
s fyzickou přítomností administrátora u stanice. Tento
způsob instalace nevyžaduje žádnou větší přípravu a je
vhodný především v malých počítačových sítích, příp.
tam, kde není k dispozici produkt pro centrální správu ESET Remote Administrator.
I tuto „manuální“ práci je možné částečně
zautomatizovat tím, že klientské řešení ESET bude
po instalaci nastavené podle dopředu dané XML
konfigurace. Bez dalších úprav tak bude rovnou
nastavený např. aktualizační server (jméno / heslo,
cesta k Mirror serveru...), tichý režim, pravidelná
kontrola pevného disku atd.
Řešení ESET Remote Administrátor nabízí několik
metod vzdálené instalace. Pro distribuci instalačního
baličku na cílovou stanici může být použitá:
• tvorba instalačního balíku s názvem X,
• distribuce instalačního balíku X na stanice (push,
logon skript, e-mail, externí řešení).
Tvorba instalačních balíků se realizuje přes ERAC, avšak
fyzicky jsou „balíky“ ve většině případů uložené přímo na
ERA serveru, konkrétně v adresáři:
%ALLUSERSPROFILE%\Data aplikací\Eset\Eset Remote
Administrator\Server\packages
Tvorba instalačních balíků v prostředí ERA konzole je
zabezpečená tlačítkem Packages... v záložce Remote
Install.
Použití XML konfigurace je odlišné pro verzi 3.x a 2.x
řešení ESET:
• Do adresáře se stáhnutým MSI balíčkem
okopírujeme XML konfiguraci z konfiguračního
editora ESET pod názvem cfg.xml. Při počátku
instalace (spuštění MSI balíčku) bude automaticky
převzaté nastavení z cfg.xml. V případě, že by byl
konfigurační XML pojmenovaný odlišně, příp. by byl
umístění v jiné složce, je možné použít parametr
ADMINCFG=”cesta_k_xml_souboru”
(např. ess_nt32_menu.msi ADMINCFG=”\\server\xml\
settings.xml” pro použití konfigurace ze síťového
disku).
• Verze 2.x: Z webových stránek ESET stáhneme
instalační soubor (např. ndntskst.exe). Stáhnutý
soubor rozbalíme pomocí aplikace WinRAR. Vznikne
tak adresář s množstvím souborů, v kterém bude
figurovat i setup.exe. Do tohoto adresáře umístíme
XML konfiguraci pojmenovanou jako nod32.xml.
Při počátku instalace (spuštění setup.exe) bude
automaticky převzaté nastavení z nod32.xml. V
případě, že by se konfigurační XML jmenoval odlišně,
popř. byl umístěný v jiné složce, je možné použít
parametr /cfg=”cesta_k_xml_souboru” (např. setup.exe /
cfg=”\\server\xml\settings.xml” pro použití konfigurace
ze síťového disku).
Obrázek 4.1 Dialog pro tvorbu instalačních balíčků.
Každý instalační balík je identifikovaný názvem (Name,
na obrázku v části 1). Další části dialogu souvisí s
obsahem balíku, který bude automaticky uplatněný
v momentě, kdy se daný balík podaří některou z cest
dopravit na stanici. Obsahem balíku jsou tedy:
• instalační soubory (2) klientského řešení ESET,
• konfigurační XML soubor pro klientské řešení ESET
(3),
• parametry příkazového řádku pro klientské řešení
ESET (4).
19
Roletka Type v časti 1 značně rozšiřuje možnosti
ERA. Kromě vzdálené instalace je možné zabezpečit i
vzdálenou odinstalaci (Uninstall Eset Security Products and
NOD32 version 2) klientských řešení ESET, příp. vzdáleně
instalovat úplně externí aplikace (Custom package).
Ke každému balíku automaticky vzniká tzv. ESET Remote
Installer, tj. agent, jehož úlohou je zabezpečit hladký
průběh instalace a komunikace mezi cílovou stanicí a
ERAS. Po technické stránce jde o krátký soubor einstaller.
exe, v kterém je pevně zapsaný název ERA serveru, název
a typ instalačního balíku, ke kterému se váže. Přesný
význam agenta je popsaný v následujících kapitolách.
Existuje řada parametrů, kterými je možné průběh
instalace ovlivnit. Tyto parametry je možné použít po
dobu přímé instalace, když je administrátor fyzicky
přítomný při takovýchto stanicích, avšak i v případě
vzdálené instalace. Potom jsou tyto parametry určené
vepředu po dobu tvorby instalačních balíčků a po
dobu instalace jsou na stanici vnucené automaticky.
Parametry ESET Smart Security a ESET NOD32 Antivirus
– tyto je možné zapisovat za instalační soubor (např.
ea_nt64_ENU.msi /qn):
• /qn
Tichý režim instalace bez zobrazení dialogových oken.
• /qb!
Uživatel nemá možnost instalaci ovlivnit, avšak její
průběh je znázorněný „progressbarom“ (stav instalace
v %)
• REBOOT=”ReallySuppress”
Zakáže restart PC po dokončení instalace.
• REBOOT=”Force”
Vynutí restart PC po dokončení instalace.
• REBOOTPROMPT =””
Na vykonání restartu po dokončení instalace se zeptá
(nemůže být použité spolu s /qn).
• ADMINCFG=”cesta_k_xml_souboru”
Při instalaci bude použité XML nastavení řešení
ESET z definovaného souboru. Při vzdálené instalaci
není potřebné tyto parametr používat. Instalační
balík obsahuje vlastní XML konfiguraci, která bude
automaticky při instalaci vnucená.
Parametry pro starší řešení ESET NOD32 pro Windows
ve verzi 2.x - tyto je možné zapisovat za soubor SETUP.
EXE, který je možné spolu s ostatními získat extrakcí
instalačního souboru (např. setup.exe /silentmode):
• /SILENTMODE
Tichý režim instalace bez zobrazení dialogových oken.
• /FORCEOLD
Případnou reinstalací vykoná i v případě, že právě
instalovaná verze bude starší než existující.
20
• /CFG=”cesta_k_xml_souboru”
Při instalaci bude použité XML nastavení řešení
ESET z definovaného souboru. Při vzdálené instalaci
není potřebné tento parametr používat. Instalační
balík obsahuje vlastní XML konfiguraci, která bude
automaticky při instalaci vnucená.
• /REBOOT
Vynutí restart PC po dokončení instalace. Parametr
je možné použít jen v kombinaci s parametrem
SILENTMODE.
• /SHOWRESTART
Na vykonání restartu po dokončení instalace se
zeptá.
• /INSTMFC
Doinstaluje potřebné MFC knihovny na operační
systém Microsoft Windows 9x, které jsou potřebné
pro správný chod programu. Parametr může být
použitý vždy, i když jsou MFC knihovny k dispozici.
V části 2 má administrátor možnost vytvořit samostatný
instalační balík s přednastavenou konfigurací z už
uloženého balíku pomocí tlačítka Copy. Takovýto
instalační balík může být spuštěný na stanici, na kterou
má být produkt nainstalovaný. Uživatel jen spustí balík
a daný produkt se nainstaluje bez toho, aby se po dobu
instalace připojil na ERAS.
4.2.1 Požadavky
Základním požadavkem při vzdálené instalaci je
potřeba konkrétně nakonfigurované TCP/IP sítě, v které
je zabezpečená spolehlivost spojení klient – server.
Instalace klientských řešení pomocí ESET Remote
Administrator aplikace klade na klientské stanice vyšší
nároky jako při přímé instalaci na klientské stanici.
Vzhledem na fakt, že se jedná o instalování na dálku, je
potřebné aby byly splněné následující podmínky:
•
•
•
•
•
•
•
•
•
•
•
Klient sítě Microsoft
Nainstalované Sdílení souborů a tiskáren
Neblokované porty pro sdílení souborů (445, 135 – 139)
TCP/IP protokol
Funkční sdílení systémového prostředku ADMIN$
Klient musí být schopný odpovídat na PING příkaz
konektivita klienta a serveru bez blokování
potřebných portů (standardně porty číslo 2221 až 2224)
přihlašovací údaje k účtu s administrátorskými právy
(přihlašovací heslo nesmí byť prázdné)
vypnuté Jednoduché sdílení souborů a složek
funkční služba Server
funkční služba Remote Registry
Jejich splnění je hlavně při větším množství klientů
vhodné ověřit dopředu, ještě před začátkem vzdálené
instalace pomocí tlačítka Diagnostics: v záložce Remote
Install > Push Installation.
4.2.2 Příprava prostředí
Průběh push instalace je následující:
Před instalací klientských řešení na jednotlivé stanice v
síti je dobré připravit vhodné podmínky. Tímto můžeme
předejít dalším chybám.
1) V ERAC je potřebné zvolit volbu Install... (záložka
Remote Install).
Pomocí integrovaného nástroje pro hledání
nechráněných stanic je možné inicializovat
prohledávání sítě, které má za cíl odhalit nechráněné
klientské stanice. Za nechráněné stanice se považují ty,
které se nepřipojují k ERAS.
Tento nástroj je přístupný v záložce Remote Install
– Find. Po stlačení tlačítka Find je prohledaná síť a
zjištěné nechráněné stanice jsou zobrazené v levé části
okna. Na zjištěné stanice můžeme aplikovat operace
Push Install, Copy a Export. Zaškrtávací políčko Find
from server definuje, či bude vyhledávání z pohledu
serveru, nebo konzole. Volbu doporučujeme zaznačit,
pokud se konzola nachází v jiné síti než server.
2)V levé části dialogu vybereme stanici, na které
chceme metodu push nainstalovat klientské řešení
ESET a tyto přesuneme do pravé části (metodou drag
& drop).
3)V roletce Package vybereme název instalačního
balíku, který má být metodou push dopravený a
nainstalovaný na cílovou stanici.
Po zjištění dostupných stanic, vhodných na instalaci
klientského řešení, je možné využít nástroj diagnostiky
instalace.
V dialogu pro Push instalaci (záložka Remote Install
> tlačítko Install...) se nabízí tlačítko Diagnostics,
které prověří všechny procedury, které jsou nutné
pro úspěšnou vzdálenou instalaci. Je tak ještě před
samotnou vzdálenou instalací možné odhalit případné
problémy, příp. si nechať upřesnit “místo”, kde k
problému dochází.
Obrázek 4.3
4)V pravé části označíme stanice, na které má být
vzdálená instalace uplatněná.
5)Stlačíme tlačítko Install (tlačítkem Get Info si
je možné ověřit současnou situaci na vybraných
klientech).
6)Ve většině případů budeme nyní vyzváni k zadání
jména / hesla účtu, pod kterým se umožní přístup
k cílové stanici (musí jít o účet, který má na cílové
stanici práva administrátora, tj. ideálně účet
doménového administrátora).
Obrázek 4.2 Diagnostika dokáže dopředu odhalit možné
problémy.
První část Get Info Diagnostics hovoří např. o
nainstalovaných produktech společnosti ESET na
daném PC. Druhá část informuje, zda jsou splněné
nutné podmínky pro instalaci produktů společnosti
ESET.
4.2.3 Push instalace
Při použití této metody vzdálené instalace dochází k
okamžitému “natlačení” klientského řešení ESET na
cílovou stanici. Stanice tak musí být v danou chvíli
v provozu a musí být splněné podmínky uvedené v
kapitole Požadavky.
Obrázek 4.4
7) O dalším průběhu instalace jsme informovaní
textovou správou a stavovým indikátorem. V
skutečnosti dochází k následujícím činnostem.
21
8)ERAS zasílá na cílovou stanici prostřednictvím sdílení
admin$ agenta – einstaller.exe
Obrázek 4.5
9)Agent se zavádí jako služba pod systémovým účtem.
10)
Agent navazuje špatnou komunikaci s ERAS a na
portě TCP 2224 začne stahování instalačního balíku, ke
kterému se agent váže.
11) Agent tento balík instaluje pod účtem definovaným
v bodě 6 a bere přitom ohled na XML konfiguraci a
parametry příkazového řádku.
12)Jakmile je instalace dokončená, agent na tuto
skutečnost taktéž upozorňuje. Některá řešení ESET
můžou vyžadovat restart PC. Toto je taktéž ve správě
zohledněné.
22
V dialogu push instalace je možné vyvolat pravým
tlačítkem myši kontextové menu:
• Get Info
Tato funkce zjistí současný stav řešení ESET na
vybraných stanicích (opět bude potřebné zadat jméno
/ heslo administrátora). Po technické stránce je opět
použité sdílení admin$.
• Uninstall
Opačný postup instalace, kdy se agent pokusí
vzdálené řešení ESET odinstalovat. V režimu Uninstall
není brán ohled na vybraný instalační balík v roletce
Package.
• Diagnostics
Zjistí dostupnost klienta a služeb, které můžou být
využité při vzdálené instalaci. Víc v kapitole “Příprava
prostředí”.
• Remove Installer Leftovers
Na cílových klientech odregistruje agenty (einstaller.
exe) ze správců služeb a odstraní je z disku. Pokud
je tato činnost úspěšná, dojde zároveň k odstranění
“značky” bránící opakované instalaci daného balíku
(víc v kapitole “Obrana před opakovanou instalací”).
• Logon...
Dialog k zadání jména / hesla administrátora se v
případě potřeby zobrazí automaticky (bod 6). Tímto
je možné zobrazení dialogu vynutit okamžitě a k
vybraným stanicím se přihlásit.
• Logoff
Odhlášení se od vybraných stanic.
• Add Client...
Touto volbou je možné přidávat manuálně jednotlivé
klienty (stanice) zadáním jejich IP adresy nebo názvu.
Nabízí se možnost přidání několika klientů současně.
4.2.4 Logon / email instalace
Tyto metody vzdálené instalace jsou velmi podobné. Liší
se jen způsobem, jakým je na cílovou stanici dopravený
agent einstaller.exe. Řešení ESET Remote Administrator
nabízí „dopravu“ přes logon skript anebo e-mail, příp.
dovoluje získat einstaller.exe a použít ho vlastní cestou
(blíže v další kapitole).
Zatím co logon skript se spouští automaticky
při každém přihlášení uživatele (teda proběhne
automaticky i případná instalace řešení ESET), v případě
e-mailu je potřebný zásah uživatele, který musí na
začátek instalace zpustit einstaller.exe v příloze. Pokud
je ten samý einstaller.exe zpuštěný opakovaně, nedojde
k opakované instalaci řešení ESET. Více v kapitole
„Obrana před opakovanou instalací“.
Řádek “volající” einstaller.exe z logon skriptu je
možné vložit libovolným textovým editorem. Stejně
tak einstaller.exe je možné zaslat v příloze e-mailu
libovolným poštovním klientem. V těchto případech
je nutné jen získat soubor einstaller.exe ze správného
instalačního balíku. Není tak nutností použít níže
popsané postupy.
Při spuštění einstaller.exe není bezpodmínečně nutné,
aby měl přihlášený uživatel práva administrátora. Agent
dokáže jméno / heslo / doménu administrátora převzít z
ERAS. Víc na konci této kapitoly.
Vložení řádku (cesty k einstaller.exe) do logon skriptu:
• Na záložce Remote Install stlačíme tlačítko
Export.... Vybereme typ balíku (Type) a název balíku
(Package), který má byť instalovaný.
• Tlačítkem ... v řádku Folder vybereme adresář,
kam bude einstaller.exe umístěný a tento následně
nabízený v rámci sítě.
• Tlačítkem To... vybereme e-mailové adresy cílových
stanic z adresáře3 (příp. je nadefinujeme ručně).
• V řádku Subject nastavíme předmět e-mailové
zprávy.
• Do pole Body vložíme text těla zprávy.
• Tlačítkem Send zprávu odešleme. Ak aktivujeme
voľbu Send compressed as .zip file, agent bude poslaný
v skomprimovanej podobe (spakovaný v .zip súbore)4.
• V řádku Share je nutné ověřit správnost síťové cesty,
příp. ji pozměnit.
• Tlačítkem ... v řádku Script Folder vybereme adresář,
kde se logon skript nachází, příp. ještě upravíme
masku (Files).
• V spodní části označíme soubor, kam má být řádek
volající einstaller.exe vložený.
• Stlačíme Export to Logon Script – tímto se řádek
vloží.
• Umístění řádku je možné změnit tlačítkem Edit
v jednoduchém interním editoru a změny uložit
tlačítkem Save.
Obrázek 4.7 Dialóg Send Eset Installer Via E-mail
Po dobu samotného průběhu vzdálené instalace
dochází k zpětné komunikaci s ERAS a agent (einstaller.
exe) probíhá nastavení ze záložky Remote Install – Set
Default Logon for E-mail and Logon Script.
Obrázek 4.8
Tlačítkem Logon... je potřebné dopředu nastavit
jméno / heslo (doménu) účtu, pod kterým bude
instalace balíku vykonaná. Musí se jednat o účet s právy
administrátora z pohledu koncových stanic. Ideální je
tak účet doménového administrátora.
Hodnoty zadané po stlačení tlačítka Logon... se
zapomenou s každým restartem služby ERAS.
4.2.5 Instalace vlastní cestou
Obrázek 4.6 Dialog Export Installer to Folder / Logon Script.
Vložení agenta (einstaller.exe) do přílohy e-mailu:
E-mail.... Vybereme typ balíku (Type) a název balíku
(Package), který má být instalovaný.
Využívat na instalaci přímo nástroje integrované v ESET
Remote Administrátor není nutností. Vždy se jedná jen
o způsob, jakým bude agent (einstaller.exe) dopravený a
zpuštěný na cílové stanici.
Při spuštění einstaller.exe není bezpodmínečně nutné,
aby měl přihlášený uživatel práva administrátora. Agent
3
4
ERA konzola načítá adresář z aplikace Microsoft Outlook a to jen
za předpokladu, že je na PC s ERAC využívaný.
Při této operaci je použité nastavení SMTP na straně ERA serveru..
23
dokáže jméno / heslo / doménu administrátora převzít z
ERAS. Víc na konci této kapitoly.
einstaller.exe je možné získat následovně:
Export.... Vybereme typ balíku (Type) a název balíku
(Package), který má být instalovaný.
• Tlačítkem ... při řádku Folder vybereme adresář, kam
bude einstaller.exe vyexportovaný.
• Stlačíme tlačítko Export to Folder.
• Využijeme einstaller.exe podle potřeb.
Pokud se dají při instalaci zajistit administrátorské
práva, je možné jako metodu instalace použít „přímou
metodu instalace s předdefinovanou XML konfigurací“. V
takovémto případě se spustí přímo MSI balíček a použije
se parametr /qn (verze 3.x) anebo /silentmode (verze 2.x),
kterým se zajistí instalace bez dialogů.
Po dobu samotného průběhu vzdálené instalace
dochází k zpětné komunikaci s ERAS a agent (einstaller.
exe) přebírá nastavení ze záložky Remote Install – Set
Default Logon for E-mail and Logon Script.
Obrázek 4.9
Tlačítkem Logon... je potřebné dopředu nastavit
jméno / heslo (doménu) účtu, pod kterým bude
instalace balíku vykonaná. Musí se jednat o účet s právy
administrátora z pohledu koncových stanic. Ideální je
tak účet doménového administrátora.
4.2.6 Obrana před opakovanou instalací
Jakmile agent úspěšně zprostředkuje proces vzdálené
instalace, zapíše na cílovou stanici „značku“, která
zabrání opakované instalaci shodného instalačního
balíku. „Značka“ je zapsaná do registrů, konkrétně do
větve
HKEY_LOCAL_MACHINE\Software\Eset\Eset Remote
Installer
V momentě, kdy souhlasí typ balíku a název balíku
zapsaný v einstaller.exe (agent) s údaji v uvedené větvi
registrů, einstaller.exe instalaci nevykoná. Zabráni
se tak opakované reinstalaci na cílovou stanici při
opakovaném spuštění einstaller.exe.
Při push instalaci je tato větev v registrech ignorována.
Další k úroveň obrany před opakovanou instalací
zabezpečuje samotný ERA server a k vyhodnocení
tak přichází v momentě, kdy agent navazuje špatnou
komunikaci s ERAS (TCP 2224). Pokud je pro cílovou
stanici vedený chybový záznam, příp. záznam o úspěšné
instalaci, který souvisí se shodným názvem a typem
balíku, bude opakovaná instalace taktéž odmítnuta.
Agent v takovém případě hlásí chybu (prostřednictvím
protokolu %TEMP%\einstaller.log):
Status 20001: Eset Installer was told to quit by the server
‘X:2224’.
A jaký je průběh vzdálené instalace, když je agent
einstaller.exe spuštěný manuálně na cílové stanici?
• Agent einstaller.exe zašle požadavek na ERAS (TCP
2224).
• ERAS zašle nového agenta přes share, stejně jako při
push instalaci (zašle ho přes share admin$)5. Tento
agent potom začne tahat příslušný balíček z ERAS
přes TCP/IP protocol.
Obrázek 4.10
• Je započatá instalace balíku s přidruženou XML
konfigurací, parametry příkazového řádku pod
účtem, který byl definovaný na straně ERAS tlačítkem
Logon...
Obrázek 4.11
5
24
Agent v tento okamžik čeká na odpověď ERAS (posílá balík přes
share admin$). Pokud k odpovědi nedojde (timeout), pokusí se o
stáhnutí instalačního balíku přímo agent (přímé TCP/IP spojení
na portě 2224). V takovém případě není přenesené jméno / heslo
administrátora definované tlačítkem Logon... na straně ERAS a
dochází k pokusu o instalaci pod aktuálně přihlášený uživatelem.
Při instalaci na systémech Microsoft Windows 9x / Me dochází
bezprostředně k přímému navázání TCP/IP spojení ze strany
agenta.
Aby ERAS nebránil opakované instalaci, je potřebné
odstranit související záznamy v záložce Remote Install.
To je možné dosáhnout pravým tlačítkem myši a volbou
Clear z kontextového menu.
5. Správa klientů
4.3
Instalace v Enterprise prostředí
Ve většině podnikových sítích se otvírají i jiné způsoby
distribuce instalačních balíčků na pracovní stanice.
Tyto způsoby jsou vícekrát užívanější a standardně
používané pro instalaci jiných programů.
4.3.1 Instalace přes Group Policy
V prostředí Active Directory se nabízí instalace přes
Group Policy. Při instalaci je použitý instalační MSI balík,
který je přímo distribuovaný klientům přihlašujícím se
do domény prostřednictvím Group Policy.
Při nastavení doménového kontroleru tak, aby
nainstaloval ESET Smart Security, anebo ESET NOD32
Antivirus automaticky, postupujte následovně:
1. Na doménovém kontroléru vytvořte sdílený adresář,
který bude mít právo číst všechny stanice.
2. Do adresáře zkopírujte .msi instalační balíček ESET
Smart Security, anebo ESET NOD32 Antivirus.
3. Do adresáře umístěte konfigurační soubor, podle
kterého se při instalaci nakonfiguruje program.
Soubor musí mít jméno cfg.xml. Konfigurační soubor
vytvoříte prostřednictvím Konfiguračního editora.
Bližší informace najdete v kapitole 3.7 Konfigurační
editor.
4.Otevřete Start -> Administrative tools -> Active
Directory Users and Computers
5.Klikněte pravým tlačítkem na název domény a
zvolte Properties -> Group Policy -> Edit -> User
Configuration
6.Pravým tlačítkem klikněte na Software Settings a
vyberte New – Package
7. Do okna Open zadejte UNC cestu k sdílenému
instalačnímu balíčku, teda \\nazev_pocitace\cesta\
instlacni_balik.msi a klikněte na Open. Nepoužívejte
funkci Browse pro naleznutí instalačního balíčku.
Nebyla by totiž přidaná ve formátu UNC síťové cesty
k souboru, ale s použitím lokální systémové cesty k
souboru.
8.V dalším dialogu zvolte možnost Assigned. Zavřete
okno pomocí OK.
Po těchto krocích se balíček nainstaluje na každý
počítač, který se přihlásí do domény. Aktuálně
přihlášený uživatel se musí pro nainstalování odhlásit a
přihlásit.
V případě, že chceme aby bylo umožněné uživatelům
zvolit, zda chtějí nebo nechtějí nainstalovat daný
balíček, zvolíme v kroku 7 možnost Publish namísto
Assigned. Tím se po dalším přihlášení každému
klientovi přidá instalační balíček do Control Panel Add or Remove programs - Add new program - Add
programs from your network. Uživatel ho následně z
daného místa může nainstalovat.
5.1
Úlohy
Klientské stanice, které jsou korektně připojené a
zobrazené v konzoli, je možné konfigurovat a spravovat
pomocí různých typů úloh. Úlohy je samozřejmě
možné aplikovat na více klientů, případně jednu či více
existujících skupin klientů. Vyvolání úloh pro jednu nebo
více označených klientských stanic je možné pomocí
kliknutí pravým tlačítkem myši na danou stanici a
zvolením volby konkrétní úlohy v části New Task. Tento
postup je možný i pomocí voleb hlavního z hlavního
menu, konkrétně Actions – New Task.
V následujícím textu se budeme věnovat jednotlivým
typům úloh pro klientské stanice, přičemž každá z úloh
bude vysvětlená na názorném příkladě.
5.1.1 Konfigurační úloha
Při potřebě změnit specifické nastavení antivirové
ochrany na klientské stanici se nabízí právě konfigurační
úloha. S její pomocí můžeme na stanici doručit tzv.
konfigurační balíček, který obsahuje námi definované
změny v nastavení. Povolené je použít i platný soubor
nastavení ve formátu .xml, který jsme vytvořili pomocí
konfiguračního editoru anebo vyexportovali přímo z
nastavení produktu. Uvedeme příklad konfigurační
úlohy, ve které pro zvolenou klientskou stanici
nastavíme aktualizační jméno a heslo. Volby, které
pro daný příklad nebudou použité, jsou vysvětlené
dodatečně.
Prvním krokem je označení klientské stanice, na kterou
budeme aplikovat konfigurační úlohu. V případě, že
chceme úlohu poslat na více stanic, označíme v konzole
všechny požadované stanice.
- Klikneme pravým tlačítkem myši na stanici a
vybereme z kontextového menu New Task –
Configuration Task.
- Zobrazí se okno Configuration for Clients, které
slouží jako průvodce vytvořením konfigurační úlohy.
V horní části okna jsou tři funkční tlačítka, pomocí
kterých je potřebné definovat zdroj s nastavením.
- Volba Create nám otevře konfigurační editor
nastavení, v kterém najdeme požadované údaje a
změníme je. V našem případě je to větev ESET Smart
Security, ESET NOD32 Antivirus – Aktualizace –
Profil – Setup – Přihlašovací jméno a Přihlašovací
heslo.
- Po zadání přihlašovacího jména a hesla pro
aktualizaci se stlačením tlačítka Console vrátíme
nazpět do průvodce konfigurační úlohy. Cesta k právě
vytvořenému balíčku by měla být zobrazená v řádku
pod tlačítky.
- V případě, pokud si nepřejeme nastavení vybrat
manuálně v konfiguračním editoru, můžeme použít
25
tlačítko Select. Při tomto postupu vyhledáme už
existující .xml soubor s nastavením a použijeme ho.
- Třetí volbou je načítání šablony konfigurace z .xml
souboru pomocí tlačítka Create from Template,
který následně můžeme modifikovat.
- Konfigurační balíček, jehož název a cesta je zobrazená
v řádku pod těmito tlačítky, můžeme kdykoliv
prohlédnout nebo modifikovat pomocí voleb View a
Edit.
- Následující dialog Select Clients je určený na
dodatečné přidání klientských stanic. Můžeme je
přidat jednotlivě, všechny, všechny pro zvolený
server a všechny z dané skupiny. Z tohoto důvodu je
přístupné i tlačítko Add Special.
- Pokud jsou požadované stanice zvolené, klikneme na
Next.
- V poslední části průvodce Task Report vidíme přehled
konfigurační úlohy. Můžeme k němu přidat jméno a
popis, které jsou volitelné. Apply task after zabezpečí
aplikované úlohy v definovaný čas. Delete tasks
automatically by cleanup if successfully completed
slouží k smazání úlohy po jejím úspěšném aplikovaní.
- Právě definovanou úlohu zaregistrujeme ke spuštění
stlačením Finish.
5.1.2 On – demand kontrola
V kontextovém menu New Task se nachází tato úloha
ve dvou modifikacích. První je možnost On – Demand
scann (cleaning disabled), která spouští skenování bez
možnosti léčení infiltrací. To umožňuje druhá možnost
On – Demand scann (cleaning enabled).
Okno On – Demand Scann je pro obě možnosti totožné
s rozdílem aktivované volby Scann without cleaning.
Ta určuje, zda se skenování bude po zjištění infiltrace
snažit vyléčit infikovaný soubor. V následujícím textu
popíšeme postup vytváření této úlohy.
- Configuration Section definuje, pro jaký produkt je
úloha určená. Zvolíme volbu podle aplikace, která je
na cílové klientské stanici nainstalovaná.
- Možnost Exclude this section from On – Demand
Scann způsobí, že všechna nastavení v tomto okně
se pro zvolený produkt stanou neaktivní a nebudou
použité na stanicích s tímto produktem. Tím pádem
tento produkt vylučujeme z cílové skupiny přijímatelů
právě definované úlohy. Pokud administrátor i tak
označí klienty jako příjemce a zároveň vyloučí daný
produkt z úlohy výše uvedených parametrů, tak na
klientech úloha skončí s upozorněním, že pro ně
tato úloha nebyla určená. Pokud toto spravování
uživatelovi nevyhovuje, měl by úlohu směřovat vždy
jen na konkrétní klienty.
- Přepínač Profile name vybírá skenovací profil, který
bude použitý pro danou úlohu.
- Drives to scan definuje, které typy disků na
26
klientské stanici budou kontrolované. Pokud
nabízené možnosti nejsou postačující a chceme
přidat konkrétní cestu, která má být kontrolovaná,
použijeme řádek Path a Add tlačítko pro přidání
konkrétní cesty do seznamu cílů. Clear History vrátí
seznam cílů do původní podoby.
- Pokračujeme tlačítkem Next na další okna výběru
klientů a potvrzení zaslaní úlohy na stanici, které jsou
totožné s okny Select Clients a Task Report (viz.
Konfigurační úloha)
Výsledek On – demand kontroly jsou ze stanic zaslané
na server a je možné je vidět v části Scan Log.
5.1.3 Aktualizační úloha
Podstatou této úlohy je vynutit na stanicích, na
kterých je aplikovaná, pokyn k aktualizování virové
databáze, případně programových komponentů. Po
vyvolání úlohy je v okně Update now potřebné zvolit
produkt, pro který chceme vytvořit aktualizační úlohu.
Pokud si daný produkt nepřejeme zahrnout do právě
vytvořené úlohy, můžeme ho vyjmout po označení volby
Exclude this section from Update Task. V případě,
že chceme provést aktualizace pomocí konkrétního
profilu, aktivujeme volbu Specify profile name a
vybereme požadovaný profil. Jméno profilu můžeme
i přesně specifikovat, přičemž návrat do původního
stavu dosáhneme tlačítkem Clear History. Tlačítkem
Next pokračujeme na obrazovky Select Clients a
Task Report, které jsou stejné jako v předcházejících
úlohách.
5.2 Skupiny (Groups)
Možnost slučovat klientské stanice do logických celků a
vytvářet tak skupiny je vhodná pomůcka při správě sítí
s větším počtem stanic. Nad skupinou jsou definované
operace, které je možné vykonávat a v praxi nám tato
skutečnost umožňuje aplikovat určitou operaci na
vícero klientských stanic, resp. skupin.
Vytvořit skupiny můžeme pomocí editoru skupin, který
je přímou součástí aplikace. Aktivujeme ho přes Tools –
Groups Editor, případně klávesovou zkratkou CTRL + G.
Okno editoru skupin je rozdělené na dvě části. Vlevo
je zobrazený seznam skupin, vpravo se nachází
seznam klientů. Seznam klientů se zobrazuje vždy pro
aktuálně označenou skupinu. Stejně tak operace, které
vykonáváme pomocí funkčních tlačítek ve spodní části
okna, probíhají na označené skupině nebo klientech.
Novou skupinu vytvoříme pomocí tlačítka Create.
Pojmenování skupiny by mělo být dostatečně výstižné,
aby byla zřejmá logická souvislost jeho klientů
(tedy např. obchodní oddělení, pobočka a pod.). Pro
detailnější popis slouží položka Description, kterou
je možné upřesnit popis skupiny (teda např. počítače
obchodního oddělení, stanice na pobočce a pod.).
Takto vytvořenou skupinu můžeme později dodatečně
editovat.
Po vytvoření skupiny se její název a popis zobrazí v levém
seznamu. Pro přidání klientských stanic do skupiny
použijeme nyní už aktivní tlačítko Add/Remove. V
novém otevřeném okně vybereme klienty, které si
přejeme přidat do skupiny a přesuneme je do pravého
sloupce dvojklikem, tlačítkem >> anebo přetáhnutím
myší. Přidávání klientů do skupin ulehčuje možnost
vyhledání klientů podle textového řetězce v názvu
klientské stanice, který zadáme do pole Quick search.
Pokud chceme označit všechny klienty, použijeme volbu
Select All. Tlačítko Refresh vynutí opakované načítání
seznamu klientů.
V případě, že nám manuální vybírání klientů
nevyhovuje, můžeme použít některou ze speciálních
metod přidávání klientů. Ty jsou přístupné pomocí volby
Add special...
na jiné Groups, nebo na jiné objekty v AD. Výsledek
synchronizace s AD tedy závisí na:
1) vztazích, ve kterých klient v AD figuruje,
2) objektech AD, se kterými je v ERA povolená
synchronizace
Objekty AD, se kterými bude povolená synchronizace,
se nastavují v rozšířeném nastavení (Tools > Server
Options > Other Settings > Edit Advanced Options
> ESET Remote Administrator > ERA Server >
Settings > Active directory). Standardně je povolená
synchronizace s
Computer AD groups - skupiny, ve kterých jsou ERA
klienti členy
V okně Add Clients Special umíme přidat do skupiny
všechny klienty, aktuálně zobrazené v panelu klientů
(Add clients loaded in Clients panel). Alternativou
je přidání jen označených klientů (Only selected). V
případě, že chceme přidat do konkrétní skupiny všechny
klienty konkrétního serveru/serverů nebo skupiny/
skupin, specifikujeme jejich označení v levém a pravém
okně a potvrdíme tlačítkem Add.
Computer organizational units - organizační
jednotky, ve kterých jsou ERA klienti členy
Posledním krokem vytvoření skupiny je potvrzení
operace tlačítkem Ok v okně Add/Remove dialog,
po kterém jsme zpět v hlavním okně editoru skupin.
Vytvořená skupina je spolu se seznamem klientů už
zobrazená.
Computer Domain Components - doménové
komponenty, ve kterých jsou ERA klienti členy
Klienty můžeme do skupiny dodatečně stejným
postupem přidávat a odebírat, celou skupinu je možné
smazat pomocí tlačítka Delete. Panel skupin a panel
klientů je možné zkopírovat do schránky po stlačení
Copy to clipboard.
Stejně tak můžeme klienty přidávat do skupiny přes
kontextové menu v záložce klientů (Add to Group).
5.2.1 Synchronizace s Active Directory
Poslední možností editoru skupin je automatické
vytvoření skupin a k nim příslušných klientů na základě
už definované struktury v Active Directory (dále jen AD).
AD představuje komplexní hierarchický systém sloužící
na správu různých objektů v rámci sítě a jeho podrobné
vysvětlení je nad rámec této příručky. Soustředíme
se proto hlavně na vysvětlení základního principu
synchronizace ERA se strukturou AD.
Klientská stanice je v AD i v ERA reprezentovaná názvem
počítače. V AD jde o objekt Computer, v ERA je to
Computer Name. Název počítače je tedy kritériem
synchronizace.
Ve struktuře AD bývá Computer většinou navázán
na více objektů (Groups, Organizational Units,
Containers,...). Groups mohou být zároveň navázany
Administrátor má možnost povolit synchronizaci i s
dalšími objekty AD:
Computer Containers - kontejnery, ve kterých jsou
ERA klienti členy
AD groups of AD groups - skupiny, které mají pod
sebou skupiny (members), ve kterých jsou ERA klienti
členy
AD groups organizational units - organizační
jednotky, které mají pod sebou skupiny, ve kterých jsou
ERA klienti členy
AD groups containers - kontejnery, které mají pod
sebou skupiny, ve kterých jsou ERA klienti členy
AD groups domain components - doménové
komponenty, které mají pod sebou skupiny, ve kterých
jsou ERA klienti členy
Poznámka: AD groups of AD groups, AD groups
organizational units, AD groups containers, AD groups
domain components rozšiřují možnost Computer AD groups,
takže pokud chceme synchronizovat s jednou z uvedených
možností, je potřebné, aby byla zvolená synchronizace i s
Computer AD Groups
Synchronizace proběhne při stlačení Synchronize with
Active Directory, k dispozici jsou 2 možnosti:
Full synchronization - při použití této volby je na místě
opatrnost, protože proběhne tzv. plná synchronizace všechny existující skupiny budou smazány a vytvořeny
znova. V opačném případě budou přidány nové skupiny
a staré budou zachovány.
27
Synchronize primary clients only – při použití této
volby budou synchronizováni pouze klienti připojení
na daný ERA server (replikovaní klienti nebudou
synchronizováni).
nastavení, které daná Child policy neobsahuje a ty co
obsahuje, se přepíšou.
Poznámka: Pro úspěšnou synchronizaci ERAS s Active
Directory není potřebné, aby byl ERAS nainstalován přímo
na Domain Controlleru. Stačí, když je Domain Controller
dostupný z počítače, na kterém se nachází ERAS. Konfiguraci
autentifikace k Domain Controlleru lze udělat v menu Tools
> Server Options > Other Settings > Edit Advanced
Options > ESET Remote Administrator > ERA Server
> Settings > Active directory. Formát jména serveru je
LDAP://servername nebo GC://servername. Pokud je prázdné,
použije se global catalog (GC).
Bezprostředně po nainstalování je na serveru
standardně jen jedna policy, nazvaná ´Server
Policy´, její název je však možné změnit (Policy
name). Samotnou policy je možné nastavit v již
známém konfiguračním editoru po stlačení tlačítka
Edit, kde je možné zvolit takřka všechny parametry
konfigurovaného produktu (klienta). Nastavení tu jsou
uspořádané do přehledné struktury. Významné jsou
malé ikonky před každou položkou. Na klientovi se totiž
uplatní jen aktivní nastavení (modře označené položky).
Neaktivní nastavení (šedě označené položky) budou
na klientech ponechané v původním stavu. Podobný
princip se uplatňuje i při spojení dvou policies při dědění
– na podřazené policy se uplatňují jen aktivní nastavení
Parent policy.
5.2.2 Filtrování
Panel klientů se při velkém množství klientských stanic
může stát nepřehledným. V tomto případě je vhodné
použít možnost filtrování, kterou administrátorská
konzole poskytuje. Detailnější informace v kapitole 3.3
Filtrace Informací.
5.3
Policies
Policy se v mnohém podobá běžné konfigurační úloze
(Configuration task), avšak nejde o jednorázovou
úlohu vyslanou na jednu nebo více stanic, ale o celkové
zabezpečení určité konfigurace spravovaných ESET
Security produktů – koncových klientů. Policy bychom
teda mohli nadefinovat jako konfiguraci, která je
vnucovaná klientovi.
5.3.1 Základní principy a fungování
Na spravování policies slouží Policy Manager (Tools >
Policy Manager). V okně nalevo je zobrazená stromová
struktura policies, které se na jednotlivých serverech
nacházejí. Pravá část je rozdělena do čtyř sekcí – Policy
settings, Policy configuration, Policy action a Global
policy settings – a umožňuje podrobnou správu a
nastavování policies.
Vytváření, editování a mazání policies, jako i jejich
přidělování klientům patří mezi hlavní možnosti
policy managera. Bezprostřední aplikování policy na
koncových klientech zabezpečuje ERA server, na který
jsou tito klienti přímo připojeni. Je dobré si uvědomit,
že na jednom ERA serveru může být vytvořeno vícero
policies, přičemž si navzájem od sebe můžou dědit
nastavení a stejně tak i nastavení policies z nadřazených
serverů (tyto servery se však v hierarchii musí nacházet
v přímé větvi).
Systému přebírání nadřazených policies hovoříme
dědění (inheritance), spojeným policies vzniklých v
rámci systému dědění hovoříme merged policies. Dědění
funguje na principu Rodič – Dítě (Parent – Child),
tj. podřazená policy (Child Policy) dědí nastavení
nadřazené policy (Parent Policy). Standardně se dědí ta
28
5.3.2 Vytvoření policy
Na serveru je možné vytvořit více policies (Add New
Child Policy). Při vytváření nové policy volíme v
dialogovém okně její název, Parent policy a konfiguraci
(možnosti jsou: prázdná policy, kopírovat konfiguraci
z některých existujících policy, kopírovat konfiguraci
z xml souboru). Policies je možné vytvářet jen na
servery, na kterých jsme právě připojení ERA konzolou.
Pokud potřebujeme vytvořit policy např. na některém
z podřazených serverů, je potřebné se na tento server
pomocí ERA konzole připojit.
Každá policy má dva základní atributy – Force over any
children policy a Down replicable policy. Od toho,
který z těchto atributů je aktivní, závisí, zda se bude
daná policy replikovat, resp. dědit.
Down replicable policy - znamená, že policy je možné
replikovat směrem dolů – tj. může sloužit jako Default
policy pro policies na podřazených serverech a také
může být přidělovaná klientům na podřazených
serverech.
Force over any children policy - znamená, že všechny
aktivní nastavení dané policy mají při dědění prioritu
– tj. v případě odlišných nastavení s Child policy bude
vzniklá merged policy vždy obsahovat všechny aktivní
nastavení Parent policy (a to i v případě, že i Child policy
má aktivní atribut „Force...“). Neaktivní nastavení v
parent policy budou ponechané podle child policy.
Pokud atribut Force over any children policy není
zapnutý, prioritu má child policy – tj. v případě odlišných
nastavení s parent policy budou ve výsledné merged
policy ponechané nastavení z child policy. Takovýmto
spojením vzniklá merged policy se potom aplikuje
na další policies, pokud se tyto na ni odkazují jako na
parent policy.
1) Policies s modře zabarvenými ikonkami jsou ty, které
se nacházejí na daném serveru. Ty se dále můžou lišit:
Ikonka s bílým středem – policy je vytvořená na
daném serveru. Nereplikuje se dolů – není možné je
přiřadit klientům z podřazených serverů a stejně tak
nemůže sloužit jako parent policy na podřazených
serverech. Dá se využít jen v rámci daného serveru – na
přidělování klientům připojených na daný server a stejně
tak může sloužit jako parent policy pro jinou policy z
daného serveru.
Obrázek 5.1 Praktický příklad fungování dědění policies.
5.3.3 Virtuální policy
Krom vytvořených policies a policies vyreplikovaných
z jiných serverů (blíže o nich v další kapitole) se v
stromové struktuře nacházejí i Default Parent Policy
a Default primary clients policy, které nazýváme
virtuální policy.
Default Parent Policy je ta policy, která je na
nadřazených servery v Global Policy Settings zvolená
jako Default policy for underlying servers. Pokud
se server nikam nereplikuje, tato policy se bere jako
prázdná (vysvětlení níže).
Default primary clients policy je policy, která je
na daném (ne nadřazeném) serveru v Global Policy
Settings zvolená jako Default policy for primary
clients. Tedy jde o policy, která se automaticky aplikuje
na (nově)připojené klienty (tzv. primární klienty) k
danému ERA serveru, pokud na těchto klientech už
nebyla aplikovaná jiná policy na základě pravidel (Policy
Rules) – o přidělování policies klientům podrobněji v
kapitole 5.3.7 Přidělování policies klientům. Tyto policies
nazýváme virtuálními proto, že nejde o reálně existující
policies, ale jsou to něco jako zástupci, kteří můžou
představovat některou policy z daného serveru.
5.3.4 Funkce a význam policies v stromové struktuře
Ikonka s modrým středem – platí to samé jako v
předešlém případě s tím rozdílem, že policy má aktivní
atribut Force over any children policy (podrobněji v
kapitole 5.3.3 Vytvoření policy)
, Ikonka s šipkou směřující dolů – znamená, že
policy se replikuje směrem dolů (má aktivní atribut
Down replicable policy). Kromě jejího využití na daném
serveru je možné ji použít i na podřazených serverech
(může sloužit jako parent policy a může být přidělovaná
klientům). Při kombinaci modrý/bílý střed + šipka se
spojují popsané vlastnosti.
2)Policies se šedě zabarvenými ikonkami jsou policies z
jiných serverů, přičemž rozlišujeme:
Ikonka se šipkou směřující nahoru – znamená, že
policy je vyreplikovaná z některého ze spodních serverů.
Je možné si je jen prohlédnout, případně ji smazat ze
stromové struktury (Delete Policy Branch). Při mazání
ze stromové struktury nejde o smazání samotné policy,
ale jen o její zrušení zobrazení v stromě. Proto při
nejbližší replikaci se může zobrazit ve stromě znovu.
Pokud nám tedy jde jen skrytí policies z podřazených
serverů, je vhodnější použít volbu Hide foreign servers
policies not used in policy tree.
Ikonka se šipkou směřující dolů – znamená, že
policy je zreplikovaná z některého z horních serverů. Je
možné ji prohlédnout, použít ji jako Parent Policy pro
jinou policy, přidávat klientům (Add Clients) a smazat
(Delete Policy). V případě smazání však platí ten samý
princip jako v předchozím případě, smazaná policy se
opět zreplikuje z horního serveru a zobrazí se ve stromě
(pokud jej mezitím nebyl na horním serveru zrušený
atribut Down replicable policy).
Poznámka: Policies ve stromové struktuře je možné
přesouvat a přiřazovat kromě klasického způsobu (zvolením
parent policy) i pomocí myši (drag&drop).
5.3.5 Prohlížení policies
Obrázek 5.2
Každá policy zobrazená v stromové struktuře má na své
levé straně přidělenou ikonku. Při jejich rozlišovaní platí
tyto zásady:
Každou policy ve stromě je možné si prohlédnout
zobrazením přímo v konfiguračním editoru označením
dané policy a stlačením View, resp. View Merged.
View Merged – zobrazí spojenou policy, která vznikla
při dědění (dědí se z té policy, kterou má tato policy
zvolenou jako Parent policy). Tato volba je zobrazená
29
první, protože aktuální policy je právě už tato merged
policy (je východisková při dalším dědění a odkazovaní
se na ni jako na parent policy).
View – zobrazí původní policy – tj. ještě před spojením s
Parent policy
Na podřazených serverech máme v případě výše
zreplikovaných policies možnost zobrazit:
View Merged – stejně tak, jako v předchozím případě.
View Force Part – v případě, že tato policy má aktivní
atribut Force over any children policy. Je možné
zobrazit jen Forced část policy – tj. tu která má prioritu
a přepisuje všechny ostatní nastavení v child policies.
View Non-force part – opačně jako při View Force Part
– zobrazí se jen ta nastavení, na které se nevztahuje
Force over... pravidlo.
5.3.6 Přidělování policies klientům
Při přidělování policies klientům platí 2 hlavní zásady:
1) Lokálním (primárním) klientům je možné přiřadit
jakoukoliv lokální policy a z horních serverů
zreplikované policy.
2) Zdola vyreplikovaným klientům je možné přiřadit
jakoukoliv lokální policy s atributem Down replicable
a z horních serverů zreplikované policy. Není možné
jim přiřadit policy z jejich vlastního serveru (toho se
dá docílit přímým připojením ERA konzole na daný
server a přidělením policy klientům).
Další důležitou vlastností je, že každý klient má vždy
přidělenou nějakou policy (neexistuje klient bez policy).
Policy teda není možné klientovi odebrat, ale jen ji
nahradit jinou. Pokud na klienta nechceme aplikovat
nastavení žádné policy, můžeme vytvořit tzv. prázdnu
policy (empty policy configuration) a přidělit ji danému
klientovi.
Policy je možné přidělit klientům třemi různými
způsoby.
5.3.6.1 Default Primary Clients Policy
Prvním je automatické přidělení prostřednictvím
virtuální policy Default Primary Clients Policy, která
se nastavuje v Global Policy Settings. Jak už z názvu
této policy vyplývá, jde o přidělení policy primárním
klientům (tj. klientům přímo připojeným na tento
server). Podrobnější informace se nacházejí v kapitole
5.3.4 Virtuální policy)
5.3.6.2Manuální přidělení
Další možností je manuální přidělení, které je možné
udělat dvěma způsoby – přímo v záložce Clients po
kliknutí pravým tlačítkem na klienta a zvolením Add
Policy z kontextového menu, anebo pomocí Add/
30
Remove dialogu po stlačení tlačítka Add Clients v
Policy Manageři.
Při použití Add clients se zobrazí dialogové okno. V
části All items je seznam klientů, kterým může být
daná policy přidělená. Když manuální způsob přidělení
policy umožňuje přidělit policy i klientům z podřazených
serverů, uvidíme v tomto seznamu i vyreplikované
klienty z podřazených serverů (ale jen v případě,
pokud přidělovaná policy má aktivní atribut Down
replicable policy). Název klienta je ve formátu Server/
Klient. Klienty, kterým chceme danou policy přidělit,
označíme, a pomocí šipky ve středu přesuneme do části
Selected items. Čerstvě vybraní klienti mají v ikonce
žlutou hvězdičku. Znamená to, že je ještě možné s
nimi manipulovat (přesouvat je mezi oběma panely
pomocí šipek, příp. je odstranit z panelu Selected items
pomocí tlačítka C). Stlačením OK potvrdíme výběr a při
dalším vyvolaní Add/Remove dialogu už není možné
přidané klienty odebrat - nemají hvězdičku (policy
nikdy není možné klientovi odebrat, jen přiřadit jinou).
Jiným způsobem přidání klientů je využití funkce Add
special, která v osobitném dialogovém okně umožňuje
přidat najednou všechny klienty, kteří se nacházejí v
záložce Clients (Add clients loaded in the Clients
panel), případně jen ty z nich, kteří jsou označení
(Only selected). Tak samo je možné přidat i klienty z
konkrétních serverů, nebo skupin (Clients on Servers
and in Groups).
5.3.6.3Policy Rules
Komplexnějším nástrojem jsou Policy Rules (pravidla
přidělování policies), které umožňují nastavit kritéria
automatického přidělování policies klientům. Pravidla
se aplikují vždy po připojení klienta na server a mají
přednost před Default Primary Clients Policy a i před
manuálním přidělováním. Znamená to, že Default
Primary Clients Policy se na klienta aplikuje jen tehdy,
když nespadá pod žádné z vytvořených pravidel. V
případě manuálního přidělení policy klientům, když
je tato v rozporu s policy přidělenou na základě policy
rules, přednost mají vždy policy přidělené na základě
policy rules.
Policy rules jsou v rámci Policy Managera vytvářené
a spravované v samostatné záložce. Způsob jejich
vytváření a aplikování je velmi podobný tvořením
a spravováním pravidel poštovních klientů – každé
pravidlo může obsahovat jedno nebo více kritérií,
pravidla jsou podle priority seřazení shora směrem
dolů, přičemž každé pravidlo je možné pomocí šipek
posunout v tomto žebříčku nahoru nebo dolů.
K vytvoření pravidla slouží tlačítko New, které vyvolá
dialogové okno s položkami Name (jméno pravidla),
Description (krátký opis pravidla), Client filter
parameters (kritéria filtrování), Policy (policy, která se
aplikuje na klienta splňujícího zvolená kritéria).
Samotná kritéria se nastavují v dalším okně po stlačení
tlačítka Edit.
Jednotlivé kritéria:
(NOT) FROM Primary Server – pokud je (není) klient z
primárního serveru
IS (NOT) New Client – pokud to je (není) nový klient
HAS (NOT) New Flag – pokud (ne)má klient příznak
New Client
Primary Server (NOT) IN (specify) – pokud (ne)má
primary server v názvu
GROUPS IN (specify) – pokud klient patří do skupiny ...
GROUPS NOT IN (specify) – pokud klient nepatří do
skupiny ...
DOMAIN (NOT) IN (specify) – pokud klient (ne)patří do
domény ....
Computer Name (specify) – pokud je název počítače
....
IP Mask (specify) – pokud patří klient do skupiny
definované IP adresou a maskou
IP Range (specify) – pokud patří klient do skupiny
definované IP rozsahem
HAS (NOT) Defined Policy (specify) – pokud (ne)má
klient definovanou policy ....
Pravidlo je samozřejmě možné i smazat (tlačítko
Delete). Okamžité aplikovaní vytvořených pravidel
zabezpečuje tlačítko Run Policy Rules Now.
5.3.7 Smazání policy
Podobně jako při vytváření policies, i zde platí, že
smazaná může být policy jen ze serveru na který jsme
právě ERA konzolí připojení. Pokud chceme smazat
policy na jiném serveru, je třeba se na něj přímo ERA
konzolí připojit.
Vzhledem na to, že policy může existovat v různých
závislostech (může sloužit jako parent policy pro jiné
policies, jako default policy pro podřazené servery, jako
default policy pro primární klienty a pod.) může být její
smazání zkomplikované tím, že za ni bude potřeba najít
náhradu. Pro tento účel slouží dialog, který se otevře
bezprostředně po kliknutí na Delete Policy. To, které
položky v tomto dialogu jsou aktivní, závisí právě od
toho, v jakých závislostech daná policy figuruje.
New policy for primary clients with the currently
deleted policy – zde volíme náhradní policy pro
primární klienty, kteří měli přidělenou právě smazanou
policy. Na primárních klientech totiž nemusí být
aplikovaná jen Default policy for primary clients (její
náhrada se definuje v záložce New default policy for
primary clients), ale jakákoliv jiná z daného serveru
(buď prostřednictvím manuálního přidání přes Add
Clients, nebo na základě Policy Rules). Náhradou
může být některá policy z daného serveru, nebo shora
zreplikovaná policy.
New parent policy for the currently deleted policy´s
children policies (if exists) – pokud smazaná policy
sloužila jako parent policy pro jiné policies (children
policies), je potřeba za ni zvolit náhradu, přičemž
náhradou může být některá policy z daného serveru,
shora zreplikovaná policy, příp. příznak N/A, což
znamená, že children policies nebude přiřazená žádná
náhradní policy. Tuto náhradu je potřebné udělat i když
child policy zjevně neexistuje, protože není možné
zaručit, že jiný uživatel přes jinou konzolu nepřiřadí
dané policy child policy právě v procesu mazání.
New policy for replicated clients with the currently
deleted or modified policy – zde volíme náhradní
policy pro zdola vyreplikované klienty – tj. klienty z
podřazených serverů, který měli přidělenou právě
smazanou policy. Náhradou může být některá policy z
daného serveru, nebo shora zreplikovaná policy.
New default policy for underlying servers – pokud
smazaná policy slouží jako virtuální policy (Global
Policy Settings) je třeba ji nahradit jinou (podrobněji
v kapitole 5.3.4 Virtuální policy). Náhradou může být
některá policy z daného serveru, nebo příznak N/A.
New default policy for primary clients – pokud
smazaná policy slouží jako virtuální policy (Global
Policy Settings) je třeba ji nahradit jinou (podrobnější
v kapitole 5.3.4 Virtuální policy). Náhradou může být
některá policy z daného serveru.
Tento samý dialog se zobrazí i tehdy, kdy některé
policy zrušíme atribut Down replicable a stiskneme
OK/Apply, případně zvolíme jinou policy ve stromě.
V tu chvíli jsou v dialogu aktivní položky New policy
for replicated clients with the currently deleted or
modified policy a případně i New default policy for
underlying servers.
5.3.8 Speciální nastavení
Většina nastavení policies se provádí v Policy Managery,
avšak dvě se nacházejí mezi pokročilým nastavením
(Server Options > Other Settings > Edit Advanced
Settings) ve větvi ESET Remote Administrator > ERA
Server > Setup > Policies.
Interval for policy enforcement (minutes):
Tato vlastnost zabezpečí aplikování policies každých X
minut. Tuto volbu doporučujeme používat jen v případě
problémů s aplikováním policy na klientech.
Disable policy usage:
Pomocí této volby je možné úplně vypnout používání
policies na servery. Tuto volbu doporučujeme používat
jen v opodstatněných případech, pokud se vyskytnou
31
skutečné problémy. Pokud se z nějakých důvodů
potřebujeme vyhnout aplikování policy na některých
klientech, můžeme to udělat i „čistějším“ způsobem –
přiřazením prázdné policy.
5.3.9 Scénář použití
5.3.9.1 Každý server je samostatně spravovaný a policies se řeší
lokálně
Předpokládejme menší síť s jedním hlavním a dvěma
přímo podřazenými servery. Na každý server je
připojeno několik klientů. Na každém z těchto serverů
je vytvořená jedna nebo více policies. Podřazené servery
se nacházejí na pobočkách a každý z nich samostatně
upravuje lokální administrátor. Každý administrátor
si samostatně určuje které policies budou přiřazené
kterému klientovi v rámci jeho serveru. Hlavní
administrátor nezasahuje do nastavení lokálních
administrátorů a nepřiděluje policies klientům z jejich
serverů. Z pohledu nastavení policies na serverech to
znamená, že na serverech B a C mají policies jako parent
policy zvolený atribut N/A, resp. některou policy přímo
z toho samého serveru přes Default parent policy (tj.
nemají zvoleného parenta z nadřazeného serveru).
Obrázek 5.4
5.3.9.3 Použití dědění z různých policies nadřazeného serveru
Opět platí to samé, co v předchozím případě, ale přes
Default Parent Policy jsou na hlavním serveru i další
policies, které se replikují směrem dolů a slouží jako
parent policies pro policies na podřazených serverech.
Policy 1 v tomto příkladě má přitom aktivní atribut
Force over any children policy. I tu mají lokální
administrátoři ještě dost pravomocí, avšak hlavní
administrátor určuje, jak a které policies budou
replikované směrem dolů a které z nich budou sloužit
jako parent policies pro policies z podřazených serverů.
Silným administrátorským nástrojem je zde použití
Force over... atributu, kterým hlavní administrátor
zabezpečí, aby nastavení dané policy „přetekly“ v rámci
systému dědění policies až ke klientovi.
Obrázek 5.3
5.3.9.2Každý server je samostatně spravovaný, policies se řeší
lokálně, ale dědí se Default Parent policy z nadřazeného
serveru
Platí to samé, co v předchozím případě s tím rozdílem,
že na serveru A je definována Default policy for
underlying servers a policies na podřazených serverech
dědí nastavení Default Parent Policy z hlavního
serveru. V tomto scénáři je teda stále ponechána
značná autonomie lokálním administrátorem. Child
policies na podřazených serverech sice dědí nastavení
Default Parent Policy z hlavního serveru, ale lokální
administrátoři mají možnost toto dědění modifikovat
vlastními nastaveními.
32
Obrázek 5.5
5.3.9.4Přiřazování policies jen z nadřazeného serveru
5.4 Notifikace
Tento scénář představuje centralizovaný systém
přidělování polices. Vytváření, modifikování a
přidělování policies klientům se děje jen na hlavním
serveru, lokální administrátoři nejsou vůbec potřební.
Na podřazených serverech je vytvořená jen jedna
základní prázdná policy (standardně nazvaná Server
Policy), která zároveň slouží jako Default Parent Policy
for Primary Clients.
Schopnost oznamování důležitých událostí správcem
systémů a síťovým administrátorem je důležitou
součástí zabezpečení ochrany a integrity počítačové
sítě. Včasné informování o chybě či škodlivém kódu
může předejít velkým ztrátám a zbytečnému úsilí,
potřebnému na odstranění problému v nejpozdějších
fázích. V následující části se budeme zabývat
notifikačními možnostmi produktu ESET Remote
Administrator.
5.4.1 Notification Manager
Hlavní okno manažera notifikací je přístupné přes Tools
– Notification Manager.
Obrázek 5.6
5.3.9.5Použití policy rules
Automatické přidělování policies na základě policy rules
ani tak nepředstavuje samostatný scénář jako spíše
možný doplněk k některému ze scénářů.
V případě, že je každý server samostatně spravovaný
lokálním administrátorem, každý administrátor si
vytváří vlastní policy rules na svém serveru pro své
klienty. Zde je důležité dbát na to, aby nedošlo ke
konfliktu mezi policy rules – např. nadřazený server
přiděluje na základě policy rules nějakou policy
klientovi na podřazeném serveru a zároveň na tomto
podřazeném serveru je klientovi přidělována jiná policy
na základě lokálních policy rules.
V případě centrálně řízeného systému je použití policy
rules jednodušší, protože celý management policies se
odehrává jen na hlavním serveru.
5.3.9.6Použití lokálních skupin
Přidělování polices klientům prostřednictvím skupin
může také sloužit jako doplněk k některému z možných
scénářů. Skupiny je možné vytvořit manuálně nebo
pomocí synchronizace s active directory (viz kapitola 5.2.
Skupiny (Groups)). Přidělovat policies klientům pomocí
skupin můžeme jednorázově (Add Clients > Add Special)
nebo automaticky použitím Policy Rules.
Obrázek 5.7 Okno notifikačního manažera
Je rozdělené na dvě části. V horní polovině se nachází
seznam už existujících (předdefinovaných nebo
uživatelem vytvořených) pravidel. Každé pravidlo může
být aktivní, v tom případě je označené. Jen označené
pravidla generují notifikační zprávy v případě splnění
těchto podmínek, proto je důležité po vytvoření pravidla
ověřit i jeho aktivní stav. Standardně po nainstalování
aplikace není aktivní žádné pravidlo.
Funkční tlačítka pod seznamem pravidel slouží k
uložení pravidla po modifikaci pod tím samým jménem
(Save), uložení po modifikaci pod jiným jménem (Save
as...), smazání pravidla (Delete), nastavení pravidla
do původního stavu podle zvoleného spouštěče Trigger
type (Default), obnovení seznamu pravidel (Refresh) a
na pokyn přidání všech přednastavených pravidel, které
byly smazané (Default Rules).
Spodní část okna slouží k zobrazení podrobností o
aktuálně zvoleném pravidlu. Tyto podrobnosti si v
následujícím textu popíšeme na příkladu vytvoření
vzorového pravidla v kapitole 5.4.2 Vytvoření pravidla.
Nejdřív ale popíšeme logiku vytváření pravidel ve
všeobecnosti.
33
Pro pravidlo je možné definovat podmínky jeho
vykonání a následné akce. Pro každé pravidlo existuje
tzv. Spouštěč (Trigger), který aktivuje vykonávání
pravidla v případě nastání definované události. Může
mít tyto hodnoty:
Client state - pravidlo se bude spouštět při zjištění větší
problémové události, týkající se některého z klientů
Server state - pravidlo se bude spouštět při zjištění větší
problémové události, týkající se některého ze serverů
Finished task event - spuštění pravidla bude závislé na
skončení úlohy
New Client Event - pravidlo se bude spouštět při zjištění
připojení se nového klienta na server, případně
nového klienta po replikaci
New Log Event – událost v některém z logů ovlivní
spuštění pravidla
V závislosti od hodnoty spouštěče jsou aktivované
/ deaktivované ostatní možnosti pravidla, proto je
vhodné začít při tvorbě pravidla právě touto hodnotou.
Položka Priority slouží k nastavení priorit pravidla,
přičemž P1 představuje nejvyšší a P5 nejnižší prioritu.
Priorita pravidla žádným způsobem neovlivňuje jeho
funkcionalitu, je určené jen pro vyjádření důležitosti
pravidla. Též je možné využít proměnu %PRIORITY% při
vkládání hodnoty priority do zasílaných notifikačních
zpráv.
Pod nastavením priority se nachází textové pole
Description, které slouží k vložení komentářů k danému
pravidlu. Doporučujeme každé pravidlo smysluplně
okomentovat, např. pravidlo pro ohlášení infiltrace na
stanici a podobně.
Jakmile systém zjistí událost spouštěče při určitém
klientovi / klientech a najde k němu příslušné pravidlo /
pravidla, aplikuje na daných klientech filtr. Ten můžeme
pro každé pravidlo, týkající se klientů, modifikovat
po kliknutí na tlačítko Edit... v části Client filter. V
otevřeném okně je možné definovat podmínky filtrování
klientů. Jen klientské stanice, které vyhovují daným
podmínkám, budou brané v úvahu pro vyhodnocení
notifikačního pravidla. Podmínky filtrování jsou
následné:
FROM Primary Server - jen klienti z primárního serveru,
podmínka se dá negovat
Primary Server IN - primární server klienta je jeden z
uvedených
Groups IN - klienti, nacházející se v uvedené skupině
Domain IN - klienti, nacházející se v uvedené doméně
Computer Name - klienti s daným názvem počítače
IP Mask - klienti, spadající do uvedené IP masky
IP Range - klienti v rámci uvedeného rozsahu IP adres
HAS Defined Policy - klienti, kteří mají přiřazenou
konkrétní politiku. Tuto podmínku je možné negovat
na HAS NOT
HAS New Flag – klienti, kteří mají nastavený příznak
“nový”. Tuto podmínku je možné negovat na HAS
NOT
34
Po definování filtru klientů, pro které se dané notifikační
pravidlo bude ověřovat, je potřebné definovat
parametry pravidla.
Parametry pravidla určují, jaké podmínky musí klient /
skupina klientů splňovat, aby byla vykonána samotná
notifikační akce. Možné parametry jsou zobrazené po
kliknutí na tlačítko Edit... v části Parameters. Tyto
parametry se mění v závislosti od zvolené hodnoty
Trigger type, následuje kompletní výpis všech
parametrů každého typu.
Parametry pro Client state jsou následné:
• Amount – absolutní nebo procentuální počet klientů
pro aktivování pravidla
• Protection Status Any Warning – jakékoliv hlášení v
položce Protection Status
• Protection Status Critical Warning - závažné hlášení
v položce Protection Status
• Virus Signature DB version - problém virové
databáze, možné je definovat 3 stavy:
• Previous - virová databáze je o jednu verzi starší než
aktuální
• Older - virová databáze je o víc jak jednu verzi starší
než aktuální
• Newer - virová databáze klienta je novější než virová
databáze serveru
• Last Connected Warning - poslední připojení bylo
před definovaným časem
• Has Last Threat Event - položka Last Threat obsahuje
libovolné hlášení infiltrace
• Has Last Event - položka Last Event obsahuje
libovolnou událost
• Has Last Firewall Event - položka Firewall Event
obsahuje libovolný záznam personálního firewallu
• Has New Flag - klient má nastavenou značku „New“
• Waiting For Restart - klient čeká na restart
• Last Scan Found Threat - klient při poslední kontrole
zjistil přítomnost definovaného počtu infiltrací.
• Last Scan Not Cleaned Threat - klient při poslední
kontrole zjistil přítomnost definovaného počtu
infiltrací, které nebyly vyléčené.
Všechny parametry je možné negovat, ne vždy však
tato negace má smysl. Vhodné je negování používat
při parametrech, vyjadřujících dvě logické hodnoty
pravda a nepravda. Například parameter Has “New”
Flag pokrývá klienty s označením “nový”. Negace tohoto
parametru zachytí logicky všechny klienty, kteří dané
označení nemají.
Dané podmínky je možné vzájemně logicky kombinovat
a invertovat, přičemž volba The rule is applied when
dovoluje vybrat dvě možnosti:
all the options are meet – pravidlo, platí jen pokud jsou
splněné všechny definované parametry
any of the options is met - pravidlo platí, pokud
kterýkoliv jeden parametr platí
Pro Trigger Type s hodnotou Server State jsou parametry
následující:
• Server updated – server je aktualizovaný
• Server not updated – server není aktualizovaný déle
než zvolená hodnota
• Server logs – v serverovém logu se nacházejí záznamy
typu
• Errors – chybové hlášení
• Errors + Warnings – chybové a výstražné hlášení
• Filter log entries by type – aktivací této volby
získáme možnost blíže specifikovat, které oblasti
chyb v serverovém logu chceme sledovat. Je
potřebné ověřit, zda je samotné logování serveru
nastavené na dostatečně vysokou úroveň, aby byly
tyto logy vůbec zaznamenávané. V opačném případě
bude pravidlo notifikačního manažera prohledávat
log úplně zbytečně. Možnosti problémových oblastí
serveru jsou následné, uvádí se jako samostatné
textové řetězce, oddělené čárkou:
1. ADSI_SYNCHRONIZE – synchronizace skupin s
Active Directory
logech serveru, který se týká aktualizace a tvorby
mirroru.
• License Expiration – licence bude expirovat
za zvolenou dobu, případně už přeexpirovala.
Doplňujícím prvkem je možnost Warn only if this will
cause the number of clients in the license decrease
under the number or actual clients in the server
database. Jejím aktivováním zabezpečíme, aby server
oznamoval problém expirace klíče jen v případě, že
po exspiraci klíče klesne počet povolených licencí pod
počet aktuálně přihlášených klientů
• Limit license – počet volných licencí poklesne pod
zvolenou procentuální míru
V případě nastavení Trigger Type na New Log Event
máme na výběr z těchto parametrů:
2. CLEANUP – server clean up úlohy
• Log type – zvolíme o jakou událost, kterého logu se
jedná, možnosti jsou Event, Firewall nebo Threat log
3. CREATEREPORT – vytváření reportů na požádání
• Log level – úroveň záznamu v daném logu
4. DEINIT – vypínání serveru
• Level 1 - Critical Warnings – kritické hlášení
5. INIT – startování serveru
• Level 2 - Above + Warnings - všechna předcházející
a výstražná hlášení
6. INTERNAL – vnitřní hlášení serveru
7. LICENSE – operace s licencemi
8. MAINTENANCE – server maintenance úlohy
9. NOTIFICATION – management notifikací
• Level 3 – Above + Normal – všechna předcházející a
informační hlášení
• Level 4 – Above + Diagnostics – všechna
předcházející a diagnostická hlášení
11. RENAME – vnitřní přejmenování struktur
• 1000 occurencies in 60 minutes – počet výskytů
záznamů v logu přesáhne definované číslo za zvolený
interval. V přednastaveném případě je to tisíc
záznamů za hodinu
12. REPLICATION – replikace serverů
• Amount – absolutní nebo procentuální počet klientů
13. POLICY – management policies
Zbývající uvedené položky Trigger Type nemají žádné
vlastní parametry.
10. PUSHINST – vzdálená instalace
14. POLICYRULES – policy pravidla
15. SCHEDREPORT – automaticky generované reporty
16. SERVERMGR – management interních vláken
serveru
17. SESSION – síťové spojení serveru
18. THREATSENSE – zasílání statistických informací
ThreadSense.NET
19. UPDATER – aktualizace serveru a vytváření mirroru
Vhodným příkladem nastavení je použití parametru
UPDATER, kdy si zabezpečíme zasílání notifikační
zprávy při vygenerovaní problémového záznamu v
Pokud jsou pro pravidlo splněné parametry, systém
vykoná administrátorem nadefinovanou akci. Možnosti
akcí se modifikují pomocí tlačítka Edit... v části Actions.
Možnosti tohoto dialogu jsou následující:
• E-mail - na vloženou emailovou adresu se odešle
notifikační text pravidla, přičemž předmět zprávy
si můžeme zvolit v řádku Subject. Volba To otvírá
adresář kontaktů.
• SNMP Trap - vygeneruje se a odešle SNMP notifikace
• Execute (on server) - na serveru je spuštěná aplikace,
ke které můžeme v na to určeném řádku definovat
cestu.
35
• Log To File - do uvedeného souboru budou
generované logovací hlášení. Podrobnost těchto
hlášení modifikujeme pomocí volby Verbosity.
• Logging - událost bude logovaná i v protokolech
serveru, přičemž detailnost opět zvolíme pomocí
nastavení Verbosity na požadovanou úroveň. Pro
používání této funkce musí být samozřejmě povolené
logování na serveru.
Samotný obsah hlášení můžeme upravit v dialogu
Message ve spodní části hlavního okna notifikačního
manažera. V textu je povolené používat speciální
proměnné %NAZOV_PREMENNEJ%. Seznam
proměnných získáme po kliknutí na odkaz Show me
options:
• Server_Last_Updated – poslední aktualizace serveru
• Primary_Server_Name – jméno primárního serveru
• Rule_Name – název pravidla
• Rule_Description – popis pravidla
• Client_Filter – podmínky filtrování pravidel klientů
• Client_Filter_Short – zkrácený formát filtru pravidel
klientů
• Client_List – seznam klientů
• Triggered – informace o čase zasílání zprávy daným
pravidlem
• Triggered_Last – informace o čase posledního zaslání
zprávy daným pravidlem
• Priority – priorita pravidla
• Log_Text_Truncated – text z logu, ořezaný na počet
znaků
• Task_Result_List – výsledek zaslané úlohy
• Parameters – parametry pravidla
• Last_Log_Date – datum posledního logu
• License_Info_Merged – souhrné informace o licencích
• License_Info_Full – kompletní informace o licencích
• License_Days_To_Expiry – počet dní do expirace
licencí
• License_Clients_Left – počet zbývajících volných
klientů, které je ještě při aktuálních licencí možné
připojit k serveru
• Actual_License_Count – aktuální počet klientů,
připojených k serveru
Takto vytvořené pravidlo je připravené na použití.
Poslední věcí, kterou je potřeba zohlednit, je čas
aktivace pravidla. Aktivaci můžeme posunout o časový
úsek v rozmezí jedné hodiny až třech měsíců. V případě,
že si přejeme pravidlo aktivovat co nejdříve, nastavíme
položku Activation after: na hodnotu ASAP (as soon
as possible). Tato hodnota představuje první možný
okamžik, kdy je to možné. Standardně se notifikační
manažer aktivuje každých 10 minut, takže hodnota
ASAP je většinou přibližně rovná této časové jednotce.
Pokud aktivaci posuneme nastavením určité časové
hodnoty a ne volby ASAP, server vykoná pravidlem
definovanou akci až po uplynutí zvoleného času,
přičemž daná podmínka musí stále platit.
Volbou Repeat after every... definujeme, po jak
dlouhém časovém úseku se má akce vykonat znovu.
Musí však platit, že podmínka vykonání pravidla je stále
36
platná. Časový interval, v kterém server kontroluje
všechny aktivní pravidla a vyhodnocuje je, definujeme
v Server – Other Settings – Edit Advanced Settings
– ESET Remote Administrator – Server – Setup –
Notifications – Interval for notification processing
(minutes). Standardně je tato hodnota přednastavená
na 10 minut, přičemž její nastavení na nízké hodnoty
nedoporučujeme z důvodu velkého vytížení serveru.
V okně notifikačního manažera se standardně nacházejí
předdefinované pravidla, které je možné aktivovat
označením daného pravidla. Na výběr jsou následující
pravidla, přičemž každé z nich po splnění uvedené
podmínky vygeneruje do logu příslušné hlášení:
• More than 10% of primary clients are not
connecting – víc jak 10 procent klientů se nepřipojilo
po dobu delší než jeden týden. Pravidlo se aktivuje
ASAP.
• More than 10% of primary clients with critical
protection status – víc jak 10 procent klientů
zaznamenalo kritické hlášení ve stavu ochrany a
zároveň žádný z těchto klientů nebyl nepřipojený víc
jak týden. Pravidlo se aktivuje ASAP.
• Primary clients with protection status warning –
existuje klient s libovolným hlášením ve stavu ochrany,
přičemž tento klient nebyl nepřipojený víc jak týden
• Primary clients not connecting – existuje klient,
který se nepřihlásil k serveru po dobu delší než jeden
týden
• Primary clients with outdated virus signature
database – existuje klient, který má virovou databázi
o dvě a víc verzí nižší než aktuální a nebyl nepřipojený
víc než týden
• Primary clients with critical protection status existuje klient, který má kritické hlášení ve stavu
ochrany a nebyl nepřipojený víc než týden
• Primary clients with newer virus signature
database than server – existuje klient, který
má virovou databázi novější než server a nebyl
nepřipojený víc než týden
• Primary clients waiting for restart – existuje klient,
který čeká na restartování a nebyl nepřipojený víc než
týden
• Primary clients with a non-cleaned infiltration in
computer scan – existuje klient, na kterém poslední
kontrola systému nedokázala vyléčit alespoň jednu
infiltraci a klient nebyl nepřipojený víc než týden.
Pravidlo se aktivuje ASAP.
• Completed task – byla dokončená libovolná úloha na
stanici. Pravidlo se aktivuje ASAP.
• New primary clients – na server se připojil nový
klient. Pravidlo se aktivuje ASAP.
• New replicated clients – na serveru se objevil záznam
o novém klientovi, získaný z replikace. Pravidlo se
aktivuje po hodině.
• Possible network attack – záznamy v Firewallu logu
klienta přesahující více než tisíc kritických záznamů za
hodinu aspoň u 10% klientů
• Possible virus outbreak –záznamy v Threat logu
klienta přesahující více než tisíc kritických záznamů za
hodinu u 10% klientů
• Server updated – server byl aktualizovaný
• Server not updated – server nebyl aktualizovaný déle
než pět dní. Pravidlo se aktivuje ASAP.
• Error in server text log – log serveru obsahuje
chybové hlášení.
• License expiration – licence serveru vyprší za dvanáct
a méně dní, přičemž následný maximální počet
připojitelných klientů bude nižší, než je počet aktuálně
připojených klientů. Pravidlo se aktivuje ASAP.
• License limit – počet klientů, kteří se k serveru můžou
ještě připojit, je menší než deset procent z celkového
počtu licencí.
• v časti Client filter klikneme na Edit... a označíme za
aktivní jen položku Groups IN. Ve spodní části tohoto
okna klikneme na modrý odkaz specify a do nového
okna napíšeme text centrála. Přidáme tlačítkem Add
a potvrdíme dvakrát tlačítkem Ok. Tím jsme dosáhli,
že pravidlo se bude týkat jen klientských stanic ze
skupiny centrála.
Pokud není uvedeno jinak, uvedené pravidla mají
nastavený čas aktivace a opakovaní po 24 hodinách
a týkají se primárního serveru a přímo připojených
klientských stanic.
• přejděme na část Actions a její modifikaci přes
tlačítko Edit... V otevřeném okně aktivujeme E-mail a
vyplníme položky To... a Subject: emailovou adresou
administrátora a předmětem zasílaného mailu. Stejně
tak aktivujeme položku Log to file a zadáme název
a cestu k souboru. Dodatečně můžeme nastavit
detailnost logovacího souboru pomocí hodnoty
Verbosity. Nakonec potvrdíme tlačítkem Ok
5.4.1.1 Posílání notifikací prostřednictvím SNMP TRAP
SNMP (Simple Network Management protocol) je
jednoduchý a poměrně rozšířený management protokol
vhodný zejména k sledování a identifikování chyb v
síti. Jednou z operací tohoto protokolu je i tzv. TRAP,
která bez vyžádání vysílá určité údaje. V případě ERA
využíváme TRAP k posílání notifikací.
Pro správné fungování je třeba mít nainstalovaný a
nakonfigurovaný SNMP protokol (Control Panel >
Add or Remove programs > Add/Remove Windows
Components) na tom samém počítači jako ERA server.
Samotný SNMP servis musí být nakonfigurovaný podle
návodu uvedeném v tomto článku: http://support.
microsoft.com/kb/315154. RA server musí mít pro
dané notifikační pravidlo nastavené posílání notifikací
prostřednictvím SNMP.
• Parametry pravidla přidáme po zvolení Edit... z části
Parameters. Jako aktivní ponecháme jen Protection
Status Any Warnings
• na závěr vyplníme obsah textového pole Message
textem, který si přejeme zasílat naším pravidlem.
Příkladem může být zpráva „Na stanici %CLIENT_LIST%
nastal problém ve stavu ochrany.“
• pravidlo uložíme pomocí Save as... tlačítka pod
libovolným názvem, například „problém ve stavu
ochrany stanice“, a následně ho v seznamu pravidel
označíme.
Výsledek můžeme vidět na následujícím obrázku.
Notifikace je možné sledovat v SNMP manageru,
který musí být připojený na SNMP server a musí mít
naimportovaný konfigurační soubor eset_ras.mib,
který je součástí instalace ERA a nachází se obyčejně v
adresáři C:\Program Files\ESET\Eset Remote Administrator\
Server\snmp\.
5.4.2 Vytvoření pravidla
V následujícím příkladu si uvedeme vytvoření pravidla,
které administrátorovi zašle na email zprávu jak na
libovolném klientovi ze skupiny centrála přijde k
problému ve stavu ochrany. Zpráva bude uložená i do
logovacího souboru c:\log.txt.
• položku Trigger type nastavíme na Client State,
protože se jedná o stav klientské stanice
• Priority,
Activation after: a Repeat every after:
můžeme ponechat na jejich přednastavených
hodnotách. Pravidlo bude mít tím pádem prioritu 3 a
bude aktivované po 24 hodinách
Obrázek 5.8 Příklad vytvořeného pravidla
Tím se naše pravidlo stalo aktivní. V případě, že přijde na
některém klientovi ze skupiny centrála k problémům ve
stavu ochrany, toto pravidlo se aktivuje. Jeho důsledkem
bude email administrátorovi a hlášení v souboru, které
budou obsahovat název klientské stanice s problémem.
Můžeme zavřít okno notifikačního manažera.
• do Description uvedeme text „oznámení problémů ve
stavu ochrany klientů skupiny centrály“
37
5.5 Podrobné informace z klientských stanic
V dolní části jsou umístěné následující funkční tlačítka:
Z klientských stanic můžou být získávané informace
o běžících procesích, spouštěných programech při
startu systému, atd. Pro tento účel slouží nástroj
ESET SysInspector. Nástroj pro diagnostiku a logovaní
prostředí operačního systému, ESET SysInspector,
je přímo integrovaný v ESET Remote Administrator
Serveru. Můžeme ho vyvolat pomocí odkazu Tools z
hlavního menu, položka ESET SysInspector.
• View - aktuální log, jehož popis je v horní části okna,
otevřete přímo v aplikaci ESET SysInspector
V případě problémů s klientskými stanicemi je možné
ESET SysInspector log získat z dané stanice po kliknutí
pravým tlačítkem na stanice v záložce Clients a zvolení
možnosti Request data – Request Sysinspector
Information. Získání logu je možné jen při použití
verze produktů 4.0 a víš, starší verze tuto funkcionalitu
nepodporují. Po kliknutí na odkaz získaní logu se zobrazí
okno, v kterém máme na výběr následující možnosti:
• create snapshot (remember resulting log also
on the client) – pokud je tato možnost aktivní, na
klientské stanici zůstane kopie právě vygenerovaného
logu.
• include comparation to the last snapshot before
specified time - zabezpečí zobrazení komparačního
logu. Ten bude vytvořený z aktuálního stavu systému
a logu z uvedeného data, pokud je dostupný. Do
úvahy se bere nejnovější log, starší než specifikované
datum.
Doručení logu na server ze stanice trvá určitou dobu,
proto je po vyžádání údajů ze stanice vhodné pár
minut počkat v závislosti od rychlosti stanice, velikosti
logu a přenosové kapacity sítě. Doručení nového logu
signalizuje pro každého klienta údaj o čase doručení
posledního logu v Client Properties – SysInspector.
Po kliknutí na tlačítko OK se námi požadované logy
získají a uloží na serveru. Pro jejich otevření a prohlížení
musíme postupovat následovně.
Pro jednotlivé klientské stanice můžeme nastavení a
možnosti práce s logy ESET SysInspector najít v záložce
Client Properties – SysInspector. Okno je rozdělené do
třech částí, přičemž v horní části se nacházejí textové
informace o nejaktuálnějších logech dané stanice.
Tlačítko Refresh obnovuje stav těchto informací.
Střední část okna Request Options je identická s výše
popsaným postupem získávání logů z klientské stanice,
kde vykonání akce potvrzujeme tlačítkem Request.
38
• Save As... - aktuální log uložíme do zvoleného
souboru. Doplňující možnost této volby Then
Run ESET SysInspector Viewer to view this file
zabezpečí, že po uložení logu se otevře k prohlížení
obdobně jako po stlačení tlačítka View.
6. Reporty
Funkce Reporty umožňují generování rozličných
grafických i tabulkových výstupů. Ty můžou následně
sloužit pro další zpracování (možnost výstupu do CSV
formátu), popř. je možné využít přímo nástroje ERA
a nechat všechny grafy i grafiku na něm. V takovém
případu je výstup ve formátu HTML. Většina reportů,
které se týkají infiltrace je generována z threathlogu.
Jednotlivé varianty grafického vzhledu je možné vybrat v
části Report - Style.
V ERA je několik předdefinovaných šablon, podle kterých
je výstup generovaný (Report - Type):
• Top Threats
Přehled nejvíc hlášeného malware.
• Top Clients with most Threats
Přehled klientů, na kterých byl zaznamenaný nejvyšší
počet incidentů.
• Threats Progress
Vývoj počtu incidentů v čase.
• Threats Comparative Progress
Vývoj počtu incidentů u vybraného malware (pomocí
filtru) v čase vůči celkovému hlášenému množství.
• Threats By Scanner
Poměr hlášených incidentů jednotlivými částmi řešení
ESET.
• Threats By Object
Poměr incidentů podle přístupových míst, z kterých
se pokusil malware o průnik (emaily, soubory, boot
sektory).
• Combined Top Clients / Top Threats
Kombinace výše uvedených typů.
• Combined Top Threats / Threats Progress
• Combined Top Threats / Threats Comparative
Progress
• Clients Report, Threats Report, Events Report,
Scans Report, Tasks Report
Klasický výpis, tak jako je k vidění v záložkách Clients,
Alert Log, Event Log, Scan Log nebo Tasks.
• Comprehensive Report
Souhrn následujících typů:
- Combined Top Clients / Top Threats
- Combined Top Threats / Threats Comparative
Progress
- Threats Progress
V části Filter je možné přesněji určit, jakých klientů
(Target Clients), popřípadě malware (Virus) se bude
report týkat.
Další detaily je možné nastavit tlačítkem Additional
Settings, jedná se především o údaje v hlavičce a typech
použitých grafů. Zároveň je možné odtud vyfiltrovat
klienty podle stavu některých atributů a vybrat formát
výstupního souboru (HTML, CSV).
uskutečnili v aktuálním vybraném období – myšlené
stejně jako nyní (př.: pokud bude report vytvářený ve
středu a bude nastavené Current Week, tak budou
zařazené události za neděli, pondělí, úterý, středu) .
• Completed
Do reportu budou zařazené jen události, které se
uskutečnili v aktuálním vybraném, avšak uzavřeném
období (například za celý měsíc prosinec, celý
týden – neděle do další soboty6 ). Pokud je aktivní
parametr Add also the current period, budou k výše
vybranému období přidané i události od posledního
uzavřeného období do současnosti.
Příklad použití:
Chceme vytvořit report týkající se události za poslední
kalendářní týden, tedy od neděle do následující
soboty. Report budeme generovat ve středu
následujícího týdne (po sobotě).
V záložce Reports > Interval, zvolíme variantu
Completed a nastavíme 1 Weeks. Odstraníme
Add also the current period. V záložce Reports
> Scheduler nastavíme Frequency na Weekly a
vybereme Wednesday. Ostatní je možné nastavit
podle požadavků administrátora.
• From / To
Umožňuje přesně definovat období pro generovaný
report.
Záložka Scheduler slouží k nastavení automatického
vytváření definovaného reportu ve zvoleném čase nebo
intervalech (část Frequency).
Do kolonky Run at je potřebné napsat čas, kdy se
provede generace reportu a v části and store the Result
to – tlačítko Select Target... uvést způsob, jakým
se bude report exportovat. Report je možné odeslat
prostřednictvím e-mailu na zvolenou adresu, popřípadě
vyexportovat do adresáře. Report je možné takto
vyexportovat například do adresáře, který je přístupný
prostřednictvím intranetu. Reporty tak můžou být
dostupné určeným osobám.
K odeslání vygenerovaných reportů e-mailem je
potřebné správně nastavit SMTP server v nastaveních
serveru v záložce Other Settings. Víc informací o tomto
nastavení najdete v kapitole 7.7.1. Nastavení SMTP.
V části Range je možné definovat časové období,
ve kterém bude generování reportů aktivní. Přitom
je možné definovat počet generování (End after),
popřípadě datum konce generování (End by).
Při týdeních intervalech obecně používá ERA interval:
neděle, pondělí, úterý, ..., sobota.
6
V záložce Interval je možné definovat časový úsek, pro
který se bude report generovat:
• Current
Do reportu budou zařazené jen události, které se
39
7. Nastavení ESET Remote
Administrator Serveru (ERAS)
Tlačítka Save a Save as slouží k uložení nastavení
definovaného reportu do šablony (template). Při tvorbě
nové šablony je potřebné stlačit Save as a šabloně
přiřadit název.
V horní části okna konzole jsou k vidění názvy již
vytvořených šablon a vedle nich informace o časech /
intervalech, v průběhu kterých dochází ke generování
reportů podle nastavení šablon. Tlačítkem Generate
Now či už ve spodní části, nebo v kontextovém menu
(po stlačení pravého tlačítka myši na vybrané šabloně)
je možné generování převést okamžitě bez ohledu na
plánování.
7.1
Bezpečnost
Řešení ESET označené verzí 3.x (ESET Smart Security
apod.) nabízejí možnost autorizace heslem při
komunikaci klient / ERAS (komunikace prostřednictvím
TCP protokolu, port 2222), přičemž výsledkem je
šifrovaná komunikace. Doporučujeme nastavit hesla již
při instalaci ERAS.
U starších verzí (označených jako 2.x) možnost
autorizace vůči ERAS neexistuje. Aby byla zajištěná
špatná kompatibilita pro starší verze, je možné nastavit
režim Enable unauthenticed access for Clients.
Již vygenerované reporty jsou k vidění v záložce
Generated Reports. Pomocí kontextového menu je
možné nad reporty vytvářet další operace.
Z velké části tak slouží záložka „Security“ k nastavení
kompromisu pro společné použití klientských řešení
verze 2.x a 3.x.
Oblíbené šablony je možné umístit do levého okna
Favorites a v budoucnosti tak mít možnost rychlého
generování reportů na základě oblíbených šablon.
Do oblíbených je možné přesunout volbou Add to
Favorites v kontextovém menu vyvolaném na seznamu
naplánovaných šablon.
Password for Console (Administrator a Read-Only
uživatel)
Nastavení hesla uživatele Administrator a Read-Only
pro přístup k ERAS prostřednictvím konzole.
Password for Clients (Eset Security Products)
Nastavení hesla pro přístup klientů k tomuto ERAS.
Password for Replication
Nastavení hesla pro přístup podřazených ERAS k
tomuto ERAS v rámci replikace.
Password for Eset Remote Installer (Agent)
Nastavení hesla pro přístup agenta k tomuto ERAS.
Souvisí se vzdálenou instalací.
Enable unauthenticated access for Clients (Eset
Security Products)
Povolí přístup k tomuto ERAS i těm klientům, kteří
nemají žádné nebo mají špatné heslo (případ,
kdy heslo zaslané klientům nesouhlasí s heslem
uvedeným v Password for Clients).
Enable unauthenticated access for Replication
Povolí přístup k tomuto ERAS i těm klientům, kteří
nemají žádné nebo mají spatné heslo pro replikaci.
Enable unauthenticated access for Eset Remote
Installer (Agent)
Povolí přístup k tomuto ERAS i těm agentům, kteří
nemají žádné nebo mají spatné heslo pro špatnou
komunikaci.
Poznámka: Pokud je autorizace na straně klientů i ERAS
nastavená a spravují se jen řešení ESET verze 3.x, je možné
volbu Enable unauthenticed access for Clients vypnout.
7.2
Správa databází
Správné nastavení dokáže zajistit, že databáze na straně
ERA serveru bude automaticky udržovaná v optimálním
stavu. Při standardním nastavení jsou automaticky
odstraňované záznamy starší než 6 měsíců, přičemž
každých 15 dní je uplatněná funkce „Compact & repair”.
Nastavení jsou přístupné přes menu Tools -> Server
Options... -> záložka Server Maintenance
40
Přehled jednotlivých voleb:
Only keep the latest X threats for each client
Ponechat jen X posledních incidentů pro každého
klienta.
Only keep the latest X firewall logs for each client
Ponechat jen X posledních záznamů týkajících se
firewallu pro každého klienta.
Only keep the latest X events for each client
Ponechat jen X posledních událostí pro každého
klienta.
Only keep the latest X scan logs for each client
Ponechat jen X posledních protokolů o skenovaní pro
každého klienta.
Delete clients not connected for the last X months
(days)
Odstranit klienty, kteří se nepřipojili k ERAS víc než X
měsíců (dní).
Delete threat logs older than X months (days)
Smazat incidenty starší než X měsíců (dní).
Delete firewall logs older than X months (days)
Smazat záznamy týkající se firewallu starších než X
měsíců (dní).
Delete event logs older than X months (days)
Smazat události starší než X měsíců (dní).
Delete scan logs older than X months (days)
Smazat protokoly o skenovaní starší než X měsíců
(dní).
Je jen na zvážení administrátora, který z dvou nabídek
variant uplatní.
7.3
Aktualizační servery společnosti ESET fungují
prostřednictvím protokolu http s využitím autorizace.
Hlavní Mirror server musí k těmto serverům přistupovat
s vyplněným uživatelským jménem (obvykle ve tvaru AVxxx, nebo EAV-xxx) a heslem.
Mirror
Funkce Mirror umožňuje vytvoření lokálního
aktualizačního serveru. Klienti nestahují aktualizace
přímo z internetových aktualizačních serverů
společnosti ESET, ale přistupují k lokálnímu
aktualizačnímu serveru ve stejné nebo nejbližší síti.
Mezi výhody tohoto řešení patří především nižší objem
přenesených dat a nižší nároky na přenosné pásmo
(aktualizace stahuje z internetu jen Mirror server, ne
všechny počítače s řešením ESET). Jediným možným
řešením může být výpadek Mirror serveru v případě, že
pro klienty jde o jedinou cestu stahování aktualizací.
POZOR! Výpadkem může být i stav, kdy programovou
aktualizaci absolvovalo přímo řešení ESET Smart Security
nebo ESET NOD32 Antivirus s aktivní funkcí Mirror.
Dokončení aktualizace může vyžadovat restart PC a pokud
není uskutečněný, nebudou stahované žádné aktualizace pro
Mirror server, ale ani pro klienty! NENÍ PROTO VHODNÉ
NUTIT SERVEROVÉ INSTALACE ŘEŠENÍ ESET DO
AUTOMATICKÝCH PROGRAMOVÝCH AKTUALIZACÍ!! Neplatí
to pro ERAS, který vytváří mirror.
Funkce Mirror je dostupná:
•
v řešení ESET Remote Administrator (fyzicky běží
Mirror na straně ERAS, Mirror je však možné
spravovat přes ERA konzoli),
•
v řešeních ESET Smart Security Business Edition
nebo ESET NOD32 Antivirus Business Edition po
vložení licenčního klíče pro Business edici.
Ve větších sítích je možné vytvořit celou kaskádu
lokálních aktualizačních serverů (např. v rámci
poboček), podobně jako v případě ERAS.
Upozornení: Administrátor musí do ERAS vložit licenční klíč
pro zakoupený produkt a zadat uživatelské jméno a heslo v
případě, že chce prostřednictvím ERAS vytvářet mirror. Pokud
administrátor používá licenční klíč a uživatelské jméno a
heslo pro ESET NOD32 Antivirus BE, tak v případě přechodu
na ESET Smart Security BE musí původní licenční klíč a
uživatelské jméno a heslo nahradit novým.
7.3.1 Provoz lokálního aktualizačního serveru
Server (může jít i o klasickou stanici) s Mirror serverem
by měl být neustále v provozu a připojený k internetu,
případně k nadřazenému Mirror serveru (kaskáda).
Všeobecně je možné aktualizační balíčky přijímat dvěma
způsoby:
1. prostřednictvím protokolu HTTP (preferovaná
varianta),
2. prostřednictvím síťově sdílené složky (SMB).
Řešení ESET s funkcí Mirror přímo nabízejí integrovaní
http web serveru (varianta 1).
Poznámka: V případě použití integrovaného http web
serveru (bez autorizace) je potřebné zajistit, aby nebyl
dostupný z jiné sítě, pro kterou je zakoupená licence.
Jmenovaný typ serveru nesmí být v žádném případě dostupný
z internetu.
Integrovaný HTTP web server běží standardně na portu TCP
2221. Pozor, zkontrolujte, zda na zmíněném portu neběžela jiná
aplikace!
V případě potřeby je možné použít jakýkoliv jiný http
server. Zároveň je možné nastavit autorizaci jménem a
heslem (v případě Apache web serveru jde o .htaccess
metodu), kterou řešení ESET podporuje.
Při použití druhé metody (síťově sdílená složka) je
potřeba složku s aktualizačními balíčky sdílet na síti s
přístupovými právy pro čtení. Klienti se musí vůči sdílené
složce autorizovat jménem a heslem uživatele, který má
k němu přístup.
Poznámka: Klientské řešení ESET fungují pod účtem
SYSTÉM a mají tak úplně odlišné síťové práva než právě
přihlášené uživatel. Autorizace jménem a heslem uživatele
je tak nutností i v případě, že síťově sdílená složka je
41
dostupná pro EVERYONE a s přístupem nemá problém ani
právě přihlášený uživatel. Podobná je situace s definováním
síťové cesty ve tvaru UNC v porovnání s tvarem „DISK:\“.
Nedoporučujeme definovat cesty ve tvaru „X:\“!!!
V této souvislosti (varianta 2) doporučujeme založit
na počítači s Mirror serverem uživatelský účet určený
výhradně pro tento účel (např. „noduser“) a používat
ho pro autorizaci všech klientů. Tento uživatel by měl
mít nastavené právo pro čtení síťově sdílené složky s
aktualizačními balíčky.
Poznámka: Pro autorizaci k síťově sdílené složce je potřeba
uživatelské jméno definovat v celém 0tvaru SKUPINA\
uživatel, případně DOMÉNA\uživatel.
Kromě případné autorizace je potřebné na klientech
v nastavení upravit zdroj, z kterého bude řešení ESET
stahovat aktualizace. Může jít o URL adresu k lokálnímu
serveru ve tvaru:
http://nazev_Mirror_serveru:port
příp. o UNC síťovou cestu se syntaxí
\\nazev_Mirror_serveru\nazev_sdílené_složky
7.3.2 Typy aktualizací
Kromě pravidelné virové aktualizace, dochází velmi
zřídka i k tzv. programové aktualizace řešení ESET. V
takovém případě je součástí aktualizace jádra řešení
ESET. Programová aktualizace obvykle přidává novou
funkcionalitu řešení ESET a ve většině případů vyžaduje
restart klienta (celého OS). Pokud je v síti nasazený a
využívaný Mirror server, tento typ aktualizace se stahuje
také.
Mirror server poskytuje funkci, která dokáže zakázat
stáhnutí programových aktualizací z aktualizačních
serverů ESET (příp. z nadřazeného Mirror serveru) a tak
i jejich distribuci na klientech. Distribuci programové
aktualizace je možné kdykoliv vynutit manuálně na
pokyn administrátora (např. v momentu, kdy je zřejmé,
že s novou verzí nebudou žádné problémy ve vztahu k
jiným uživatelským aplikacím).
Tato funkce je smysluplná z důvodu, že řešení ESET
dokážou stahovat a používat virové aktualizace napříč
existencí nové programové aktualizace. Stav, kdy se
na stanici nachází poslední programová verze, ale
využitá je poslední verze virové databáze, nemusí nutně
znamenat méně kvalitní ochranu před škodlivými kódy.
Napříč tomu vždy doporučujeme dřív nebo později přejít
na poslední programovou aktualizaci.
ERAS v původním nastavení nestahuje žádné
komponenty. Pokud administrátor chce, aby ERAS
stahoval programové komponenty, musí si tuto
možnost nastavit. Více v kapitole 7.3.3 Aktivace a
nastavení funkce Mirror v praxi.
42
7.3.3 Aktivace a nastavení funkce Mirror v praxi
Pokud se používá Mirror server, integrovaný přímo do
řešení ESET Remote Administrator (součást Business
Edition), stačí se k danému ERA serveru připojit
prostřednictvím ERA konzole a postupovat následovně:
• Zvolit menu Tools > Server Options... > záložka
Updates,
• Jako Update server nastavit Choose automatically
(aktualizace ze serverů společnosti ESET), příp. URL
nebo UNC cestu k nadřazenému Mirror serveru,,
• Nastavit interval (Update interval) aktualizace
(doporučujeme 60 minut),
• Nastavit uživatelské jméno (Update user name)
a heslo (Update password). V případě varianty
Choose automatically jde o jméno a heslo získané při
zakoupení licence. V jiných případech jde o jméno a
heslo, kterým se bude autorizovat k nadřazenému
Mirror serveru.
• Povolit volbu Create update mirror a nastavit
adresář pro ukládání aktualizací. Standardně jde
o relativní cestu k adresáři “mirror\”, který bude při
povolení Provide update files via internal HTTP
server poskytovat přes protokol HTTP na portě
uvedeném v HTTP server port (standardně 2221).
Autorizaci (Authentication) nastavit na NONE7.
Poznámka: V prípade problémov s aktualizáciou
aktivujte voľbu Clear Update Cache, ktorá zabezpečí
zmazanie dočasných aktualizačných súborov
• Aktivovaním voľby Mirror Downloaded PCU
zabezpečíme, že mirror bude poskytovať aj
programové aktualizácie. Nastavenie mirrorovania
programových aktualizácií je možné uskutočniť v
záložke Other Settings > Edit Advanced Settings vo
vetve ESET Remote Administrator > ERA Server > Setup
> Mirror (or Mirror for NOD32 version 2).
• V záložce Other Settings > Edit Advanced Settings...
a větve ERA Server > Setup > Mirror > Create Mirror
for the selected program components vybrat
komponenty, které mají být stahované (měli by být
vybrané všechny komponenty těch jazykových verzí,
které se reálně nacházejí na klientech v síti, jinak
dochází k zbytečnému stahování dat).
7
Více informací o autorizaci se nachází v kapitole o nastavení ERA
serveru.
• Autorizaci (Authentication) nastavit na NONE8.
• V spodní části vybrat komponenty9, které mají být
stahované (měli by být vybrané všechny komponenty
v těch jazykových verzích, které se na klientech v síti
opravdu nacházejí).
Poznámka: Pro plnou funkcionalitu Mirror je vhodné
povolit stahování a zrcadlení programových aktualizací
(komponentů). V opačném případě bude aktualizována jen
virová databáze a ne celý program! V případě nasazení funkce
Mirror v ESET Remote Administrator je to možné nastavit
prostřednictvím ERAC, menu Tools -> Server Options...
-> záložka Other Settings -> tlačítko Edit Advanced
Settings... -> větev ESET Remote Administrator ->
ERA Server -> Setup -> Mirror. Vždy je potřebné povolit ty
jazykové verze komponentů, které se nacházejí na klientech.
7.3.4 Mirror pro klienty NOD32 verze 2
Řešení ESET Remote Administrator umožňuje vytvářet
kopie aktualizací i pro klientské řešení NOD32 verze 2.
Volbu je možné zapnout přes Create update mirror for
NOD32 version 2 products. Možnost vytvářet mirror
aktualizací existuje jen v ESET Remote Administrator,
klientské řešení Business edice verze 3 (ESET Smart
Security a ESET NOD32 Antivirus) tuto vlastnost
neobsahují.
Obrázek 7.1
Mirror je součástí i samotného řešení ESET Smart
Security Business Edition nebo ESET NOD32 Antivirus
Business Edition. Je na zvážení administrátora,
zda použije tento Mirror server nebo Mirror server
implementovaný v řešení ESET Remote Administrator.
Pro aktivaci a provoz Mirror serveru v řešení ESET
Smart Security nebo ESET NOD32 Antivirus je potřebné
postupovat následovně:
• Nainstalovat ESET Smart Security nebo ESET NOD32
Antivirus,
• V nastavení řešení ESET zvolit menu Různé > Licence
a přidat licenční klíč pro Business edici. Tímto se stane
funkce Mirror dostupnou.
• V nastavení řešení ESET zvolit menu Update >
Advanced update setup (Setup...) > záložka Mirror.
• Povolit volbu Create update mirror a ideálně i
Provide update files via internal HTTP server.
• Nastavit adresář pro ukládání aktualizací (Folder to
store mirrored files).
• Jméno a heslo (User name, Password) slouží jako
autorizace do výše uvedeného adresáře. Ve většině
případů není tyto atributy nutné vyplňovat.
Pokud je potřebné vytvářet kopie aktualizací současně
pro klienty verze 2 a verze 3, doporučuje se použít mirror
v ESET Remote Administrator. Při použití mirroru ERAS
serveru pro klienty verze 2 a zároveň mirroru Business
edice (ESET Smart Security a ESET NOD32 Antivirus) pro
klienty verze 3, může dojít ke konfliktu mezi dvěma http
servery používající stejný port
Aktualizace pro NOD32 verze 2 se vždy nacházejí ve
složce „nod32v2“, který je podadresářem Mirror složky. Je
dostupný prostřednictvím URL adresy:
http://nazev_Mirror_serveru:port/nod32v2
příp. o UNC síťovou cestu se syntaxí
\\nazev_Mirror_serveru\nazev_sdilene_slozky\nod32v2
ESET Remote Administrator také dokáže stahovat a
zrcadlit aktualizace programových komponentů verze 2.
Tyto nastavení jsou dostupné přes ERAC menu Tools ->
Server Options... -> záložka Other Settings -> tlačítko
Edit Advanced Settings... -> větev ESET Remote
Administrator -> ERA Server -> Setup -> Mirror for
NOD32 version 2. Pro minimalizaci stahovaných dat je
nutné povolit jen ty jazykové verze komponentů, které
se nacházejí na klientech verze 2.
Více informací o autorizaci se nachází v kapitole o nastavení
ERA serveru.
9
Komponenty jsou zobrazeny jen v případě jejich dostupnosti
na aktualizačních serverech spoločnosti ESET.
8
43
7.4
Replikace
Význam a funkce replikace už byla popisovaná v
rámci popisu scénářů instalace řešení ESET Remote
Administrator (využívá se v rozsáhlejších sítí při instalaci
několik ERA serverů, například na jednotlivé pobočky
společnosti).
Dialog s nastavením replikace je rozdělený do dvou
částí:
•
Replication „to“ settings
•
Replication „from“ settings
Část Replication „to“ settings je nutné nastavit pro
podřazené ERA servery. U těchto ERAS musí být
povolená volba Enable „to“ replication a uvedená IP
adresa nebo název nadřazeného ERA serveru (Upper
server), na který se budou data replikovat. Část Enable
„from“ replication je důležitá pro nadřazené ERA
servery, které přijímají data od podřazených ERAS,
příp. je odevzdávají dalším nadřazeným. U těchto ERAS
musí být povolená volba Enable „from“ replication a
definované názvy podřazených ERA serverů (při větším
počtu je možné je oddělit čárkou bez mezery).
Pro ERA servery, které se nacházejí „uprostřed“
hierarchie (tj. mají pod sebou podřazené servery a nad
sebou nadřazené) musí mít povolené obě dvě části.
Všechny tyto situace dokonale popisuje následující
příklad. Béžové PC znázorňují jednotlivé ERA servery.
Pod každým serverem je uvedený název ERAS (v praxi se
může jednat o holý název daného PC – computername,
bez určení domény) a část dialogu replikace vrácené k
potřebnému nastavení.
informací, které jsou na záložkách Clients, Threat Log,
Firewall Log, Event Log, Scan Log, Tasks vypisované
do sloupců na jednotlivých řádkách. Přesto všechno
ale existují informace, které nejsou uchované fyzicky
přímo v databázi, ale v samostatných textových
souborech (se strukturou textových nebo XML
souborů). Právě tyto volby ovlivňují, zda se mají v
rámci replikace přenášet i pomocné informace.
• Automatically replicate threat log details,
Automatically replicate scan log details, Automatically
replicate client details
Tyto volby rozhodují, zda se pomocné informace
(souvisí s předcházejícím bodem) mají přenášet
v rámci replikace automaticky nebo na vyžádání
administrátora (viz význam tlačítek Request).
Poznámka: Objevuje se otázka, proč se řeší automatická
replikace v porovnání s replikací na vyžádání jen u
podrobnějších protokolů a klientských konfigurací. Právě tyto
informace můžou být v některých případech velmi rozsáhlé
a zároveň nemusí být klíčové. Dokonalým příkladem může
být protokol o skenování pevného disku C:, když je povolené
protokolování všech souborů (tedy i neinfikovaných). Pokud
i napříč tomu potřebuje administrátor do těchto informací
nahlédnout, nabízí se volba Request
Ze spodních serverů se nepřenáší standardně informace
o smazání klientů. Tak může vzniknout situace, že na
nadřazeném serveru jsou i starší klienti. Mazání starších
klientů na nadřazených serverech zapíná volba Enable
apply replication about objects deletion, nacházející se v
Server Options > Other Settings > tlačítko Edit Advanced
Settings... > větev Setup > Replication.
Úroveň přijímání log ERA serverem se nastavuje v Server
Options > Other Settings > tlačítko Edit Advanced
Settings... > větev Setup > Server Maintenance.
Pokud chce Administrátor, aby se replikovali jen klienti, u
kterých došlo ke změně stavu, tak musí aktivovat možnost
Tools > Server Options > Replication > Mark all clients for
replication by.
7.5
Logování
ERAS po dobu běhu vytváří protokol (Log filename) o
činnosti s nastavitelnou úrovní detailů (Log verbosity).
V případě textového výstupu (Log to text file) je možné
zajistit rotaci protokolu při velikosti větší než X MB
(Rotate when greater than X MB) a mazání protokolů
starších než X dní (Delete rotated logs older than X
days).
Obrázek 7.2
Další nastavení už jen ovlivňuje chování replikace:
• Replicate threat log, Replicate firewall log, Replicate
event log, Replicate scan log
Aktivováním těchto nastavení dojde k replikaci
44
Část Log to OS application log zabezpečí zápis
informací do systémového protokolu událostí (v
Ovládacích panelech Windows).
Funkce Database Debug Log by měla za normálních
okolností zůstat úplně vypnutá.
Textový protokol je standardně umístěný v souboru
%ALLUSERSPROFILE%\Data aplikací\Eset\Eset Remote
Administrator\Server\logs\era.log
V části Log to text file doporučujeme ponechat Log
verbosity na úrovni Level 2 - Above + Session Errors a
zvyšovat ji až při případných problémech a po konzultaci
s technickou podporou společnosti ESET.
Pro jednotlivé rotované protokoly je možné nastavit
úroveň komprese (Tools > Server Options > Other
Settings > Edit Advanced Settings > větev Setup >
Logging > Rotated debug log compression)
7.6
Správa licencí
Pro konkrétní fungování ERA je potřebné zadání
licenčního souboru. Ten je dodaný na kontaktní
emailovou adresu spolu s autorizačními údaji při koupi
produktu. Ke správě licencí slouží License manager.
ERA od verze 3.0 podporuje práci s více licenčními klíči
najednou, či přispívá k většímu komfortu a funkcionalitě
při změnách klientských licencí.
Hlavní okno manažera licencí vyvoláme přes volby Tools
> License manager.
Postup přidání nového klíče je následující:
- vyvoláme okno licenčního manažera přes Tools –
License manager nebo klávesovou zkratkou CTRL +
L
- klikneme na Browse a vyhledáme požadovaný soubor
licenčního klíče, soubor má příponu .lic
- potvrdíme Open tlačítkem
- zkontrolujeme zobrazené údaje o klíči a spustíme
uložení klíče na server Upload to Server
- potvrdíme hlášení o uložení na server tlačítkem OK
Tlačítko Upload to Server je aktivní jen v případě,
že jsme úspěšně pomocí Browse vyhledali licenční
klíč. Informace o právě načítaném licenčním klíči se
v této části okna zobrazují nalevo od zmiňovaných
tlačítek. Před kopírováním klíče na server je teda možné
zkontrolovat údaje klíče.
V střední části okna jsou zobrazení informace o aktuálně
používaném klíči serveru. Podrobnosti o všech klíčích,
na serveru se zobrazí po kliknutí na tlačítko Details...
Při této části je třeba zmínit, že server disponuje
funkcionalitou výběru nejlepšího klíče a stejně tak
schopnost spojit licenční klíče. V případě výskytu většího
počtu lic. klíčů je zvolený ten, která má nejvyšší počet
klientských licencí. Pokud není podle tohoto kritéria
možné určit nejvhodnější klíč, server vybere z možných
kandidátů na základě nejdelšího času do exspirace
klíče. Jinak řečeno, server se snaží vždy vybrat klíč s
co největším počtem klientů a nejdelším časem do
expirace.
Schopnost spojení licenčních klíčů funguje za podmínky,
že všechny spojené licenční klíče jsou vystavené na
stejné úrovni identity zákazníka. V praxi to znamená,
že dané licence vlastní jedna firma, organizace, fyzická
osoba apod. Spojení licencí představuje jednoduchý
proces, při kterém výsledný klíč obsahuje počet klientů,
rovnající se sumě klientů jednotlivých klíčů. Datum
expirace výsledného klíče je totožný s datem expirace
klíče, který by expiroval ze všech klíčů jako první.
Spodní část okna manažera licencí je věnovaná prvkům,
které oznamují administrátorovi problém s licencí. Jejich
funkcionalita je následující:
- Warn if the server is about to expire in 20 days
- definujeme kolik dní před expirací klíče má server
upozornit administrátora na tento fakt
- Warn only if this will cause the number of clients
in the license decrease under the number or actual
clients in the server database – aktivováním této
volby zabezpečíme, aby server oznamoval problém
expirace klíče nebo části klíče jen v případě, že po
expiraci klíče klesne počet povolených licencí pod
počet aktuálně přihlášených klientů, resp. Klientů v
databázi ERAS
- Warn if there is only 10% free clients left in the
server license - server upozorní administrátora, že
procentuální počet volných licencí pro klienty klesne
pod nastavenou hodnotu.
Poznámka: ERAS dokáže spojit licence různých zákazníků,
tato schopnost se aktivuje speciálním klíčem. V případě
potřeby získání takového klíče je potřebné specifikovat
požadavek při koupi produktu, případně kontaktovat obchodní
místo společnosti ESET.
7.7
Rozšířené nastavení
Rozšířené nastavení ERAS jsou přístupné přes tlačítko
Edit Advanced Settings... (nachází se v menu Tools
-> Server Options... -> záložka Other Settings), které
vyvolá konfigurační editor ESET, kde je možné definovat
další nastavení, nepřístupné přes grafické rozhraní
konzole.
Pomocí nich je možné nastavit následující volby
(uvedené jsou nejdůležitější):
• Maximal disk space usage (percents)
Pokud využití disku překročí zvolené procento,
některé vlastnosti serveru nemusí fungovat. ERA
konzole při připojení na ERAS upozorní uživatele na
překročení tohoto parametru.
• Communication protocol encoding
Nastavení typu kódování komunikace. Doporučuje se
ponechat předvolenou hodnotu, když server určí typ
kódování.
• Enable MAC address renaming (from unknown to
valid)
Umožňuje, aby MAC adresa klienta byla
přejmenovaná z neznámé (platné pro klienty verze 2
– nepodporují zasílání MAC adresy) na platnou adresu
45
(klienti verze 3 – podporují export MAC adresy).
Doporučená je předvolená hodnota povolující
přejmenování. Výsledkem je konverze starého
záznamu na nový.
• Enable MAC address renaming (from valid to
unknown)
Umožňuje přejmenování platné (známé) MAC adresy
na neznámou. Doporučuje se ponechat předvolenou
hodnotu, která přejmenování nepovoluje. Volba se
může uplatnit při reinstalaci klienta verze 3 na klienta
verze 2.
• Enable MAC address renaming (from valid to
another valid)
Umožňuje přejmenování platných MAC adres.
Přednastavená hodnota je nepovolit přejmenování
MAC adres – v takovém případě bude MAC adresa
jedním z jednoznačných identifikátorů klienta.
Zapnout se doporučuje při problémech se zdvojenými
záznamy klientů, ke kterým dochází při vypínaní
síťových adaptérů. Případně, pokud klient chce, aby
byl i po změně MAC adresy identifikovaný jako stále
ten samý klient.
• Enable computer renaming
Umožňuje přejmenování počítače. Pokud
přejmenování není povolené (přednastavená
hodnota), jméno počítače bude jedním z
jednoznačných identifikátorů klienta.
• Use server default logon also by push installation
ERAS umožňuje přednastavit jméno a heslo pro
instalace přes logon skript a email. Tato volba
dovoluje použít přednastavené údaje i pro push
instalaci.
7.8
Další nastavení
7.8.1 Nastavení SMTP
• SMTP settings (Server, Sender address, Username, Password)
Některé činnosti v ESET Remote Administrator vyžadují
nastavení SMTP serveru. SMTP server je nutný v případě
vzdálené instalace prostřednictvím elektronické pošty a
při generovaní reportů, které mají být odeslané ve formě
e-mailu.
7.8.2 Nastavení Portů
• Ports (Console, Client, Replication port of this
server, Eset Remote Installer)
Určuje porty, na kterých bude ERAS „poslouchat“ a
čekat na komunikaci navázanou:
•
konzolou (Console, standardně TCP 2223),
•
klientem (Client, standardně TCP 2222),
•
replikačním procesem (Replication port,
standardně TCP 2846),
•
agentem při vzdálené instalaci (ESET Remote
Installer, standardně TCP 2224).
46
7.8.3 Noví klienti
• Allow new clients
Pokud není tato volba povolená, přehled klientů na
záložce Clients je považovaný za konečný a i v případě
komunikace dalších (nových) klientů s ERAS, nebu‑
dou tito do seznamu doplnění.
• Automatically reset „New“ flag by new clients
Pokud je volba aktivní, automaticky je odstraněný
příznak New u přihlášených klientů k ERAS poprvé.
Víc v kapitole o záložce Clients.
7.8.4 ThreatSense. Net
• Enable ThreatSense. Net data forwarding to ESET servers
Pokud je povolené, ERAS bude přeposílat podezřelé
soubory a statistické informace z klientů na servery
ESET. V některých případech není možné zabezpečit,
aby tyto informace odcházeli do společnosti ESET
přímo z klientů.
8. Troubleshooting
8.1
FAQ
V následující kapitole jsou popsané odpovědi na
nejčastější otázky a problémy spojené s instalací a
nabídkou ESET Remote Administrator.
8.1.1 Není možné nainstalovat ESET Remote
Administrator na Windows server 2000 a 2003
Příčina
Jednou z častých příčin je fakt, že na serveru běží
Terminal Server v režimů execution.
Řešení
Při instalaci programů na systémech, kde běží služba
Terminal Server, doporučuje Microsoft přepnout
Terminal Server do režimu ‘install’. Je možné to
udělat prostřednictvím Přidat/Odebrat programy v
Ovládacích panelech, nebo zadáním příkazu change
user / install do příkazového řádku. Po instalaci je
možné zapnout Terminal Server do ‘execution’ režimu
pomocí příkazu change user / execute. Postup je
podrobně popsaný v tomto článku od Microsoftu:
http://support.microsoft.com/kb/320185
8.1.2 Co znamená chybový kód GLE?
Instalace ESET Smart Security nebo ESET Antivirus
pomocí ESET Remote Administrator může vygenerovat
chybové hlášení s GLE kódem. Pro zjištění detailů o
chybě s daným kódem postupujte následovně:
1. Otevřete příkazový řádek přes Start > Run – napište
„cmd“ bez uvozovek a klikněte Ok.
2. V příkazovém řádku napište „net helpmsg kód_chyby“
Příklad: „net helpmsg 55“
Výsledek: Zadaný síťový prostředek už není dostupný
8.2 Nejčastější chybové kódy
Při používaní ESET Remote Administrator se vyskytují
chybová hlášení s kódy, které indikují, že nastal určitý
problém při vykonávání dané činnosti. Následuje
stručný přehled nejčastěji objevujících se chybových
kódů při práci s push instalací, jako i chyby objevující se
v logu ERAS.
8.2.1 Chybové kódy při vzdálené instalaci ESET Smart
Security nebo ESET NOD32 Antivirus pomocí ESET
Remote Administrator
SC error code 6, GLE error code 53 Could not set up
IPC connection to target computer
Pro navázání IPC spojení je nutné víc předpokladů:
1. Mít nainstalovaný TCP/IP stack na ERAS a klientském
počítači.
2. Mít nainstalovaný File and Printer Sharing for
Microsoft Networks.
3. Mít na firewall-e povolené porty pro sdílení souborů
(File Sharing porty 445, 135-139).
4.Cílový počítač musí být schopný odpovídat na ping
request.
SC error code 6, GLE error code 67 Could not instal
ESETinstaller on target computer
Třeba zabezpečit přístupnost ADMIN$ share na
systémový disk klientského počítače.
SC error code 6, GLE error code 1326 Could not set
up IPC connection to target computer, probably
due to a wrong username or password
Jméno nebo heslo uživatele s administrátorskými právy
bylo zadané nesprávně nebo nebylo zadané vůbec.
SC error code 6, GLE error code 1327 Could not set
up IPC connection to target computer
Heslo uživatele s administrátorskými právy je prázdné. Je
nutné, aby heslo existovalo.
SC error code 11, GLE error code 5 Could not instal
ESETinstaller on target computer
Instalátor nemá administrátorské práva (při přístupu na
klientský počítač), hlásí Access Denied.
SC error code 11, GLE error code 1726 Could not
install NOD32 Installer onto target computer
Tato chyba vzniká, když uživatel chce vzdáleně
instalovat 2x po sobě a nezavře mezitím okno Push
Installation.
8.2.2 Nejčastější chybové kódy z protokolu era.log
0x1203 – UPD_RETVAL_BAD_URL
Jedná se o chybu aktualizačního modulu, který hlásí
špatně zadanou adresu aktualizačního serveru.
0x1204 – UPD_RETVAL_CANT_DOWNLOAD
Chyba může nastat:
• při aktualizace přes HTTP
-
aktualizační server vrací HTTP chybu v rozpětí
400-500, a zároveň chyba není 401, 403, 404 ani 407
-
pokud se jako zdroj aktualizace používá server
na bázi CISCO a formát autorizace přes HTML
odpověď byl změněný
• při aktualizaci přes sdílený adresář:
-
vrácená chyba nespadá do kategorie špatná
autorizace nebo soubor nenalezený (např. přerušené
spojení, neexistující server, atd.)
• pro obě metody aktualizace:
-
pokud nebylo možné kontaktovat žádný ze
serverů definovaných v souboru upd.ver, který se
nachází v %ALLUSERSPROFILE\Application Data\ESET\
ESET Remote Administrator\Server\updfiles\
-
nebylo možné kontaktovat ani failsafe
(záchranný) server (pravděpodobně, byly násilně
vymazané hodnoty v registrech pro ESET klíče
• při nesprávném nastavení proxy serveru v ERAS
47
9. Rady & tipy
Administrátor musí definovat proxy server ve tvaru
“XXX.XXX.XXX.XXX” nebo hostname. Nesprávně je
nastavení ve tvaru “http://XXX.XXX.XXX.XXX)”0x2001 UPD_RETVAL_AUTHORIZATION_FAILED
Autorizace vůči aktualizačnímu serveru selhala, jméno
nebo heslo uživatele bylo zadané nesprávně.
0x2102 - UPD_RETVAL_BAD_REPLY
Tato chyba aktualizačního modulu se může vyskytnout
při spojení uskutečněném přes proxy server, konkrétně
Webwasher proxy.
0x2104- UPD_RETVAL_SERVER_ERROR
Chyba aktualizačního modulu indikuje interní chybu
HTTP serveru, která má hodnotu 500 a víc. V případě
ESET HTTP serveru znamená chyba 500 problémy s
alokací paměti.
0x2105 – UPD_RETVAL_INTERRUPTED
Tato chyba aktualizačního modulu se může vyskytnout
při spojení uskutečněném přes proxy server, konkrétně
Webwasher proxy.
8.3
Jak odhalit problém s ERAS?
Pokud existuje podezření na nesprávnou funkčnost
ERA Serveru nebo se vyskytují problémy, doporučuje se
následující postup.
1. Zkontrolovat protokol ERAS, který je přístupný
přes menu ERAC Tools > Server Options > záložka
Logging > tlačítko View Log
2. Pokud neobsahuje žádná chybová hlášení,
doporučuje se zvýšit podrobnosti logování
prostřednictvím rolovacího menu Log Verbosity
na nejvyšší úroveň. Po zreplikovaní problému
doporučujeme úroveň logování nastavit zpět na
původní úroveň.
3. V případě problémů s databází je potřebné zapnout
ve stejné záložce databázový debug log pomocí
zaškrtávajícího políčka Debug Log. Aktivace Debug
logu se doporučuje jen na dobu replikace problému.
4.Pokud se chybové hlášení v log souborech lišší od
těch, které jsou popsané v tomto manuálu, obraťte se
na technickou podporu společnosti ESET.
5.Pokud se vyskytnou jakékoli neznámé chybové
hlášení, doporučujeme se taktéž obrátit na
technickou podporu společnosti ESET. Je vhodné
popsat nežádoucí situaci, která nastala, co bylo
vykonané, aby se jí předešlo. Velmi důležité je uvést
číslo verze produktů ESET, které mají se situaci
něco společného (typicky ERAS, ERAC, ESET Smart
Security, ESET NOD32 Antivirus)
9.1
Plánovač úloh
V klientských řešeních ESET NOD32 Antivirus a ESET
Smart Security je integrovaný tzv. plánovač úloh, který
umožňuje naplánovat pravidelnou antivirovou kontrolu
disku, vykonání aktualizace apod. Každá z těchto
činností je realizovaná prostřednictvím záznamu v
plánovači, tzv. úlohy.
Momentálně existují celkem čtyři druhy úloh:
•
•
•
•
Spuštění externí aplikace
Kontrola souborů spuštěných po startu
Kontrola počítače
Aktualizace
Úloha Spuštění externí aplikace obvykle zůstává bez
využití. Úloha Kontrola souborů spuštěných po startu
je standardně naplánovaná už samotným výrobcem,
společností ESET a není nutné ji měnit10. Z pohledu
administrátora tak zůstává nejzajímavější úlohou
Kontrola počítače a Aktualizace a to z následujících
důvodů:
• Kontrola počítače
Tato úloha zajistí pravidelnou antivirovou kontrolu
PC, typicky lokálních disků.
• Aktualizace
Tato úloha zajistí pravidelnou aktualizaci klientského
řešení ESET. Od výrobců je standardně nastavená
i tato úloha (automatická aktualizace každých 60
minut) a není důvod toto nastavení měnit. Výjimkou
je situace, kdy se nacházejí v síti např. notebooky,
kterými se uživatelé připojují i z jiných sítí. V tomto
případě je možné ve vlastnostech tohoto typu úlohy
nastavit volání dvou aktualizačních profilů a umožnit
tak aktualizace notebooků v rámci i mimo firemní síť.
Plánovač úloh (Schedule/Banner) je dostupný i
prostřednictvím aplikace ESET Configuration Editor ve
větvi ESET Smart Security / ESET NOD32 Antivirus >
ESET Kernel > Setup > Scheduler/Planner > Scheduler/
Planner (následně tlačítkem Edit).
Bližší informace o konfiguračním editoru se nacházejí v
kapitole 3.7 Konfigurační editor.
10
Pokud je ESET NOD32 Antivirus nebo ESET Smart Security
nainstalovaný se standardním nastavením, nacházejí se v plánovači
dvě úlohy tohoto typu. Jedna kontroluje důležité systémové soubory
při každém přihlášení uživatele do sítě a druhá při každé úspěšné
virové aktualizaci.
48
V případě úlohy typu Kontrola počítače se v posledním
kroku určuje, jaké nastavení se podobu kontroly uplatní
(resp. z jakého profilu se toto nastavení použije) a které
cílové oblasti budou kontrolované (Targets).
Obrázek 9.1
Po otevření dialogu tlačítkem Edit můžou být zobrazené
již existující úlohy (podobně jako na obrázku) nebo
bude dialog bez úloh. Záleží na tom, zda jste do
konfiguračního editoru načítali hotovou konfiguraci
(např. z již fungující stanice) nebo vycházíte z nové, kdy
je použita prázdná šablona bez úloh.
Každá úloha je jednoznačně identifikovaná atributem ID
(tzv. primární klíč), přičemž výrobcem předdefinované
úlohy mají ID jen decimální (1, 2, 3…). Administrátorem
definované úlohy mají ID hexadecimální (např.
4AE13D6C), přičemž hodnota ID je přidělená náhodně a
automaticky při vytváření nové úlohy.
Zaškrtávací pole před každým řádkem určuje, zda je
úloha aktivní, tj. zda ji klient využívá.
Význam tlačítek:
•
•
•
•
•
Add – přidá novou úlohu.
Edit – upraví vybranou úlohu.
Change ID – upraví ID vybrané úlohy.
Details – souhrn informací o vybrané úloze.
Mark for deletion – takto označená úloha (se
shodným ID) bude při použití této XML konfigurace
odstraněná z cílového klienta.
• Remove from list – tímto tlačítkem bude vybrána
úloha vymazaná ze seznamu. Použitím tohoto
tlačítka nedojde k odstranění dané úlohy z cílového
klienta. Úloha bude jen odstraněná z editované XML
konfigurace.
Obrázek 9.2
V případě úlohy typu Aktualizace se v posledním
kroku určuje, jaké aktualizační profily se mají při
spuštění úlohy použít. Jak už bylo zmíněno, od výrobce
je standardně i tato úloha nastavená (automatická
aktualizace každých 60 minut) a není důvod nastavení
měnit. Výjimkou je situace, kdy se nachází v síti
např. notebooky, jejichž uživatelé se připojují z jiných
sítí. Právě zde je potom možné nastavit volání dvou
aktualizačních profilů a řešit tak aktualizaci notebooku
v rámci i mimo firemní sítě.
Při tvorbě nové úlohy (tlačítko Add) nebo při editaci
současné (tlačítko Edit) je nutné definovat podmínku,
při které dojde ke spuštění této úlohy. Podmínka může
být časová (každý den ve 12h, každý pátek…) nebo v
závislosti od události (po úspěšné aktualizaci, při prvním
startu PC po dobu celého dne…)
Obrázek 9.3
49
9.2 Odstranění existujících profilů
Omylem se může stát, že se na klientech vyskytnou
nevyužité, nebo duplicitní profily (pro kontrolu disku
nebo pro aktualizaci). Pokud je chceme vzdáleně
odstranit na více klientech a přitom nesjednotit ostatní
specifické nastavení, je možné postupovat například
podle následujícího postupu:
• V záložce Clients klikneme na jednoho z
problémových klientů.
• Vybereme záložku Configuration, zaškrtneme Then
Run ESET Configuration Editor to edit the file a
User the downloaded configuration in the new
configuration task a následně klikneme na New
Task.
• V průvodci novou úlohu typu Configuration stlačíme
Edit.
• V konfiguračním editoru stlačíme Ctrl+D (odznačení
všech položek – pomocí této volby nesjednotíme
ostatní specifické nastavení).
• Pravým tlačítkem klikneme na profil, který chceme
zrušit a z kontextového menu zvolíme Mark profile
for deletion. Následně je profil označený na smazání
a jakmile bude tato úloha aplikovaná na cílových
klientech, bude profil odstraněný.
XML souboru. Takto získaný XML soubor s konfigurací je
možné použít i následovně:
• Při vzdálené instalaci, kde je možné XML soubor
použít jako „šablonu“ předdefinované konfigurace. Při
tvorbě takového balíčku vlastně nevytváříme novou
konfiguraci, ale tlačítkem Select... přiřadíme XML
soubor.
• Při vytváření úlohy typu Configuration, kdy je
možné vybrané klienty dodatečně nastavit podle
jmenovaného XML souboru (opět využijeme tlačítko
Select... a nevytváříme novou konfiguraci).
Poznámka: Nabízí se tak postup, kdy administrátor
nainstaluje řešení ESET jen na jednu vybranou stanici,
konfigurace vykoná přímo v klientském rozhraní a jakmile
je všechno ideálně doladěné, vykoná export konfigurace do
souboru XML. Ten ho využije při vzdálené instalaci dalších
stanic. Tento postup může být taktéž užitečný při ladění
pravidel firewallu, pokud bude později nastavený v režimu
„policy-based“.
9.4 Nastavení aktualizace ze dvou zdrojů pro
mobilní zařízení
V případě mobilních zařízení je možné uplatnit
aktualizaci z dvou různých zdrojů. Notebook může být
nastavení například tak, že v případě selhání aktualizace
z firemního Mirror serveru (notebook je fyzicky mimo
firemní LAN sítě) vykoná se aktualizace přímo ze serveru
společnosti ESET. Po technické stránce je potřebné:
• vytvořit dva aktualizační profily, přičemž jeden bude
stahovat aktualizace z Mirror serveru (dále bude
tento profil prezentovaný pod názvem LAN) a druhý
přímo ze serveru ESET (INET),
• vytvořit nebo upravit úlohu pro aktualizaci v
plánovači úloh.
Obrázek 9.4
• Dále je potřeba pokračovat stlačením tlačítka
Console v konfiguračním editoru a uložit nastavení.
• V dalších krocích průvodce vyzve k výběru všech
klientů, na které bude konfigurace uplatněná a v
posledním kroku vyzve k dokončení průvodce.
9.3
Export a další využití současné XML
konfigurace klienta
Prostřednictvím konzole ERA je možné v záložce
Clients vybrat libovolného klienta a v kontextovém
menu (kliknutím pravým tlačítkem na myši) zvolit
Configuration... tlačítkem Save As... je následně
možné konfiguraci daného klienta vyexportovat do
50
Nastavení je možné pochopitelně vykonat lokálně
přímo na daném notebooku, popřípadě vzdáleně
prostřednictvím konfiguračního editoru ESET. Toto
nastavení je možné vnutit u při vzdálené instalaci,
nebo kdykoliv později prostřednictvím úlohy typu
Configuration.
V konfiguračním editoru je možné nové aktualizační
profily vytvářet z kontextového menu po kliknutí na
větev Aktualizace pravým tlačítkem myši.
Výsledek úprav by měl vypadat následovně (jde jen o
ilustrační příklad, skutečnost se může výrazně lišit).
9.5 Instalace produktů třetích stran
prostřednictvím ERA
Vzdálená instalace pomocí ESET Remote Administrator
serveru přes instalace produktů společnosti ESET,
s.r.o. umožňuje i vzdálenou instalaci jiných produktů.
Podmínkou je, aby daný instalační balíček byl ve
formátu .msi souboru. Postup vzdálené instalace tohoto
.msi balíčku je velmi podobný již zmiňované instalaci
produktů ESET, s.r.o. v kapitole 4.2 Vzdálená instalace.
Nejhlavnějším rozdílem je vytvoření samotného
instalačního balíku aplikace ESET Remote
Administrator, který je popsaný v následující části:
-
-
-
-
Obrázek 9.5
-
Profil LAN se bude pokoušet aktualizovat z http://
server:2221 (firemní Mirror server), zatím co INET ze
serveru ESET (volba Choose automatically). Nyní je
ještě potřeba nastavit, aby byly tyto profily volané
automaticky prostřednictvím plánovače úloh (větev
ESET Smart Security / ESET NOD32 Antivirus > ESET
Kernel > Setup > Scheduler/Planner v konfiguračním
editoru).
-
-
-
v konzole klikneme na záložku Remote Install
Zvolíme možnost Manage Packages
V části Type vybereme Custom package
Pomocí tlačítka Add a následně Add file přidáme do
balíčku instalační soubor ve formátu .msi
Následně tento soubor vybereme v Package Entry
File a potvrdíme volbou Create
Po návratu do původního okna můžeme v spodní
části specifikovat parametry příkazového řádku .msi
souboru. Tyto parametry jsou stejné jako u lokální
instalace daného balíčku.
Takto vytvořený instalační balíček můžeme pomocí
volby Save as... uložit
Zavřeme manažer instalačních balíčků tlačítkem
Close
Takto vytvořený instalační balíček, obsahující jiný .msi
soubor jako produkt společnosti ESET, s.r.o., je možné
použít přesně stejným způsobem jako při popisovaných
vzdálených instalacích. Push instalace, instalace pomocí
přihlašovacího skriptu nebo mailu se postará o doručení
balíčku na cílovou stanici. Od momentu zpuštění
balíčku probíhá instalace pod definovanými pravidly
instalační služby Microsoft Windows.
Obrázek 9.6
V plánovači vytvoříme novou úlohu kliknutím na tlačítko
Add. Následně je potřebné nastavit minimální typ úlohy
na Aktualizace, název úlohy (např. „kombinovaná
aktualizace“), interval aktualizace (doporučujeme
opakovat každou hodinu) a úplně na konci i název
primárního a sekundárního profilu.
Jelikož požadujeme, aby se notebook nejprve pokusil
o aktualizaci z firemního Mirror serveru, primárním
bude název LAN (uvedeme jako hodnotu pro „Primary
profile“) a sekundárním INET („Secondary profile“).
Profil INET bude použitý jen při sehnání aktualizace
prostřednictvím profilu LAN.
Poznámka: V praxi doporučujeme využít možnost
vyexportovat současnou XML konfiguraci klienta (viz.
Předchozí kapitola) a výše vedené úpravy vykonávat na
exportovaném XML. Takto můžete omezit duplicitní záznamy
v plánovači úloh, stejně tak i množství nevyužitých profilů.
51

ESET Remote Administrator

Transkript

Podobné dokumenty

ESET Remote Administrator

Návod na použití

Formát Komentáře

ESET Simple Letter

Untitled - ESET Centrum technické podpory

Uživatelský manuál - Fakturační program zdarma

3. Software

Sbírka vzorových testů a praktických úloh

Seznam použitých zkratek (v abecedním pořadí)

Návod na použití - COMET SYSTEM, sro

ESET Mail Security for Microsoft Exchange Server

STUDIJNÍ MATERIÁL PRO TECHNICKOU CERTIFIKACI ESET

3 1 Základní pojmy informačních technologií

Kerio uĹľivatelskĂ© diskusnĂ fĂłrum

IBM Cognos Express verze 10.1.0: Za|Ec|f8n|fame s produktem IBM

SolidWorks 2016

Český uživatelský manuál

T4311 - COMET SYSTEM, sro

víc než software - Unicorn Systems

ESET Smart Security

Oficiální příručka pro české spotřebitele

1. ESET NOD32 Antivirus