Eset REMOTE ADMINISTRATOR User Manual [sk]

Download

ESET

Remote Administrator

Uživatelská příručka

chráníme vaše digitální světy

obsah

1. Přehled řešení .......................................4

1.1 Architektura řešení ....................................................... 4

1.1.1 ERAS Server (ERAS) ................................................4

1.1.2 ERA Konzole (ERAC) ...............................................4

2. Instalace ERA Server a ERA Console .........5

2.1 Požadavky ....................................................................5

2.1.1 Požadavky na hardware .........................................5

2.1.2 Povolené porty ...................................................... 5

2.2 Postup instalace v základním prostředí ........................... 5

2.2.1 Náčrt prostředí (struktura sítě) ...............................5

2.2.2 Příprava instalace ..................................................6

2.2.3 Instalace ...............................................................6

2.2.3.1 Instalace ERA serveru .............................................6

2.2.3.2 Instalace ERA konzole ............................................6

2.2.3.3 Konﬁgurace funkce Mirror ......................................6

2.2.3.4 Podpora databází ERA serverem ............................. 7

2.2.3.4.1 Základní předpoklady .............................................7

2.2.3.4.2 Nastavení spojení k databázi .................................. 7

2.2.3.4.3 Existence předchozí databáze .................................7

2.2.3.5 Vzdálená instalace na stanice fyzicky ve ﬁrmě ..........8

2.2.3.6 Vzdálená instalace na notebooky fyzicky mimo ﬁrmy 8

2.3 Scénář – instalace v Enterprise prostředí .........................8

2.3.1 Náčrt prostředí (struktura sítě) ...............................8

2.3.3 Instalace ...............................................................8

2.3.3.1 Instalace na centrále ..............................................8

2.3.3.2 Pobočka: Instalace ERA serveru ..............................8

2.3.3.3 Pobočka:Instalace HTTP Mirror serveru ...................8

2.3.3.4 Pobočka: Vzdálená instalace na klientech ................9

2.3.4 Další předpoklady pro Enterprise prostředí ..............9

ESET Remote Administrator

ESET software spol. s r. o. Meteor Centre Oce Park Sokolovská 100/94 180 00 Praha 8

Obchodní oddělení obchod@eset.cz tel.: 233 090 233

Technická podpora servis@eset.cz tel.: 233 090 244

Všechna práva vyhrazena. Žádná část této publikace nesmí být reprodukována žádným prostředkem, ani distribuována jakýmkoliv způsobem bez předchozího písemného povolení společnosti ESET software, spol. s r. o.

Společnost ESET software spol. s r. o. si vyhrazuje právo změny programových produktů popsaných v této publikaci bez předchozího upozornění.

V dokumentu použité názvy programových produktů, ﬁrem apod. mohou být ochrannými známkami nebo registrovanými ochrannými známkami jejich příslušných vlastníků.

3. Práce s ERAC........................................ 10

3.1 Přihlášení se k ERAS .....................................................10

3.2 Hlavní okno ERAC ........................................................10

3.3 Filtrace informací ..........................................................11

3.3.1 Skupiny ................................................................ 11

3.3.2 Filtr ...................................................................... 11

3.3.3 Kontextové menu ................................................. 11

3.4 Záložky ERAC ............................................................... 12

3.4.1 O záložkách a klientech obecně .............................12

3.4.2 Replikace & informace na jednotlivých záložkách ....13

3.4.3 Záložka Clients .....................................................13

3.4.4 Záložka Threat Log ................................................14

3.4.5 Záložka Firewall Log ..............................................15

3.4.6 Záložka Event Log .................................................15

3.4.7 Záložka Scan Log ..................................................15

3.4.8 Záložka Tasks ........................................................15

3.4.9 Záložka Reports ....................................................15

3.4.10 Záložka Remote Install ..........................................15

3.5 Nastavení ERA konzole .................................................16

3.5.1 Záložka Connection ..............................................16

3.5.2 Záložka Columns – Show / Hide .............................16

3.5.3 Záložka Colors ......................................................16

3.5.4 Záložka Paths .......................................................16

3.5.5 Záložka Date / Time...............................................16

3.5.6 Záložka Other Settings ..........................................16

3.6 Režimy zobrazení ......................................................... 17

3.7 Konﬁgurační editor ...................................................... 17

3.7.1 Vrstvení konﬁgurací ..............................................17

3.7.2 Klíčové položky nastavení ......................................18

4. Instalace klientských řešení .................. 19

4.1 Přímá instalace ............................................................19

REV.20090305‑005

4.2 Vzdálená instalace .......................................................19

4.2.1 Požadavky ...........................................................20

4.2.2 Příprava prostředí ................................................. 21

4.2.3 Push instalace ......................................................21

4.2.4 Logon / email instalace ......................................... 22

4.2.5 Instalace vlastní cestou ........................................ 23

4.2.6 Obrana před opakovanou instalací ....................... 24

4.3 Instalace v Enterprise prostředí .....................................25

4.3.1 Instalace přes Group Policy ................................... 25

5. Správa klientů ..................................... 25

5.1 Úlohy ..........................................................................25

5.1.1 Konﬁgurační úloha .............................................. 25

5.1.2 On – demand kontrola .........................................26

5.1.3 Aktualizační úloha ...............................................26

5.2 Skupiny (Groups) ......................................................... 26

5.2.1 Synchronizace s Active Directory ........................... 27

5.2.2 Filtrování ............................................................. 28

5.3 Policies ...................................................................... 28

5.3.1 Základní principy a fungování ...............................28

5.3.2 Vytvoření policy ................................................... 28

5.3.3 Virtuální policy .................................................... 29

5.3.4 Funkce a význam policies v stromové struktuře ..... 29

5.3.5 Prohlížení policies ................................................ 29

5.3.6 Přidělování policies klientům ................................30

5.3.6.1 Default Primary Clients Policy ...............................30

5.3.6.2 Manuální přidělení ............................................... 30

5.3.6.3 Policy Rules .........................................................30

5.3.7 Smazání policy ......................................................31

5.3.8 Speciální nastavení ...............................................31

5.3.9 Scénář použití ...................................................... 32

5.3.9.1 Každý server je samostatně spravovaný a policies se

řeší lokálně .......................................................... 32

5.3.9.2 Každý server je samostatně spravovaný, policies se řeší lokálně, ale dědí se Default Parent policy z

nadřazeného serveru ........................................... 32

5.3.9.3 Použití dědění z různých policies nadřazeného serveru 32

5.3.9.4 Přiřazování policies jen z nadřazeného serveru ...... 33

5.3.9.5 Použití policy rules ............................................... 33

5.3.9.6 Použití lokálních skupin ....................................... 33

5.4 Notiﬁkace ...................................................................33

5.4.1 Notiﬁcation Manager ........................................... 33

5.4.1.1 Posílání notiﬁkací prostřednictvím SNMP TRAP ........... 37

5.4.2 Vytvoření pravidla ................................................ 37

5.5 Podrobné informace z klientských stanic ........................38

7.8.2 Nastavení Portů ................................................... 46

7.8.3 Noví klienti ..........................................................46

7.8.4 ThreatSense. Net .................................................46

8. Troubleshooting ................................... 47

8.1 FAQ ............................................................................47

8.1.1 Není možné nainstalovat ESET Remote Administrator

na Windows server 2000 a 2003 ............................ 47

8.1.2 Co znamená chybový kód GLE? ............................. 47

8.2 Nejčastější chybové kódy ..............................................47

8.2.1 Chybové kódy při vzdálené instalaci ESET Smart Security nebo ESET NOD32 Antivirus pomocí ESET

Remote Administrator ......................................... 47

8.2.2 Nejčastější chybové kódy z protokolu era.log ......... 47

8.3 Jak odhalit problém s ERAS? ......................................... 48

9. Rady & tipy .......................................... 48

9.1 Plánovač úloh ............................................................. 48

9.2 Odstranění existujících proﬁlů ...................................... 50

9.3 Export a další využití současné XML konﬁgurace klienta . 50

9.4 Nastavení aktualizace ze dvou zdrojů pro mobilní zařízení 5 0

9.5 Instalace produktů třetích stran prostřednictvím ERA ...... 51

6. Reporty .............................................. 39

7. Nastavení ESET Remote Administrator

Serveru (ERAS) ....................................40

7.1 Bezpečnost ................................................................. 40

7.2 Správa databází .......................................................... 40

7.3 Mirror ......................................................................... 41

7.3.1 Provoz lokálního aktualizačního serveru.................41

7.3.2 Typy aktualizací ................................................... 42

7.3.3 Aktivace a nastavení funkce Mirror v praxi ............. 42

7.3.4 Mirror pro klienty NOD32 verze 2 ........................... 43

7.4 Replikace ................................................................... 44

7.6 Správa licencí ............................................................. 45

7.7 Rozšířené nastavení .................................................... 45

7.8 Další nastavení ........................................................... 46

7.8.1 Nastavení SMTP ...................................................46

1. Přehled řešení

ESET Remote Administrator je nástrojem, který je určen pro vzdálenou správu řešení ESET v síťovém prostředí. Díky řešení ESET Remote Administrator (dále jen ERA) je možné z jednoho místa sledovat činnost řešení ESET na jednotlivých klientech (na stanicích, serverech apod.), reagovat na vzniklé situace díky přítomnosti systému úloh a v neposlední řadě provádět i vzdálené instalace řešení ESET.

ERA sám o sebe neřeší antivirovou, ani jinou formu ochrany před průnikem škodlivého kódu. Nasazení ERA je tak podmíněné přítomností klientských nebo serverových řešení ESET NOD32 (typicky ESET NOD32 Antivirus nebo ESET Smart Security běžící na stanicích).

Nasazení kompletního portfolia řešení ESET tak spočívá v:

• instalaciERAserveru(ERAS),

• instalaciERAkonzole(ERAC),

• instalaciklientů(ESETNOD32Antivirus,ESETSmart

Security, ESET Security apod.).

Poznámka: V některých pasážích dokumentace můžou být použité systémové proměnné, vyjadřující přesné umístění složek /souborů: %ProgramFiles% = typicky C:\Program Files %ALLUSERSPROFILE% = typicky C:\Documents and Settings\ All Users

části ERA – na cílový port TCP 2223. Tuto komunikaci zajišťuje proces console.exe, obvykle ve složce:

%ProgramFiles%\Eset\Eset Remote Administrator\Console

ERAC může v průběhu instalace vyžadovat zadání jména ERA serveru, ke kterému se potom konzola dokáže automaticky připojit při každém jeho startu. ERA konzolu je možné nastavit kdykoliv později.

ERAC lokálně ukládá jen HTML výstupy z generovaných reportů, jakékoliv ostatní informace jsou zasílané v rámci komunikace na portu TCP 2223 z ERAS.

1.1 Architektura řešení

Po technické stránce se řešení ESET Remote Administrator skládá z dvou častí, ERA Server (ERAS) a ERA Console (ERAC). Počet současně běžících instalací ERAS a ERAC není v rámci licence omezený. Omezený je jen počet současně spravovaných klientů (viz. ERAS, licenční klíče).

1.1.1 ERAS Server (ERAS)

Serverová část ERA funguje jako služba pod systémy na báze Microsoft Windows NT (NT4, 2000, XP, 2003, Vista, 2008). Hlavní úlohou ERAS je „sběr“ informací z klientů a naopak zasílání požadavků klientům. Požadavky (úlohy pro změnu konﬁgurace, požadavky na vzdálenou instalaci atd.) pro klienty je možné vytvářet prostřednictvím druhé části – ERA Console (ERAC).

Ve výsledku je tak ERAS rozhraním mezi ERAC, klienty a místem, kde se všechny informace zpracovávají, udržují, popřípadě odevzdávají ke klientům či ERAC.

1.1.2 ERA Konzole (ERAC)

ERAC je klientskou částí řešení ERA. ERAC se obvykle instaluje na stanici, z které bude operovat správce sítě a sledovat nabídku řešení ESET na jednotlivých klientech. Pomocí ERA konzole se je možné připojit k serverové

2. Instalace ERA Server a ERA Console

2.1 Požadavky

Pro správné fungování všech součástí ERA je potřebné, aby byly uvedené porty povolené.

ERAS funguje jako služba – je nutná přítomnost operačního systému na bázi Microsoft Windows 2000/ XP/2003/Vista/2008. Serverová edice Microsoft Windows není nutností. Počítač, na kterém bude ERAS provozovaný, by měl být v nonstop provozu a síťově dostupný pro:

• klienty(typickypracovnístanice)

• PCsERAkonzolí

• ostatníERASpropoužitíreplikace

2.1.1 Požadavky na hardware

Zatížení systému je minimální, avšak závisí od počtu klientů, použité databázi ERAS, úrovně logování apod. Minimální HW konﬁgurace pro nasazení ERAS je zároveň doporučenou konﬁgurací pro použitý operační systém Microsoft Windows.

2.1.2 Povolené porty

V následující tabulce je přehled síťové komunikace, která se může v souvislosti s ERAS vyskytnout. Na portě TCP 2221 poslouchá proces EHttpSrv.exe a na portech TCP 2222, 2223, 2224, 2846 poslouchá přímo proces era.exe. V dalších případech se komunikace vztahuje na procesy operačního systému (např. NetBIOS over TCP/IP).

Protokol Port Popis

Na tomto portu jsou standardně poskytovány

TCP 2221 (ERAS poslouchá)

TCP 2222 (ERAS poslouchá)

TCP 2223 (ERAS poslouchá)

aktualizace přes funkci Mirror integrovanou v ERAS (HTTP komunikace)

Komunikace mezi klienty a ERAS

Komunikace mezi ERAC a ERAS

Přednastavené porty 2221, 2222, 2223, 2224 a 2846 je možné změnit, např. v případě, že dané porty jsou už využívané pro komunikaci jiné aplikace.

Změny je možné uskutečnit přes menu Tools > Server Options... Pokud chcete změnit port 2221, vyberte záložku Updates a změňte hodnotu HTTP server port. Porty 2222, 2223, 2224 a 2846 je možné změnit v záložce Other settings v sekci Ports.

Přednastavené porty 2222, 2223, 2224 a 2846 je možné změnit i při pokročilé instalaci ERAS.

2.2 Postup instalace v základním prostředí

2.2.1 Náčrt prostředí (struktura sítě)

Základní ﬁremní prostředí je tvořené jednou ﬁremní sítí LAN, počítá se s nasazením jednoho ERAS a jednoho Mirror serveru. Mirror server může vytvářet ERAS nebo ESET NOD32 Antivirus 3.0 Business Edition/ESET Smart Security Business Edition.

Předpokládejme, že všechny stanice a notebooky (dále jen klienti) se nacházejí v doméně, přičemž na klientech jsou v provozu operační systémy Microsoft Windows 2000/XP/ Vista. Od serveru pojmenovaného jako GHOST se očekává nonstop provoz, přitom není důležité, či se jedná o edici Windows workstation, professional nebo server (zároveň nezáleží, zda se jedná nebo nejedná o Active Directory Server). Taktéž předpokládejme, že notebooky jsou v době instalace řešení ESET mimo ﬁremní síť. Celkové schéma sítě potom může vypadat následovně.

Při využití všech funkcionalit (instalace, replikace) můžou být síťové požadavky rozšířené o:

Protokol Port Popis

Komunikace mezi agentem

TCP 2224 (ERAS poslouchá)

TCP 2846 (ERAS poslouchá) Replikace mezi ERAS.

TCP

UDP

TCP

139 (cílový port z pohledu ERAS)

137 (cílový port z pohledu ERAS)

138 (cílový port z pohledu ERAS)

445 (cílový port z pohledu ERAS)

einstaller.exe a ERAS v průběhu vzdálené instalace.

Kopírování agenta einstaller. exe z ERAS na klienta prostřednictvím share admin v průběhu push instalace.

„Name resolving“ v průběhu vzdálené instalace.

„Browsing“ v průběhu vzdálené instalace.

Přímý přístup ke sdíleným prostředkům přes TCP/IP v průběhu vzdálené instalace (alternativa k TCP 139).

Obrázek 2.1

2.2.2 Příprava instalace

Před instalací je nutné stáhnout si ze stránek k ESET následující instalační balíčky.

Součástí ESET Remote Administrator:

Po instalaci ERAS dojde k automatickému zpuštění služby ERA serveru. O případné činnosti ERAS je možné se přesvědčit v protokole:

%ALLUSERSPROFILE%\Application Data\ESET\ESET Remote Administrator\Server\logs\era.log

ESET Remote Administrator – Server ESET Remote Administrator – Console

Klientské řešení ESET:

ESET Smart Security ESET NOD32 Antivirus 4.0 ESET NOD32 Antivirus 3.0 ESET NOD32 Antivirus 2.7

Stahujeme ta klientská řešení, která mají být nainstalovaná na pracovních stanicích.

2.2.3 Instalace

2.2.3.1 Instalace ERA serveru

Na server GHOST nainstalujeme ERA server. Na výběr jsou 2 typy instalace – typická a pokročilá.

Pokud zvolíme typickou instalaci, program bude požadovat vložení licenčního klíče – souboru s příponou .LIC, který zabezpečí chod ERAS na smluvené období. Dále nás instalační program vyzve na zadání parametrů aktualizace (uživatelského jména/hesla a aktualizačního serveru), je však možné je později nastavit v programu.

Po zvolení pokročilé instalace bude instalátor požadovat nastavení dalších parametrů programu, které je možné dodatečně měnit pomocí ERAC, obvykle to však není potřebné. Výjimkou je speciﬁkace názvu serveru. Název by měl zodpovídat názvu v DNS, menu počítače, popřípadě IP adrese, pod kterou bude takto označený server viditelný. Tato informace se stane klíčovou především při realizaci vzdálení instalace. Pokud nebude název serveru speciﬁkovaný, doplní se automaticky hodnota systémové proměnné %COMPUTERNAME% (název PC), což je ve většině případů postačující.

Důležitý je též výběr databáze, kterou bude ERAS používat pro ukládání dat. Více v části Podpora databází

ERA serverem.

Programové časti ERAS se standardně instalují do složky:

%ProgramFiles%\ESET\ESET Remote Administrator\Server

a proměnlivé časti (protokoly, instalační balíčky, konﬁgurace atd.) do složky:

%ALLUSERSPROFILE%\Application Data \ESET\ESET Remote Administrator\Server

2.2.3.2 Instalace ERA konzole

Na PC nebo notebook administrátora (na schématu vlevo dole) nainstalujeme aplikaci ESET Remote Administrator Console. Na konci pokročilé instalace můžeme uvést název ERA serveru (nebo IP adresu), ke kterému se bude konzole standartně hlásit. V našem případě tak uvedeme název GHOST.

Po instalaci můžeme ERAC později spustit a vyzkoušet funkčnost připojení k ERAS. Standartně není potřebné zadávat heslo (standartně je heslo prázdné), avšak doporučujeme ho pro následující provoz nastavit. Nastavení je dostupné přes ERAC > File > Change Password…, jedná se o Password for Console.

Administrátor má možnost deﬁnovat heslo pro plnohodnotný přístup a taktéž heslo jen pro zobrazení konﬁguraci ERAS (read‑only přístup).

2.2.3.3 Konﬁgurace funkce Mirror

Prostřednictvím ERA konzole je možné na straně ERA serveru aktivovat funkci Mirror pro vytvoření lokálního aktualizačního serveru. Z tohoto serveru následně můžou být aktualizované klientské stanice nacházející se v síti. Vytvořením mirroru zabráníte zvýšenému objemu dát přenášeného přes Vaše internetové připojení.

Postup nastavení mirroru:

1. Připojit se konzolou k ERA serveru.

2. V menu Tools > Server Options... vybrat záložku Updates.

3. Tu nastavit Update server (Choose automatically),

Update interval (ponechat 60 minut), Update user name (zadat uživatelské jméno, které Vám

bylo zaslané při koupi produktu, obvykle v tvaru EAV‑1234567), Update password (tlačítkem Set Password... nastavit heslo dodané spolu s uživatelským jménem).

4. Dále povolit Create update mirror, adresář pro vytváření Mirror ponechat, taktéž i HTTP server port (standardně 2221) a autorizaci (NONE).

5. V záložce Other Settings zvolit tlačítko Edit Advanced Settings... a ve větvi ERA Server > Setup > Mirror > Create mirror for the selected program components vybrat (tlačítko Edit v pravé časti editoru) všechny komponenty pro jazykovou verzi řešení ESET, která bude instalovaná na klientech. Doporučujeme vybrat jen programové komponenty pro příslušnou jazykovou verzi, kterou plánujete používat.

6. Okamžité vytvoření Mirroru je možné zajistit stisknutím tlačítka Update now v záložce Updates.

Pro podrobnější nastavení funkce Mirror doporučujeme přečíst kapitolu 7. Server Management, část Mirror.

2.2.3.4 Podpora databází ERA serverem

Na ukládání dat je standardně používaná databáze typu Microsoft Access (Jet Database). ERAS verze 3 podporuje použití i následujících databází:

• MicrosoftSQLServer

• MySQL

• Oracle

Volba databáze se uskutečňuje při pokročilé instalaci ERA serveru. Po instalaci už není možné změnit verzi používané databázi.

2.2.3.4.1 Základní předpoklady

V první řadě je nutné manuálně vytvořit databázi

nadatabázovémserveru.VpřípaděpoužitíMySQL

umí instalátor vytvořit novou prázdnou databázi i automaticky, s názvem ESETRADB.

Přednastavenou volbou je automatické vytvoření obsahu databáze instalátorem. Administrátor taktéž může vytvořit obsah databáze manuálně, pomocí tlačítka Export Scripts. V tomto případě musí zaškrtávací políčko Create tables in the new database

automatically zůstat prázdné.

2.2.3.4.2 Nastavení spojení k databázi

Po vytvoření nové databáze je potřebné speciﬁkovat připojení k databázovému serveru. V zásadě je to možné uskutečnit dvěma způsoby:

1. pomocí DSN (data source name) DSN je možné vytvořit manuálně pomocí ODBC administrátora (tlačítko Start > Zpustit > odbcad32. exe)

Příklad DSN spojení:

DSN=ERASqlServer

2. přímou pomocí úplného řetězce deﬁnujícího spojení Je potřebné deﬁnovat všechny potřebné parametry spojení – ovládač, jméno serveru a jméno databáze.

Příklad úplného řetězce deﬁnujícího spojení pro MS SQLServer:

Driver={SQL Server};Server=hostname;Database=ESETRA DB

Obrázek 2.2

Příklad úplného řetězce deﬁnujícího spojení pro

Oracle Server:

Driver={Oracle in instantclient10_1};dbq=hostname:1521/

ESETRADB

Příklad úplného řetězce deﬁnujícího spojení pro

MySQLServer:

Driver={MySQL ODBC 3.51 Driver};Server=hostname;Data

base=ESETRADB

Dále je pro správné připojení nutné nastavit uživatelské jméno v políčku User Name spolu s heslem přes tlačítko

Set Password.UOracleaMSSQLServerjetéžpotřebné

uvést název Schema name(uMSSQLserverjeto obvykle jméno uživatele). Spojení s databázovým serverem je možné ověřit pomocí tlačítka Test Connection.

2.2.3.4.3 Existence předchozí databáze

V případě, že tabulky v databázi už existují, instalátor na tuto skutečnost upozorní. Obsah existující tabulky je možné přepsat použitím volby Overwrite (obsah existujících tabulek bude smazaný a přepíše se jejich struktura). Po zvolení Ignore zůstanou tabulky nezměněné

Poznámka: Při této možnosti může za určitých okolností dojít k problémům s konzistencí databáze, zejména pokud byly tabulky poškozené nebo nejsou shodné se současnou verzí. Volba Cancel zruší instalaci ERAS a nabídku zkontrolování databáze manuálně.

2.2.3.5 Vzdálená instalace na stanice fyzicky ve ﬁrmě

2.3.3 Instalace

Za předpokladu, že jsou stanice v provozu, nabídne se jako vhodná metoda tzv. push instalace. Ještě před jeho aplikací bude nutné stáhnout si ze stránek ESET instalační soubor řešení ESET Smart Security nebo ESET NOD32 Antivirus (.MSI soubor) a následně vytvořit instalační balík. K balíku je možné vytvořit XML konﬁguraci, která se při použití tohoto balíku automaticky uplatní.

Podrobnější informace o vzdálené push instalaci jsou v kapitole 4. Instalace klientských řešení.

2.2.3.6 Vzdálená instalace na notebooky fyzicky mimo ﬁrmy

Notebooky budou vyžadovat odlišný způsob vzdálené instalace, pokud jsou fyzicky mimo ﬁrmu – není možné instalovat okamžitě, až v čase, když se notebooky připojí od domény. Nabídne se tak instalace přes logon skript voláním agenta einstaller.exe.

Podrobnější informace o vzdálené instalaci pomocí logon skriptu jsou v kapitole 4. Instalace klientských

řešení.

2.3 Scénář – instalace v Enterprise prostředí

2.3.1 Náčrt prostředí (struktura sítě)

Vycházíme z předcházejícího modelu, přidáme však jednu pobočku s několika klienty a serverem LITTLE. Řekněme, že se mezi centrálou a pobočkou nachází velmi pomalá datová linka (VPN). V takovém případě se vysloveně nabízí instalace Mirror serveru taktéž na server pobočky (LITTLE) a pro komfort administrátora a nižší množství přenesených dat i instalací druhého ERA serveru.

2.3.3.1 Instalace na centrále

Postup instalace ERAS, ERAC a klientů na centrále se od předcházejícího případu neliší. Změna nastává jen v nastavení ERA serveru (GHOST), kde je potřebné povolit část Replicate „from“ settings (prostřednictvím ERAC v menu Tools > Server Options... > Replication) a nadeﬁnovat název (Allowed servers) podřazeného ERA serveru. V našem případě je to LITTLE.

Pokud administrátor nastavil heslo pro replikaci na nadřazeným ERA serveru (Tools > Server Options… > Security > Password for replication), tak je nutné se tímto heslem z podřazeného ERA serveru autentiﬁkovat.

Obrázek 2.4

2.3.3.2 Pobočka: Instalace ERA serveru

Analogicky můžeme postupovat podle instalace ERA serveru z předcházejícího případu. Opět je ale potřebné povolit a nastavit replikaci prostřednictvím ERA konzole. Tentokrát je potřebné povolit volbu Enable “to” replication (menu Tools > Server Options... > Replication) a deﬁnovat název nadřazeného ERA serveru. Zřejmě nejjednodušší bude deﬁnovat přímo IP adresu nadřazeného ERA serveru1 , v našem případě IP adresu serveru GHOST.

Obrázek 2.3

Obrázek 2.5

2.3.3.3 Pobočka:Instalace HTTP Mirror serveru

Analogicky můžeme postupovat podle instalace Mirror serveru z předcházejícího případu. Změna nastává v místě, kde je

• denovanýzdroj,zekteréhobudouaktualizace

stahované

• denovanéuživatelskéjménoaheslo.

Ze schématu je zjevné, že zdrojem aktualizace pro pobočku nebudou servery ESET, ale nadřazený Mirror

1 Tímto sa vyhneme případným problémům s překladem názvů na

IP adresy mezi pobočkami (v závislosti na konﬁguráci DNS).

server na centrále (tj. GHOST). Většinou tak bude potřebné zdroj aktualizace deﬁnovat následující URL adresou:

http://ghost:2221 (příp. http://IP_adresa_ghost:2221).

Uživatelské jméno / heslo není potřebné deﬁnovat vůbec, jelikož je integrovaný HTTP web server v řešení ESET standardně nevyžaduje žádnou autorizaci.

Víc informací ohledně ERA Mirror v kapitole 7.3 Mirror.

2.3.3.4 Pobočka: Vzdálená instalace na klientech

Opět je možné postupovat podobně jako na centrále, ale všechnu činnost je vhodné vykonávat prostřednictvím ERAC připojené přímo k ERA serveru pobočky (LITTLE) 2.

2.3.4 Další předpoklady pro Enterprise prostředí

V rozsáhlejších sítích je možné nasadit několik ERAS a vzdálenou instalaci klientů a jejich další správu tak realizovat z dostupnějších ERA serverů. Pro tento účel umožňuje ERA server už zmiňovanou tzv. replikaci, kdy je možné všechny ukládané informace předávat i nadřazenému ERA serveru (tzv. „upper server“). Konﬁguraci replikace je možné realizovat prostřednictvím ERAC.

Praktickému příkladu použití replikace může být společnost, která má několik poboček. Nabízí se tak varianta instalace ERA serveru na každou pobočku a jejich podřazenost vůči ERAS na centrále. Výhoda replikace bude markantnější ve chvíli, kdy mezi centrálou a pobočkami budou „natáhnuté“ pomalé VPN linky. Administrátorovi na centrále bude totiž ke kompletní správě stačit připojení k hlavnímu ERAS na centrále (na následujícím obrázku jde o komunikaci označenou písmenem A). Nebude muset přistupovat ERA konzolí přes pomalé VPN linky k jednotlivým pobočkám (komunikace B, C, D, E). Tato nepohodlná komunikace zůstane administrátorovi skrytá díky fungující replikací mezi ERA servery.

Replikace tak zvyšuje nejen komfort, ale může šetřit i přenosovou kapacitu linky.

Zároveň se otvírá možnost přístupu několika osob s různými právy. Administrátor přistupuje přes ERAC na ERAS praha2.ﬁrma.cz (komunikace E) bude mít možnost spravovat jen klienty, kteří se hlásí k praha2.ﬁrma cz. Administrátor připojený na praha.ﬁrma.cz (C) potom klienty hlásících se k praha.ﬁrma.cz, praha1.ﬁrma.cz, praha2.ﬁrma.cz. Administrátor připojený k centrále (A) potom bude moct spravovat všechny klienty na centrále i pobočkách.

Obrázek 2.6

V rámci nastavení replikace je možné určit, které informace se mají předávat nadřazeným serverem automaticky ve stanoveném intervale, a které až na požádání administrátora spravujícího nadřazený server.

V opačném případě by se instalační balíky museli dopravoavat přes

pomalou VPN linku a celý komfort obsluhy by prudce klesl.

3. Práce s ERAC

3.1 Přihlášení se k ERAS

Většina funkcí ERA konzole bude dostupná až po přihlášení se k ERA serveru. Před prvním přihlášením k ERAS je tak potřebné nadeﬁnovat název ERAS, popř. jeho IP adresu:

menu File > Edit Connections... (Tools > Console Options... > záložka Connection)

Tlačítkem Add/Remove... je možné přidávat jména nových ERA serverů, nebo upravovat existující. V roletě Select connection následně stačí vybrat požadovaný ERAS a stlačit Connect.

Další volby:

•Connect to selected server on the console startup

Konzola se po startu automaticky připojí k vybranému ERAS.

•Show message when connection fails

Při chybě v průběhu komunikace bude zobrazen varovný dialog.

Při přihlášení k ERAS bude vyžadované heslo. Standardně není na straně ERAS nastavené žádné heslo a z bezpečnostních důvodů doporučujeme toto změnit volbou v menu

File > Change Password... > tlačítkem Change... v řádku Password for Console

Při zadávaní hesla v průběhu přihlašování je možné zvolit Remember password pro zapamatování hesla (je potřebné zvážit bezpečnostní rizika). Naopak volbou File > Clear Cached Passwords... je možné tyto „zapamatovaná“ hesla změnit.

Jako náhle je komunikace navázána, v záhlaví okna konzole se zobrazí Connected [název_serveru].

K ERAS je možné se přihlásit i přes menu File > Connect.

Při přihlašování je potřebné si zvolit, zda se přihlásíme jako Administrator nebo jako Read‑only uživatel.

3.2 Hlavní okno ERAC

Obrázek 3.1 Základní okno ESET Remote Administrator Console

Stav komunikace ERAC vs. ERAS je mimo jiného signalizovaný v stavovém řádku vpravo dole (1). Potřebná data z ERAS načítá konzole pravidelně (standardně každou minutu, viz. Console Options...), přičemž o průběhu načítání informují další části stavového řádku.

Stlačením klávesy F5 je možné kdykoliv vynutit aktualizaci zobrazených dat (refresh).

Data jsou roztříděné do několika záložek (2) podle jejich významu. Ve většině případů je možné data (5) třídit vzestupně / sestupně kliknutím na záhlaví s názvem atribut a zároveň je možné metodou drag & drop měnit pořadí jednotlivých sloupců. V případě rozsáhlých výstupů je možné omezit množství současně zobrazených řádků (Items to show) a listovat po stránkách. Volba View mode omezuje výpis co do množství sloupců (atributů). Více v časti o ﬁltraci informací.

Horní část (4) nabývá většího smyslu při provozování tzv. replikace. Vždy se tu nacházejí souhrnné informace o ERAS, ke kterému je právě konzola připojená, avšak i informace o případných podřazených ERA serverech. Pomocí ﬁltru v časti (4) je možné ovlivnit rozsah zobrazených informací v časti (5):

• Use All Servers V části (5) budou informace ze všech ERAS.

• Use Only Checked Servers V části (5) budou informace jen z vybraných ERAS.

• Exclude Checked Servers V části (5) budou informace jen z nevybraných ERAS.

Sloupce v části (4):

• Server Name Název serveru.

• Clients Celkové množstvo klientů, které se k danému ERAS hlásí. Resp. celkové množství klientů v databáze daného ERAS.

• Virus Signature DB Range Čísla verzí (virové databáze), která se nachází mezi klienty daného ERAS.

• Least Recent Connection Nejdelší doba od posledního připojení k ERA serveru některého z jeho klientů.

• Last Threat Alerts Celkové množství aktuálních událostí (souvisí s atributem Last Threat Alert v části (5)).

• Last Event Warnings Celkové množstvo aktuálních událostí personálního ﬁrewallu (souvisí s atributem Last Firewall Alert v části (5)).

• Last Event Warnings Celkové množstvo aktuálních událostí (souvisí s atributem Last Event v části (5)).

Do výstupu zahrňte jen klienty, jejich název odpovídá přesně zadanému řetězci.

•Only clients beginning like (?,*)

Do výstupu zahrňte jen klienty, jejich název začíná zadaným řetězcem.

•Only clients like (?,*)

Do výstupu zahrňte jen klienty, jejich název obsahuje zadaný řetězec.

•Exclude clients (using whole word), Exclude clients beginning like (?,*), Exclude clients like (?,*)

Tyto volby vyjadřují negaci výše uvedených variant.

Do pole Primary server, Computer name, Client name, MAC Address se zapisují samotné řetězce, přičemž v požadavku vůči databázi jsou uplatněné jen vyplněná pole, mezi nimi je použitý logický operátor AND.

Pravým tlačítkem myši v části (4) je možné vyvolat kontextovou nabídku a volbou Connect to This Server se připojit přímo k vybranému ERAS.

Další záznamy v časti 4 vznikají automaticky při povolené replikaci.

Nejvýznamnější funkce ERAC jsou dostupné jak z menu, tak i z nástrojové listy (3).

Poslední částí je ﬁltr (6) – víc v části o ﬁltraci informací.

3.3 Filtrace informací

ERAC nabídka několika nástrojů a funkcí, které ulehčí správu většího množství klientů či událostí.

3.3.1 Skupiny

Jednotlivý klienti se můžou zařazovat do libovolných skupin pomocí menu Tools > Groups Editor v menu konzole. Zařazování do skupin je možné výhodně uplatnit při ﬁltraci či tvoření úloh.

Detailnější informace v kapitole 5.2 Skupiny (Groups).

V další části se je možné omezit na ﬁltraci v souvislosti se skupinami (Groups):

• Clients in Groups V tomto případě budou vybráni jen klienti, patřící do deﬁnovaných skupin.

• Clients in other Groups or N/A Do výstupu budou zařazeni jen klienti, kteří se nacházejí v jiných, než vybraných skupinách, popřípadě nejsou do skupin zařazení vůbec. Pokud se klient nachází v některé z vybraných skupin, ale zároveň i v skupině, která není uvedená, potom bude o výstupu zařazený i tento.

• Clients in no Groups Tuto podmínkou splňují klienti bez zařazení do skupin.

Posledním ﬁltrem je ﬁltrování na základě existujících problémů, zobrazované jsou tedy jen stanice se zvoleným typem problému. Po aktivování Only show problems se pomocí tlačítka Edit dostaneme k seznamu problémů. Po označení problémů a aktivování ﬁltru budou v konzole zobrazení jen klienti s daným problémem.

3.3.2 Filtr

Pomocí ﬁltru je možné zobrazit jen ty záznamy, které administrátora zajímají. Filtr je možné zpřístupnit volbou View > Show/Hide Filter Pane v menu konzole.

Aktivace ﬁltru se provádí zaškrtnutím Use Filter a zpuštěním ﬁltrování tlačítkem Apply Changes. Pokud není nastavené jinak v menu Tools > Console Options..., provádí se automatická aktualizace výstupních údajů (nová ﬁltrace) při libovolné změně v nastavení ﬁltru. V části Computer ﬁlter criteria nadeﬁnujeme požadované kritéria vyhledávání Primary server, Client name, Computer name a MAC address.

V první části Computer ﬁlter criteria je možné ﬁltrovat ERA servery / klienty a to několika způsoby:

•Only clients (using whole word)

Všechny změny, které jsme v nastavení ﬁltrování vykonali, se aplikují tlačítkem Apply changes. Alternativně, zrušení jejich platnosti a návrat do přednastaveného stavu docílíme tlačítkem Reset. Nastavení automatického uplatňování ﬁltru je dostupné přes Tools > Console Options > Other Settings > Auto

apply changes.

3.3.3 Kontextové menu

Prostřednictvím pravého tlačítka myši ve výpisech záznamů je možné aplikovat další funkce pro efektivní výpis záznamů. Jde především o:

• Select by ‘aaa’ Dojde k označení jen těch záznamů, které obsahují řetězec aaa ve stejném atributu (sloupci), na kterém bylo vyvolané kontextové menu. Za řetězec aaa je

automaticky dosazená hodnota buňky, na které bylo kontextové menu vyvolané.

• Inverse selection Provede inverzní výběr záznamu.

• Hide selected Skryje vybrané záznamy.

• Hide unselected Skryje záznamy, které nejsou vybrané.

Dvě posledně jmenované možnosti je možné vhodně využít po předchozích aplikacích. Filtry nastavené prostřednictvím kontextového menu je možné zrušit volbou v menu View > Cropped View, popřípadě ikonou na nástrojové liště konzole. Alternativní cestou je stlačení klávesy F5 pro obnovení (refresh) informací.

Příklad použití:

•Chcemezobrazitjentystanice,nakterýchdošlok

nějaké virové události: V záložce Clients proto zmáčkneme pravé tlačítko myši na kterékoliv prázdné buňce IB a z kontextového menu zvolíme Select by ‘ ‘. V kontextovém menu vyvoláme funkci Hide selected.

•ChcemezobrazitjenvirovéhlášeníklientaJozefa

Karel. V záložce Alert Log zmáčkneme pravé tlačítko myši na kterékoliv buňce s textem „Jozef “ v sloupci Client Name. V kontextovém menu vybereme Select by ‚Jozef‘. Nyní podržíme klávesu CTRL a podobným způsobem (pravým tlačítkem a následně Select by ‘Karel’) označíme “Karel”. Zmáčkneme pravé tlačítko myši a z kontextového menu zvolíme Hide unselected. Klávesu CTRL můžeme pustit.

Zároveň je možné spolu s myší využít klávesu CTRL pro označení / odznačení určitých záznamů, stejně tak klávesu SHIFT pro označení / odznačení skupiny záznamů.

tak jednoznačně identiﬁkovaný spojením následujících atributů: Computer Name (název klienta) + MAC Address (MAC adresa) + Primary Server

Chovaní ERAS při některých operacích v síti (přejmenování PC...) je možné v této souvislosti deﬁnovat v rozšířeným nastavení ERAS. Lze tak zabránit zbytečnému založení nového klienta v záložce Clients např. v momentě, když je na stanici změněný její název ‑ computer name (např. v souvislosti s fyzickým přesunem PC do jiné kanceláře) a zachovaná MAC adresa.

Klienti (stanice anebo servery s instalovaným řešením ESET), kteří se k RAS přihlásili poprvé jsou ve stavu Yes u atributů New User (je možné nastavit v ERAS), což je mimo jiné graﬁcky vyjádřené hvězdičkou v pravé horní časti ikony malého monitoru. Tato vlastnost slouží jen pro jednodušší orientaci administrátora, že se v seznamu nachází klient, který doposud „neprošel rukou“ administrátora. Atribut může sloužit na jiné rozlišení podle uvážení administrátora.

Obrázek 3.2

Jakmile administrátor prostřednictvím ERAC daného klienta vhodně nastaví (přiřadí do skupiny apod.), může ho pomocí pravého tlačítka myši a výběrem funkce Set/Reset Flags > Reset „New“ Flag zařadit mezi „už nastavené“. Ikona daného klienta se tak změní na následující (a atribut New User na No):

Obrázek 3.3

Poznámka: Filtraci je možné vhodně využít například při tvorbě nových úloh jen pro speciﬁcké (vybrané) klienty. Možnosti uplatnění jsou velmi široké.

Pohledy

Na záložce Clients je možné nastavit rozsah zobrazených sloupců (atributů) v roletě View mode. Při

Full View Mode jsou zobrazené všechny, při Minimal View Mode jen základní. Tyto režimy jsou pevně dané.

Naopak režim Custom View Mode odpovídá nastavení v menu Tools > Console Options..., záložka Columns –

Show/Hide.

3.4 Záložky ERAC

3.4.1 O záložkách a klientech obecně

Většina informací se ve výsledku vždy váže k některému z přihlášených klientů. Každý přihlášený klient k ERAS je

Ve starších verzích ERA proběhla identiﬁkace klienta podle

atributů Computer Name + Primary Server.

Poznámka: Atribut Comment je volitelný ve všech záložkách. Slouží pro zadání libovolného textu administrátora (např. “kancelář č. 129”). U časových hodnot je možné v nastavení ERAC zvolit mezi relativním (“před 2 dny”), absolutním (20.5.2008) a systémovým zobrazením (Regional settings).

Ve většině případů je možné data v záložkách třídit vzestupně / sestupně kliknutím na záhlaví s názvem atributu a zároveň je možné metodou drag & drop měnit pořadí jednotlivých sloupců.

Poklepáním myší na určité hodnoty se je možné přemístit do jiné záložky s upřesňujícím informacemi. Například při poklepaní na hodnotu ve sloupci Last

Threat Alert je možné docílit přesun do záložky Threat Log, kde budou automaticky vyﬁltrované jen záznamy,

související s daným klientem. Poklepáním na hodnoty v jiných sloupcích je tak možné vyvolat dialog, kde jsou o daném klientovi i informace, které by se do tabulkového výpisu těžko vešly.

3.4.2 Replikace & informace na jednotlivých záložkách

Pokud je konzola připojená k ERAS, k němu se v rámci replikace připojují podřazené ERAS a zároveň jde o replikaci, kdy nejsou automaticky přenášené všechny informace, potom může dojít k situaci, kdy konzole nenabízí k nahlédnutí všechny informace replikovaných klientů.

Chybět přitom můžou:

•Podrobnějšíprotokolykincidentům(záložkaThreat Log).

•Podrobnějšíprotokolyoon-demandskenovaní

(záložka Scan Log).

•DetailníXMLpodobasoučasnékonguraceastavu

klientů (záložka Clients, sloupec Conﬁguration, Protection Status, Protection Features, System Information).

Taktéž chybějí informace z programu SysInspector, který je součástí nových produktů společnosti ESET: ESET NOD32 Antivirus 3.0, ESET Smart Security a také ERAS.

Na dialozích, kde tyto informace chybějí se v těchto případech nachází tlačítko Request, po jeho stlačení dojde k vyžádání chybějících informací u podřazeného ERA serveru. Přestože proces replikace zahajuje podřazený ERAS, chybějící informace se přenesou max. do stanoveného časového intervalu replikace.

Obrázek 3.4 Tlačítkem Request je možné zažádat podřazení ERA server o poskytnutí chybějících informací.

3.4.3 Záložka Clients

Na této záložce je možné najít základní informace o jednotlivých klientech.

Atribut Význam

Computer Name MAC Address

Primary Server

Domain

IP Product Name Product Version

Policy name

Last Connected

Protection Status Text

Virus Signature DB Last Threat Alert

Last Firewall Alert

Last Event Warning

Last Files Scanned

Last Files Infected

Last Files Cleaned

Last Scan Date

Restart Request

Restart Request Date

Product Last Started Product Install Date

Mobile User

New Client OS Name OS Platform HW Platform 32‑bit / 64‑bit

Conﬁguration

Protection Status

Protection Features

System Information

SysInspector

Custom info

Název stanice / serveru (hostname).

MAC adresa (síťové karty). Název ERA serveru, se kterým klient

přímo komunikuje. Název domény / skupiny, v které

se klient nachází (nesouvisí se skupinami vedenými v ERAS).

IP adresa

Název řešení ESET. Verze řešení ESET. Jméno policy, která je uplatňovaná na

klienta. Čas posledního kontaktu klienta s

ERAS. K tomuto termínu jsou aktuální další informace z daného klienta s výnimkou některých případů, kdy je použitá replikace.

Souhrnná informace o stavu řešení ESET na klientovi.

Verze virové aktualizace. Poslední incident. Poslední poplach rewallu. Zobrazené

jsou incidenty od úrovně Warning. Poslední chybová událost. Počet kontrolovaných souborů při

posledním on-demand testu. Počet inkovaných souborů při

posledním on-demand testu. Počet vyléčených (odstraněných) sou-

borů při posledním on-demand testu. Čas posledního on-demand testu. Je vyžadovaný restart klienta (např.

při programové aktualizaci). Moment, od kterého je vyžadovaný

restart klienta. Poslední start řešení ESET. Datum instalace řešení ESET. Klientům s tímto příznakem bude

automaticky zaslaná úloha typu “update now” vždy, když klient naváže první komunikaci s ERAS (vhodné nastavení pro mobilní zaměstnance a jejich notebooky).

Víc v části věnované obecně klientům. Název operačního systému. OS platforma (Windows / Linux...).

Klient zasílá na ERAS podobu kongurace ve formátu XML. V tomto atributu je uvedený čas, z kterého kongurace pochází

Souhrnný stav řešení ESET. Analogicky shodné s atributem Conguration.

Stav jednotlivých komponentů řešení ESET. Analogicky shodné s atributem conguration.

Klient zasílá na ERAS systémové informace. V tomto atributu je uvedený čas, z kterého informace pocházejí.

Stav načítání systémových informací z programu ESET SysInspector (zobrazuje se jen při klientech s verzí obsahující tento nástroj).

Administrátorem specikované informace, které denoval tak, aby se zobrazovali

Atribut Význam

Comment

Administrátor může k danému klientovi napsat komentář

Poznámka: Některé hodnoty jsou jen informativního charakteru a v době, kdy se na ně administrátor dívá, nemusejí být aktuální (typická situace: v 7:00 došlo k chybě při aktualizaci, v 8:00 už proběhla bez problémů). Jedná se např. o hodnoty ve sloupci Last Threat Alert, Last Event. Jakmile je administrátor s událostmi seznámený a považuje je za neaktuální, může na daný řádek kliknout pravým tlačítkem myši a z kontextového menu zvolit volbu Clear “Last” Info > Clear “Last Threat Alert” Info, popř. Clear “Last” Info > Clear “Last Event” Info. Tím odstraní informaci o posledním incidentu / události.

Obrázek 3.5 Neaktuální událost ze sloupců Last Threat Alert a Last Event jde lehko odstranit.

•záložkaMember Of Groups

Klient je členem uvedených skupin. Blíže v kapitole o ﬁltraci informací.

•záložkaTasks

Úlohy, které souvisí s daným klientem. Blíže v kapitole o úlohách.

•záložkaConﬁguration

Zde se nabízí možnost prohlédnout, popř. vyexportovat existující konﬁguraci klienta do souboru ve formátu XML. Zároveň se nabízí varianta, kdy je existující konﬁgurace využitá jako šablona pro tvorbu nové / upravené XML podoby konﬁgurace. Blíže v kapitole o úlohách.

•záložkaProtection Status

Souhrnný stav řešení ESET. V některých případech jde o „interaktivní“ stavy, kdy je možné reagovat přímo bez manuální deﬁnice nové úlohy, která by problém vyřešila.

•záložkaProtection Features

Stav jednotlivých komponentů řešení ESET.

•záložka System Information

Bližší informace o nainstalovaném řešení, o verzích jednotlivých komponentů apod.

•záložkaSysInspector

Získání podrobných informací o běžících a zpuštěných procesech.

3.4.4 Záložka Threat Log

Tato záložka obsahuje podrobnější informace o jednotlivých incidentech.

Obrázek 3.6 Detailní informace o klientovi.

Na záložce Clients jsou velmi rozsáhlé i možnosti při poklepání myší na libovolného klienta:

Atribut Význam

Client Name

Computer Name MAC Address

Primary Server

Date Received Date Occurred Level

Scanner

Object

Name

Threat

Action

User

Information

Details

Název klienta, na kterém incident nastal.

Název stanice / serveru (hostname).

MAC adresa (síťové karty). Název ERA serveru, se kterým klient

přímo komunikuje. Čas přijetí incidentu na ERAS. Čas vzniku incidentu na klientovi. Úroveň incidentu. Název komponentu řešení ESET, který

incident zaznamenal. Typ objektu. Obvykle adresář, v kterém byla

infekce zachycená. Obvykle název zachyceného

škodlivého kódu. Akce, která byla s daným objektem

provedená.

Jméno Uživatele, který byl identikovaný při výskytu události.

Informace ohledem detekované inltrace

Stav načítaní logu z klienta

•záložkaGeneral Významově shodné s atributy na záložce Clients. Zde je možné deﬁnovat Client Name, tedy název, pod kterým bude klient vedený v ERA a nepovinný komentář.

3.4.5 Záložka Firewall Log

3.4.7 Záložka Scan Log

zde jsou k dispozici záznamy z klientských ﬁrewallů.

Atribut Význam

Client Name

Computer Name MAC Address

Primary Server

Date Received Date Occurred Level Event Source Target Protocol Rule Application

User

Název klienta, na kterém událost nastala.

Název stanice / serveru (hostname).

MAC adresa (síťové karty). Název ERA serveru, se kterým klient

přímo komunikuje. Čas přijetí události na ERAS. Čas vzniku události na klientovi. Úroveň události Popis události Zdrojová IP adresa. Cílová IP adresa. Protokol, který se událost týká. Pravidlo, které se událost týká. Aplikace, které se událost týká. Jméno Uživatele, který byl identikovaný

při výskytu události.

3.4.6 Záložka Event Log

V této záložce se nacházejí všechny ostatní události.

Atribut Význam

Client Name

Computer Name MAC Address

Primary Server

Date Received Date Occurred Level

Plugin

Event

User

Název klienta, na kterém událost nastala.

Název stanice / serveru (hostname).

MAC adresa (síťové karty). Název ERA serveru, se kterým klient

přímo komunikuje. Čas přijetí události na ERAS. Čas vzniku události na klientovi. Úroveň události Název komponentu řešení ESET, který

událost zaznamenal. Popis události. Jméno Uživatele, který bol

identikovaný při výskytu události.

V této záložce se nacházejí výsledky jednorázových kontrol disku (on‑demand skener), které byli vyvolané vzdáleně, lokálně přímo na stanici, nebo prostřednictvím úlohy v plánovači.

Atribut Význam

Client Name

Computer Name MAC Address

Primary Server

Date Received Date Occurred Scanned Targets Scanned Infected

Cleaned

Status

User

Type Scanner Details

Název klienta, na kterém kontrola proběhla.

Název stanice / serveru (hostname).

MAC adresa (síťové karty). Název ERA serveru, s kterým klient

přímo komunikuje. Čas přijetí výsledku na ERAS. Čas vzniku výsledku na klientovi. Cíle kontroly. Počet zkontrolovaných objektů. Počet inkovaných objektů. Počet odstraněných objektů (léčením,

smazáním).

Verdikt kontroly. Jméno uživatele, který byl

identikovaný při výskytu události. Typ uživatele Druh skeneru Stav načítání logu z klienta

3.4.8 Záložka Tasks

Význam této záložky je popsaný v části věnované úlohám. Pokud jde o jednotlivé atributy, tak:

Atribut Význam

State

Type Name Description Date to deploy Date Received Details

Comment

Stav úlohy (Active = stále se uplatňuje, Finished = klienti úlohu převzali).

Informuje o typu úlohy. Název úlohy. Popis úlohy. Čas vykonání úlohy Čas přijetí úlohy na ERAS. Stav načítání logu o úloze Administrátor může k danému

klientovi napsat komentár

3.4.9 Záložka Reports

Záložka obsahuje funkce prostřednictvím, kterých může být archivované dění na síti za určité časové období. Funkce na této záložce umožňují generování různých graﬁckých i tabulkových výstupů. Bližší informace o vytváření reportů najdete v kapitole 6. Reporty.

3.4.10 Záložka Remote Install

Tato záložka nabízí možnosti týkající se vzdálené instalace řešení ESET na jednotlivých klientech. Bližší informace je možné najít v samostatné kapitole 4.2

Vzdálená instalace.

3.5 Nastavení ERA konzole

ERA konzolu je možné konﬁgurovat prostřednictvím menu Tools / Console Options...

3.5.1 Záložka Connection

Souvisí s připojením ERA konzole k ERA serveru. Detailnější popis na začátku kapitoly o ERAC.

3.5.2 Záložka Columns – Show / Hide

Zde je možné deﬁnovat, jaké atributy se mají zobrazovat v jednotlivých záložkách konzole. V případě záložky Clients jde o zobrazené informace při režimu (View mode) Custom View Mode. Ostatní režimy jsou pevně předdeﬁnované.

3.5.3 Záložka Colors

Zde je možné deﬁnovat barevné odlišení různých událostí, často i v několika úrovních a deﬁnovat podbarvení řádku na základě speciﬁkovaných problémů (Conditional Highlighting) Je tak možné např. odlišit klienty, kteří mají mírně starší virovou (Clients: Previous Version) databázi a klienty s velmi starou databázi (Clients: Older Versions or N/A).

3.5.4 Záložka Paths

Zde je možné uvést adresář, do kterého si bude konzole lokálně ukládat reporty stáhnuté z ERAS. Standardně jde o složku:

%ALLUSERSPROFILE%\Application Data\Eset\Eset Remote Administrator\Console\reports

opačném případě proběhne ﬁltrace podle podmínek až po stlačení tlačítka Apply Changes.

•Remote Administrator updates

Tady je možné nastavit, jak často bude přímo konzola kontrolovat, zda neexistuje novější verze řešení ESET Remote Administrator. Doporučujeme ponechat volbu Monthly (měsíčně). V případě existence novější verze bude administrátor informovaný po spuštění ERA konzole.

•Other settings > Use automatic refresh

Automatické obnovování výstupu na jednotlivých záložkách (data z ERAS) ve zvoleném intervalu.

•Other settings > Empty console recycle bins at application exit

Odstraní položky z interního koše konzole při ukončení konzole. Ten je možné využít v záložce Reports.

•Show gridlines Jednotlivé buňky záložek budou oddělené čárou.

• Prefer showing Client as “Server/Name” instead of “Server/Computer/MAC”

Ovlivňuje způsob zobrazení informací o klientech v některých dialozích (např. při tvorbě úlohy). Tato volba má jen vizuální dopad.

•Use systray icon ERA konzola se bude prezentovat ikonou na liště Windows.

•Show on taskbar when minimized Pokud bude minimalizované okno ERA konzole, bude obnovení okna dostupné z lišty Windows (taskbar).

•Use highlighted systray icon when problematic clients found

Společně s tlačítkem Edit je možné deﬁnovat události, při kterých dojde ke změně barvy malé ikony ERA konzole na liště Windows (obvykle vedle hodin).

3.5.5 Záložka Date / Time

Určuje způsob zobrazení časových údajů:

•Absolute

Konzola bude zobrazovat čas absolutní (např. 14:30:00).

•Relative

Konzola bude zobrazovat relativní čas (např. „2 weeks ago“ – před dvěma týdny).

•Regional

Podle regionálního nastavení (přebrané z nastavení Windows).

•Recalculate UTC time to your local time (use local time)

Pokud je tato volba zaškrtnutá, budou časy přepočítané do místního času. V opačném případě budou časy přepočítané do GMT ‑ UTC.

3.5.6 Záložka Other Settings

•Filter settings > Auto Apply Changes Pokud je tato volba aktivní, bude ﬁltr na jednotlivých záložkách konzole automaticky generovat nový výstup při každé změně v podmínkách ﬁltru. V

Nabízí se varianta, kdy bude ERA konzola připojená z PC administrátora k ERA serveru nonstop. V takovém případě doporučujeme vypnout volbu Show on taskbar when minimized a konzolu nechat při nepoužívaní minimalizovanou. Jakmile se objeví na klientech problém, ikona v systray (oblast malých ikon – obvykle vedle hodin) zčervená a stane se tak signálem pro administrátora. Zároveň je potřebné povolit a vhodně nastavit volbu Use highlighted systray icon when problematic clients found, teda události, při kterých ke změně barvy dojde. Avšak ERA konzola se odpojí každých 15 dní, pokud je na ERA serveru aktivovaná možnost komprimace Databáze (Tools > Server

Options > Server Maintenance > Compact and repair scheduler).

• Show all groups in lter panes Ovlivňuje způsob ﬁltrace podle skupin.

• Tutorial messages Zakáže (Disable All) / povolí (Enable All) zobrazení informativních zpráv.

3.6 Režimy zobrazení

ERA Console umožňuje pracovat ve dvou režimech zobrazení:

• Administrátorskýrežim

• Read-onlyrežim(jenpročtení)

Administrátorský režim ERAC umožňuje plný přístup k funkcionalitám a nastavením ERAS, a k administraci klientských řešení ESET pomocí ERAS.

Read‑only režim je určený k prohlížení stavu klientských řešení ESET připojujících se k ERAS. Nedovoluje vytvářet žádné typy úloh určených pro klientské stanice, instalační balíčky a ani k instalaci řešení ESET. Nepřístupný je také License manager, Policy manager a Notiﬁcation manager. Je možné měnit nastavení ERAC a vytvářet reporty.

Pro kompletní funkcionalitu konﬁguračního editoru jsou důležité i soubory eguiEpfw.dll, cfgeditLang.dll, eguiEpfwLang.dll a eset.chm.

3.7.1 Vrstvení konﬁgurací

Konﬁgurační editor ESET zapíše do XML výstupu jen ty položky ze stromové struktury konﬁgurace, které mají v editoru modrý symbol . Položky se šedým symbolem

nebudou do výstupního XML zapsané.

Při uplatnění konﬁgurace na klientech se tak logicky převedou jen ty operace, které byly zapsané v XML výstupe (teda jen ty s ) a všechny ostatní ( ) zůstanou v původním stavu.

Je možné tak na klientech postupně uplatnit několik samostatných konﬁgurací a přitom „nepoškodit“ dříve provedené změny.

Režim zobrazení se volí při každém startu konzole, přes roletové menu Access, přičemž heslo k ERAS je možné nastavit nezávisle pro oba režimy zobrazení. To je užitečné, pokud chceme některým uživatelům zabezpečit plný přístup k ERAS a jiným přístup jen pro čtení. Heslo je nastavitelné přes položku menu Tools >

Server Options > záložka Security > tlačítka Password for Console (Administrator Access) a (Read-Only Access).

3.7 Konﬁgurační editor

Konﬁgurační editor ESET je významným komponentem, který se využívá hned na několika místech, minimálně při tvorbě:

• předdenovanékonguraceproinstalačníbalíčky,

• kongurace,zasílanýklientůmprostřednictvímúloh,

• obecnéhokonguračníhosouboru.

Konﬁgurační editor je součástí ERAC a fyzicky jde převážně o soubory cfgedit.*.

Konﬁgurační editor ESET umožňuje detailně nastavit většinu parametrů některých řešení ESET (především těch, které se instalují na cílové stanice) a toto nastavení vyexportovat do XML formátu. XML podobu (např. v podobě .XML souboru) je následně možné využít na mnohých místech (tvorba úloh v ERAC, lokální import konﬁgurace v ESET Smart Security atd.).

Příkladem může být následující situace. V rámci této konﬁgurace bude na klientech nastavené uživatelské jméno, heslo a zakázané použití proxy:

Obrázek 3.7

Druhá konﬁgurace uplatněná na klientech způsobí, že všechno zůstane zachované (včetně dříve zaslaného jména AV‑1234567 a hesla), avšak bude povolené použití proxy a nastavení adresy a portu proxy serveru.

Pro konﬁgurační editor je velmi důležitá šablona, podle něj je naplněná celá stromová struktura. Šablona je přímou součástí cfgedit.exe. Z tohoto důvodu doporučujeme mít ERA Server a ERA Konzolu aktualizovanou.

Při používaní konﬁguračního editoru je možnost otevření libovolného .XML souboru. Je potřebné se vyvarovat modiﬁkaci či přepsání souboru cfgedit.xml!

Obrázek 3.8

3.7.2 Klíčové položky nastavení

Následuje přehled klíčových položek dostupných v konﬁguračním editoru v souvislosti s klientským řešením ESET Smart Security:

• VětevKernel > Setup > Remote administrator

Zde je možné povolit komunikaci klienta s ERA serverem (Connect to Remote Administrator server). Je potřebné nadeﬁnovat minimálně název nebo IP adresu ERA serveru (Server address). Interval komunikace (Interval between connections to server) doporučujeme ponechat standardní ‑ 5 minut. Pro testovací účely je možné nastavit hodnotu intervalu na 0 (komunikace bude uskutečněná každých 10 sekund). Pokud je nastavené heslo (Password), je potřebné nastavit shodné i na samotném ERA serveru (viz. kapitola o nastavení ERAS – volba Password for Clients). Komunikace mezi klientem a ERAS bude v takovém případě šifrovaná. Detailnější informace ohledně nastavování hesel najdete v kapitole 7.1 Bezpečnost.

• VětevKernel > Setup > License keys

Na klientech není nutné žádné licenční klíče přidávat ani spravovat. Tato větev má význam u některých serverových řešení.

without asking). Pokud je pro připojení k Internetu vyžadovaný proxy, je pro správný chod ThreatSense. Net potřeba nastavit také větev Kernel > Setup > Proxy server. Při výchozím nastavení klientské produkty přeposílají podezřelé soubor ERA Serveru a ten je dále přeposílá na analýzu. Je nutné mít nastavený v ERAS proxy server v Tools > Server Options > Other Settings > Edit Advanced Settings > ERA Server > Setup >

Proxy server

• VětevKernel > Setup > Protect setup parameters Umožňuje uzamknout přístup do nastavení heslem. Toto heslo bude vyžadované přímo na klientském řešení při vstupu do jeho nastavení. Budoucí úpravy v nastaveních přes řešení ERA nebudou tímto heslem ovlivněné.

• VětevKernel > Setup > Scheduler/Planner Plánovač úloh, v kterém je možné nadeﬁnovat např. pravidelnou antivirovou kontrolu disku apod.

Poznámka: Řešení ESET obsahují standardně několik předdeﬁnovaných úloh (včetně pravidelné antivirové ochrany nejvýznamnějších souborů a pravidelné automatické aktualizace) a ve většině případů tak není nutné přidávat nové ani upravovat existující.

• VětevUpdate V této části konﬁgurace je možné nastavit jednotlivé aktualizační proﬁly. Za normálních okolností stačí změnit nastavení předdeﬁnovaného proﬁlu My

proﬁle a zaměřit se především na Update server, User name a Password. Pokud Update server =

AUTOSELECT, potom budou aktualizace vyhledávané na aktualizačních serverech společnosti ESET. V tomto případě je nutné doplnit atributy User name a Password údaji získanými při zakoupení licence. Pokud má být klient aktualizovaný z lokálního aktualizačního serveru (Mirror), tak bližší informace jsou uvedené v následující kapitole. Detailnější informace ohledně plánovače najdete v kapitole 9.1 Plánovač úloh.

Poznámka: U mobilních zařízení je možné využít dva proﬁly, které zajišťují podle potřeby aktualizaci z lokálního Mirror serveru, popř. ze serverů společnosti ESET. Víc informací v závěru této dokumentace.

• VětevKernel > Setup > Set parameters for ThreatSense reporting

Deﬁnuje chování služby ThreatSense.Net, která zajišťuje odesílání podezřelých souborů k analýze do laboratoří společnosti ESET. Při nasazení v síti jsou hlavní především volby Submit suspicious ﬁles

a Enable submission of anonymous statistical information. Těmito je možné ThreatSense.Net

úplně zakázat (Do not submit), popř. nastavit režim, když nebude uživatel obtěžovaný dialogy pro potvrzení odesílání podezřelých souborů (Submit

4. Instalace klientských řešení

Tato kapitola je věnovaná instalaci klientských řešení ESET na stanice s operačním systémem Microsoft Windows. Instalace může být vykonaná přímo na stanici, nebo více způsoby z ERA serveru. Podívejme se i na další alternativní způsoby vzdálené instalace.

Poznámka: Doporučujeme vzdálenou instalaci využívat jen na instalaci řešení ESET na stanice a ne na servery i pokud je to technicky možné.

4.1 Přímá instalace

Při tomto způsobu je klientské řešení ESET instalované s fyzickou přítomností administrátora u stanice. Tento způsob instalace nevyžaduje žádnou větší přípravu a je vhodný především v malých počítačových sítích, příp. tam, kde není k dispozici produkt pro centrální správu ‑ ESET Remote Administrator.

I tuto „manuální“ práci je možné částečně zautomatizovat tím, že klientské řešení ESET bude po instalaci nastavené podle dopředu dané XML konﬁgurace. Bez dalších úprav tak bude rovnou nastavený např. aktualizační server (jméno / heslo, cesta k Mirror serveru...), tichý režim, pravidelná kontrola pevného disku atd.

Použití XML konﬁgurace je odlišné pro verzi 3.x a 2.x řešení ESET:

4.2 Vzdálená instalace

Řešení ESET Remote Administrátor nabízí několik metod vzdálené instalace. Pro distribuci instalačního baličku na cílovou stanici může být použitá:

• Vzdálenápushinstalace,

• Vzdálenáinstalaceprostřednictvímlogonskriptu,

• Vzdálenáinstalaceprostřednictvíme-mailu.

Vzdálená instalace prostřednictvím ESET Remote Administrator se skládá z těchto kroků:

• tvorbainstalačníhobalíkusnázvemX,

• distribuceinstalačníhobalíkuXnastanice(push,

logon skript, e‑mail, externí řešení).

Tvorba instalačních balíků se realizuje přes ERAC, avšak fyzicky jsou „balíky“ ve většině případů uložené přímo na ERA serveru, konkrétně v adresáři:

%ALLUSERSPROFILE%\Data aplikací\Eset\Eset Remote Administrator\Server\packages

Tvorba instalačních balíků v prostředí ERA konzole je zabezpečená tlačítkem Packages... v záložce Remote Install.

• DoadresářesestáhnutýmMSIbalíčkem

okopírujeme XML konﬁguraci z konﬁguračního editora ESET pod názvem cfg.xml. Při počátku instalace (spuštění MSI balíčku) bude automaticky převzaté nastavení z cfg.xml. V případě, že by byl konﬁgurační XML pojmenovaný odlišně, příp. by byl umístění v jiné složce, je možné použít parametr

ADMINCFG=”cesta_k_xml_souboru”

(např. ess_nt32_menu.msi ADMINCFG=”\\server\xml\

settings.xml” pro použití konﬁgurace ze síťového

disku).

• Verze2.x:ZwebovýchstránekESETstáhneme

instalační soubor (např. ndntskst.exe). Stáhnutý soubor rozbalíme pomocí aplikace WinRAR. Vznikne tak adresář s množstvím souborů, v kterém bude ﬁgurovat i setup.exe. Do tohoto adresáře umístíme XML konﬁguraci pojmenovanou jako nod32.xml. Při počátku instalace (spuštění setup.exe) bude automaticky převzaté nastavení z nod32.xml. V případě, že by se konﬁgurační XML jmenoval odlišně, popř. byl umístěný v jiné složce, je možné použít parametr /cfg=”cesta_k_xml_souboru” (např. setup.exe / cfg=”\\server\xml\settings.xml” pro použití konﬁgurace ze síťového disku).

Obrázek 4.1 Dialog pro tvorbu instalačních balíčků.

Každý instalační balík je identiﬁkovaný názvem (Name, na obrázku v části 1). Další části dialogu souvisí s obsahem balíku, který bude automaticky uplatněný v momentě, kdy se daný balík podaří některou z cest dopravit na stanici. Obsahem balíku jsou tedy:

• instalačnísoubory(2)klientskéhořešeníESET,

• konguračníXMLsouborproklientskéřešeníESET

(3),

• parametrypříkazovéhořádkuproklientskéřešení

ESET (4).

Roletka Type v časti 1 značně rozšiřuje možnosti ERA. Kromě vzdálené instalace je možné zabezpečit i vzdálenou odinstalaci (Uninstall Eset Security Products and NOD32 version 2) klientských řešení ESET, příp. vzdáleně instalovat úplně externí aplikace (Custom package).

Ke každému balíku automaticky vzniká tzv. ESET Remote Installer, tj. agent, jehož úlohou je zabezpečit hladký průběh instalace a komunikace mezi cílovou stanicí a ERAS. Po technické stránce jde o krátký soubor einstaller. exe, v kterém je pevně zapsaný název ERA serveru, název a typ instalačního balíku, ke kterému se váže. Přesný význam agenta je popsaný v následujících kapitolách.

Existuje řada parametrů, kterými je možné průběh instalace ovlivnit. Tyto parametry je možné použít po dobu přímé instalace, když je administrátor fyzicky přítomný při takovýchto stanicích, avšak i v případě vzdálené instalace. Potom jsou tyto parametry určené vepředu po dobu tvorby instalačních balíčků a po dobu instalace jsou na stanici vnucené automaticky. Parametry ESET Smart Security a ESET NOD32 Antivirus – tyto je možné zapisovat za instalační soubor (např. ea_nt64_ENU.msi /qn):

• /qn Tichý režim instalace bez zobrazení dialogových oken.

• /qb! Uživatel nemá možnost instalaci ovlivnit, avšak její průběh je znázorněný „progressbarom“ (stav instalace v %)

• REBOOT=”ReallySuppress” Zakáže restart PC po dokončení instalace.

• REBOOT=”Force” Vynutí restart PC po dokončení instalace.

• REBOOTPROMPT =”” Na vykonání restartu po dokončení instalace se zeptá (nemůže být použité spolu s /qn).

• ADMINCFG=”cesta_k_xml_souboru” Při instalaci bude použité XML nastavení řešení ESET z deﬁnovaného souboru. Při vzdálené instalaci není potřebné tyto parametr používat. Instalační balík obsahuje vlastní XML konﬁguraci, která bude automaticky při instalaci vnucená.

Parametry pro starší řešení ESET NOD32 pro Windows ve verzi 2.x ‑ tyto je možné zapisovat za soubor SETUP. EXE, který je možné spolu s ostatními získat extrakcí instalačního souboru (např. setup.exe /silentmode):

• /CFG=”cesta_k_xml_souboru” Při instalaci bude použité XML nastavení řešení ESET z deﬁnovaného souboru. Při vzdálené instalaci není potřebné tento parametr používat. Instalační balík obsahuje vlastní XML konﬁguraci, která bude automaticky při instalaci vnucená.

• /REBOOT Vynutí restart PC po dokončení instalace. Parametr je možné použít jen v kombinaci s parametrem SILENTMODE.

• /SHOWRESTART Na vykonání restartu po dokončení instalace se zeptá.

• /INSTMFC Doinstaluje potřebné MFC knihovny na operační systém Microsoft Windows 9x, které jsou potřebné pro správný chod programu. Parametr může být použitý vždy, i když jsou MFC knihovny k dispozici.

V části 2 má administrátor možnost vytvořit samostatný instalační balík s přednastavenou konﬁgurací z už uloženého balíku pomocí tlačítka Copy. Takovýto instalační balík může být spuštěný na stanici, na kterou má být produkt nainstalovaný. Uživatel jen spustí balík a daný produkt se nainstaluje bez toho, aby se po dobu instalace připojil na ERAS.

4.2.1 Požadavky

Základním požadavkem při vzdálené instalaci je potřeba konkrétně nakonﬁgurované TCP/IP sítě, v které je zabezpečená spolehlivost spojení klient – server. Instalace klientských řešení pomocí ESET Remote Administrator aplikace klade na klientské stanice vyšší nároky jako při přímé instalaci na klientské stanici. Vzhledem na fakt, že se jedná o instalování na dálku, je potřebné aby byly splněné následující podmínky:

• KlientsítěMicrosoft

• NainstalovanéSdílenísouborůatiskáren

• Neblokovanéportyprosdílenísouborů(445,135–139)

• TCP/IPprotokol

• FunkčnísdílenísystémovéhoprostředkuADMIN$

• KlientmusíbýtschopnýodpovídatnaPINGpříkaz

• konektivitaklientaaserverubezblokování

potřebných portů (standardně porty číslo 2221 až 2224)

• přihlašovacíúdajekúčtusadministrátorskýmiprávy

(přihlašovací heslo nesmí byť prázdné)

• vypnutéJednoduchésdílenísouborůasložek

• funkčníslužbaServer

• funkčníslužbaRemoteRegistry

• /SILENTMODE Tichý režim instalace bez zobrazení dialogových oken.

• /FORCEOLD Případnou reinstalací vykoná i v případě, že právě instalovaná verze bude starší než existující.

Jejich splnění je hlavně při větším množství klientů vhodné ověřit dopředu, ještě před začátkem vzdálené instalace pomocí tlačítka Diagnostics: v záložce Remote Install > Push Installation.

4.2.2 Příprava prostředí

Průběh push instalace je následující:

Před instalací klientských řešení na jednotlivé stanice v síti je dobré připravit vhodné podmínky. Tímto můžeme předejít dalším chybám.

Pomocí integrovaného nástroje pro hledání nechráněných stanic je možné inicializovat prohledávání sítě, které má za cíl odhalit nechráněné klientské stanice. Za nechráněné stanice se považují ty, které se nepřipojují k ERAS.

Tento nástroj je přístupný v záložce Remote Install – Find. Po stlačení tlačítka Find je prohledaná síť a zjištěné nechráněné stanice jsou zobrazené v levé části okna. Na zjištěné stanice můžeme aplikovat operace

Push Install, Copy a Export. Zaškrtávací políčko Find from server deﬁnuje, či bude vyhledávání z pohledu

serveru, nebo konzole. Volbu doporučujeme zaznačit, pokud se konzola nachází v jiné síti než server.

Po zjištění dostupných stanic, vhodných na instalaci klientského řešení, je možné využít nástroj diagnostiky instalace.

V dialogu pro Push instalaci (záložka Remote Install > tlačítko Install...) se nabízí tlačítko Diagnostics, které prověří všechny procedury, které jsou nutné pro úspěšnou vzdálenou instalaci. Je tak ještě před samotnou vzdálenou instalací možné odhalit případné problémy, příp. si nechať upřesnit “místo”, kde k problému dochází.

1) V ERAC je potřebné zvolit volbu Install... (záložka Remote Install).

2) V levé části dialogu vybereme stanici, na které chceme metodu push nainstalovat klientské řešení ESET a tyto přesuneme do pravé části (metodou drag & drop).

3) V roletce Package vybereme název instalačního balíku, který má být metodou push dopravený a nainstalovaný na cílovou stanici.

Obrázek 4.3

4) V pravé části označíme stanice, na které má být vzdálená instalace uplatněná.

5) Stlačíme tlačítko Install (tlačítkem Get Info si je možné ověřit současnou situaci na vybraných klientech).

Obrázek 4.2 Diagnostika dokáže dopředu odhalit možné problémy.

První část Get Info Diagnostics hovoří např. o nainstalovaných produktech společnosti ESET na daném PC. Druhá část informuje, zda jsou splněné nutné podmínky pro instalaci produktů společnosti ESET.

4.2.3 Push instalace

Při použití této metody vzdálené instalace dochází k okamžitému “natlačení” klientského řešení ESET na cílovou stanici. Stanice tak musí být v danou chvíli v provozu a musí být splněné podmínky uvedené v kapitole Požadavky.

6) Ve většině případů budeme nyní vyzváni k zadání jména / hesla účtu, pod kterým se umožní přístup k cílové stanici (musí jít o účet, který má na cílové stanici práva administrátora, tj. ideálně účet doménového administrátora).

Obrázek 4.4

7) O dalším průběhu instalace jsme informovaní textovou správou a stavovým indikátorem. V skutečnosti dochází k následujícím činnostem.

8) ERAS zasílá na cílovou stanici prostřednictvím sdílení admin$ agenta – einstaller.exe

Obrázek 4.5

9) Agent se zavádí jako služba pod systémovým účtem.

10) Agent navazuje špatnou komunikaci s ERAS a na

portě TCP 2224 začne stahování instalačního balíku, ke kterému se agent váže.

V dialogu push instalace je možné vyvolat pravým tlačítkem myši kontextové menu:

• Get Info

Tato funkce zjistí současný stav řešení ESET na vybraných stanicích (opět bude potřebné zadat jméno / heslo administrátora). Po technické stránce je opět

použitésdíleníadmin$.

• Uninstall

Opačný postup instalace, kdy se agent pokusí vzdálené řešení ESET odinstalovat. V režimu Uninstall není brán ohled na vybraný instalační balík v roletce Package.

• Diagnostics

Zjistí dostupnost klienta a služeb, které můžou být využité při vzdálené instalaci. Víc v kapitole “Příprava prostředí”.

• Remove Installer Leftovers

Na cílových klientech odregistruje agenty (einstaller. exe) ze správců služeb a odstraní je z disku. Pokud je tato činnost úspěšná, dojde zároveň k odstranění “značky” bránící opakované instalaci daného balíku (víc v kapitole “Obrana před opakovanou instalací”).

• Logon...

Dialog k zadání jména / hesla administrátora se v případě potřeby zobrazí automaticky (bod 6). Tímto je možné zobrazení dialogu vynutit okamžitě a k vybraným stanicím se přihlásit.

• Logo

Odhlášení se od vybraných stanic.

• Add Client...

Touto volbou je možné přidávat manuálně jednotlivé klienty (stanice) zadáním jejich IP adresy nebo názvu. Nabízí se možnost přidání několika klientů současně.

11) Agent tento balík instaluje pod účtem deﬁnovaným

v bodě 6 a bere přitom ohled na XML konﬁguraci a parametry příkazového řádku.

12) Jakmile je instalace dokončená, agent na tuto

skutečnost taktéž upozorňuje. Některá řešení ESET můžou vyžadovat restart PC. Toto je taktéž ve správě zohledněné.

4.2.4 Logon / email instalace

Tyto metody vzdálené instalace jsou velmi podobné. Liší se jen způsobem, jakým je na cílovou stanici dopravený agent einstaller.exe. Řešení ESET Remote Administrator nabízí „dopravu“ přes logon skript anebo e‑mail, příp. dovoluje získat einstaller.exe a použít ho vlastní cestou (blíže v další kapitole).

Zatím co logon skript se spouští automaticky při každém přihlášení uživatele (teda proběhne automaticky i případná instalace řešení ESET), v případě e‑mailu je potřebný zásah uživatele, který musí na začátek instalace zpustit einstaller.exe v příloze. Pokud je ten samý einstaller.exe zpuštěný opakovaně, nedojde k opakované instalaci řešení ESET. Více v kapitole „Obrana před opakovanou instalací“.

Řádek “volající” einstaller.exe z logon skriptu je možné vložit libovolným textovým editorem. Stejně tak einstaller.exe je možné zaslat v příloze e‑mailu libovolným poštovním klientem. V těchto případech je nutné jen získat soubor einstaller.exe ze správného instalačního balíku. Není tak nutností použít níže popsané postupy.

Při spuštění einstaller.exe není bezpodmínečně nutné, aby měl přihlášený uživatel práva administrátora. Agent dokáže jméno / heslo / doménu administrátora převzít z ERAS. Víc na konci této kapitoly.

Vložení řádku (cesty k einstaller.exe) do logon skriptu:

• NazáložceRemote Install stlačíme tlačítko

Export.... Vybereme typ balíku (Type) a název balíku

(Package), který má byť instalovaný.

• Tlačítkem... v řádku Folder vybereme adresář, kam bude einstaller.exe umístěný a tento následně nabízený v rámci sítě.

• VřádkuShare je nutné ověřit správnost síťové cesty, příp. ji pozměnit.

• Tlačítkem... v řádku Script Folder vybereme adresář, kde se logon skript nachází, příp. ještě upravíme masku (Files).

• Vspodníčástioznačímesoubor,kammábýtřádek

volající einstaller.exe vložený.

• TlačítkemTo... vybereme e‑mailové adresy cílových

stanic z adresáře3 (příp. je nadeﬁnujeme ručně).

• VřádkuSubject nastavíme předmět e‑mailové

zprávy.

• DopoleBody vložíme text těla zprávy.

• TlačítkemSend zprávu odešleme. Ak aktivujeme

voľbu Send compressed as .zip ﬁle, agent bude poslaný v skomprimovanej podobe (spakovaný v .zip súbore)4.

• StlačímeExport to Logon Script – tímto se řádek vloží.

• UmístěnířádkujemožnézměnittlačítkemEdit v jednoduchém interním editoru a změny uložit tlačítkem Save.

Obrázek 4.7 Dialóg Send Eset Installer Via E-mail

Po dobu samotného průběhu vzdálené instalace dochází k zpětné komunikaci s ERAS a agent (einstaller. exe) probíhá nastavení ze záložky Remote Install – Set Default Logon for E-mail and Logon Script.

Obrázek 4.8

Tlačítkem Logon... je potřebné dopředu nastavit jméno / heslo (doménu) účtu, pod kterým bude instalace balíku vykonaná. Musí se jednat o účet s právy administrátora z pohledu koncových stanic. Ideální je tak účet doménového administrátora.

Hodnoty zadané po stlačení tlačítka Logon... se zapomenou s každým restartem služby ERAS.

4.2.5 Instalace vlastní cestou

Obrázek 4.6 Dialog Export Installer to Folder / Logon Script.

Vložení agenta (einstaller.exe) do přílohy e‑mailu:

• NazáložceRemote Install stlačíme tlačítko

E-mail.... Vybereme typ balíku (Type) a název balíku

(Package), který má být instalovaný.

Využívat na instalaci přímo nástroje integrované v ESET Remote Administrátor není nutností. Vždy se jedná jen o způsob, jakým bude agent (einstaller.exe) dopravený a zpuštěný na cílové stanici.

Při spuštění einstaller.exe není bezpodmínečně nutné, aby měl přihlášený uživatel práva administrátora. Agent

ERA konzola načítá adresář z aplikace Microsoft Outlook a to jen

za předpokladu, že je na PC s ERAC využívaný.

Při této operaci je použité nastavení SMTP na straně ERA serveru..

dokáže jméno / heslo / doménu administrátora převzít z ERAS. Víc na konci této kapitoly.

einstaller.exe je možné získat následovně:

• NazáložceRemote Install stlačíme tlačítko

Export.... Vybereme typ balíku (Type) a název balíku

(Package), který má být instalovaný.

• Tlačítkem... při řádku Folder vybereme adresář, kam bude einstaller.exe vyexportovaný.

• StlačímetlačítkoExport to Folder.

• Využijemeeinstaller.exepodlepotřeb.

Pokud se dají při instalaci zajistit administrátorské práva, je možné jako metodu instalace použít „přímou metodu instalace s předdeﬁnovanou XML konﬁgurací“. V takovémto případě se spustí přímo MSI balíček a použije se parametr /qn (verze 3.x) anebo /silentmode (verze 2.x), kterým se zajistí instalace bez dialogů.

4.2.6 Obrana před opakovanou instalací

Jakmile agent úspěšně zprostředkuje proces vzdálené instalace, zapíše na cílovou stanici „značku“, která zabrání opakované instalaci shodného instalačního balíku. „Značka“ je zapsaná do registrů, konkrétně do větve

HKEY_LOCAL_MACHINE\Software\Eset\EsetRemote

Installer

V momentě, kdy souhlasí typ balíku a název balíku zapsaný v einstaller.exe (agent) s údaji v uvedené větvi registrů, einstaller.exe instalaci nevykoná. Zabráni se tak opakované reinstalaci na cílovou stanici při opakovaném spuštění einstaller.exe.

Při push instalaci je tato větev v registrech ignorována.

Po dobu samotného průběhu vzdálené instalace dochází k zpětné komunikaci s ERAS a agent (einstaller. exe) přebírá nastavení ze záložky Remote Install – Set Default Logon for E-mail and Logon Script.

Obrázek 4.9

A jaký je průběh vzdálené instalace, když je agent einstaller.exe spuštěný manuálně na cílové stanici?

• Agenteinstaller.exezašlepožadaveknaERAS(TCP

2224).

• ERASzašlenovéhoagentapřesshare,stejnějakopři

push instalaci (zašle ho přes share admin$)5. Tento agent potom začne tahat příslušný balíček z ERAS přes TCP/IP protocol.

Další k úroveň obrany před opakovanou instalací zabezpečuje samotný ERA server a k vyhodnocení tak přichází v momentě, kdy agent navazuje špatnou komunikaci s ERAS (TCP 2224). Pokud je pro cílovou stanici vedený chybový záznam, příp. záznam o úspěšné instalaci, který souvisí se shodným názvem a typem balíku, bude opakovaná instalace taktéž odmítnuta.

Agent v takovém případě hlásí chybu (prostřednictvím protokolu %TEMP%\einstaller.log):

Status20001:EsetInstallerwastoldtoquitbytheserver

‘X:2224’.

Obrázek 4.10

• JezapočatáinstalacebalíkuspřidruženouXML

konﬁgurací, parametry příkazového řádku pod účtem, který byl deﬁnovaný na straně ERAS tlačítkem

Logon...

Agent v tento okamžik čeká na odpověď ERAS (posílá balík přes

share admin$). Pokud k odpovědi nedojde (timeout), pokusí se o stáhnutí instalačního balíku přímo agent (přímé TCP/IP spojení na portě 2224). V takovém případě není přenesené jméno / heslo administrátora deﬁnované tlačítkem Logon... na straně ERAS a dochází k pokusu o instalaci pod aktuálně přihlášený uživatelem. Při instalaci na systémech Microsoft Windows 9x / Me dochází bezprostředně k přímému navázání TCP/IP spojení ze strany agenta.

Obrázek 4.11

Aby ERAS nebránil opakované instalaci, je potřebné odstranit související záznamy v záložce Remote Install. To je možné dosáhnout pravým tlačítkem myši a volbou Clear z kontextového menu.

5. Správa klientů

4.3 Instalace v Enterprise prostředí

Ve většině podnikových sítích se otvírají i jiné způsoby distribuce instalačních balíčků na pracovní stanice. Tyto způsoby jsou vícekrát užívanější a standardně používané pro instalaci jiných programů.

4.3.1 Instalace přes Group Policy

V prostředí Active Directory se nabízí instalace přes Group Policy. Při instalaci je použitý instalační MSI balík, který je přímo distribuovaný klientům přihlašujícím se do domény prostřednictvím Group Policy.

Při nastavení doménového kontroleru tak, aby nainstaloval ESET Smart Security, anebo ESET NOD32 Antivirus automaticky, postupujte následovně:

1. Na doménovém kontroléru vytvořte sdílený adresář, který bude mít právo číst všechny stanice.

2. Do adresáře zkopírujte .msi instalační balíček ESET Smart Security, anebo ESET NOD32 Antivirus.

3. Do adresáře umístěte konﬁgurační soubor, podle kterého se při instalaci nakonﬁguruje program. Soubor musí mít jméno cfg.xml. Konﬁgurační soubor vytvoříte prostřednictvím Konﬁguračního editora. Bližší informace najdete v kapitole 3.7 Konﬁgurační

editor.

4. Otevřete Start ‑> Administrative tools ‑> Active

Directory Users and Computers

5. Klikněte pravým tlačítkem na název domény a zvolte Properties ‑> Group Policy ‑> Edit ‑> User

Conﬁguration

6. Pravým tlačítkem klikněte na Software Settings a vyberte New – Package

7. Do okna Open zadejte UNC cestu k sdílenému instalačnímu balíčku, teda \\nazev_pocitace\cesta\ instlacni_balik.msi a klikněte na Open. Nepoužívejte funkci Browse pro naleznutí instalačního balíčku. Nebyla by totiž přidaná ve formátu UNC síťové cesty k souboru, ale s použitím lokální systémové cesty k souboru.

8. V dalším dialogu zvolte možnost Assigned. Zavřete okno pomocí OK.

Po těchto krocích se balíček nainstaluje na každý počítač, který se přihlásí do domény. Aktuálně přihlášený uživatel se musí pro nainstalování odhlásit a přihlásit.

V případě, že chceme aby bylo umožněné uživatelům zvolit, zda chtějí nebo nechtějí nainstalovat daný balíček, zvolíme v kroku 7 možnost Publish namísto Assigned. Tím se po dalším přihlášení každému klientovi přidá instalační balíček do Control Panel ‑

Add or Remove programs ‑ Add new program ‑ Add programs from your network. Uživatel ho následně z

daného místa může nainstalovat.

5.1 Úlohy

Klientské stanice, které jsou korektně připojené a zobrazené v konzoli, je možné konﬁgurovat a spravovat pomocí různých typů úloh. Úlohy je samozřejmě možné aplikovat na více klientů, případně jednu či více existujících skupin klientů. Vyvolání úloh pro jednu nebo více označených klientských stanic je možné pomocí kliknutí pravým tlačítkem myši na danou stanici a zvolením volby konkrétní úlohy v části New Task. Tento postup je možný i pomocí voleb hlavního z hlavního menu, konkrétně Actions – New Task.

V následujícím textu se budeme věnovat jednotlivým typům úloh pro klientské stanice, přičemž každá z úloh bude vysvětlená na názorném příkladě.

5.1.1 Konﬁgurační úloha

Při potřebě změnit speciﬁcké nastavení antivirové ochrany na klientské stanici se nabízí právě konﬁgurační úloha. S její pomocí můžeme na stanici doručit tzv. konﬁgurační balíček, který obsahuje námi deﬁnované změny v nastavení. Povolené je použít i platný soubor nastavení ve formátu .xml, který jsme vytvořili pomocí konﬁguračního editoru anebo vyexportovali přímo z nastavení produktu. Uvedeme příklad konﬁgurační úlohy, ve které pro zvolenou klientskou stanici nastavíme aktualizační jméno a heslo. Volby, které pro daný příklad nebudou použité, jsou vysvětlené dodatečně.

Prvním krokem je označení klientské stanice, na kterou budeme aplikovat konﬁgurační úlohu. V případě, že chceme úlohu poslat na více stanic, označíme v konzole všechny požadované stanice.

‑ Klikneme pravým tlačítkem myši na stanici a

vybereme z kontextového menu New Task – Conﬁguration Task.

‑ Zobrazí se okno Conﬁguration for Clients, které

slouží jako průvodce vytvořením konﬁgurační úlohy. V horní části okna jsou tři funkční tlačítka, pomocí kterých je potřebné deﬁnovat zdroj s nastavením.

‑ Volba Create nám otevře konﬁgurační editor

nastavení, v kterém najdeme požadované údaje a změníme je. V našem případě je to větev ESET Smart

Security, ESET NOD32 Antivirus – Aktualizace – Proﬁl – Setup – Přihlašovací jméno a Přihlašovací heslo.

‑ Po zadání přihlašovacího jména a hesla pro

aktualizaci se stlačením tlačítka Console vrátíme nazpět do průvodce konﬁgurační úlohy. Cesta k právě vytvořenému balíčku by měla být zobrazená v řádku pod tlačítky.

‑ V případě, pokud si nepřejeme nastavení vybrat

manuálně v konﬁguračním editoru, můžeme použít

tlačítko Select. Při tomto postupu vyhledáme už existující .xml soubor s nastavením a použijeme ho.

‑ Třetí volbou je načítání šablony konﬁgurace z .xml

souboru pomocí tlačítka Create from Template, který následně můžeme modiﬁkovat.

‑ Konﬁgurační balíček, jehož název a cesta je zobrazená

v řádku pod těmito tlačítky, můžeme kdykoliv prohlédnout nebo modiﬁkovat pomocí voleb View a Edit.

‑ Následující dialog Select Clients je určený na

dodatečné přidání klientských stanic. Můžeme je přidat jednotlivě, všechny, všechny pro zvolený server a všechny z dané skupiny. Z tohoto důvodu je přístupné i tlačítko Add Special.

‑ Pokud jsou požadované stanice zvolené, klikneme na

Next.

‑ V poslední části průvodce Task Report vidíme přehled

konﬁgurační úlohy. Můžeme k němu přidat jméno a popis, které jsou volitelné. Apply task after zabezpečí aplikované úlohy v deﬁnovaný čas. Delete tasks automatically by cleanup if successfully completed slouží k smazání úlohy po jejím úspěšném aplikovaní.

‑ Právě deﬁnovanou úlohu zaregistrujeme ke spuštění

stlačením Finish.

5.1.2 On – demand kontrola

klientské stanici budou kontrolované. Pokud nabízené možnosti nejsou postačující a chceme přidat konkrétní cestu, která má být kontrolovaná, použijeme řádek Path a Add tlačítko pro přidání konkrétní cesty do seznamu cílů. Clear History vrátí seznam cílů do původní podoby.

‑ Pokračujeme tlačítkem Next na další okna výběru

klientů a potvrzení zaslaní úlohy na stanici, které jsou totožné s okny Select Clients a Task Report (viz. Konﬁgurační úloha)

Výsledek On – demand kontroly jsou ze stanic zaslané na server a je možné je vidět v části Scan Log.

5.1.3 Aktualizační úloha

Podstatou této úlohy je vynutit na stanicích, na kterých je aplikovaná, pokyn k aktualizování virové databáze, případně programových komponentů. Po vyvolání úlohy je v okně Update now potřebné zvolit produkt, pro který chceme vytvořit aktualizační úlohu. Pokud si daný produkt nepřejeme zahrnout do právě vytvořené úlohy, můžeme ho vyjmout po označení volby Exclude this section from Update Task. V případě, že chceme provést aktualizace pomocí konkrétního proﬁlu, aktivujeme volbu Specify proﬁle name a vybereme požadovaný proﬁl. Jméno proﬁlu můžeme i přesně speciﬁkovat, přičemž návrat do původního stavu dosáhneme tlačítkem Clear History. Tlačítkem

Next pokračujeme na obrazovky Select Clients a Task Report, které jsou stejné jako v předcházejících

úlohách.

V kontextovém menu New Task se nachází tato úloha ve dvou modiﬁkacích. První je možnost On – Demand scann (cleaning disabled), která spouští skenování bez možnosti léčení inﬁltrací. To umožňuje druhá možnost On – Demand scann (cleaning enabled).

Okno On – Demand Scann je pro obě možnosti totožné s rozdílem aktivované volby Scann without cleaning. Ta určuje, zda se skenování bude po zjištění inﬁltrace snažit vyléčit inﬁkovaný soubor. V následujícím textu popíšeme postup vytváření této úlohy. ‑ Conﬁguration Section deﬁnuje, pro jaký produkt je

úloha určená. Zvolíme volbu podle aplikace, která je na cílové klientské stanici nainstalovaná.

‑ Možnost Exclude this section from On – Demand

Scann způsobí, že všechna nastavení v tomto okně se pro zvolený produkt stanou neaktivní a nebudou použité na stanicích s tímto produktem. Tím pádem tento produkt vylučujeme z cílové skupiny přijímatelů právě deﬁnované úlohy. Pokud administrátor i tak označí klienty jako příjemce a zároveň vyloučí daný produkt z úlohy výše uvedených parametrů, tak na klientech úloha skončí s upozorněním, že pro ně tato úloha nebyla určená. Pokud toto spravování uživatelovi nevyhovuje, měl by úlohu směřovat vždy jen na konkrétní klienty.

‑ Přepínač Proﬁle name vybírá skenovací proﬁl, který

bude použitý pro danou úlohu.

‑ Drives to scan deﬁnuje, které typy disků na

5.2 Skupiny (Groups)

Možnost slučovat klientské stanice do logických celků a vytvářet tak skupiny je vhodná pomůcka při správě sítí s větším počtem stanic. Nad skupinou jsou deﬁnované operace, které je možné vykonávat a v praxi nám tato skutečnost umožňuje aplikovat určitou operaci na vícero klientských stanic, resp. skupin.

Vytvořit skupiny můžeme pomocí editoru skupin, který je přímou součástí aplikace. Aktivujeme ho přes Tools – Groups Editor, případně klávesovou zkratkou CTRL + G.

Okno editoru skupin je rozdělené na dvě části. Vlevo je zobrazený seznam skupin, vpravo se nachází seznam klientů. Seznam klientů se zobrazuje vždy pro aktuálně označenou skupinu. Stejně tak operace, které vykonáváme pomocí funkčních tlačítek ve spodní části okna, probíhají na označené skupině nebo klientech.

Novou skupinu vytvoříme pomocí tlačítka Create. Pojmenování skupiny by mělo být dostatečně výstižné, aby byla zřejmá logická souvislost jeho klientů (tedy např. obchodní oddělení, pobočka a pod.). Pro detailnější popis slouží položka Description, kterou je možné upřesnit popis skupiny (teda např. počítače obchodního oddělení, stanice na pobočce a pod.). Takto vytvořenou skupinu můžeme později dodatečně editovat.

Po vytvoření skupiny se její název a popis zobrazí v levém seznamu. Pro přidání klientských stanic do skupiny použijeme nyní už aktivní tlačítko Add/Remove. V novém otevřeném okně vybereme klienty, které si přejeme přidat do skupiny a přesuneme je do pravého sloupce dvojklikem, tlačítkem >> anebo přetáhnutím myší. Přidávání klientů do skupin ulehčuje možnost vyhledání klientů podle textového řetězce v názvu klientské stanice, který zadáme do pole Quick search. Pokud chceme označit všechny klienty, použijeme volbu Select All. Tlačítko Refresh vynutí opakované načítání seznamu klientů.

V případě, že nám manuální vybírání klientů nevyhovuje, můžeme použít některou ze speciálních metod přidávání klientů. Ty jsou přístupné pomocí volby

Add special...

na jiné Groups, nebo na jiné objekty v AD. Výsledek synchronizace s AD tedy závisí na:

1) vztazích, ve kterých klient v AD ﬁguruje,

2) objektech AD, se kterými je v ERA povolená synchronizace

Objekty AD, se kterými bude povolená synchronizace, se nastavují v rozšířeném nastavení (Tools > Server

Options > Other Settings > Edit Advanced Options > ESET Remote Administrator > ERA Server > Settings > Active directory). Standardně je povolená

synchronizace s

Computer AD groups ‑ skupiny, ve kterých jsou ERA klienti členy

V okně Add Clients Special umíme přidat do skupiny všechny klienty, aktuálně zobrazené v panelu klientů (Add clients loaded in Clients panel). Alternativou je přidání jen označených klientů (Only selected). V případě, že chceme přidat do konkrétní skupiny všechny klienty konkrétního serveru/serverů nebo skupiny/ skupin, speciﬁkujeme jejich označení v levém a pravém okně a potvrdíme tlačítkem Add.

Posledním krokem vytvoření skupiny je potvrzení operace tlačítkem Ok v okně Add/Remove dialog, po kterém jsme zpět v hlavním okně editoru skupin. Vytvořená skupina je spolu se seznamem klientů už zobrazená.

Klienty můžeme do skupiny dodatečně stejným postupem přidávat a odebírat, celou skupinu je možné smazat pomocí tlačítka Delete. Panel skupin a panel klientů je možné zkopírovat do schránky po stlačení Copy to clipboard.

Stejně tak můžeme klienty přidávat do skupiny přes kontextové menu v záložce klientů (Add to Group).

5.2.1 Synchronizace s Active Directory

Poslední možností editoru skupin je automatické vytvoření skupin a k nim příslušných klientů na základě už deﬁnované struktury v Active Directory (dále jen AD).

AD představuje komplexní hierarchický systém sloužící na správu různých objektů v rámci sítě a jeho podrobné vysvětlení je nad rámec této příručky. Soustředíme se proto hlavně na vysvětlení základního principu synchronizace ERA se strukturou AD.

Klientská stanice je v AD i v ERA reprezentovaná názvem počítače. V AD jde o objekt Computer, v ERA je to Computer Name. Název počítače je tedy kritériem synchronizace.

Ve struktuře AD bývá Computer většinou navázán na více objektů (Groups, Organizational Units, Containers,...). Groups mohou být zároveň navázany

Computer organizational units ‑ organizační jednotky, ve kterých jsou ERA klienti členy

Administrátor má možnost povolit synchronizaci i s dalšími objekty AD:

Computer Containers ‑ kontejnery, ve kterých jsou ERA klienti členy

Computer Domain Components ‑ doménové komponenty, ve kterých jsou ERA klienti členy

AD groups of AD groups ‑ skupiny, které mají pod sebou skupiny (members), ve kterých jsou ERA klienti členy

AD groups organizational units ‑ organizační jednotky, které mají pod sebou skupiny, ve kterých jsou ERA klienti členy

AD groups containers ‑ kontejnery, které mají pod sebou skupiny, ve kterých jsou ERA klienti členy

AD groups domain components ‑ doménové komponenty, které mají pod sebou skupiny, ve kterých jsou ERA klienti členy

Poznámka: AD groups of AD groups, AD groups organizational units, AD groups containers, AD groups domain components rozšiřují možnost Computer AD groups, takže pokud chceme synchronizovat s jednou z uvedených možností, je potřebné, aby byla zvolená synchronizace i s Computer AD Groups

Synchronizace proběhne při stlačení Synchronize with Active Directory, k dispozici jsou 2 možnosti:

Full synchronization ‑ při použití této volby je na místě

opatrnost, protože proběhne tzv. plná synchronizace ‑ všechny existující skupiny budou smazány a vytvořeny znova. V opačném případě budou přidány nové skupiny a staré budou zachovány.

Synchronize primary clients only – při použití této volby budou synchronizováni pouze klienti připojení na daný ERA server (replikovaní klienti nebudou synchronizováni).

nastavení, které daná Child policy neobsahuje a ty co obsahuje, se přepíšou.

5.3.2 Vytvoření policy

Poznámka: Pro úspěšnou synchronizaci ERAS s Active Directory není potřebné, aby byl ERAS nainstalován přímo na Domain Controlleru. Stačí, když je Domain Controller

dostupnýzpočítače,nakterémsenacházíERAS.Konguraci

autentiﬁkace k Domain Controlleru lze udělat v menu Tools > Server Options > Other Settings > Edit Advanced Options > ESET Remote Administrator > ERA Server > Settings > Active directory. Formát jména serveru je LDAP://servername nebo GC://servername. Pokud je prázdné, použije se global catalog (GC).

5.2.2 Filtrování

Panel klientů se při velkém množství klientských stanic může stát nepřehledným. V tomto případě je vhodné použít možnost ﬁltrování, kterou administrátorská konzole poskytuje. Detailnější informace v kapitole 3.3

Filtrace Informací.

5.3 Policies

Policy se v mnohém podobá běžné konﬁgurační úloze (Conﬁguration task), avšak nejde o jednorázovou úlohu vyslanou na jednu nebo více stanic, ale o celkové zabezpečení určité konﬁgurace spravovaných ESET Security produktů – koncových klientů. Policy bychom teda mohli nadeﬁnovat jako konﬁguraci, která je vnucovaná klientovi.

5.3.1 Základní principy a fungování

Na spravování policies slouží Policy Manager (Tools > Policy Manager). V okně nalevo je zobrazená stromová

struktura policies, které se na jednotlivých serverech nacházejí. Pravá část je rozdělena do čtyř sekcí – Policy

settings, Policy conﬁguration, Policy action a Global policy settings – a umožňuje podrobnou správu a

nastavování policies.

Vytváření, editování a mazání policies, jako i jejich přidělování klientům patří mezi hlavní možnosti policy managera. Bezprostřední aplikování policy na koncových klientech zabezpečuje ERA server, na který jsou tito klienti přímo připojeni. Je dobré si uvědomit, že na jednom ERA serveru může být vytvořeno vícero policies, přičemž si navzájem od sebe můžou dědit nastavení a stejně tak i nastavení policies z nadřazených serverů (tyto servery se však v hierarchii musí nacházet v přímé větvi).

Systému přebírání nadřazených policies hovoříme dědění (inheritance), spojeným policies vzniklých v rámci systému dědění hovoříme merged policies. Dědění funguje na principu Rodič – Dítě (Parent – Child), tj. podřazená policy (Child Policy) dědí nastavení nadřazené policy (Parent Policy). Standardně se dědí ta

Bezprostředně po nainstalování je na serveru standardně jen jedna policy, nazvaná ´Server Policy´, její název je však možné změnit (Policy name). Samotnou policy je možné nastavit v již známém konﬁguračním editoru po stlačení tlačítka Edit, kde je možné zvolit takřka všechny parametry konﬁgurovaného produktu (klienta). Nastavení tu jsou uspořádané do přehledné struktury. Významné jsou malé ikonky před každou položkou. Na klientovi se totiž uplatní jen aktivní nastavení (modře označené položky). Neaktivní nastavení (šedě označené položky) budou na klientech ponechané v původním stavu. Podobný princip se uplatňuje i při spojení dvou policies při dědění – na podřazené policy se uplatňují jen aktivní nastavení Parent policy.

Na serveru je možné vytvořit více policies (Add New Child Policy). Při vytváření nové policy volíme v dialogovém okně její název, Parent policy a konﬁguraci (možnosti jsou: prázdná policy, kopírovat konﬁguraci z některých existujících policy, kopírovat konﬁguraci z xml souboru). Policies je možné vytvářet jen na servery, na kterých jsme právě připojení ERA konzolou. Pokud potřebujeme vytvořit policy např. na některém z podřazených serverů, je potřebné se na tento server pomocí ERA konzole připojit.

Každá policy má dva základní atributy – Force over any children policy a Down replicable policy. Od toho, který z těchto atributů je aktivní, závisí, zda se bude daná policy replikovat, resp. dědit.

Down replicable policy ‑ znamená, že policy je možné replikovat směrem dolů – tj. může sloužit jako Default policy pro policies na podřazených serverech a také může být přidělovaná klientům na podřazených serverech.

Force over any children policy ‑ znamená, že všechny aktivní nastavení dané policy mají při dědění prioritu – tj. v případě odlišných nastavení s Child policy bude vzniklá merged policy vždy obsahovat všechny aktivní nastavení Parent policy (a to i v případě, že i Child policy má aktivní atribut „Force...“). Neaktivní nastavení v parent policy budou ponechané podle child policy. Pokud atribut Force over any children policy není zapnutý, prioritu má child policy – tj. v případě odlišných nastavení s parent policy budou ve výsledné merged policy ponechané nastavení z child policy. Takovýmto spojením vzniklá merged policy se potom aplikuje na další policies, pokud se tyto na ni odkazují jako na parent policy.

Obrázek 5.1 Praktický příklad fungování dědění policies.

5.3.3 Virtuální policy

1) Policies s modře zabarvenými ikonkami jsou ty, které se nacházejí na daném serveru. Ty se dále můžou lišit:

Ikonka s bílým středem – policy je vytvořená na daném serveru. Nereplikuje se dolů – není možné je přiřadit klientům z podřazených serverů a stejně tak nemůže sloužit jako parent policy na podřazených serverech. Dá se využít jen v rámci daného serveru – na přidělování klientům připojených na daný server a stejně tak může sloužit jako parent policy pro jinou policy z daného serveru.

Ikonka s modrým středem – platí to samé jako v předešlém případě s tím rozdílem, že policy má aktivní atribut Force over any children policy (podrobněji v kapitole 5.3.3 Vytvoření policy)

Krom vytvořených policies a policies vyreplikovaných z jiných serverů (blíže o nich v další kapitole) se v stromové struktuře nacházejí i Default Parent Policy a Default primary clients policy, které nazýváme virtuální policy.

Default Parent Policy je ta policy, která je na nadřazených servery v Global Policy Settings zvolená jako Default policy for underlying servers. Pokud se server nikam nereplikuje, tato policy se bere jako prázdná (vysvětlení níže).

Default primary clients policy je policy, která je na daném (ne nadřazeném) serveru v Global Policy

Settings zvolená jako Default policy for primary clients. Tedy jde o policy, která se automaticky aplikuje

na (nově)připojené klienty (tzv. primární klienty) k danému ERA serveru, pokud na těchto klientech už nebyla aplikovaná jiná policy na základě pravidel (Policy Rules) – o přidělování policies klientům podrobněji v kapitole 5.3.7 Přidělování policies klientům. Tyto policies nazýváme virtuálními proto, že nejde o reálně existující policies, ale jsou to něco jako zástupci, kteří můžou představovat některou policy z daného serveru.

5.3.4 Funkce a význam policies v stromové struktuře

, Ikonka s šipkou směřující dolů – znamená, že policy se replikuje směrem dolů (má aktivní atribut Down replicable policy). Kromě jejího využití na daném serveru je možné ji použít i na podřazených serverech (může sloužit jako parent policy a může být přidělovaná klientům). Při kombinaci modrý/bílý střed + šipka se spojují popsané vlastnosti.

2) Policies se šedě zabarvenými ikonkami jsou policies z

jiných serverů, přičemž rozlišujeme:

Ikonka se šipkou směřující nahoru – znamená, že policy je vyreplikovaná z některého ze spodních serverů. Je možné si je jen prohlédnout, případně ji smazat ze stromové struktury (Delete Policy Branch). Při mazání ze stromové struktury nejde o smazání samotné policy, ale jen o její zrušení zobrazení v stromě. Proto při nejbližší replikaci se může zobrazit ve stromě znovu. Pokud nám tedy jde jen skrytí policies z podřazených serverů, je vhodnější použít volbu Hide foreign servers policies not used in policy tree.

Ikonka se šipkou směřující dolů – znamená, že policy je zreplikovaná z některého z horních serverů. Je možné ji prohlédnout, použít ji jako Parent Policy pro jinou policy, přidávat klientům (Add Clients) a smazat (Delete Policy). V případě smazání však platí ten samý princip jako v předchozím případě, smazaná policy se opět zreplikuje z horního serveru a zobrazí se ve stromě (pokud jej mezitím nebyl na horním serveru zrušený atribut Down replicable policy).

Obrázek 5.2

Každá policy zobrazená v stromové struktuře má na své levé straně přidělenou ikonku. Při jejich rozlišovaní platí tyto zásady:

Poznámka: Policies ve stromové struktuře je možné přesouvat a přiřazovat kromě klasického způsobu (zvolením parent policy) i pomocí myši (drag&drop).

5.3.5 Prohlížení policies

Každou policy ve stromě je možné si prohlédnout zobrazením přímo v konﬁguračním editoru označením dané policy a stlačením View, resp. View Merged.

View Merged – zobrazí spojenou policy, která vznikla při dědění (dědí se z té policy, kterou má tato policy zvolenou jako Parent policy). Tato volba je zobrazená

první, protože aktuální policy je právě už tato merged policy (je východisková při dalším dědění a odkazovaní se na ni jako na parent policy).

View – zobrazí původní policy – tj. ještě před spojením s Parent policy

Na podřazených serverech máme v případě výše zreplikovaných policies možnost zobrazit:

View Merged – stejně tak, jako v předchozím případě.

View Force Part – v případě, že tato policy má aktivní

atribut Force over any children policy. Je možné zobrazit jen Forced část policy – tj. tu která má prioritu a přepisuje všechny ostatní nastavení v child policies.

View Non-force part – opačně jako při View Force Part – zobrazí se jen ta nastavení, na které se nevztahuje

Force over... pravidlo.

5.3.6 Přidělování policies klientům

Při přidělování policies klientům platí 2 hlavní zásady:

1) Lokálním (primárním) klientům je možné přiřadit jakoukoliv lokální policy a z horních serverů zreplikované policy.

2) Zdola vyreplikovaným klientům je možné přiřadit jakoukoliv lokální policy s atributem Down replicable a z horních serverů zreplikované policy. Není možné jim přiřadit policy z jejich vlastního serveru (toho se dá docílit přímým připojením ERA konzole na daný server a přidělením policy klientům).

Další důležitou vlastností je, že každý klient má vždy přidělenou nějakou policy (neexistuje klient bez policy). Policy teda není možné klientovi odebrat, ale jen ji nahradit jinou. Pokud na klienta nechceme aplikovat nastavení žádné policy, můžeme vytvořit tzv. prázdnu policy (empty policy conﬁguration) a přidělit ji danému klientovi.

Policy je možné přidělit klientům třemi různými způsoby.

Remove dialogu po stlačení tlačítka Add Clients v Policy Manageři.

Při použití Add clients se zobrazí dialogové okno. V části All items je seznam klientů, kterým může být daná policy přidělená. Když manuální způsob přidělení policy umožňuje přidělit policy i klientům z podřazených serverů, uvidíme v tomto seznamu i vyreplikované klienty z podřazených serverů (ale jen v případě, pokud přidělovaná policy má aktivní atribut Down replicable policy). Název klienta je ve formátu Server/ Klient. Klienty, kterým chceme danou policy přidělit, označíme, a pomocí šipky ve středu přesuneme do části Selected items. Čerstvě vybraní klienti mají v ikonce žlutou hvězdičku. Znamená to, že je ještě možné s nimi manipulovat (přesouvat je mezi oběma panely pomocí šipek, příp. je odstranit z panelu Selected items pomocí tlačítka C). Stlačením OK potvrdíme výběr a při dalším vyvolaní Add/Remove dialogu už není možné přidané klienty odebrat ‑ nemají hvězdičku (policy nikdy není možné klientovi odebrat, jen přiřadit jinou). Jiným způsobem přidání klientů je využití funkce Add special, která v osobitném dialogovém okně umožňuje přidat najednou všechny klienty, kteří se nacházejí v záložce Clients (Add clients loaded in the Clients panel), případně jen ty z nich, kteří jsou označení (Only selected). Tak samo je možné přidat i klienty z konkrétních serverů, nebo skupin (Clients on Servers

and in Groups).

5.3.6.3 Policy Rules

Komplexnějším nástrojem jsou Policy Rules (pravidla přidělování policies), které umožňují nastavit kritéria automatického přidělování policies klientům. Pravidla se aplikují vždy po připojení klienta na server a mají přednost před Default Primary Clients Policy a i před manuálním přidělováním. Znamená to, že Default Primary Clients Policy se na klienta aplikuje jen tehdy, když nespadá pod žádné z vytvořených pravidel. V případě manuálního přidělení policy klientům, když je tato v rozporu s policy přidělenou na základě policy rules, přednost mají vždy policy přidělené na základě policy rules.

5.3.6.1 Default Primary Clients Policy

Prvním je automatické přidělení prostřednictvím virtuální policy Default Primary Clients Policy, která se nastavuje v Global Policy Settings. Jak už z názvu této policy vyplývá, jde o přidělení policy primárním klientům (tj. klientům přímo připojeným na tento server). Podrobnější informace se nacházejí v kapitole

5.3.4 Virtuální policy)

5.3.6.2 Manuální přidělení

Další možností je manuální přidělení, které je možné udělat dvěma způsoby – přímo v záložce Clients po kliknutí pravým tlačítkem na klienta a zvolením Add Policy z kontextového menu, anebo pomocí Add/

Policy rules jsou v rámci Policy Managera vytvářené a spravované v samostatné záložce. Způsob jejich vytváření a aplikování je velmi podobný tvořením a spravováním pravidel poštovních klientů – každé pravidlo může obsahovat jedno nebo více kritérií, pravidla jsou podle priority seřazení shora směrem dolů, přičemž každé pravidlo je možné pomocí šipek posunout v tomto žebříčku nahoru nebo dolů.

K vytvoření pravidla slouží tlačítko New, které vyvolá dialogové okno s položkami Name (jméno pravidla),

Description (krátký opis pravidla), Client ﬁlter parameters (kritéria ﬁltrování), Policy (policy, která se

aplikuje na klienta splňujícího zvolená kritéria).

Samotná kritéria se nastavují v dalším okně po stlačení tlačítka Edit.

Jednotlivé kritéria:

(NOT) FROM Primary Server – pokud je (není) klient z primárního serveru

(buď prostřednictvím manuálního přidání přes Add Clients, nebo na základě Policy Rules). Náhradou může být některá policy z daného serveru, nebo shora zreplikovaná policy.

IS (NOT) New Client – pokud to je (není) nový klient

HAS (NOT) New Flag – pokud (ne)má klient příznak New Client

Primary Server (NOT) IN (specify) – pokud (ne)má

primary server v názvu

GROUPS IN (specify) – pokud klient patří do skupiny ...

GROUPS NOT IN (specify) – pokud klient nepatří do

skupiny ...

DOMAIN (NOT) IN (specify) – pokud klient (ne)patří do

domény ....

Computer Name (specify) – pokud je název počítače

....

IP Mask (specify) – pokud patří klient do skupiny deﬁnované IP adresou a maskou

IP Range (specify) – pokud patří klient do skupiny deﬁnované IP rozsahem

New parent policy for the currently deleted policy´s children policies (if exists) – pokud smazaná policy

sloužila jako parent policy pro jiné policies (children policies), je potřeba za ni zvolit náhradu, přičemž náhradou může být některá policy z daného serveru, shora zreplikovaná policy, příp. příznak N/A, což znamená, že children policies nebude přiřazená žádná náhradní policy. Tuto náhradu je potřebné udělat i když child policy zjevně neexistuje, protože není možné zaručit, že jiný uživatel přes jinou konzolu nepřiřadí dané policy child policy právě v procesu mazání.

New policy for replicated clients with the currently deleted or modiﬁed policy – zde volíme náhradní

policy pro zdola vyreplikované klienty – tj. klienty z podřazených serverů, který měli přidělenou právě smazanou policy. Náhradou může být některá policy z daného serveru, nebo shora zreplikovaná policy.

New default policy for underlying servers – pokud smazaná policy slouží jako virtuální policy (Global Policy Settings) je třeba ji nahradit jinou (podrobněji v kapitole 5.3.4 Virtuální policy). Náhradou může být některá policy z daného serveru, nebo příznak N/A.

HAS (NOT) Deﬁned Policy (specify) – pokud (ne)má

klient deﬁnovanou policy ....

Pravidlo je samozřejmě možné i smazat (tlačítko Delete). Okamžité aplikovaní vytvořených pravidel zabezpečuje tlačítko Run Policy Rules Now.

5.3.7 Smazání policy

Podobně jako při vytváření policies, i zde platí, že smazaná může být policy jen ze serveru na který jsme právě ERA konzolí připojení. Pokud chceme smazat policy na jiném serveru, je třeba se na něj přímo ERA konzolí připojit.

Vzhledem na to, že policy může existovat v různých závislostech (může sloužit jako parent policy pro jiné policies, jako default policy pro podřazené servery, jako default policy pro primární klienty a pod.) může být její smazání zkomplikované tím, že za ni bude potřeba najít náhradu. Pro tento účel slouží dialog, který se otevře bezprostředně po kliknutí na Delete Policy. To, které položky v tomto dialogu jsou aktivní, závisí právě od toho, v jakých závislostech daná policy ﬁguruje.

New policy for primary clients with the currently deleted policy – zde volíme náhradní policy pro

primární klienty, kteří měli přidělenou právě smazanou policy. Na primárních klientech totiž nemusí být aplikovaná jen Default policy for primary clients (její náhrada se deﬁnuje v záložce New default policy for

primary clients), ale jakákoliv jiná z daného serveru

New default policy for primary clients – pokud smazaná policy slouží jako virtuální policy (Global Policy Settings) je třeba ji nahradit jinou (podrobnější

v kapitole 5.3.4 Virtuální policy). Náhradou může být některá policy z daného serveru.

Tento samý dialog se zobrazí i tehdy, kdy některé policy zrušíme atribut Down replicable a stiskneme OK/Apply, případně zvolíme jinou policy ve stromě. V tu chvíli jsou v dialogu aktivní položky New policy

for replicated clients with the currently deleted or modiﬁed policy a případně i New default policy for underlying servers.

5.3.8 Speciální nastavení

Většina nastavení policies se provádí v Policy Managery, avšak dvě se nacházejí mezi pokročilým nastavením (Server Options > Other Settings > Edit Advanced

Settings) ve větvi ESET Remote Administrator > ERA Server > Setup > Policies.

Interval for policy enforcement (minutes):

Tato vlastnost zabezpečí aplikování policies každých X minut. Tuto volbu doporučujeme používat jen v případě problémů s aplikováním policy na klientech.

Disable policy usage: Pomocí této volby je možné úplně vypnout používání policies na servery. Tuto volbu doporučujeme používat jen v opodstatněných případech, pokud se vyskytnou

skutečné problémy. Pokud se z nějakých důvodů potřebujeme vyhnout aplikování policy na některých klientech, můžeme to udělat i „čistějším“ způsobem – přiřazením prázdné policy.

5.3.9 Scénář použití

5.3.9.1 Každý server je samostatně spravovaný a policies se řeší

lokálně

Předpokládejme menší síť s jedním hlavním a dvěma přímo podřazenými servery. Na každý server je připojeno několik klientů. Na každém z těchto serverů je vytvořená jedna nebo více policies. Podřazené servery se nacházejí na pobočkách a každý z nich samostatně upravuje lokální administrátor. Každý administrátor si samostatně určuje které policies budou přiřazené kterému klientovi v rámci jeho serveru. Hlavní administrátor nezasahuje do nastavení lokálních administrátorů a nepřiděluje policies klientům z jejich serverů. Z pohledu nastavení policies na serverech to znamená, že na serverech B a C mají policies jako parent policy zvolený atribut N/A, resp. některou policy přímo z toho samého serveru přes Default parent policy (tj. nemají zvoleného parenta z nadřazeného serveru).

Obrázek 5.4

5.3.9.3 Použití dědění z různých policies nadřazeného serveru

Opět platí to samé, co v předchozím případě, ale přes Default Parent Policy jsou na hlavním serveru i další policies, které se replikují směrem dolů a slouží jako parent policies pro policies na podřazených serverech. Policy 1 v tomto příkladě má přitom aktivní atribut Force over any children policy. I tu mají lokální administrátoři ještě dost pravomocí, avšak hlavní administrátor určuje, jak a které policies budou replikované směrem dolů a které z nich budou sloužit jako parent policies pro policies z podřazených serverů. Silným administrátorským nástrojem je zde použití Force over... atributu, kterým hlavní administrátor zabezpečí, aby nastavení dané policy „přetekly“ v rámci systému dědění policies až ke klientovi.

Obrázek 5.3

5.3.9.2 Každý server je samostatně spravovaný, policies se řeší

lokálně, ale dědí se Default Parent policy z nadřazeného serveru

Platí to samé, co v předchozím případě s tím rozdílem, že na serveru A je deﬁnována Default policy for underlying servers a policies na podřazených serverech dědí nastavení Default Parent Policy z hlavního serveru. V tomto scénáři je teda stále ponechána značná autonomie lokálním administrátorem. Child

policies na podřazených serverech sice dědí nastavení Default Parent Policy z hlavního serveru, ale lokální

administrátoři mají možnost toto dědění modiﬁkovat vlastními nastaveními.

Obrázek 5.5

5.3.9.4 Přiřazování policies jen z nadřazeného serveru

5.4 Notiﬁkace

Tento scénář představuje centralizovaný systém přidělování polices. Vytváření, modiﬁkování a přidělování policies klientům se děje jen na hlavním serveru, lokální administrátoři nejsou vůbec potřební. Na podřazených serverech je vytvořená jen jedna základní prázdná policy (standardně nazvaná Server

Policy), která zároveň slouží jako Default Parent Policy for Primary Clients.

Schopnost oznamování důležitých událostí správcem systémů a síťovým administrátorem je důležitou součástí zabezpečení ochrany a integrity počítačové sítě. Včasné informování o chybě či škodlivém kódu může předejít velkým ztrátám a zbytečnému úsilí, potřebnému na odstranění problému v nejpozdějších fázích. V následující části se budeme zabývat notiﬁkačními možnostmi produktu ESET Remote Administrator.

5.4.1 Notiﬁcation Manager

Hlavní okno manažera notiﬁkací je přístupné přes Tools – Notiﬁcation Manager.

Obrázek 5.6

5.3.9.5 Použití policy rules

Automatické přidělování policies na základě policy rules ani tak nepředstavuje samostatný scénář jako spíše možný doplněk k některému ze scénářů.

V případě, že je každý server samostatně spravovaný lokálním administrátorem, každý administrátor si vytváří vlastní policy rules na svém serveru pro své klienty. Zde je důležité dbát na to, aby nedošlo ke konﬂiktu mezi policy rules – např. nadřazený server přiděluje na základě policy rules nějakou policy klientovi na podřazeném serveru a zároveň na tomto podřazeném serveru je klientovi přidělována jiná policy na základě lokálních policy rules.

V případě centrálně řízeného systému je použití policy rules jednodušší, protože celý management policies se odehrává jen na hlavním serveru.

5.3.9.6 Použití lokálních skupin

Přidělování polices klientům prostřednictvím skupin může také sloužit jako doplněk k některému z možných scénářů. Skupiny je možné vytvořit manuálně nebo pomocí synchronizace s active directory (viz kapitola 5.2.

Skupiny (Groups)). Přidělovat policies klientům pomocí

skupin můžeme jednorázově (Add Clients > Add Special) nebo automaticky použitím Policy Rules.

Obrázek 5.7 Okno notiﬁkačního manažera

Je rozdělené na dvě části. V horní polovině se nachází seznam už existujících (předdeﬁnovaných nebo uživatelem vytvořených) pravidel. Každé pravidlo může být aktivní, v tom případě je označené. Jen označené pravidla generují notiﬁkační zprávy v případě splnění těchto podmínek, proto je důležité po vytvoření pravidla ověřit i jeho aktivní stav. Standardně po nainstalování aplikace není aktivní žádné pravidlo.

Funkční tlačítka pod seznamem pravidel slouží k uložení pravidla po modiﬁkaci pod tím samým jménem (Save), uložení po modiﬁkaci pod jiným jménem (Save as...), smazání pravidla (Delete), nastavení pravidla do původního stavu podle zvoleného spouštěče Trigger type (Default), obnovení seznamu pravidel (Refresh) a na pokyn přidání všech přednastavených pravidel, které byly smazané (Default Rules).

Spodní část okna slouží k zobrazení podrobností o aktuálně zvoleném pravidlu. Tyto podrobnosti si v následujícím textu popíšeme na příkladu vytvoření vzorového pravidla v kapitole 5.4.2 Vytvoření pravidla. Nejdřív ale popíšeme logiku vytváření pravidel ve všeobecnosti.

Pro pravidlo je možné deﬁnovat podmínky jeho vykonání a následné akce. Pro každé pravidlo existuje tzv. Spouštěč (Trigger), který aktivuje vykonávání pravidla v případě nastání deﬁnované události. Může mít tyto hodnoty: Client state ‑ pravidlo se bude spouštět při zjištění větší

problémové události, týkající se některého z klientů

Server state ‑ pravidlo se bude spouštět při zjištění větší

problémové události, týkající se některého ze serverů

Finished task event ‑ spuštění pravidla bude závislé na

skončení úlohy

New Client Event ‑ pravidlo se bude spouštět při zjištění

připojení se nového klienta na server, případně nového klienta po replikaci

New Log Event – událost v některém z logů ovlivní

spuštění pravidla

V závislosti od hodnoty spouštěče jsou aktivované / deaktivované ostatní možnosti pravidla, proto je vhodné začít při tvorbě pravidla právě touto hodnotou.

Položka Priority slouží k nastavení priorit pravidla, přičemž P1 představuje nejvyšší a P5 nejnižší prioritu. Priorita pravidla žádným způsobem neovlivňuje jeho funkcionalitu, je určené jen pro vyjádření důležitosti pravidla. Též je možné využít proměnu %PRIORITY% při vkládání hodnoty priority do zasílaných notiﬁkačních zpráv.

Pod nastavením priority se nachází textové pole Description, které slouží k vložení komentářů k danému pravidlu. Doporučujeme každé pravidlo smysluplně okomentovat, např. pravidlo pro ohlášení inﬁltrace na stanici a podobně.

Jakmile systém zjistí událost spouštěče při určitém klientovi / klientech a najde k němu příslušné pravidlo / pravidla, aplikuje na daných klientech ﬁltr. Ten můžeme pro každé pravidlo, týkající se klientů, modiﬁkovat po kliknutí na tlačítko Edit... v části Client ﬁlter. V otevřeném okně je možné deﬁnovat podmínky ﬁltrování klientů. Jen klientské stanice, které vyhovují daným podmínkám, budou brané v úvahu pro vyhodnocení notiﬁkačního pravidla. Podmínky ﬁltrování jsou následné: FROM Primary Server ‑ jen klienti z primárního serveru,

podmínka se dá negovat

Primary Server IN ‑ primární server klienta je jeden z

uvedených

Groups IN ‑ klienti, nacházející se v uvedené skupině Domain IN ‑ klienti, nacházející se v uvedené doméně Computer Name ‑ klienti s daným názvem počítače IP Mask ‑ klienti, spadající do uvedené IP masky IP Range ‑ klienti v rámci uvedeného rozsahu IP adres HAS Deﬁned Policy ‑ klienti, kteří mají přiřazenou

konkrétní politiku. Tuto podmínku je možné negovat na HAS NOT

HAS New Flag – klienti, kteří mají nastavený příznak

“nový”. Tuto podmínku je možné negovat na HAS

NOT

Po deﬁnování ﬁltru klientů, pro které se dané notiﬁkační pravidlo bude ověřovat, je potřebné deﬁnovat parametry pravidla.

Parametry pravidla určují, jaké podmínky musí klient / skupina klientů splňovat, aby byla vykonána samotná notiﬁkační akce. Možné parametry jsou zobrazené po kliknutí na tlačítko Edit... v části Parameters. Tyto parametry se mění v závislosti od zvolené hodnoty Trigger type, následuje kompletní výpis všech parametrů každého typu.

Parametry pro Client state jsou následné:

Amount• – absolutní nebo procentuální počet klientů pro aktivování pravidla Protection Status Any Warning• – jakékoliv hlášení v položce Protection Status Protection Status Critical Warning• ‑ závažné hlášení v položce Protection Status Virus Signature DB version• ‑ problém virové databáze, možné je deﬁnovat 3 stavy:

Previous• ‑ virová databáze je o jednu verzi starší než aktuální Older • ‑ virová databáze je o víc jak jednu verzi starší než aktuální Newer• ‑ virová databáze klienta je novější než virová

databáze serveru Last Connected Warning • ‑ poslední připojení bylo před deﬁnovaným časem Has Last Threat Event • ‑ položka Last Threat obsahuje libovolné hlášení inﬁltrace Has Last Event • ‑ položka Last Event obsahuje libovolnou událost Has Last Firewall Event• ‑ položka Firewall Event obsahuje libovolný záznam personálního ﬁrewallu

Has New Flag• ‑ klient má nastavenou značku „New“ Waiting For Restart • ‑ klient čeká na restart

Last Scan Found Threat• ‑ klient při poslední kontrole zjistil přítomnost deﬁnovaného počtu inﬁltrací. Last Scan Not Cleaned Threat • ‑ klient při poslední kontrole zjistil přítomnost deﬁnovaného počtu inﬁltrací, které nebyly vyléčené.

Všechny parametry je možné negovat, ne vždy však tato negace má smysl. Vhodné je negování používat při parametrech, vyjadřujících dvě logické hodnoty pravda a nepravda. Například parameter Has “New” Flag pokrývá klienty s označením “nový”. Negace tohoto parametru zachytí logicky všechny klienty, kteří dané označení nemají.

Dané podmínky je možné vzájemně logicky kombinovat a invertovat, přičemž volba The rule is applied when dovoluje vybrat dvě možnosti: all the options are meet – pravidlo, platí jen pokud jsou

splněné všechny deﬁnované parametry

any of the options is met ‑ pravidlo platí, pokud

kterýkoliv jeden parametr platí

Pro Trigger Type s hodnotou Server State jsou parametry následující:

Server updated • – server je aktualizovaný

Server not updated• – server není aktualizovaný déle než zvolená hodnota Server logs • – v serverovém logu se nacházejí záznamy typu

Errors• – chybové hlášení Errors + Warnings• – chybové a výstražné hlášení

Filter log entries by type• – aktivací této volby získáme možnost blíže speciﬁkovat, které oblasti chyb v serverovém logu chceme sledovat. Je potřebné ověřit, zda je samotné logování serveru nastavené na dostatečně vysokou úroveň, aby byly tyto logy vůbec zaznamenávané. V opačném případě bude pravidlo notiﬁkačního manažera prohledávat log úplně zbytečně. Možnosti problémových oblastí serveru jsou následné, uvádí se jako samostatné textové řetězce, oddělené čárkou:

ADSI_SYNCHRONIZE1. – synchronizace skupin s Active Directory

CLEANUP2. – server clean up úlohy

logech serveru, který se týká aktualizace a tvorby mirroru.

License Expiration • – licence bude expirovat za zvolenou dobu, případně už přeexpirovala. Doplňujícím prvkem je možnost Warn only if this will

cause the number of clients in the license decrease under the number or actual clients in the server database. Jejím aktivováním zabezpečíme, aby server

oznamoval problém expirace klíče jen v případě, že po exspiraci klíče klesne počet povolených licencí pod počet aktuálně přihlášených klientů

Limit license• – počet volných licencí poklesne pod zvolenou procentuální míru

V případě nastavení Trigger Type na New Log Event máme na výběr z těchto parametrů:

Log type • – zvolíme o jakou událost, kterého logu se jedná, možnosti jsou Event, Firewall nebo Threat log

CREATEREPORT3. – vytváření reportů na požádání

DEINIT4. – vypínání serveru

INIT5. – startování serveru

INTERNAL6. – vnitřní hlášení serveru

LICENSE7. – operace s licencemi

MAINTENANCE8. – server maintenance úlohy

NOTIFICATION9. – management notiﬁkací

PUSHINST10. – vzdálená instalace

RENAME11. – vnitřní přejmenování struktur

REPLICATION12. – replikace serverů

POLICY13. – management policies

POLICYRULES14. – policy pravidla

SCHEDREPORT15. – automaticky generované reporty

SERVERMGR16. – management interních vláken

serveru

SESSION17. – síťové spojení serveru

THREATSENSE18. – zasílání statistických informací

ThreadSense.NET

UPDATER19. – aktualizace serveru a vytváření mirroru

Vhodným příkladem nastavení je použití parametru UPDATER, kdy si zabezpečíme zasílání notiﬁkační zprávy při vygenerovaní problémového záznamu v

Log level• – úroveň záznamu v daném logu

Level 1 - Critical Warnings• – kritické hlášení

Level 2 - Above + Warnings• ‑ všechna předcházející

a výstražná hlášení

Level 3 – Above + Normal• – všechna předcházející a

informační hlášení

Level 4 – Above + Diagnostics• – všechna

předcházející a diagnostická hlášení

1000 occurencies in 60 minutes• – počet výskytů záznamů v logu přesáhne deﬁnované číslo za zvolený interval. V přednastaveném případě je to tisíc záznamů za hodinu

Amount• – absolutní nebo procentuální počet klientů

Zbývající uvedené položky Trigger Type nemají žádné vlastní parametry.

Pokud jsou pro pravidlo splněné parametry, systém vykoná administrátorem nadeﬁnovanou akci. Možnosti akcí se modiﬁkují pomocí tlačítka Edit... v části Actions. Možnosti tohoto dialogu jsou následující:

E-mail• ‑ na vloženou emailovou adresu se odešle notiﬁkační text pravidla, přičemž předmět zprávy si můžeme zvolit v řádku Subject. Volba To otvírá adresář kontaktů.

SNMP Trap• ‑ vygeneruje se a odešle SNMP notiﬁkace

Execute (on server)• ‑ na serveru je spuštěná aplikace,

ke které můžeme v na to určeném řádku deﬁnovat cestu.

Log To File• ‑ do uvedeného souboru budou generované logovací hlášení. Podrobnost těchto hlášení modiﬁkujeme pomocí volby Verbosity.

Logging• ‑ událost bude logovaná i v protokolech serveru, přičemž detailnost opět zvolíme pomocí nastavení Verbosity na požadovanou úroveň. Pro používání této funkce musí být samozřejmě povolené logování na serveru.

Samotný obsah hlášení můžeme upravit v dialogu Message ve spodní části hlavního okna notiﬁkačního manažera. V textu je povolené používat speciální proměnné %NAZOV_PREMENNEJ%. Seznam proměnných získáme po kliknutí na odkaz Show me

options:

Server_Last_Updated• – poslední aktualizace serveru Primary_Server_Name• – jméno primárního serveru Rule_Name• – název pravidla Rule_Description• – popis pravidla Client_Filter• – podmínky ﬁltrování pravidel klientů Client_Filter_Short• – zkrácený formát ﬁltru pravidel

klientů

Client_List• – seznam klientů Triggered• – informace o čase zasílání zprávy daným

pravidlem Triggered_Last• – informace o čase posledního zaslání zprávy daným pravidlem

Priority• – priorita pravidla Log_Text_Truncated• – text z logu, ořezaný na počet

znaků

Task_Result_List• – výsledek zaslané úlohy Parameters• – parametry pravidla Last_Log_Date• – datum posledního logu License_Info_Merged• – souhrné informace o licencích License_Info_Full• – kompletní informace o licencích License_Days_To_Expiry• – počet dní do expirace

licencí License_Clients_Left• – počet zbývajících volných klientů, které je ještě při aktuálních licencí možné připojit k serveru Actual_License_Count• – aktuální počet klientů, připojených k serveru

Takto vytvořené pravidlo je připravené na použití. Poslední věcí, kterou je potřeba zohlednit, je čas aktivace pravidla. Aktivaci můžeme posunout o časový úsek v rozmezí jedné hodiny až třech měsíců. V případě, že si přejeme pravidlo aktivovat co nejdříve, nastavíme položku Activation after: na hodnotu ASAP (as soon as possible). Tato hodnota představuje první možný okamžik, kdy je to možné. Standardně se notiﬁkační manažer aktivuje každých 10 minut, takže hodnota ASAP je většinou přibližně rovná této časové jednotce. Pokud aktivaci posuneme nastavením určité časové hodnoty a ne volby ASAP, server vykoná pravidlem deﬁnovanou akci až po uplynutí zvoleného času, přičemž daná podmínka musí stále platit.

Volbou Repeat after every... deﬁnujeme, po jak dlouhém časovém úseku se má akce vykonat znovu. Musí však platit, že podmínka vykonání pravidla je stále

platná. Časový interval, v kterém server kontroluje všechny aktivní pravidla a vyhodnocuje je, deﬁnujeme v Server – Other Settings – Edit Advanced Settings – ESET Remote Administrator – Server – Setup –

Notiﬁcations – Interval for notiﬁcation processing (minutes). Standardně je tato hodnota přednastavená

na 10 minut, přičemž její nastavení na nízké hodnoty nedoporučujeme z důvodu velkého vytížení serveru.

V okně notiﬁkačního manažera se standardně nacházejí předdeﬁnované pravidla, které je možné aktivovat označením daného pravidla. Na výběr jsou následující pravidla, přičemž každé z nich po splnění uvedené podmínky vygeneruje do logu příslušné hlášení:

More than 10% of primary clients are not • connecting – víc jak 10 procent klientů se nepřipojilo

po dobu delší než jeden týden. Pravidlo se aktivuje ASAP.

More than 10% of primary clients with critical • protection status – víc jak 10 procent klientů

zaznamenalo kritické hlášení ve stavu ochrany a zároveň žádný z těchto klientů nebyl nepřipojený víc jak týden. Pravidlo se aktivuje ASAP. Primary clients with protection status warning• – existuje klient s libovolným hlášením ve stavu ochrany, přičemž tento klient nebyl nepřipojený víc jak týden Primary clients not connecting• – existuje klient, který se nepřihlásil k serveru po dobu delší než jeden týden

Primary clients with outdated virus signature • database – existuje klient, který má virovou databázi

o dvě a víc verzí nižší než aktuální a nebyl nepřipojený víc než týden Primary clients with critical protection status• ‑ existuje klient, který má kritické hlášení ve stavu ochrany a nebyl nepřipojený víc než týden

Primary clients with newer virus signature • database than server – existuje klient, který

má virovou databázi novější než server a nebyl nepřipojený víc než týden Primary clients waiting for restart • – existuje klient, který čeká na restartování a nebyl nepřipojený víc než týden

Primary clients with a non-cleaned inﬁltration in • computer scan – existuje klient, na kterém poslední

kontrola systému nedokázala vyléčit alespoň jednu inﬁltraci a klient nebyl nepřipojený víc než týden. Pravidlo se aktivuje ASAP. Completed task• – byla dokončená libovolná úloha na stanici. Pravidlo se aktivuje ASAP. New primary clients• – na server se připojil nový klient. Pravidlo se aktivuje ASAP. New replicated clients• – na serveru se objevil záznam o novém klientovi, získaný z replikace. Pravidlo se aktivuje po hodině. Possible network attack• – záznamy v Firewallu logu klienta přesahující více než tisíc kritických záznamů za hodinu aspoň u 10% klientů Possible virus outbreak• –záznamy v Threat logu klienta přesahující více než tisíc kritických záznamů za hodinu u 10% klientů Server updated• – server byl aktualizovaný

Server not updated• – server nebyl aktualizovaný déle než pět dní. Pravidlo se aktivuje ASAP. Error in server text log• – log serveru obsahuje chybové hlášení. License expiration• – licence serveru vyprší za dvanáct a méně dní, přičemž následný maximální počet připojitelných klientů bude nižší, než je počet aktuálně připojených klientů. Pravidlo se aktivuje ASAP. License limit• – počet klientů, kteří se k serveru můžou ještě připojit, je menší než deset procent z celkového počtu licencí.

v časti Client ﬁlter klikneme na • Edit... a označíme za aktivní jen položku Groups IN. Ve spodní části tohoto okna klikneme na modrý odkaz specify a do nového okna napíšeme text centrála. Přidáme tlačítkem Add a potvrdíme dvakrát tlačítkem Ok. Tím jsme dosáhli, že pravidlo se bude týkat jen klientských stanic ze skupiny centrála.

Parametry pravidla přidáme po zvolení • Edit... z části Parameters. Jako aktivní ponecháme jen Protection Status Any Warnings

Pokud není uvedeno jinak, uvedené pravidla mají nastavený čas aktivace a opakovaní po 24 hodinách a týkají se primárního serveru a přímo připojených klientských stanic.

5.4.1.1 Posílání notiﬁkací prostřednictvím SNMP TRAP

SNMP (Simple Network Management protocol) je jednoduchý a poměrně rozšířený management protokol vhodný zejména k sledování a identiﬁkování chyb v síti. Jednou z operací tohoto protokolu je i tzv. TRAP, která bez vyžádání vysílá určité údaje. V případě ERA využíváme TRAP k posílání notiﬁkací.

Pro správné fungování je třeba mít nainstalovaný a nakonﬁgurovaný SNMP protokol (Control Panel >

Add or Remove programs > Add/Remove Windows Components) na tom samém počítači jako ERA server.

Samotný SNMP servis musí být nakonﬁgurovaný podle návodu uvedeném v tomto článku: http://support.

microsoft.com/kb/315154. RA server musí mít pro

dané notiﬁkační pravidlo nastavené posílání notiﬁkací prostřednictvím SNMP.

Notiﬁkace je možné sledovat v SNMP manageru, který musí být připojený na SNMP server a musí mít naimportovaný konﬁgurační soubor eset_ras.mib, který je součástí instalace ERA a nachází se obyčejně v adresáři C:\Program Files\ESET\Eset Remote Administrator\ Server\snmp\.

přejděme na část • Actions a její modiﬁkaci přes tlačítko Edit... V otevřeném okně aktivujeme E-mail a vyplníme položky To... a Subject: emailovou adresou administrátora a předmětem zasílaného mailu. Stejně tak aktivujeme položku Log to ﬁle a zadáme název a cestu k souboru. Dodatečně můžeme nastavit detailnost logovacího souboru pomocí hodnoty Verbosity. Nakonec potvrdíme tlačítkem Ok

na závěr vyplníme obsah textového pole • Message textem, který si přejeme zasílat naším pravidlem. Příkladem může být zpráva „Na stanici %CLIENT_LIST% nastal problém ve stavu ochrany.“

pravidlo uložíme pomocí • Save as... tlačítka pod libovolným názvem, například „problém ve stavu ochrany stanice“, a následně ho v seznamu pravidel označíme.

Výsledek můžeme vidět na následujícím obrázku.

5.4.2 Vytvoření pravidla

V následujícím příkladu si uvedeme vytvoření pravidla, které administrátorovi zašle na email zprávu jak na libovolném klientovi ze skupiny centrála přijde k problému ve stavu ochrany. Zpráva bude uložená i do logovacího souboru c:\log.txt.

položku • Trigger type nastavíme na Client State, protože se jedná o stav klientské stanice

• Priority, Activation after: a Repeat every after: můžeme ponechat na jejich přednastavených hodnotách. Pravidlo bude mít tím pádem prioritu 3 a bude aktivované po 24 hodinách

do • Description uvedeme text „oznámení problémů ve stavu ochrany klientů skupiny centrály“

Obrázek 5.8 Příklad vytvořeného pravidla

Tím se naše pravidlo stalo aktivní. V případě, že přijde na některém klientovi ze skupiny centrála k problémům ve stavu ochrany, toto pravidlo se aktivuje. Jeho důsledkem bude email administrátorovi a hlášení v souboru, které budou obsahovat název klientské stanice s problémem. Můžeme zavřít okno notiﬁkačního manažera.

5.5 Podrobné informace z klientských stanic

V dolní části jsou umístěné následující funkční tlačítka:

Z klientských stanic můžou být získávané informace o běžících procesích, spouštěných programech při startu systému, atd. Pro tento účel slouží nástroj ESET SysInspector. Nástroj pro diagnostiku a logovaní prostředí operačního systému, ESET SysInspector, je přímo integrovaný v ESET Remote Administrator Serveru. Můžeme ho vyvolat pomocí odkazu Tools z hlavního menu, položka ESET SysInspector.

V případě problémů s klientskými stanicemi je možné ESET SysInspector log získat z dané stanice po kliknutí pravým tlačítkem na stanice v záložce Clients a zvolení možnosti Request data – Request Sysinspector Information. Získání logu je možné jen při použití verze produktů 4.0 a víš, starší verze tuto funkcionalitu nepodporují. Po kliknutí na odkaz získaní logu se zobrazí okno, v kterém máme na výběr následující možnosti:

create snapshot (remember resulting log also • on the client) – pokud je tato možnost aktivní, na

klientské stanici zůstane kopie právě vygenerovaného logu.

include comparation to the last snapshot before • speciﬁed time ‑ zabezpečí zobrazení komparačního

logu. Ten bude vytvořený z aktuálního stavu systému a logu z uvedeného data, pokud je dostupný. Do úvahy se bere nejnovější log, starší než speciﬁkované datum.

View• ‑ aktuální log, jehož popis je v horní části okna, otevřete přímo v aplikaci ESET SysInspector

Save As...• ‑ aktuální log uložíme do zvoleného souboru. Doplňující možnost této volby Then Run ESET SysInspector Viewer to view this ﬁle zabezpečí, že po uložení logu se otevře k prohlížení obdobně jako po stlačení tlačítka View.

Doručení logu na server ze stanice trvá určitou dobu, proto je po vyžádání údajů ze stanice vhodné pár minut počkat v závislosti od rychlosti stanice, velikosti logu a přenosové kapacity sítě. Doručení nového logu signalizuje pro každého klienta údaj o čase doručení posledního logu v Client Properties – SysInspector.

Po kliknutí na tlačítko OK se námi požadované logy získají a uloží na serveru. Pro jejich otevření a prohlížení musíme postupovat následovně.

Pro jednotlivé klientské stanice můžeme nastavení a možnosti práce s logy ESET SysInspector najít v záložce Client Properties – SysInspector. Okno je rozdělené do třech částí, přičemž v horní části se nacházejí textové informace o nejaktuálnějších logech dané stanice. Tlačítko Refresh obnovuje stav těchto informací.

Střední část okna Request Options je identická s výše popsaným postupem získávání logů z klientské stanice, kde vykonání akce potvrzujeme tlačítkem Request.

6. Reporty

Funkce Reporty umožňují generování rozličných graﬁckých i tabulkových výstupů. Ty můžou následně sloužit pro další zpracování (možnost výstupu do CSV formátu), popř. je možné využít přímo nástroje ERA a nechat všechny grafy i graﬁku na něm. V takovém případu je výstup ve formátu HTML. Většina reportů, které se týkají inﬁltrace je generována z threathlogu.

Jednotlivé varianty graﬁckého vzhledu je možné vybrat v části Report ‑ Style.

V ERA je několik předdeﬁnovaných šablon, podle kterých je výstup generovaný (Report ‑ Type):

Top Threats• Přehled nejvíc hlášeného malware. Top Clients with most Threats• Přehled klientů, na kterých byl zaznamenaný nejvyšší počet incidentů. Threats Progress• Vývoj počtu incidentů v čase. Threats Comparative Progress• Vývoj počtu incidentů u vybraného malware (pomocí ﬁltru) v čase vůči celkovému hlášenému množství. Threats By Scanner • Poměr hlášených incidentů jednotlivými částmi řešení ESET. Threats By Object • Poměr incidentů podle přístupových míst, z kterých se pokusil malware o průnik (emaily, soubory, boot sektory). Combined Top Clients / Top Threats• Kombinace výše uvedených typů. Combined Top Threats / Threats Progress• Kombinace výše uvedených typů.

Combined Top Threats / Threats Comparative • Progress

Kombinace výše uvedených typů.

Clients Report, Threats Report, Events Report, • Scans Report, Tasks Report

Klasický výpis, tak jako je k vidění v záložkách Clients, Alert Log, Event Log, Scan Log nebo Tasks. Comprehensive Report• Souhrn následujících typů: ‑ Combined Top Clients / Top Threats ‑ Combined Top Threats / Threats Comparative

Progress

‑ Threats Progress

V části Filter je možné přesněji určit, jakých klientů (Target Clients), popřípadě malware (Virus) se bude report týkat.

Další detaily je možné nastavit tlačítkem Additional Settings, jedná se především o údaje v hlavičce a typech použitých grafů. Zároveň je možné odtud vyﬁltrovat klienty podle stavu některých atributů a vybrat formát výstupního souboru (HTML, CSV).

V záložce Interval je možné deﬁnovat časový úsek, pro který se bude report generovat:

• Current

Do reportu budou zařazené jen události, které se

uskutečnili v aktuálním vybraném období – myšlené stejně jako nyní (př.: pokud bude report vytvářený ve středu a bude nastavené Current Week, tak budou zařazené události za neděli, pondělí, úterý, středu) .

• Completed

Do reportu budou zařazené jen události, které se uskutečnili v aktuálním vybraném, avšak uzavřeném období (například za celý měsíc prosinec, celý týden – neděle do další soboty6 ). Pokud je aktivní parametr Add also the current period, budou k výše vybranému období přidané i události od posledního uzavřeného období do současnosti.

Příklad použití:

Chceme vytvořit report týkající se události za poslední kalendářní týden, tedy od neděle do následující soboty. Report budeme generovat ve středu následujícího týdne (po sobotě).

V záložce Reports > Interval, zvolíme variantu

Completed a nastavíme 1 Weeks. Odstraníme Add also the current period. V záložce Reports

> Scheduler nastavíme Frequency na Weekly a vybereme Wednesday. Ostatní je možné nastavit podle požadavků administrátora.

From / To• Umožňuje přesně deﬁnovat období pro generovaný report.

Záložka Scheduler slouží k nastavení automatického vytváření deﬁnovaného reportu ve zvoleném čase nebo intervalech (část Frequency).

Do kolonky Run at je potřebné napsat čas, kdy se provede generace reportu a v části and store the Result to – tlačítko Select Target... uvést způsob, jakým se bude report exportovat. Report je možné odeslat prostřednictvím e‑mailu na zvolenou adresu, popřípadě vyexportovat do adresáře. Report je možné takto vyexportovat například do adresáře, který je přístupný prostřednictvím intranetu. Reporty tak můžou být dostupné určeným osobám.

K odeslání vygenerovaných reportů e‑mailem je potřebné správně nastavit SMTP server v nastaveních serveru v záložce Other Settings. Víc informací o tomto nastavení najdete v kapitole 7.7.1. Nastavení SMTP.

V části Range je možné deﬁnovat časové období, ve kterém bude generování reportů aktivní. Přitom je možné deﬁnovat počet generování (End after), popřípadě datum konce generování (End by).

Při týdeních intervalech obecně používá ERA interval:

neděle, pondělí, úterý, ..., sobota.

7. Nastavení ESET Remote Administrator Serveru (ERAS)

Tlačítka Save a Save as slouží k uložení nastavení deﬁnovaného reportu do šablony (template). Při tvorbě nové šablony je potřebné stlačit Save as a šabloně přiřadit název.

V horní části okna konzole jsou k vidění názvy již vytvořených šablon a vedle nich informace o časech / intervalech, v průběhu kterých dochází ke generování reportů podle nastavení šablon. Tlačítkem Generate Now či už ve spodní části, nebo v kontextovém menu (po stlačení pravého tlačítka myši na vybrané šabloně) je možné generování převést okamžitě bez ohledu na plánování.

Již vygenerované reporty jsou k vidění v záložce Generated Reports. Pomocí kontextového menu je možné nad reporty vytvářet další operace.

Oblíbené šablony je možné umístit do levého okna Favorites a v budoucnosti tak mít možnost rychlého generování reportů na základě oblíbených šablon. Do oblíbených je možné přesunout volbou Add to Favorites v kontextovém menu vyvolaném na seznamu naplánovaných šablon.

7.1 Bezpečnost

Řešení ESET označené verzí 3.x (ESET Smart Security apod.) nabízejí možnost autorizace heslem při komunikaci klient / ERAS (komunikace prostřednictvím TCP protokolu, port 2222), přičemž výsledkem je šifrovaná komunikace. Doporučujeme nastavit hesla již při instalaci ERAS.

U starších verzí (označených jako 2.x) možnost autorizace vůči ERAS neexistuje. Aby byla zajištěná špatná kompatibilita pro starší verze, je možné nastavit režim Enable unauthenticed access for Clients.

Z velké části tak slouží záložka „Security“ k nastavení kompromisu pro společné použití klientských řešení verze 2.x a 3.x.

Password for Console (Administrator a Read-Only

uživatel)

Nastavení hesla uživatele Administrator a Read‑Only pro přístup k ERAS prostřednictvím konzole.

Password for Clients (Eset Security Products)

Nastavení hesla pro přístup klientů k tomuto ERAS.

Password for Replication

Nastavení hesla pro přístup podřazených ERAS k tomuto ERAS v rámci replikace.

Password for Eset Remote Installer (Agent)

Nastavení hesla pro přístup agenta k tomuto ERAS. Souvisí se vzdálenou instalací.

Enable unauthenticated access for Clients (Eset

Security Products)

Povolí přístup k tomuto ERAS i těm klientům, kteří nemají žádné nebo mají špatné heslo (případ, kdy heslo zaslané klientům nesouhlasí s heslem uvedeným v Password for Clients).

Enable unauthenticated access for Replication

Povolí přístup k tomuto ERAS i těm klientům, kteří nemají žádné nebo mají spatné heslo pro replikaci.

Enable unauthenticated access for Eset Remote

Installer (Agent)

Povolí přístup k tomuto ERAS i těm agentům, kteří nemají žádné nebo mají spatné heslo pro špatnou komunikaci.

Poznámka: Pokud je autorizace na straně klientů i ERAS nastavená a spravují se jen řešení ESET verze 3.x, je možné volbu Enable unauthenticed access for Clients vypnout.

7.2 Správa databází

Správné nastavení dokáže zajistit, že databáze na straně ERA serveru bude automaticky udržovaná v optimálním stavu. Při standardním nastavení jsou automaticky odstraňované záznamy starší než 6 měsíců, přičemž každých 15 dní je uplatněná funkce „Compact & repair”. Nastavení jsou přístupné přes menu Tools ‑> Server Options... ‑> záložka Server Maintenance

Přehled jednotlivých voleb: Only keep the latest X threats for each client

Ponechat jen X posledních incidentů pro každého klienta.

Only keep the latest X ﬁrewall logs for each client

Ponechat jen X posledních záznamů týkajících se ﬁrewallu pro každého klienta.

Only keep the latest X events for each client

Ponechat jen X posledních událostí pro každého klienta.

Only keep the latest X scan logs for each client

Ponechat jen X posledních protokolů o skenovaní pro každého klienta.

Delete clients not connected for the last X months

(days)

Odstranit klienty, kteří se nepřipojili k ERAS víc než X měsíců (dní).

Delete threat logs older than X months (days)

Smazat incidenty starší než X měsíců (dní).

Delete ﬁrewall logs older than X months (days)

Smazat záznamy týkající se ﬁrewallu starších než X měsíců (dní).

Delete event logs older than X months (days)

Smazat události starší než X měsíců (dní).

Delete scan logs older than X months (days)

Smazat protokoly o skenovaní starší než X měsíců (dní).

Je jen na zvážení administrátora, který z dvou nabídek variant uplatní.

Ve větších sítích je možné vytvořit celou kaskádu lokálních aktualizačních serverů (např. v rámci poboček), podobně jako v případě ERAS.

Upozornení: Administrátor musí do ERAS vložit licenční klíč pro zakoupený produkt a zadat uživatelské jméno a heslo v případě, že chce prostřednictvím ERAS vytvářet mirror. Pokud administrátor používá licenční klíč a uživatelské jméno a heslo pro ESET NOD32 Antivirus BE, tak v případě přechodu na ESET Smart Security BE musí původní licenční klíč a uživatelské jméno a heslo nahradit novým.

7.3.1 Provoz lokálního aktualizačního serveru

Server (může jít i o klasickou stanici) s Mirror serverem by měl být neustále v provozu a připojený k internetu, případně k nadřazenému Mirror serveru (kaskáda). Všeobecně je možné aktualizační balíčky přijímat dvěma způsoby:

1. prostřednictvím protokolu HTTP (preferovaná

varianta),

2. prostřednictvím síťově sdílené složky (SMB).

7.3 Mirror

Funkce Mirror umožňuje vytvoření lokálního aktualizačního serveru. Klienti nestahují aktualizace přímo z internetových aktualizačních serverů společnosti ESET, ale přistupují k lokálnímu aktualizačnímu serveru ve stejné nebo nejbližší síti. Mezi výhody tohoto řešení patří především nižší objem přenesených dat a nižší nároky na přenosné pásmo (aktualizace stahuje z internetu jen Mirror server, ne všechny počítače s řešením ESET). Jediným možným řešením může být výpadek Mirror serveru v případě, že pro klienty jde o jedinou cestu stahování aktualizací.

POZOR! Výpadkem může být i stav, kdy programovou aktualizaci absolvovalo přímo řešení ESET Smart Security nebo ESET NOD32 Antivirus s aktivní funkcí Mirror. Dokončení aktualizace může vyžadovat restart PC a pokud není uskutečněný, nebudou stahované žádné aktualizace pro

Mirrorserver,aleaniproklienty!NENÍPROTOVHODNÉ NUTITSERVEROVÉINSTALACEŘEŠENÍESETDO AUTOMATICKÝCHPROGRAMOVÝCHAKTUALIZACÍ!!Neplatí

to pro ERAS, který vytváří mirror.

Funkce Mirror je dostupná:

v řešení ESET Remote Administrator (fyzicky běží • Mirror na straně ERAS, Mirror je však možné spravovat přes ERA konzoli),

Aktualizační servery společnosti ESET fungují prostřednictvím protokolu http s využitím autorizace. Hlavní Mirror server musí k těmto serverům přistupovat s vyplněným uživatelským jménem (obvykle ve tvaru AV‑ xxx, nebo EAV‑xxx) a heslem.

Řešení ESET s funkcí Mirror přímo nabízejí integrovaní http web serveru (varianta 1).

Poznámka: Vpřípaděpoužitíintegrovanéhohttpweb

serveru (bez autorizace) je potřebné zajistit, aby nebyl dostupný z jiné sítě, pro kterou je zakoupená licence. Jmenovaný typ serveru nesmí být v žádném případě dostupný z internetu.

IntegrovanýHTTPwebserverběžístandardněnaportuTCP

2221. Pozor, zkontrolujte, zda na zmíněném portu neběžela jiná

aplikace!

V případě potřeby je možné použít jakýkoliv jiný http server. Zároveň je možné nastavit autorizaci jménem a heslem (v případě Apache web serveru jde o .htaccess metodu), kterou řešení ESET podporuje.

Při použití druhé metody (síťově sdílená složka) je potřeba složku s aktualizačními balíčky sdílet na síti s přístupovými právy pro čtení. Klienti se musí vůči sdílené složce autorizovat jménem a heslem uživatele, který má k němu přístup.

v řešeních ESET Smart Security Business Edition • nebo ESET NOD32 Antivirus Business Edition po vložení licenčního klíče pro Business edici.

Poznámka: KlientskéřešeníESETfungujípodúčtem SYSTÉMamajítakúplněodlišnésíťovéprávanežprávě

přihlášené uživatel. Autorizace jménem a heslem uživatele je tak nutností i v případě, že síťově sdílená složka je

dostupnáproEVERYONEaspřístupemnemáproblémani

právě přihlášený uživatel. Podobná je situace s deﬁnováním

síťovécestyvetvaruUNCvporovnánístvarem„DISK:\“.

Nedoporučujeme deﬁnovat cesty ve tvaru „X:\“!!!

V této souvislosti (varianta 2) doporučujeme založit na počítači s Mirror serverem uživatelský účet určený výhradně pro tento účel (např. „noduser“) a používat ho pro autorizaci všech klientů. Tento uživatel by měl mít nastavené právo pro čtení síťově sdílené složky s aktualizačními balíčky.

Poznámka: Pro autorizaci k síťově sdílené složce je potřeba

uživatelskéjménodenovatvcelém0tvaruSKUPINA\ uživatel,případněDOMÉNA\uživatel.

Kromě případné autorizace je potřebné na klientech v nastavení upravit zdroj, z kterého bude řešení ESET stahovat aktualizace. Může jít o URL adresu k lokálnímu serveru ve tvaru:

http://nazev_Mirror_serveru:port

příp. o UNC síťovou cestu se syntaxí

\\nazev_Mirror_serveru\nazev_sdílené_složky

7.3.2 Typy aktualizací

Kromě pravidelné virové aktualizace, dochází velmi zřídka i k tzv. programové aktualizace řešení ESET. V takovém případě je součástí aktualizace jádra řešení ESET. Programová aktualizace obvykle přidává novou funkcionalitu řešení ESET a ve většině případů vyžaduje restart klienta (celého OS). Pokud je v síti nasazený a využívaný Mirror server, tento typ aktualizace se stahuje také.

Mirror server poskytuje funkci, která dokáže zakázat stáhnutí programových aktualizací z aktualizačních serverů ESET (příp. z nadřazeného Mirror serveru) a tak i jejich distribuci na klientech. Distribuci programové aktualizace je možné kdykoliv vynutit manuálně na pokyn administrátora (např. v momentu, kdy je zřejmé, že s novou verzí nebudou žádné problémy ve vztahu k jiným uživatelským aplikacím).

Tato funkce je smysluplná z důvodu, že řešení ESET dokážou stahovat a používat virové aktualizace napříč existencí nové programové aktualizace. Stav, kdy se na stanici nachází poslední programová verze, ale využitá je poslední verze virové databáze, nemusí nutně znamenat méně kvalitní ochranu před škodlivými kódy. Napříč tomu vždy doporučujeme dřív nebo později přejít na poslední programovou aktualizaci.

7.3.3 Aktivace a nastavení funkce Mirror v praxi

Pokud se používá Mirror server, integrovaný přímo do řešení ESET Remote Administrator (součást Business Edition), stačí se k danému ERA serveru připojit prostřednictvím ERA konzole a postupovat následovně:

Zvolit menu • Tools > Server Options... > záložka Updates,

Jako Update server nastavit Choose automatically • (aktualizace ze serverů společnosti ESET), příp. URL nebo UNC cestu k nadřazenému Mirror serveru,,

Nastavit interval (• Update interval) aktualizace (doporučujeme 60 minut),

Nastavit uživatelské jméno (• Update user name) a heslo (Update password). V případě varianty Choose automatically jde o jméno a heslo získané při zakoupení licence. V jiných případech jde o jméno a heslo, kterým se bude autorizovat k nadřazenému Mirror serveru.

Povolit volbu • Create update mirror a nastavit adresář pro ukládání aktualizací. Standardně jde o relativní cestu k adresáři “mirror\”, který bude při povolení Provide update ﬁles via internal HTTP server poskytovat přes protokol HTTP na portě uvedeném v HTTP server port (standardně 2221). Autorizaci (Authentication) nastavit na NONE7.

Poznámka: V prípade problémov s aktualizáciou aktivujte voľbu Clear Update Cache, ktorá zabezpečí zmazanie dočasných aktualizačných súborov

Aktivovaním voľby • Mirror Downloaded PCU zabezpečíme, že mirror bude poskytovať aj programové aktualizácie. Nastavenie mirrorovania programových aktualizácií je možné uskutočniť v záložke Other Settings > Edit Advanced Settings vo vetve ESET Remote Administrator > ERA Server > Setup > Mirror (or Mirror for NOD32 version 2).

V záložce • Other Settings > Edit Advanced Settings... a větve ERA Server > Setup > Mirror > Create Mirror for the selected program components vybrat komponenty, které mají být stahované (měli by být vybrané všechny komponenty těch jazykových verzí, které se reálně nacházejí na klientech v síti, jinak dochází k zbytečnému stahování dat).

ERAS v původním nastavení nestahuje žádné komponenty. Pokud administrátor chce, aby ERAS stahoval programové komponenty, musí si tuto možnost nastavit. Více v kapitole 7.3.3 Aktivace a nastavení funkce Mirror v praxi.

Více informací o autorizaci se nachází v kapitole o nastavení ERA

serveru.

Autorizaci (• Authentication) nastavit na NONE8.

V spodní části vybrat komponenty•

, které mají být stahované (měli by být vybrané všechny komponenty v těch jazykových verzích, které se na klientech v síti opravdu nacházejí).

Poznámka: Pro plnou funkcionalitu Mirror je vhodné povolit stahování a zrcadlení programových aktualizací (komponentů). V opačném případě bude aktualizována jen virová databáze a ne celý program! V případě nasazení funkce Mirror v ESET Remote Administrator je to možné nastavit prostřednictvím ERAC, menu Tools -> Server Options...

-> záložka Other Settings -> tlačítko Edit Advanced

Settings... -> větev ESET Remote Administrator -> ERA Server -> Setup -> Mirror. Vždy je potřebné povolit ty

jazykové verze komponentů, které se nacházejí na klientech.

7.3.4 Mirror pro klienty NOD32 verze 2

Řešení ESET Remote Administrator umožňuje vytvářet kopie aktualizací i pro klientské řešení NOD32 verze 2. Volbu je možné zapnout přes Create update mirror for NOD32 version 2 products. Možnost vytvářet mirror aktualizací existuje jen v ESET Remote Administrator, klientské řešení Business edice verze 3 (ESET Smart Security a ESET NOD32 Antivirus) tuto vlastnost neobsahují.

Obrázek 7.1

Mirror je součástí i samotného řešení ESET Smart Security Business Edition nebo ESET NOD32 Antivirus Business Edition. Je na zvážení administrátora, zda použije tento Mirror server nebo Mirror server implementovaný v řešení ESET Remote Administrator.

Pro aktivaci a provoz Mirror serveru v řešení ESET Smart Security nebo ESET NOD32 Antivirus je potřebné postupovat následovně:

Nainstalovat ESET Smart Security nebo ESET NOD32 • Antivirus,

V nastavení řešení ESET zvolit menu • Různé > Licence a přidat licenční klíč pro Business edici. Tímto se stane funkce Mirror dostupnou.

V nastavení řešení ESET zvolit menu • Update > Advanced update setup (Setup...) > záložka Mirror.

Povolit volbu • Create update mirror a ideálně i Provide update ﬁles via internal HTTP server.

Nastavit adresář pro ukládání aktualizací (• Folder to store mirrored ﬁles).

Pokud je potřebné vytvářet kopie aktualizací současně pro klienty verze 2 a verze 3, doporučuje se použít mirror v ESET Remote Administrator. Při použití mirroru ERAS serveru pro klienty verze 2 a zároveň mirroru Business edice (ESET Smart Security a ESET NOD32 Antivirus) pro klienty verze 3, může dojít ke konﬂiktu mezi dvěma http servery používající stejný port

Aktualizace pro NOD32 verze 2 se vždy nacházejí ve složce „nod32v2“, který je podadresářem Mirror složky. Je dostupný prostřednictvím URL adresy:

http://nazev_Mirror_serveru:port/nod32v2

příp. o UNC síťovou cestu se syntaxí

\\nazev_Mirror_serveru\nazev_sdilene_slozky\nod32v2

ESET Remote Administrator také dokáže stahovat a zrcadlit aktualizace programových komponentů verze 2. Tyto nastavení jsou dostupné přes ERAC menu Tools ‑>

Server Options... ‑> záložka Other Settings ‑> tlačítko Edit Advanced Settings... ‑> větev ESET Remote Administrator ‑> ERA Server ‑> Setup ‑> Mirror for NOD32 version 2. Pro minimalizaci stahovaných dat je

nutné povolit jen ty jazykové verze komponentů, které se nacházejí na klientech verze 2.

Jméno a heslo (• User name, Password) slouží jako autorizace do výše uvedeného adresáře. Ve většině případů není tyto atributy nutné vyplňovat.

Více informací o autorizaci se nachází v kapitole o nastavení

ERA serveru.

Komponenty jsou zobrazeny jen v případě jejich dostupnosti

na aktualizačních serverech spoločnosti ESET.

7.4 Replikace

Význam a funkce replikace už byla popisovaná v rámci popisu scénářů instalace řešení ESET Remote Administrator (využívá se v rozsáhlejších sítí při instalaci několik ERA serverů, například na jednotlivé pobočky společnosti).

Dialog s nastavením replikace je rozdělený do dvou částí:

Replication „to“ settings •

Replication „from“ settings•

Část Replication „to“ settings je nutné nastavit pro podřazené ERA servery. U těchto ERAS musí být povolená volba Enable „to“ replication a uvedená IP adresa nebo název nadřazeného ERA serveru (Upper server), na který se budou data replikovat. Část Enable „from“ replication je důležitá pro nadřazené ERA servery, které přijímají data od podřazených ERAS, příp. je odevzdávají dalším nadřazeným. U těchto ERAS musí být povolená volba Enable „from“ replication a deﬁnované názvy podřazených ERA serverů (při větším počtu je možné je oddělit čárkou bez mezery).

informací, které jsou na záložkách Clients, Threat Log, Firewall Log, Event Log, Scan Log, Tasks vypisované do sloupců na jednotlivých řádkách. Přesto všechno ale existují informace, které nejsou uchované fyzicky přímo v databázi, ale v samostatných textových souborech (se strukturou textových nebo XML souborů). Právě tyto volby ovlivňují, zda se mají v rámci replikace přenášet i pomocné informace.

• Automaticallyreplicatethreatlogdetails, Automaticallyreplicatescanlogdetails,Automatically replicateclientdetails

Tyto volby rozhodují, zda se pomocné informace (souvisí s předcházejícím bodem) mají přenášet v rámci replikace automaticky nebo na vyžádání administrátora (viz význam tlačítek Request).

Poznámka: Objevuje se otázka, proč se řeší automatická replikace v porovnání s replikací na vyžádání jen u podrobnějších protokolů a klientských konﬁgurací. Právě tyto informace můžou být v některých případech velmi rozsáhlé a zároveň nemusí být klíčové. Dokonalým příkladem může být protokol o skenování pevného disku C:, když je povolené protokolování všech souborů (tedy i neinﬁkovaných). Pokud i napříč tomu potřebuje administrátor do těchto informací nahlédnout, nabízí se volba Request

Pro ERA servery, které se nacházejí „uprostřed“ hierarchie (tj. mají pod sebou podřazené servery a nad sebou nadřazené) musí mít povolené obě dvě části.

Všechny tyto situace dokonale popisuje následující příklad. Béžové PC znázorňují jednotlivé ERA servery. Pod každým serverem je uvedený název ERAS (v praxi se může jednat o holý název daného PC – computername, bez určení domény) a část dialogu replikace vrácené k potřebnému nastavení.

Ze spodních serverů se nepřenáší standardně informace o smazání klientů. Tak může vzniknout situace, že na nadřazeném serveru jsou i starší klienti. Mazání starších klientů na nadřazených serverech zapíná volba Enable

apply replication about objects deletion, nacházející se v Server Options > Other Settings > tlačítko Edit Advanced Settings... > větev Setup > Replication.

Úroveň přijímání log ERA serverem se nastavuje v Server Options > Other Settings > tlačítko Edit Advanced Settings... > větev Setup > Server Maintenance.

Pokud chce Administrátor, aby se replikovali jen klienti, u kterých došlo ke změně stavu, tak musí aktivovat možnost

Tools > Server Options > Replication > Mark all clients for replication by.

7.5 Logování

ERAS po dobu běhu vytváří protokol (Log ﬁlename) o činnosti s nastavitelnou úrovní detailů (Log verbosity). V případě textového výstupu (Log to text ﬁle) je možné zajistit rotaci protokolu při velikosti větší než X MB (Rotate when greater than X MB) a mazání protokolů starších než X dní (Delete rotated logs older than X days).

Obrázek 7.2

Další nastavení už jen ovlivňuje chování replikace:

• Replicatethreatlog,Replicaterewalllog,Replicate eventlog,Replicatescanlog

Aktivováním těchto nastavení dojde k replikaci

Část Log to OS application log zabezpečí zápis informací do systémového protokolu událostí (v Ovládacích panelech Windows).

Funkce Database Debug Log by měla za normálních okolností zůstat úplně vypnutá.

Textový protokol je standardně umístěný v souboru

%ALLUSERSPROFILE%\Data aplikací\Eset\Eset Remote Administrator\Server\logs\era.log

V části Log to text ﬁle doporučujeme ponechat Log verbosity na úrovni Level 2 ‑ Above + Session Errors a zvyšovat ji až při případných problémech a po konzultaci s technickou podporou společnosti ESET.

Schopnost spojení licenčních klíčů funguje za podmínky, že všechny spojené licenční klíče jsou vystavené na stejné úrovni identity zákazníka. V praxi to znamená, že dané licence vlastní jedna ﬁrma, organizace, fyzická osoba apod. Spojení licencí představuje jednoduchý proces, při kterém výsledný klíč obsahuje počet klientů, rovnající se sumě klientů jednotlivých klíčů. Datum expirace výsledného klíče je totožný s datem expirace klíče, který by expiroval ze všech klíčů jako první.

Pro jednotlivé rotované protokoly je možné nastavit úroveň komprese (Tools > Server Options > Other

Settings > Edit Advanced Settings > větev Setup > Logging > Rotated debug log compression)

7.6 Správa licencí

Pro konkrétní fungování ERA je potřebné zadání licenčního souboru. Ten je dodaný na kontaktní emailovou adresu spolu s autorizačními údaji při koupi produktu. Ke správě licencí slouží License manager.

ERA od verze 3.0 podporuje práci s více licenčními klíči najednou, či přispívá k většímu komfortu a funkcionalitě při změnách klientských licencí.

Hlavní okno manažera licencí vyvoláme přes volby Tools > License manager.

Postup přidání nového klíče je následující: ‑ vyvoláme okno licenčního manažera přes Tools –

License manager nebo klávesovou zkratkou CTRL + L

‑ klikneme na Browse a vyhledáme požadovaný soubor

licenčního klíče, soubor má příponu .lic

‑ potvrdíme Open tlačítkem ‑ zkontrolujeme zobrazené údaje o klíči a spustíme

uložení klíče na server Upload to Server

‑ potvrdíme hlášení o uložení na server tlačítkem OK

Tlačítko Upload to Server je aktivní jen v případě, že jsme úspěšně pomocí Browse vyhledali licenční klíč. Informace o právě načítaném licenčním klíči se v této části okna zobrazují nalevo od zmiňovaných tlačítek. Před kopírováním klíče na server je teda možné zkontrolovat údaje klíče.

V střední části okna jsou zobrazení informace o aktuálně používaném klíči serveru. Podrobnosti o všech klíčích, na serveru se zobrazí po kliknutí na tlačítko Details...

Při této části je třeba zmínit, že server disponuje funkcionalitou výběru nejlepšího klíče a stejně tak schopnost spojit licenční klíče. V případě výskytu většího počtu lic. klíčů je zvolený ten, která má nejvyšší počet klientských licencí. Pokud není podle tohoto kritéria možné určit nejvhodnější klíč, server vybere z možných kandidátů na základě nejdelšího času do exspirace klíče. Jinak řečeno, server se snaží vždy vybrat klíč s co největším počtem klientů a nejdelším časem do expirace.

Spodní část okna manažera licencí je věnovaná prvkům, které oznamují administrátorovi problém s licencí. Jejich funkcionalita je následující: ‑ Warn if the server is about to expire in 20 days

‑ deﬁnujeme kolik dní před expirací klíče má server upozornit administrátora na tento fakt

‑ Warn only if this will cause the number of clients

in the license decrease under the number or actual clients in the server database – aktivováním této

volby zabezpečíme, aby server oznamoval problém expirace klíče nebo části klíče jen v případě, že po expiraci klíče klesne počet povolených licencí pod počet aktuálně přihlášených klientů, resp. Klientů v databázi ERAS

‑ Warn if there is only 10% free clients left in the

server license ‑ server upozorní administrátora, že procentuální počet volných licencí pro klienty klesne pod nastavenou hodnotu.

Poznámka: ERAS dokáže spojit licence různých zákazníků, tato schopnost se aktivuje speciálním klíčem. V případě potřeby získání takového klíče je potřebné speciﬁkovat požadavek při koupi produktu, případně kontaktovat obchodní místo společnosti ESET.

7.7 Rozšířené nastavení

Rozšířené nastavení ERAS jsou přístupné přes tlačítko Edit Advanced Settings... (nachází se v menu Tools ‑> Server Options... ‑> záložka Other Settings), které vyvolá konﬁgurační editor ESET, kde je možné deﬁnovat další nastavení, nepřístupné přes graﬁcké rozhraní konzole.

Pomocí nich je možné nastavit následující volby (uvedené jsou nejdůležitější):

• Maximal disk space usage (percents) Pokud využití disku překročí zvolené procento, některé vlastnosti serveru nemusí fungovat. ERA konzole při připojení na ERAS upozorní uživatele na překročení tohoto parametru.

• Communication protocol encoding Nastavení typu kódování komunikace. Doporučuje se ponechat předvolenou hodnotu, když server určí typ kódování.

• Enable MAC address renaming (from unknown to valid)

Umožňuje, aby MAC adresa klienta byla přejmenovaná z neznámé (platné pro klienty verze 2 – nepodporují zasílání MAC adresy) na platnou adresu

(klienti verze 3 – podporují export MAC adresy). Doporučená je předvolená hodnota povolující přejmenování. Výsledkem je konverze starého záznamu na nový.

• Enable MAC address renaming (from valid to

unknown) Umožňuje přejmenování platné (známé) MAC adresy na neznámou. Doporučuje se ponechat předvolenou hodnotu, která přejmenování nepovoluje. Volba se může uplatnit při reinstalaci klienta verze 3 na klienta verze 2.

7.8.3 Noví klienti

• Allownewclients

Pokud není tato volba povolená, přehled klientů na záložce Clients je považovaný za konečný a i v případě komunikace dalších (nových) klientů s ERAS, nebu‑ dou tito do seznamu doplnění.

• Automaticallyreset„New“agbynewclients

Pokud je volba aktivní, automaticky je odstraněný příznak New u přihlášených klientů k ERAS poprvé. Víc v kapitole o záložce Clients.

• Enable MAC address renaming (from valid to another valid)

Umožňuje přejmenování platných MAC adres. Přednastavená hodnota je nepovolit přejmenování MAC adres – v takovém případě bude MAC adresa jedním z jednoznačných identiﬁkátorů klienta. Zapnout se doporučuje při problémech se zdvojenými záznamy klientů, ke kterým dochází při vypínaní síťových adaptérů. Případně, pokud klient chce, aby byl i po změně MAC adresy identiﬁkovaný jako stále ten samý klient.

• Enable computer renaming Umožňuje přejmenování počítače. Pokud přejmenování není povolené (přednastavená hodnota), jméno počítače bude jedním z jednoznačných identiﬁkátorů klienta.

• Use server default logon also by push installation ERAS umožňuje přednastavit jméno a heslo pro instalace přes logon skript a email. Tato volba dovoluje použít přednastavené údaje i pro push instalaci.

7.8 Další nastavení

7.8.4 ThreatSense. Net

• EnableThreatSense.NetdataforwardingtoESETservers

Pokud je povolené, ERAS bude přeposílat podezřelé soubory a statistické informace z klientů na servery ESET. V některých případech není možné zabezpečit, aby tyto informace odcházeli do společnosti ESET přímo z klientů.

7.8.1 Nastavení SMTP

• SMTPsettings(Server,Senderaddress,Username,Password)

Některé činnosti v ESET Remote Administrator vyžadují nastavení SMTP serveru. SMTP server je nutný v případě vzdálené instalace prostřednictvím elektronické pošty a při generovaní reportů, které mají být odeslané ve formě e‑mailu.

7.8.2 Nastavení Portů

• Ports (Console, Client, Replication port of this server, Eset Remote Installer)

Určuje porty, na kterých bude ERAS „poslouchat“ a čekat na komunikaci navázanou:

• konzolou(Console, standardně TCP 2223),

• klientem(Client, standardně TCP 2222),

• replikačnímprocesem(Replication port,

standardně TCP 2846),

• agentempřivzdálenéinstalaci(ESET Remote Installer, standardně TCP 2224).

8. Troubleshooting

8.1 FAQ

V následující kapitole jsou popsané odpovědi na nejčastější otázky a problémy spojené s instalací a nabídkou ESET Remote Administrator.

8.1.1 Není možné nainstalovat ESET Remote

Administrator na Windows server 2000 a 2003

Příčina

Jednou z častých příčin je fakt, že na serveru běží Terminal Server v režimů execution.

Řešení

Při instalaci programů na systémech, kde běží služba Terminal Server, doporučuje Microsoft přepnout Terminal Server do režimu ‘install’. Je možné to udělat prostřednictvím Přidat/Odebrat programy v Ovládacích panelech, nebo zadáním příkazu change user / install do příkazového řádku. Po instalaci je možné zapnout Terminal Server do ‘execution’ režimu pomocí příkazu change user / execute. Postup je podrobně popsaný v tomto článku od Microsoftu:

http://support.microsoft.com/kb/320185

8.1.2 Co znamená chybový kód GLE?

Instalace ESET Smart Security nebo ESET Antivirus pomocí ESET Remote Administrator může vygenerovat chybové hlášení s GLE kódem. Pro zjištění detailů o chybě s daným kódem postupujte následovně:

3. Mít na ﬁrewall‑e povolené porty pro sdílení souborů (File Sharing porty 445, 135‑139).

4. Cílový počítač musí být schopný odpovídat na ping request.

SC error code 6, GLE error code 67 Could not instal ESETinstaller on target computer

TřebazabezpečitpřístupnostADMIN$sharena

systémový disk klientského počítače.

SC error code 6, GLE error code 1326 Could not set up IPC connection to target computer, probably due to a wrong username or password

Jméno nebo heslo uživatele s administrátorskými právy bylo zadané nesprávně nebo nebylo zadané vůbec.

SC error code 6, GLE error code 1327 Could not set up IPC connection to target computer

Heslouživatelesadministrátorskýmiprávyjeprázdné.Je

nutné, aby heslo existovalo.

SC error code 11, GLE error code 5 Could not instal ESETinstaller on target computer

Instalátor nemá administrátorské práva (při přístupu na klientský počítač), hlásí Access Denied.

SC error code 11, GLE error code 1726 Could not install NOD32 Installer onto target computer

Tato chyba vzniká, když uživatel chce vzdáleně instalovat 2x po sobě a nezavře mezitím okno Push Installation.

1. Otevřete příkazový řádek přes Start > Run – napište „cmd“ bez uvozovek a klikněte Ok.

2. V příkazovém řádku napište „net helpmsg kód_chyby“

Příklad: „net helpmsg 55“

Výsledek: Zadaný síťový prostředek už není dostupný

8.2 Nejčastější chybové kódy

Při používaní ESET Remote Administrator se vyskytují chybová hlášení s kódy, které indikují, že nastal určitý problém při vykonávání dané činnosti. Následuje stručný přehled nejčastěji objevujících se chybových kódů při práci s push instalací, jako i chyby objevující se v logu ERAS.

8.2.1 Chybové kódy při vzdálené instalaci ESET Smart

Security nebo ESET NOD32 Antivirus pomocí ESET Remote Administrator

SC error code 6, GLE error code 53 Could not set up IPC connection to target computer

Pro navázání IPC spojení je nutné víc předpokladů:

1. Mít nainstalovaný TCP/IP stack na ERAS a klientském počítači.

2. Mít nainstalovaný File and Printer Sharing for Microsoft Networks.

8.2.2 Nejčastější chybové kódy z protokolu era.log

0x1203 – UPD_RETVAL_BAD_URL

Jedná se o chybu aktualizačního modulu, který hlásí špatně zadanou adresu aktualizačního serveru.

0x1204 – UPD_RETVAL_CANT_DOWNLOAD

Chyba může nastat:

• přiaktualizacepřesHTTP ‑ aktualizační server vrací HTTP chybu v rozpětí 400‑500, a zároveň chyba není 401, 403, 404 ani 407 ‑ pokud se jako zdroj aktualizace používá server na bázi CISCO a formát autorizace přes HTML odpověď byl změněný

• přiaktualizacipřessdílenýadresář: ‑ vrácená chyba nespadá do kategorie špatná autorizace nebo soubor nenalezený (např. přerušené spojení, neexistující server, atd.)

• prooběmetodyaktualizace: ‑ pokud nebylo možné kontaktovat žádný ze serverů deﬁnovaných v souboru upd.ver, který se nachází v %ALLUSERSPROFILE\Application Data\ESET\ ESET Remote Administrator\Server\updﬁles\ ‑ nebylo možné kontaktovat ani failsafe (záchranný) server (pravděpodobně, byly násilně vymazané hodnoty v registrech pro ESET klíče

• přinesprávnémnastaveníproxyserveruvERAS

9. Rady & tipy

Administrátor musí deﬁnovat proxy server ve tvaru “XXX.XXX.XXX.XXX” nebo hostname. Nesprávně je nastavení ve tvaru “http://XXX.XXX.XXX.XXX)”0x2001 -

UPD_RETVAL_AUTHORIZATION_FAILED

Autorizace vůči aktualizačnímu serveru selhala, jméno nebo heslo uživatele bylo zadané nesprávně.

0x2102 - UPD_RETVAL_BAD_REPLY

Tato chyba aktualizačního modulu se může vyskytnout při spojení uskutečněném přes proxy server, konkrétně Webwasher proxy.

0x2104- UPD_RETVAL_SERVER_ERROR

Chyba aktualizačního modulu indikuje interní chybu HTTP serveru, která má hodnotu 500 a víc. V případě ESET HTTP serveru znamená chyba 500 problémy s alokací paměti.

0x2105 – UPD_RETVAL_INTERRUPTED

Tato chyba aktualizačního modulu se může vyskytnout při spojení uskutečněném přes proxy server, konkrétně Webwasher proxy.

8.3 Jak odhalit problém s ERAS?

Pokud existuje podezření na nesprávnou funkčnost ERA Serveru nebo se vyskytují problémy, doporučuje se následující postup.

1. Zkontrolovat protokol ERAS, který je přístupný

přes menu ERAC Tools > Server Options > záložka Logging > tlačítko View Log

2. Pokud neobsahuje žádná chybová hlášení, doporučuje se zvýšit podrobnosti logování prostřednictvím rolovacího menu Log Verbosity na nejvyšší úroveň. Po zreplikovaní problému doporučujeme úroveň logování nastavit zpět na původní úroveň.

3. V případě problémů s databází je potřebné zapnout ve stejné záložce databázový debug log pomocí zaškrtávajícího políčka Debug Log. Aktivace Debug logu se doporučuje jen na dobu replikace problému.

4. Pokud se chybové hlášení v log souborech lišší od těch, které jsou popsané v tomto manuálu, obraťte se na technickou podporu společnosti ESET.

5. Pokud se vyskytnou jakékoli neznámé chybové hlášení, doporučujeme se taktéž obrátit na technickou podporu společnosti ESET. Je vhodné popsat nežádoucí situaci, která nastala, co bylo vykonané, aby se jí předešlo. Velmi důležité je uvést číslo verze produktů ESET, které mají se situaci něco společného (typicky ERAS, ERAC, ESET Smart Security, ESET NOD32 Antivirus)

9.1 Plánovač úloh

V klientských řešeních ESET NOD32 Antivirus a ESET Smart Security je integrovaný tzv. plánovač úloh, který umožňuje naplánovat pravidelnou antivirovou kontrolu disku, vykonání aktualizace apod. Každá z těchto činností je realizovaná prostřednictvím záznamu v plánovači, tzv. úlohy.

Momentálně existují celkem čtyři druhy úloh:

• Spuštění externí aplikace

• Kontrola souborů spuštěných po startu

• Kontrola počítače

• Aktualizace

Úloha Spuštění externí aplikace obvykle zůstává bez využití. Úloha Kontrola souborů spuštěných po startu je standardně naplánovaná už samotným výrobcem, společností ESET a není nutné ji měnit10. Z pohledu administrátora tak zůstává nejzajímavější úlohou Kontrola počítače a Aktualizace a to z následujících důvodů:

• Kontrola počítače Tato úloha zajistí pravidelnou antivirovou kontrolu PC, typicky lokálních disků.

• Aktualizace Tato úloha zajistí pravidelnou aktualizaci klientského řešení ESET. Od výrobců je standardně nastavená i tato úloha (automatická aktualizace každých 60 minut) a není důvod toto nastavení měnit. Výjimkou je situace, kdy se nacházejí v síti např. notebooky, kterými se uživatelé připojují i z jiných sítí. V tomto případě je možné ve vlastnostech tohoto typu úlohy nastavit volání dvou aktualizačních proﬁlů a umožnit tak aktualizace notebooků v rámci i mimo ﬁremní síť.

Plánovač úloh (Schedule/Banner) je dostupný i prostřednictvím aplikace ESET Conﬁguration Editor ve větvi ESET Smart Security / ESET NOD32 Antivirus >

ESET Kernel > Setup > Scheduler/Planner > Scheduler/ Planner (následně tlačítkem Edit).

Bližší informace o konﬁguračním editoru se nacházejí v kapitole 3.7 Konﬁgurační editor.

Pokud je ESET NOD32 Antivirus nebo ESET Smart Security nainstalovaný se standardním nastavením, nacházejí se v plánovači dvě úlohy tohoto typu. Jedna kontroluje důležité systémové soubory při každém přihlášení uživatele do sítě a druhá při každé úspěšné virové aktualizaci.

Obrázek 9.1

Po otevření dialogu tlačítkem Edit můžou být zobrazené již existující úlohy (podobně jako na obrázku) nebo bude dialog bez úloh. Záleží na tom, zda jste do konﬁguračního editoru načítali hotovou konﬁguraci (např. z již fungující stanice) nebo vycházíte z nové, kdy je použita prázdná šablona bez úloh.

Každá úloha je jednoznačně identiﬁkovaná atributem ID (tzv. primární klíč), přičemž výrobcem předdeﬁnované úlohy mají ID jen decimální (1, 2, 3…). Administrátorem deﬁnované úlohy mají ID hexadecimální (např. 4AE13D6C), přičemž hodnota ID je přidělená náhodně a automaticky při vytváření nové úlohy.

V případě úlohy typu Kontrola počítače se v posledním kroku určuje, jaké nastavení se podobu kontroly uplatní (resp. z jakého proﬁlu se toto nastavení použije) a které cílové oblasti budou kontrolované (Targets).

Obrázek 9.2

Zaškrtávací pole před každým řádkem určuje, zda je úloha aktivní, tj. zda ji klient využívá.

Význam tlačítek:

• Add – přidá novou úlohu.

• Edit – upraví vybranou úlohu.

• Change ID – upraví ID vybrané úlohy.

• Details – souhrn informací o vybrané úloze.

• Mark for deletion – takto označená úloha (se

shodným ID) bude při použití této XML konﬁgurace odstraněná z cílového klienta.

• Remove from list – tímto tlačítkem bude vybrána

úloha vymazaná ze seznamu. Použitím tohoto tlačítka nedojde k odstranění dané úlohy z cílového klienta. Úloha bude jen odstraněná z editované XML konﬁgurace.

Při tvorbě nové úlohy (tlačítko Add) nebo při editaci současné (tlačítko Edit) je nutné deﬁnovat podmínku, při které dojde ke spuštění této úlohy. Podmínka může být časová (každý den ve 12h, každý pátek…) nebo v závislosti od události (po úspěšné aktualizaci, při prvním startu PC po dobu celého dne…)

V případě úlohy typu Aktualizace se v posledním kroku určuje, jaké aktualizační proﬁly se mají při spuštění úlohy použít. Jak už bylo zmíněno, od výrobce je standardně i tato úloha nastavená (automatická aktualizace každých 60 minut) a není důvod nastavení měnit. Výjimkou je situace, kdy se nachází v síti např. notebooky, jejichž uživatelé se připojují z jiných sítí. Právě zde je potom možné nastavit volání dvou aktualizačních proﬁlů a řešit tak aktualizaci notebooku v rámci i mimo ﬁremní sítě.

Obrázek 9.3

9.2 Odstranění existujících proﬁlů

Omylem se může stát, že se na klientech vyskytnou nevyužité, nebo duplicitní proﬁly (pro kontrolu disku nebo pro aktualizaci). Pokud je chceme vzdáleně odstranit na více klientech a přitom nesjednotit ostatní speciﬁcké nastavení, je možné postupovat například podle následujícího postupu:

XML souboru. Takto získaný XML soubor s konﬁgurací je možné použít i následovně:

• Přivzdálenéinstalaci,kdejemožnéXMLsoubor

použít jako „šablonu“ předdeﬁnované konﬁgurace. Při tvorbě takového balíčku vlastně nevytváříme novou konﬁguraci, ale tlačítkem Select... přiřadíme XML soubor.

• VzáložceClients klikneme na jednoho z

problémových klientů.

• VyberemezáložkuConﬁguration, zaškrtneme Then Run ESET Conﬁguration Editor to edit the ﬁle a User the downloaded conﬁguration in the new conﬁguration task a následně klikneme na New Task.

• VprůvodcinovouúlohutypuCongurationstlačíme

Edit.

• VkonguračnímeditorustlačímeCtrl+D (odznačení všech položek – pomocí této volby nesjednotíme ostatní speciﬁcké nastavení).

• Pravýmtlačítkemkliknemenaprol,kterýchceme

zrušit a z kontextového menu zvolíme Mark proﬁle for deletion. Následně je proﬁl označený na smazání

a jakmile bude tato úloha aplikovaná na cílových klientech, bude proﬁl odstraněný.

• PřivytvářeníúlohytypuConguration,kdyje

možné vybrané klienty dodatečně nastavit podle jmenovaného XML souboru (opět využijeme tlačítko Select... a nevytváříme novou konﬁguraci).

Poznámka: Nabízí se tak postup, kdy administrátor nainstaluje řešení ESET jen na jednu vybranou stanici, konﬁgurace vykoná přímo v klientském rozhraní a jakmile je všechno ideálně doladěné, vykoná export konﬁgurace do souboru XML. Ten ho využije při vzdálené instalaci dalších stanic. Tento postup může být taktéž užitečný při ladění

pravidelrewallu,pokudbudepozdějinastavenývrežimu

„policy-based“.

9.4 Nastavení aktualizace ze dvou zdrojů pro mobilní zařízení

V případě mobilních zařízení je možné uplatnit aktualizaci z dvou různých zdrojů. Notebook může být nastavení například tak, že v případě selhání aktualizace z ﬁremního Mirror serveru (notebook je fyzicky mimo ﬁremní LAN sítě) vykoná se aktualizace přímo ze serveru společnosti ESET. Po technické stránce je potřebné:

• vytvořitdvaaktualizačníproly,přičemžjedenbude

stahovat aktualizace z Mirror serveru (dále bude tento proﬁl prezentovaný pod názvem LAN) a druhý přímo ze serveru ESET (INET),

• vytvořitneboupravitúlohuproaktualizaciv

plánovači úloh.

Obrázek 9.4

• Dále je potřeba pokračovat stlačením tlačítka Console v konﬁguračním editoru a uložit nastavení.

• Vdalšíchkrocíchprůvodcevyzvekvýběruvšech

klientů, na které bude konﬁgurace uplatněná a v posledním kroku vyzve k dokončení průvodce.

9.3 Export a další využití současné XML

konﬁgurace klienta

Prostřednictvím konzole ERA je možné v záložce Clients vybrat libovolného klienta a v kontextovém menu (kliknutím pravým tlačítkem na myši) zvolit Conﬁguration... tlačítkem Save As... je následně možné konﬁguraci daného klienta vyexportovat do

Nastavení je možné pochopitelně vykonat lokálně přímo na daném notebooku, popřípadě vzdáleně prostřednictvím konﬁguračního editoru ESET. Toto nastavení je možné vnutit u při vzdálené instalaci, nebo kdykoliv později prostřednictvím úlohy typu Conﬁguration.

V konﬁguračním editoru je možné nové aktualizační proﬁly vytvářet z kontextového menu po kliknutí na větev Aktualizace pravým tlačítkem myši.

Výsledek úprav by měl vypadat následovně (jde jen o ilustrační příklad, skutečnost se může výrazně lišit).

Obrázek 9.5

Proﬁl LAN se bude pokoušet aktualizovat z http:// server:2221 (ﬁremní Mirror server), zatím co INET ze

serveru ESET (volba Choose automatically). Nyní je ještě potřeba nastavit, aby byly tyto proﬁly volané automaticky prostřednictvím plánovače úloh (větev

ESET Smart Security / ESET NOD32 Antivirus > ESET Kernel > Setup > Scheduler/Planner v konﬁguračním

editoru).

9.5 Instalace produktů třetích stran prostřednictvím ERA

Vzdálená instalace pomocí ESET Remote Administrator serveru přes instalace produktů společnosti ESET, s.r.o. umožňuje i vzdálenou instalaci jiných produktů. Podmínkou je, aby daný instalační balíček byl ve formátu .msi souboru. Postup vzdálené instalace tohoto .msi balíčku je velmi podobný již zmiňované instalaci produktů ESET, s.r.o. v kapitole 4.2 Vzdálená instalace.

Nejhlavnějším rozdílem je vytvoření samotného instalačního balíku aplikace ESET Remote Administrator, který je popsaný v následující části:

‑ v konzole klikneme na záložku Remote Install ‑ Zvolíme možnost Manage Packages ‑ V části Type vybereme Custom package ‑ Pomocí tlačítka Add a následně Add ﬁle přidáme do

balíčku instalační soubor ve formátu .msi

‑ Následně tento soubor vybereme v Package Entry

File a potvrdíme volbou Create

‑ Po návratu do původního okna můžeme v spodní

části speciﬁkovat parametry příkazového řádku .msi souboru. Tyto parametry jsou stejné jako u lokální instalace daného balíčku.

‑ Takto vytvořený instalační balíček můžeme pomocí

volby Save as... uložit

‑ Zavřeme manažer instalačních balíčků tlačítkem

Obrázek 9.6

V plánovači vytvoříme novou úlohu kliknutím na tlačítko Add. Následně je potřebné nastavit minimální typ úlohy na Aktualizace, název úlohy (např. „kombinovaná aktualizace“), interval aktualizace (doporučujeme opakovat každou hodinu) a úplně na konci i název primárního a sekundárního proﬁlu.

Jelikož požadujeme, aby se notebook nejprve pokusil o aktualizaci z ﬁremního Mirror serveru, primárním bude název LAN (uvedeme jako hodnotu pro „Primary proﬁle“) a sekundárním INET („Secondary proﬁle“). Proﬁl INET bude použitý jen při sehnání aktualizace prostřednictvím proﬁlu LAN.

Takto vytvořený instalační balíček, obsahující jiný .msi soubor jako produkt společnosti ESET, s.r.o., je možné použít přesně stejným způsobem jako při popisovaných vzdálených instalacích. Push instalace, instalace pomocí přihlašovacího skriptu nebo mailu se postará o doručení balíčku na cílovou stanici. Od momentu zpuštění balíčku probíhá instalace pod deﬁnovanými pravidly instalační služby Microsoft Windows.

Poznámka: V praxi doporučujeme využít možnost vyexportovat současnou XML konﬁguraci klienta (viz. Předchozí kapitola) a výše vedené úpravy vykonávat na exportovaném XML. Takto můžete omezit duplicitní záznamy v plánovači úloh, stejně tak i množství nevyužitých proﬁlů.

Eset REMOTE ADMINISTRATOR User Manual [sk]

Specifications and Main Features

Frequently Asked Questions

User Manual